Coucou tout le monde

Contraint de changer de véhicule motorisé pour des raisons de santé (et un peu contraint d'en avoir un), je me suis trouvé fort dépourvu avec mes seules économies et j'ai donc du faire appel à ma banque pour disposer d'un crédit m'apportant les fonds… Ça arrive à tout le monde me direz-vous…

Et le printemps arrivant, me voilà pourvu d'un léger excédent que je décide de mettre à profit pour rembourser immédiatement une petite part de ce crédit (astuce : n'offrez pas de cadeaux de Noël). Chose dite fut faite, et tout allait bien. Mais v'la-t-y-pas que je reçois un joli courriel intitulé «Votre avis nous intéresse», se présentant comme provenant de mon écureuil préféré… Qu'ouïs-je, qu'est-ce ?

La société de financement, organe séparé de ma banque, sollicitait mon avis pour «mieux répondre à mes attentes». Pourquoi pas, me dis-je. Puis je regardais avec effroi les différents éléments du mail, et le doute m'assaillit, je tremblai de rage… Cet en-tête, «976f8134551e5d1f9e0a4a1db.472673.list-id.mcsv.net»… c'est une mailing-list de l'opérateur MailChimp, une société états-unienne…

Ce lien vers le formulaire, http://mfb.li/ect?d:email=ray@dact.ed&d:naissance=01/02/2003&d:age=73&d:sexe=U&d:montant_commande=12345,67&d:code_reseau=CE&d:no_doss=42400000000000&d:remboursement_total_ou_partiel=Partiel&d:montant_du_pp=4

Cornegidouille ! Mon adresse email, mon âge, mon sexe (qui ne regarde personne, c'est très intime tout de même), le montant de mon crédit… le tout dans un lien en HTTP ?? mfb.li appartient heureusement à une société française, une fuite trans-atlantique de moins… mais le formulaire est hébergé à travers un CDN de la société KeyCDN, société états-unienne également, avec du contenu vers notre ami Google !

Récapitulons… Je souscris un crédit consommation auprès d'une banque française. Elle fournit l'argent à travers son organisme de financement, français lui aussi. Et choisit derrière de me spammer en passant par 4 sociétés tierces, dont 3 américaines, en leur confiant plus ou moins directement le kit du parfait phishing…

This is not a method, this is provocation.

Vous pensez qu'avec le GPDR on aura des outils pour attaquer formellement ce genre de comportement d'une désinvolture crasse avec nos données ?

Je vous laisse, j'ai un banquier à incendier…