Il est bon parfois de faire comme si l’on était absent, de prétendre ne pas avoir entendu, ou d'ignorer ce qui vient de vous être envoyé, soit parce que vous n'êtes pas d'humeur à interagir, que vous n'avez pas envie de parler, ou encore, parce que vous n'avez tout simplement pas envie de répondre. En ce qui concerne les courriels, cependant, votre client de messagerie pourrait vous trahir, à votre insu.
L'année dernière, le Centre des opérations de sécurité du CERN a repéré 27 appareils connectés au réseau de l'Organisation, qui étaient en contact avec des « domaines de suivi » utilisés à des fins de surveillance et associés à des services de renseignement nationaux. Un scientifique du CERN utilisait une extension Google Chrome suspecte (installée à partir de la boutique en ligne officielle de Google Chrome) pour tracer ses courriels, et a envoyé plusieurs messages légitimes à de nombreuses personnes et listes de diffusion. Mais l'extension Google Chrome suspecte avait ajouté à son insu un code HTML malveillant à chacun des courriels qu’il avait envoyés via Gmail. Résultat : les destinataires de ces courriels qui n'avaient pas désactivé la fonction « téléchargement de contenu à distance » dans leur client de messagerie ont visité sans le savoir les domaines de suivi malveillants (voir notre rapport mensuel à ce sujet (en anglais)). Et c'est justement cette fonction qui, si elle est activée, révèle à l'expéditeur du courriel que vous avez bien ouvert son message, et que vous l’avez probablement lu également.
Si la fonction « téléchargement de contenu à distance » est activée dans votre client de messagerie, elle téléchargera automatiquement, à partir d'une page web distante, les images, photos, ou contenus similaires intégrés dès que vous ouvrez un courriel avec du contenu fourni à distance. Si vous aimez les textes agrémentés de nombreuses images, vous apprécierez, ou pas, car cela signifie également que le site à distance saura à quel moment vous avez ouvert, consulté et lu le courriel.
Habituellement, ce sont les spams, mais aussi des campagnes publicitaires légitimes par courriel (celles auxquelles vous avez souscrit), qui utilisent cette fonction pour mieux surveiller et comprendre votre comportement, notamment, si vous avez lu leur courriel et à quel moment. Des particuliers peuvent aussi utiliser cette fonction pour savoir rapidement si vous avez lu leur message, même si vous n'y répondez pas (en utilisant notamment l'extension Chrome mentionnée plus haut). Je vous laisse imaginer les disputes que cela peut entraîner entre l’expéditeur du courriel et son destinataire.
Par conséquent, afin de mieux protéger votre vie privée, nous vous suggérons de désactiver la fonction « chargement de contenu à distance » de votre client de messagerie préféré qui, malheureusement, ne le fait pas par défaut. Alors si vous tenez à votre vie privée, nous vous recommandons de consulter les sites web suivants : Kopano, Outlook, Thunderbird, MacOS Mail, app iOS Mail, Gmail. Et tant que vous y êtes, veillez également à désactiver l'envoi automatique de la « confirmation de lecture ».
______
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais uniquement). Si vous désirez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.