La simple ouverture d'un email - bénin ou malveillant - peut divulguer une quantité surprenante de données sur le destinataire : le moment où l’email a été ouvert, l'appareil utilisé et les données de localisation.
Cliquer sur un lien redirigé peut en révéler encore plus. La technologie de suivi des emails étant de plus en plus répandue, elle peut être utilisée à mauvais escient, ce qui compromet la vie privée des personnes et met des informations sensibles entre les mains de cybercriminels.
Un article récent de l'Electronic Frontier Foundation (EFF) appelle les organisations à être plus prudentes et plus soucieuses de la sécurité dans la manière dont elles recueillent et conservent les informations par le biais du suivi des emails, et propose des conseils pour protéger les utilisateurs finaux.
Techniques courantes d’email tracking (suivi des emails)
Le suivi des emails est depuis longtemps un outil utile et légitime, mais il est aujourd'hui utilisé à mauvais escient par les spammeurs, les hameçonneurs et les simples curieux.
Les logiciels de suivi gratuits et faciles d’utilisation peuvent également contribuer à cette collecte généralisée de données.
Les outils et méthodes de suivi sont nombreux et en constante évolution, mais les types les plus courants sont les pixels de suivi (également connus sous le nom de balises web) et le suivi des liens. Un pixel de suivi est une image pratiquement invisible de 1x1 pixel qui se télécharge depuis le web lorsqu'un email HTML est ouvert : les détails de ce téléchargement (heure, adresse IP, etc.) sont ensuite recueillis par le logiciel de suivi des emails.
Le suivi des liens, également appelé "link shimming", est "la pratique consistant à obscurcir les URL dans les emails à des fins de suivi", selon l'EFF.
Un code supplémentaire est ajouté au début et à la fin de l’adresse web que l'utilisateur veut atteindre, redirigeant le lien vers une autre URL et recueillant des données contextuelles supplémentaires.
Problèmes de sécurité et de confidentialité posés par l’email tracking
De nombreuses organisations utilisent le suivi des emails de manière responsable et sécurisée, dans l'intérêt de l'expéditeur et du destinataire.
Mais comme toute technologie, le suivi peut être utilisé à mauvais escient, voire avec des intentions malveillantes.
"Selon l'article de l'EFF, le mauvais suivi des emails est omniprésent, secret, envahissant et fuyant. Il peut exposer des informations sensibles à des tiers et parfois même à d'autres personnes de votre réseau". Les chercheurs de l'EFF ont constaté qu'une grande partie des données recueillies par les pixels et les liens de suivi est transmise par HTTP non sécurisé et non crypté (c'est-à-dire pas HTTPS), ce qui expose les informations personnelles aux attaquants.
Plus inquiétant encore, les spammeurs et les criminels utilisant le phishing peuvent utiliser le suivi pour vérifier qu'une adresse électronique est active et pour identifier les personnes sensibles.
Malheureusement, un grand nombre d'adultes actifs dans le monde n'ont toujours pas conscience des problèmes fondamentaux de cybersécurité tels que le phishing, les ransomwares et les malwares, comme nous l'avons constaté dans notre rapport 2018 sur les risques pour les utilisateurs, et le suivi pourrait aider à révéler ces vulnérabilités.
Un article de Wired suggère qu'un nombre croissant d'emails suivis sont envoyés par des individus : des amis et conjoints aux partenaires commerciaux et concurrents. En tant qu'individu, voulez-vous vraiment que ces personnes sachent quand - et potentiellement où - vous consultez votre courrier électronique ?
Au niveau de l'entreprise, il y a aussi le risque de révéler les allées et venues et les habitudes de travail d'un employé - par exemple, en divulguant accidentellement à un concurrent des informations sur une réunion confidentielle. Les escrocs et autres cybercriminels peuvent également utiliser l'emploi du temps et la localisation d'une personne pour créer des attaques ciblées comme le spear phishing.
De plus, une grande partie de ce suivi est subreptice : Wired note que "des milliards d'emails sont envoyés chaque jour à des millions de personnes qui n'ont jamais consenti de quelque manière que ce soit à être suivies, mais qui le sont néanmoins".
Pour en savoir plus sur la sensibilisation des utilisateurs finaux à la sécurité, téléchargez votre exemplaire du rapport.
Conseils pour protéger la vie privée des utilisateurs finaux
Les risques liés au suivi des emails malveillants et mal sécurisés peuvent être atténués par une formation de sensibilisation à la sécurité sur les bonnes pratiques d'hygiène des emails, ainsi que par des outils logiciels.
Envisagez d'enseigner à vos utilisateurs finaux les mesures de sécurité suivantes (qui sont utiles tant au travail que dans les comptes de messagerie personnels) :
Blocage du Tééchargement D'images/de Ressources
Les clients de messagerie peuvent être configurés pour empêcher le chargement des images à l'ouverture d'un message. "Le blocage des ressources tierces limite la capacité des expéditeurs d'emails à suivre le moment où vous lisez ou ouvrez les emails", suggère l'EFF.
"Si vous avez besoin de voir des images dans un email particulier, vous pouvez activer sélectivement cette fonction pour cet email particulier, mais sachez que cela permet aux traqueurs d'ouverture d’email de fonctionner."
Désactiver Le Courrierélectronique Html
Une tactique plus extrême consiste à opter pour des emails en texte brut uniquement, une approche qui empêche les codes de suivi d'être cachés dans le HTML.
Ce changement pourrait se traduire par une expérience de messagerie moins utilisable et moins esthétique pour l'utilisateur moyen, mais certains experts affirment que les gains de sécurité en valent la peine.
Comme l'ont écrit les chercheurs en informatique Sergey Bratus et Anna Shubina dans The Conversation, "le retour du courrier électronique à ses origines en texte clair peut sembler radical, mais il offre une sécurité radicalement meilleure".
Même les plus grands experts en cybersécurité du gouvernement fédéral sont parvenus à la conclusion surprenante, mais importante, que toute personne, organisation ou gouvernement qui prend au sérieux la sécurité du Web devrait revenir au courrier électronique en texte clair."
Éviter De Cliquer Sur Les Liens
Les meilleures pratiques pour éviter les liens de phishing permettent également de limiter le suivi des liens. La technologie d'enveloppement des URL qui permet de détecter et de bloquer les liens malveillants est très utile sur le lieu de travail, mais les comptes personnels sont également visés.
Les utilisateurs sensibilisés à la sécurité devraient apprendre à survoler (ou à "passer la souris") une URL pour examiner l'adresse de destination réelle, ce qui peut aider à révéler une redirection cachée et/ou un code de suivi.
Pour une sécurité optimale, conseillez aux utilisateurs d'adopter une approche manuelle en saisissant des adresses connues et fiables dans leur navigateur web plutôt que de cliquer sur les liens contenus dans les messages électroniques.
Utilisation de Logiciels Anti-pistage
Bien que ces outils ne soient pas infaillibles, l'article de l'EFF et Wired suggèrent d'utiliser certains des nombreux services conçus pour bloquer les pixels de suivi dans les emails et désactiver les cookies tiers dans les navigateurs.
Nous vous suggérons d'adopter une attitude proactive, d'examiner certaines des options disponibles et de conseiller les utilisateurs sur la ou les meilleures options à leur disposition.
Bien que nous utilisions le suivi sur nos communications externes par email (comme la plupart des autres), nous suivons les meilleures pratiques pour protéger la vie privée des destinataires, y compris l'utilisation de HTTPS, l'inclusion de liens non masqués et le respect de toutes les réglementations relatives aux emails (telles que CASL, RGPD et les lois anti-spam).