Pages Menu
TwitterRssFacebook
Categories Menu

Posted by on 19, Déc 2014 in A la une, Autour du mail, Mobilité, Sécurité | 1 comment

Est-ce que les applis mobiles respectent vraiment ma vie privée ?

Est-ce que les applis mobiles respectent vraiment ma vie privée ?

Que ce soit sur l’App Store ou Google Play, les applis mobiles  pour consulter votre boîte mail prospèrent. Mais que font-elles vraiment ? Respectent-elles notre vie privée ? Peut-on leur faire confiance ?

Etat des lieux

Votre messagerie, selon qu’elle soit personnelle ou professionnelle, contient une partie de votre vie.
Dans le cas d’une messagerie personnelle, elle « n’est que » privée… vos échanges avec vos amis, votre famille, quelques notions de vos goûts et de vos achats sur Internet.
Avec ces informations, une entreprise peut déjà en savoir pas mal sur vous, pas forcément en tant qu’individu, mais plus en tant que cible marketing, et c’est déjà pas mal.

Avec une messagerie professionnelle, c’est autre chose. Vos échanges internes, vos clients, vos prospects, votre stratégie.
Dit autrement, selon votre poste et vos responsabilités, votre messagerie contient une partie de vos secrets professionnels, et c’est énorme.

À quel moment saisissez-vous vos identifiants de messagerie ?
Lorsque vous configurez votre PC ou votre smartphone.
Bien évidemment, les logiciels tels que Outlook, Thunderbird, Mail sous Mac OS ou le client mail par défaut de votre smartphone, sont tout à fait fiables (ne rentrons pas dans la polémique ici). De plus, à partir du moment vous choisissez les protocoles sécurisés (par défaut en général) vous ne prenez pas (trop) de risques.

Cependant, vous serez peut-être tentés d’installer une autre appli sur votre smartphone. C’est sur ce dernier point que je voudrais attirer votre attention.

Installer une appli mobile, c’est simple, trop simple. 2 ou 3 tapotages suffisent.
On s’imagine qu’elles sont justes « mieux faites » que les applis par défaut. « Pareil mais en mieux », plus jolies, plus simples, vous promettant un tri automatique de l’INBOX un swype super-cool, alors vous foncez. Mais qu’en est-il vraiment ?

Dans le détail

Cet article complète l’analyse technique de deux d’entre elles que j’ai réalisé pour le site labs.alinto.com.

J’ai connu l’appli myMail par le bouche-à-oreille, et à voir les notes qu’ont ces applications, aucune méfiance à avoir. Elles sont très largement appréciées et très largement recommandées.

Je n’ai pas parcouru les milliers de commentaires, mais les premières pages sont quasiment toutes élogieuses.

Je démontre techniquement dans cet article, comment certaines apps telles que myMailCloudMagic ont toutes les clés en main pour faire ce qu’elles veulent de votre boîte mail.

Je reviendrais plus tard sur ces aspects techniques, mais la conclusion de cet article est que, lorsque vous entrez votre adresse e-mail et votre mot de passe dans l’une de ces applis, ces informations se retrouvent sur des serveurs en Russie (pour myMail) ou dans le cloud d’Amazon (pour CloudMagic). Vous le saviez ?

Cela ne veut pas dire que qu’ils s’en servent, mais donneriez-vous vos identifiants et votre mot de passe personnel ou professionnel si vous le saviez ?

Maintenant que j’ai attiré votre attention, vous avez une idée de ce qu’elles peuvent faire ?

Une boîte mail, on l’a vu, c’est une partie de votre vie. Si pour eux, vous n’êtes qu’une cible marketing, après tout, Facebook ou Google vous ont déjà habitué à cela non ?

Mais ils ont également la possibilité de vous envoyer des mails, en outrepassant votre antispam. Eh oui, grâce à l’IMAP ou l’Active Sync on peut déposer un mail directement dans votre INBOX, Cool non ?

Je dis qu’il fallait y penser… on ne va pas se mentir, c’est malin 😉

Pour en rajouter, comme ci ces informations ne suffisaient pas, l’appli mobile récupère le reste de vos informations grâce aux autorisations, vous savez, celles que très peu de gens lisent en se disant, s’ils demandent ça, c’est qu’ils en ont besoin…

Ces autorisations, ne sont que quelques détails tels que :

  • votre n° de téléphone,
  • vos autres comptes
  • vos contacts
  • vos identifiants pour les réseaux sociaux (si si, cf. les copies d’écrans de l’article)
  • et puisqu’ils ont accès à vos mails, ils ont également accès à toute votre correspondance, donc les mails et les adresses e-mails de tous vos correspondants…

Et si par le plus grand des hasards, vous avez mis un compte professionnel, pour peu que vous utilisiez une boîte Microsoft Exchange ou compatible, grâce à l’Active Sync, ils auront également accès à  :

  • votre annuaire d’entreprise (sisi, le grand annuaire !), votre agenda, vos notes, etc.

Que de simples détails… n’est-ce pas ?

Techniquement

Dans les grandes lignes, voici ce que démontre l’article :

Lecteur de ce blog, vous avez peut-être des notions sur l’e-mail plus avancées que la moyenne des utilisateurs. Pour relever une boîte mail distante, un client de messagerie (mobile) utilise l’un des protocoles suivants : IMAP, POP3 ou Active Sync. En tout cas, c’est ce qui est proposé par défaut sur le client de votre iPhone ou votre Android.

Grâce à ces protocoles, le client de messagerie de votre mobile, communique directement avec votre serveur de messagerie, sans serveur « tiers ».

Ces deux apps, quant à elles, communiquent avec des serveurs intermédiaires.

L’application envoie des requêtes HTTPS vers leurs serveurs, ceux-ci, se connectent en IMAP, en Active Sync, stockent les informations dans ce cloud, puis renvoi les données vers l’App.

Cela veut dire, que votre login et votre mot de passe est forcément stocké sur ces serveurs, et de plus, même une fois l’application désinstallée, les accès sur le serveur de messagerie continuent.

En d’autres termes, une fois installée, et vos identifiants laissés, il est trop tard. Vos e-mails ont été aspirés et continueront de l’être, sauf si vous changez votre mot de passe.

Conclusion

J’en vois certains d’entre-vous commencer à avoir peur… Je pense que vous avez raison.
Je crois aussi savoir que certaines personnes, comme moi, craignent la grandeur d’un Google ou d’un Microsoft, notamment avec les affaires d’écoutes, mais que peuvent faire les Russes de toutes ces informations ?
Je vous laisse l’imaginer, j’espère sincèrement que vous n’avez pas installé l’une de ces apps, mais si c’était le cas, la moindre des choses à faire après la désinstallation, est au moins de changer de mot de passe.

Et si vous devez réfléchir à 2 fois la prochaine fois que vous saisissez vos identifiants de messageries, ou que ce soit à cause de moi et de cet article, j’en serais ravi !

Sources : Labs.alinto.com, image

1 Comment

  1. IL FAUDRAIT ETRE NAIF QUE PENSER QUE LES APPLICATIONS MOBILES RESPECTENT VOTRE VIE PRIVE.Déjà elles sont gratuites.Elles cherchent d’abord à rentabiliser leur investissement.

Post a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *