[GP] Anomalies & Évolutions

Reconstitution des faits :

17 oct 2025 : possible premier pic d'inscription spam (voir PJ)
21 oct 2025 : pic d'inscription spam (voir PJ)
21 oct 2025 : Élodie se plaint sur Slack qu'on reçoit des faux messages de NL
22 oct 2025 : Patrice installe WP Armour HoneyPot (à 3.23pm), ça ne suffit pas

24 oct 2025 : Patrice supprime le widget d'inscription à la NL du footer (à 1.50 am) et purge le cache home
24 oct 2025 : Patrice fait un ticket DSI (toujours dans la nuit)
24 oct 2025 : Réponse de la DSI (8h10). La DSI bloque les adresses gmail vers newsletter@ (19h11)
28 oct 2025 : Levée du blocage à 12h15, reprise du spam

29 oct 2025 : On réalise que le formulaire peut encore être actif dans le cache de bunny
29 oct 2025 : Patrice purge le cache de bunny (dans l'aprem)
29 oct 2025 : Guillaume réalise que les mails de spam sont dans Brevo

30 oct 2025 : restriction des mails selon les patterns de texte (vers 11h ou plus)

Remarques générales :

• L'objet des mails est toujours "Re: Confirmez votre inscription à la newsletter"
• Il y a plusieurs textes différents, parfois en anglais parfois pas
• Presque tous les mails sont utilisés plusieurs fois pour écrire du spam

• Les spammeurs sont passés par le formulaire d'inscription NL
• La page https://www.inserm.fr/inscription-confirmee/ témoigne que les robots on cliqué le mail : ils ont validé le double opt-in
• C'est bien des adresses gmail légitimes qui écrivent : c'est de vrais compte gmails de spam

A confirmer :

• Dans Brevo, les adresses de spam suivent un pattern : elles cliquent tous les liens du mail et pas juste celui de confirmation
• Par contre, il y a un décalage temporel entre l'ajout dans Brevo, le moment où le mail est ouvert, et celui où il est cliqué