~/welcome
About Posts Podcasts Tags Catégories
  ~/welcome

Le désastre des liens dans les emails

Emilien GUILMINEAU  included in  category Dev Life
     1389 words  7 minutes 

Aujourd’hui, petit coup de gueule 📢

Je vais vous faire part d’un retour d’expérience utilisateur (ET C’EST MOI L’UTILISATEUR) sur une technique qui semble intelligente en apparence, mais qui peut s’avérer totalement contre-productive si elle est mal exploitée.

Et cette technique n’a rien de révolutionnaire, bien au contraire puisqu’elle se base sur un des plus anciens composants du Web : les liens hypertextes !

Mais WTF?

Et là je vous vois déjà faire une drôle de tête, mais pas d’inquiétudes, vous allez vite comprendre où je veux en venir. Vous êtes prêt ?
C’est parti !

Comme probablement beaucoup de personnes parmi vous, je suis abonné aux newsletters de certaines entreprises et certaines associations, ainsi qu’à certaines plateformes de meetup.

Parmi ceux-ci, certains envoient périodiquement des invitations à des événements en ligne qu’ils organisent, afin de faire la promotion de leurs produits (pour les entreprises) ou de présenter des sessions sur des problématiques ou méthodes de travail (pour les associations et les meetups).

Bref, rien d’extraordinaire, me direz-vous, et vous avez raison.

Et bien, il m’arrive parfois de recevoir coup sur coup 2 emails pour ces présentations, une pour l’invitation, et une pour la confirmation d’inscription. Et l’horodatage de réception de ces 2 emails est espacé d’à peine 1 à 2 secondes (au maximum).
Je me retrouve donc à être invité à un événement et à avoir confirmé ma présence à cet événement.
Mais vous vous en doutez, si je vous en parle aujourd’hui, c’est que je n’ai jamais rien fait pour confirmer ma présence à cet événement 😅

C’est quand même stupide de n’avoir rien demandé à personne et ne pas être au courant du sujet contenu dans un email, mais d’être inscrit d’office à ces événements sans avoir son mot à dire (le principe du « désigné volontaire » en somme).

De prime abord, j’ai pensé qu’il s’agissait là de campagnes marketing foireuses, qui vous forcent la main pour participer aux webinaires, afin d’être sûres d’avoir de l’audience. Puis j’ai eu le même problème avec des associations et des meetup qui, eux, n’ont pas ces objectifs de rentabilité. Donc je me suis douté qu’il y avait autre chose.

Le principe de fonctionnement pour l’inscription à ces événements est simple :

  1. On vous met un lien dans l’email, sur lequel vous devez cliquer pour vous inscrire à l’événement
    • Ce lien vous redirige vers le site chargé d’enregistrer les inscriptions
    • Il contient un code unique qui vous est propre, et qui permet au site de vous identifier
  2. Vous cliquez sur le lien :
    • Vous êtes redirigé vers le site
    • Il vous reconnaît grâce au code unique qui sert à vous identifier
    • Il vous inscrit automatiquement à l’événement
    • Il vous affiche la page vous remerciant d’avoir accepté l’invitation
    • Il vous transmet un email dans la foulée pour vous confirmer votre inscription

Ainsi, il suffit d’un lien pour que l’utilisateur soit automatiquement inscrit à l’événement, pratique n’est-ce pas !

Et comme les liens sont propres à chaque personne ciblée par la campagne d’emailing, il ne peut pas y avoir d’erreurs sur les inscriptions. Une personne inscrite a forcément cliqué sur son lien.

Or, pour rappel, je n’ai physiquement pas le temps de cliquer sur le lien, et encore moins de lire l’email. Il y a 1 à 2 secondes maximum entre la réception de l’invitation et sa confirmation. Je sais que je suis rapide, mais pas à ce point-là !

En réalité, il y a un détail que j’ai volontairement omis dans ma présentation :

Cela m’arrive uniquement sur ma boite email professionnelle, qui utilise un compte Office 365.

Et bien Office 365 dispose de services de sécurité complémentaires à l’antispam et l’anti-malware que bon nombre de fournisseurs du même genre proposent.

Et parmi ces mécanismes de sécurité, il existe Safe Links.

Dans le but de protéger les utilisateurs, Safe Link scanne les URLs reçus dans les emails, pour s’assurer de leur non-dangerosité.

Or, pour effectuer ce scan, plusieurs techniques sont possibles : Contrôle de l’IP cible, white-list des services de confiance, et contact de l’URL cible.
C’est ce dernier, qui pose problème dans notre cas.

En effet :

  • Office 365 va récupérer le lien dans l’email,
  • Il va effectuer un appel HTTP GET sur celui-ci,
  • Le serveur distant va alors penser que l’utilisateur l’a contacté,
  • Il va valider automatiquement la présence du contact à l’événement,
  • Et renvoyer la page HTML de confirmation d’inscription, qui sera considérée comme sûre par Safe Links.

… et la suite vous la connaissez : je me retrouve à être inscrit à des webinaires sans savoir pourquoi !

En dehors de poser problème aux utilisateurs finaux, qui se retrouvent inscrits sans le souhaiter à des événements, cette approche peut poser plusieurs problèmes business majeurs.

Avoir 200 inscrits à un événement en moins de 10 s ne signifie pas que le sujet plaît. Les chiffres de participations peuvent alors être trompeurs et amener les décideurs à effectuer de mauvais choix s’ils se basent sur ces indications de présence.

Si pour votre webinaire vous ne pouvez accepter que 30 personnes, et que ces 30 places sont prises en moins de 10 s, vous allez alors créer de la frustration auprès des personnes qui seraient susceptibles d’être réellement intéressées par votre événement.

Sur le long terme, vous risquez de perdre des leads, et donc altérer votre chiffre d’affaires et votre rentabilité.

Certains sites proposent ce qu’on appelle de la Passwordless Authentication (authentification sans mot de passe), via des Magic Link envoyés par email.

Le principe est simple :

  • Vous saisissez uniquement votre adresse email dans le formulaire de connexion et validez le formulaire
  • Vous êtes redirigé vers une page qui vous indique que vous aller recevoir un email avec votre Magic Link
  • Dès lors, il y a 2 possibilités :
    • Vous n’êtes pas connu du système : vous ne recevrez rien dans votre boite email
    • Vous êtes connu du système : vous recevez un email avec un lien à usage unique qui vous permettra d’être automatiquement authentifié sur le site

Dès lors, pas besoin de mot de passe pour s’authentifier. Bonne idée donc ! Sauf que…

Avec un lien à usage unique, lors que vous ouvrez l’email et que vous cliquez dessus, le système ne vous authentifie pas. Logique, vu que ce lien a déjà été utilisé par l’outil de sécurité (-‸ლ)

La solution est simple :

Chaque lien ne doit pas être considéré comme une action finale, mais comme un vecteur de confirmation

En d’autres termes :

  • Pour les inscriptions aux événements : faite en sorte que l’utilisateur arrive sur une page, où il aura une action à réaliser pour valider sa présence, comme un bouton « Je m’inscris »
  • Pour les désabonnements aux newsletters : faite en sorte que l’utilisateur arrive sur une page, où il aura une action à réaliser pour valider son désabonnement, comme un bouton « Je me désinscris »
  • Pour la Passwordless Authentication : juste, arrêtez ! Et utiliser un mécanisme OTP pour envoyer un code à vos utilisateurs, qu’ils devront recopier lors d’une seconde étape sur le formulaire de connexion.

En résumé : Demander une confirmation manuelle à vos utilisateurs pour vous assurer qu’ils comptent bien effectuer cette action.

Nous avons une chance en tant qu’ingénieurs logiciels, nous avons le pouvoir de faciliter la vie de nos utilisateurs à de nombreux moments dans leur usage de l’outil numérique. Cependant…

Un grand pouvoir implique de grandes responsabilités — Benjamin Franklin Parker

Je suis tout à fait conscient que supprimer un lien ou une action utilisateur peut permettre d’aller plus vite.

Mais si cette recherche de vitesse, de maximisation de l’efficience, n’est pas mesurée, et si on ne prend pas de recul par rapport au contexte d’exécution de cette dernière, nous autres, ingénieurs logiciels, pouvons rapidement devenir ceux qui ralentissent les utilisateurs, voire pire, ceux qui les bloquent !

Je terminerai cet article sur cette expression populaire qui résume relativement bien mon retour d’expérience concernant l’usage des liens hypertexte que je vous ai décrit :

L’enfer est pavé de bonnes intentions

Merci pour votre lecture, j’espère que ce retour d’expérience vous aura plu.

À bientôt !

Updated on 2023-01-29
 UXEmailRedirectionREX
Back | Home