Tous les chefs d'entreprise reçoivent parfois des dizaines de messages indésirables proposant d'« améliorer leur réputation en ligne ». Mais tout le monde comprend-il que cette offre alléchante n'est en réalité pas aussi anodine qu'elle peut paraître à première vue ?
Beaucoup ont pris l'habitude de penser que ces avis sont principalement générés par des fermes de bots, mais cette conviction est fausse. Examinons un exemple de ce que propose l'un de ces messages indésirables.

À première vue, ce dialogue typique aurait pu s’arrêter là, mais le message suivant a attiré notre attention.

Les noms de domaine qu’il a indiqués appartiennent à de grandes entreprises dont le chiffre d’affaires s’élève à plusieurs milliards. Nous nous sommes immédiatement demandé comment il pouvait y parvenir, mais il fallait vérifier cette hypothèse.

Le malfaiteur a immédiatement accepté de faire un « avis test ». Il s’agit d’une pratique courante chez eux pour, en quelque sorte, renforcer la confiance. Nous avons désormais l’occasion de vérifier s’il contrôle réellement cette adresse e-mail, probablement obtenue de manière illicite, ou s’il s’agit d’une simple escroquerie.

Quelques minutes plus tard, nous avons effectivement reçu un e-mail.

En analysant les en-têtes du message, nous avons constaté que l’adresse IP à l’origine de l’envoi se trouvait en Inde, alors que l’entreprise elle-même est située aux États-Unis.
À partir du nom et du prénom, nous avons réussi à identifier la personne qui nous aurait soi-disant écrit sur LinkedIn. La localisation indiquée dans le profil ne correspondait pas à celle de l’adresse IP, mais cela ne constitue pas en soi une preuve de piratage du compte. De plus, cette adresse IP figurait dans la base de données de SpamHaus.
Dès ce stade, nous avons informé l’entreprise concernée de cet incident potentiel. Le vendeur d’avis a quant à lui reçu la réponse suivante de notre part.

Il l'a ignorée et a bloqué ce contact.
Peu de temps après, nous avons reçu la réponse suivante :

Le lendemain, le titulaire de la boîte mail a indiqué qu’il n’avait pas donné son accord pour l’utilisation de son adresse et qu’il n’avait aucun lien avec l’e-mail envoyé
Conclusion
Ce cas montre que les offres de vente d’avis « vérifiés » peuvent cacher des stratagèmes reposant sur l’utilisation non autorisée d’adresses e-mail professionnelles appartenant à des tiers.
C’est pourquoi nous recommandons de ne pas recourir aux services de vente d’avis. Si le vendeur fait valoir qu’il a accès à une adresse e-mail professionnelle, il convient de conserver la correspondance et les données techniques, puis d’en informer le propriétaire du domaine ou le service de sécurité informatique de l’entreprise concernée.