Pixels espions, les mails espionnent autant que les cookies

2021-08-25 Off By dporgpd

Minuscules et souvent transparents, ces pixels invisibles récupèrent les informations personnelles des internautes qui ouvrent le mail qui les contient. Le tout, sans s’embarrasser de consentement.

Comme chaque journée de match, pour peu que vous disposiez d’un compte, il y a de fortes chance pour que vous ayez reçu un mail promotionnel de la part d’Uber eats à l’occasion de la finale de l’Euro.

Si vous l’avez ouvert, vous ne l’avez sans doute pas remarqué. Mais lui ne vous a pas loupé et a récolté une multitude d’informations sur vous.

Comme beaucoup de mails de ce genre – et de nombreux autres –, il comporte un pixel espion. Un mouchard bien moins connu que les cookies et pourtant très utilisé. Une enquête de la messagerie Hey, relayée au début de l’année par la BBC, estimait qu’environ deux courriels sur trois traçaient ainsi leurs destinataires à l’aide de pixels espions invisibles.

Concrètement, ces pixels espions sont appelés ainsi en raison de leur taille. Il s’agit souvent d’une image contenue dans un email et qui se charge comme n’importe quelle image lorsque ce dernier est ouvert. Mais si cette image se montre si discrète, c’est grâce à sa taille. Elle mesure en effet rarement plus d’un pixel sur un pixel, ce qui la rend virtuellement impossible à déceler sur un écran moderne. Pour gagner encore en discrétion, ces images sont la plupart du temps transparentes.

En ouvrant un mail contenant un de ces pixels invisibles, on est susceptible d’envoyer des informations. Dès que ce pixel caché est affiché à l’écran, «un message est envoyé sur un serveur qui saura donc que vous avez lu l’email, à partir de quelle adresse mail, à quel moment et via quelle adresse IP, ce qui permet d’inférer votre localisation, met en garde Soufian Parisi, ingénieur informatique chez Dataproof. L’organisme qui envoie l’email pourrait ainsi par exemple savoir combien de personnes ont ouvert l’email, à quelle heure, depuis quel endroit ». Les personnes à l’origine du mail peuvent aussi en apprendre énormément sur la machine utilisée, son navigateur préféré, etc.

Une méthode sournoise

Bref, ces pixels constituent un outil remarquablement efficace pour les services marketing à l’origine du mail ou pour mieux connaître les taux d’ouverture de newsletters par exemple, ou le taux de clics sur tel ou tel produit. Com- binés aux cookies traditionnels, ils laissent peu de blancs quant à vos habitudes en ligne.

Dans le premier cas, les sites ont le bon goût d’afficher une boîte de dialogue plus ou moins claire qui annonce que des cookies sont installés sur l’appareil. Normal puisque le règlement général sur la protection des données (RGPD) les oblige à récolter l’autorisation expresse de l’internaute avant d’installer ces cookies. Mais dans le cas des pixels cachés, la méthode est plus sournoise puisqu’aucune autorisation n’est donnée.

« Le principal risque est donc que l’organisme qui vous envoie un email de la sorte peut donc récolter des informations à votre insu. Or, la personne visée par l’email doit donner son consentement pour le placement de traceur non fonctionnel sur son terminal. Ce consentement pour être valable doit répondre à toute une série de conditions, il doit notamment être informé. Il est évidemment difficile de consentir de manière informée à un traceur placé de manière cachée ».

Difficile de parler de consentement éclairé ou sans ambiguïté lorsque le mail en question ne mentionne pas le traite- ment de ces données.

Tous les clients de mails n’offrent pas la même protection contre ces pixels. Tous permettent de stopper le téléchargement automatique de photos lors du chargement du mail. Mais on n’a pas toujours le choix. Parfois un mail se lit mieux avec des images. Les solutions plus structurelles qui permettraient de télécharger les images tout en restant anonyme. Ainsi, en juin dernier, lors de sa keynote de la WWDC21, Apple a annoncé que lors des prochaines mises à jour iOS et mac OS, son application «mail» permettrait de charger les images sur ses propres serveurs tout en anonymisant l’adresse IP.

En attendant, c’est sans doute l’occasion de faire un peu de ménage dans sa boîte de réception et de faire le tri dans la masse de mails qui les inondent quotidiennement.

Comment se prémunir des pixels espions

Utiliser un VPN permet d’anonymiser son adresse IP lorsque l’on se connecte à internet. Ainsi, on peut limiter très fortement les informations captées par les personnes qui envoient le mail. Le souci, c’est que les VPN gratuits sont eux- mêmes rarement très respectueux des données de leurs utilisateurs et il leur arrive de monnayer les données récoltées. D’autres utilitaires peuvent se montrer aussi utiles. On citera par exemple le logiciel WARP de la société Cloudflare, spécialisée dans la lutte contre les attaques. Le logiciel agit comme un VPN et modifie donc l’adresse IP de son appareil. En bonus, il utilise un protocole qui permet un chargement des pages web plus rapide. Si on ne fait pas confiance à ce genre de logiciel, on peut opter pour des addons comme ugly email, une extension chrome et Firefox qui permet de marquer les mails qui utilisent des pixels espions. Reste à ne pas les autoriser à charger d’image