Sur Wired (@wired), Brian Merchant (@bcmerchant), l’auteur de L’appareil unique, l’histoire secrète de l’iPhone, revient en détail sur le développement du pistage de nos e-mails. Pour son enquête, il a utilisé Streak, un outil qui s’interface avec sa messagerie et qui permet à tout utilisateur de savoir si ses correspondants ont ouvert leurs e-mails. 40 % des e-mails envoyés seraient pistés, selon une étude faite par une entreprise qui propose des outils pour s’en protéger, One More Company, la société qui est derrière Senders et evercontact.

La technologie utilisée est très simple, elle consiste à insérer du code dans chaque e-mail ou une image invisible d’un pixel par un pixel, qui sera téléchargée dès que le destinataire ouvrira l’e-mail qui lui est adressé. Ce qui permet à l’expéditeur en retour de connaître à quel moment le mail a été lu, sur quel appareil, depuis quelle adresse IP et donc depuis quelle localisation. Autant d’informations qui permettent de savoir si une adresse e-mail est bien utilisée par le destinataire par exemple. Les services marketing utilisent cette technique depuis très longtemps pour connaître le taux d’ouverture de leurs courriers promotionnels. Mais, ils ne sont pas les seuls…

De plus en plus, souligne Merchant, le suivi d’email, comme on l’appelle poliment, n’est plus l’apanage des grandes entreprises. Des particuliers l’utilisent pour surveiller leurs collègues, leurs concurrents, leurs proches. Pour Florian Seroussi, le fondateur de One More Company, 19 % de tous les e-mails conversationnels (c’est-à-dire envoyés par nos relations directes) seraient désormais tracés, soit un e-mail sur 5. Comme le soulignent (.pdf) les chercheurs de Princeton, Steven Englehardt, Jeffrey Han et Arvind Narayanan du Centre pour la politique des technologies de l’information qui pilote un observatoire sur la collecte des données, aucun d’entre nous n’a jamais consenti à ce pistage. Ca n’empêche pas le pistage de se développer, non pas seulement pour valider les e-mails des destinataires ou suivre le taux d’ouverture, mais plus encore pour revendre des informations aux principaux exploiteurs de données que sont Acxiom et ses concurrents.

Pour Florian Seroussi, c’est le développement des liens sponsorisés dans Gmail qui a sonné comme un signal pour prendre d’assaut les boites mails des utilisateurs. Pour Andrei Afloarei, chercheur à Bitdefender, c’est plutôt le développement du spam qui a développé ces techniques, notamment pour pouvoir vendre des listes de mails validés. Aujourd’hui, ce sont les géants de l’internet qui utilisent le plus ces techniques, comme Amazon, Facebook ou Mailchimp. « Lorsque Facebook vous envoie un e-mail vous informant d’une nouvelle activité sur votre compte, il s’informe du lieu où vous êtes, de l’appareil que vous utilisez ou de la dernière photo que vous avez prise – il capte tout ».

Quand il travaillait sur son livre sur l’iPhone, Brian Merchant a installé Streak pour voir si les e-mails qu’il envoyait à des gens d’Apple sans obtenir de réponses étaient lus. Il pouvait même constater qu’ils étaient ouverts plusieurs fois, sur des machines différentes, et donc qu’ils étaient diffusés à l’intérieur d’Apple. Il a même envoyé un mail à Tim Cook, le PDG d’Apple qui a été lu immédiatement, sur une machine Windows (ce qui ne signifie pas que Cook ait nécessairement un ordinateur Windows, peut-être qu’il sous-traite sa correspondance privée à une firme dédiée).

Reste que tout un chacun peut apprendre par exemple où se trouve son correspondant via ces méthodes. En envoyant un message aux candidats aux élections américaines de 2016, il était ainsi possible de connaître les appareils qu’ils utilisaient, leur adresse IP et donc là où ils se trouvaient… On peut aussi déduire l’emploi du temps de quelqu’un selon l’heure où il ouvre ses e-mails. D’ailleurs Brian Merchant a aussi utilisé Streak pour suivre des proches… sans en tirer grande fierté.

Les chercheurs de Princeton soulignent enfin que le pistage de nos e-mails évolue. Ils ont étudié plus de 14 000 newsletters et mailing-list des sites et services les plus populaires du web pour montrer que 85 % contenaient des traceurs et que 30 % récupèrent nos adresses e-mails pour la revendre ou la diffuser ailleurs. Cela signifie que si vous souscrivez à une lettre d’information, même connue, il y a une chance sur 3 que le service marketing partage votre adresse avec des services tiers comme les data brokers, notamment si vous l’ouvrez ou si vous cliquez sur un des liens qui vous sont proposés qui disposent d’identifiants uniques pour savoir qui a cliqué.

Les outils de suivi de mails se démocratisent. Les protections aussi. Ugly Mail, PixelBlock, Senders… permettent d’identifier les courriels qui contiennent une image invisible voire d’empêcher de les ouvrir… et également d’identifier vos amis qui utilisent ces services. L’autre solution consiste à bloquer par défaut toute image dans votre messagerie. Radical, mais efficace. Sauf que les méthodes évoluent. Les systèmes peuvent aussi appeler des couleurs ou des polices de caractères spécifiques… ou des liens. Tout est bon pour vous tracer !

Pour John-Henry Scherck, consultant en marketing, il suffirait pourtant que Gmail décide d’informer un peu mieux les utilisateurs en mettant en lumière ces pratiques pour peut-être aider à prendre conscience du problème. Reste que, à moins que les fournisseurs de services décident où soient obligés de bloquer le pistage, le risque le plus probable est que celui se généralise totalement.