Nous utilisons des cookies pour améliorer votre expérience.

MacBidouille

News du mercredi 16 octobre

[Mise à jour] MailBird : un nouveau client email pour Mac?

[MàJ par Philippe]

J'ai procédé à deux demandes d'effacement de données, une en Anglais sur un compte email, l'autre sur un second compte email et en Français.
J'ai dans les deux cas reçu une réponse sous les 24h, ce que je trouve excellent.

En revanche dans les deux cas ils n'ont pas pu retrouver mes données et donc les effacer, car si leurs Pixel Tag de tracking contiennent les deux adresses emails, leurs équipes ne peuvent les retrouver ni les effacer. Voir ce jugement de 2017en Allemagne sur le sujet. Pas glop!

Et pire, la réponse reçue a ma demande en Français a été traduite par DeepL.com version gratuite, dont voici l'exemplaire page concernant la protection de la vie privée (en Anglais), qui stipule que l'on ne doit pas utiliser la version gratuite pour traduire des textes contenant des informations personnelles quelles qu'elles soient. Un gros faux pas, là encore.

[Article original]

Les plus attentif auront remarqué que cette News est dans la catégorie "sécurité"...

On m'a proposé de tester le client email MailBird, qui existe pour PC Windows et qui va sortir ce lundi dans une version pour Mac, et j'en sais gré.
Je résume le test: rien de probant et les fonctions IA que j'espérais je ne les ai pas rencontré.

Mais j'ai rencontré bien plus troublant:

Un tracker par défaut dans chaque email envoyé

Ils le mettent maintenant sur leur site Web, comme une qualité.
J'ai été franchement surpris car c'est à cause des abus de ces trackers, sous forme d'un pixel, que maintenant quasi tous les clients emails ne chargent plus les contenus par défaut!

Beaucoup de correspondants se feront avoir.
D'autres, comme moi, filtreront le domaine tracking.getmailbird.com via leur /etc/hosts ou Pi Hole.

Mais ça va plus loin...

Ce tracker contient quatre (4) PII au sens du GDPR/RGPD

Évidemment quand le tracker est créé, MailBird dialogue avec magicalmailapp.com, en fait il dialogue énormément avec sans qu'on puisse savoir la teneur des échanges, il y a probablement un CA Racine fixé (Root CA Pinning), ce qui est une bonne pratique de sécurité!

Mais ce tracker contient l'adresse email utilisé par l'émetteur et pire celle du destinataire.

Lorsque le destinataire clique sur le bouton lui permettant de télécharger le contenu distant, dans de nombreux cas son adresse IP sera transmise, et évidemment il transmettra les informations du tracker dont sa propre adresse email.

Ces adresses email sont hashés (sha-256), mais ça ne les sécurise en rien ni ne les anonymise, voir ce jugement de 2017 en Allemagne (en Anglais), il y a des listes d'adresses email partout, et il faut quelques secondes à une GPU pour en parcourir toute la liste, elles peuvent aussi être stockées toutes sur un SSD et alors chacune retrouvée en moins d'une milliseconde!

https://tracking.getmailbird.com/OpenTrackingPixel/?messageId=3DMai=
[email protected]&senderHash=3D8FD5=
EBBC526D22A3E1B82E10989B52C60C09C8CC22576900A77522A2E670AAC0&recipient=
Hash=3DDBDD2C42C46E6E8A27A0AE559E9811B005AF243CD8E88DDDB91A1FB8BEA389E7&am=
p;internalId=3D1758b2aa-3644-4191-be7c-9ec4cf6268b9" =
alt=3D"596e0277-d575-4421-b049-089697c87689

Pourquoi s'arrêter en si bon chemin?

La déclaration de confidentialité sur le site Web n'en fait pas mention

La page (en Anglais) concernant la Politique de confidentialité ne mentionne pas ces adresses IP ni ces adresses emails ni la capture de ces informations lors de l'activation (par l'émetteur) ou de l'utilisation (par le destinataire) de ces trackers.

"2. COLLECTING YOUR PERSONAL DATA We collect information about you in the following ways: Information You Give Us. This includes:

  • the personal data you provide when you register to use our Services, including your‎ name, postal code, email address, telephone number;
  • the personal data that may be contained in any video, comment or other submission you upload or post to the Services;
  • the personal data you provide in connection with our rewards program and other promotions we run on the Services;
  • the personal data you provide when you report a problem with our Services or when we provide you with customer support;
  • the personal data you provide when you make a purchase thorough our Services; and
  • the personal data you provide when you correspond with us by phone, email or otherwise."

Au contraire, il est précisé "The information we collect using pixel tags is not linked to our users’ personal data" quand les pixels tags contenus dans les emails comportent déjà deux adresse emails et leur cycle d'usage envoie les 2 adresses IP publiques, celle de l'émetteur et celle du destinataire.

Pour le GDPR/RGPD le support est minimaliste et caché dans cette même page illisible...
Les options d'accès à l'information, de modification ou d'effacement ne sont pas proposées dans le formulaire (toujours en Anglais, même pas de lien /fr/).

Conclusion

Les faits sont graves, j'ai donc capturé et fait capturer les pages sus-mentionnées.
Je ne peux que déconseiller l'usage de MailBird, qui ne m'a rien apporté, sauf la certitude que l'adage "quand c'est gratuit c'est toi le produit" est souvent approprié!

Les PII d'une personne ne peuvent être transmises et stockées qu'avec son accord explicite et informé, ce qui n'est évidemment pas le cas du récipiendaire d'un email qui cliquerait sur "Charger les contenus distants". Il ne pourra pas plus faire enlever ses PII (adresses email et IP)

Pas plus que l'émetteur d'un message s'attendrait à ce que le créateur de son client email reçoive l'information sur l'adresse email qu'il a utilisé ni à qui il a écrit, contrairement évidemment aux deux fournisseurs d'adresse email.

Addenda: lisez cette pièce en Anglais. C'est mensonger.

Sondage

Etes-vous tenté par le nouveau Mac mini M4 ?