Le pistage de nos activités est partout sur Internet : lorsque l'on consulte un site web, lorsqu'on réalise un achat ou encore lorsque l'on effectue une recherche. Nos mails ne sont pas une exception et se révèlent être des outils très efficaces pour les entreprises qui souhaitent obtenir des informations sur notre activité à des fins de publicité ciblée. Comment s'en protéger ?
Pixel espion, identifiant publicitaire, scan des emails… Les entreprises possèdent beaucoup d'outils pour nous pister via nos mails. Heureusement, des solutions existent pour limiter leur impact. On vous explique.
Comment vous êtes pistés via vos emails
Les messageries des GAFAM
Parmi les messageries les plus utilisées, on trouve Gmail de Google et Outlook de Microsoft. Elles sont gratuites, réputées, et avoir un compte auprès de ces entreprises vient avec des avantages, comme l'accès à d'autres services. Cependant, côté vie privée, elles ne sont pas franchement le meilleur choix : si elles sont gratuites, c'est en partie parce qu'elles permettent aux entreprises de récupérer des informations sur vous, qu'elles peuvent monétiser.
Lorsque vous créez une adresse mail chez ces fournisseurs, vous êtes poussés à donner d'autres informations personnelles, comme votre nom et prénom ou votre numéro de téléphone. Mais même si vous donnez de fausses informations, ces entreprises ont plusieurs manières de vous pister, en liant l'activité de votre compte mail à celle sur leurs autres applications, à l'aide des cookies qui suivent votre activité sur le web, ou encore lorsque vous utilisez votre compte pour vous connecter à un autre site. Google utilise notamment toutes ces informations pour de la publicité ciblée, sa plus grosse source de revenus.
Également, vos mails ne sont pas chiffrés de bout en bout. Cela signifie que les fournisseurs gèrent toutes les clés de chiffrement ; ils ont donc la possibilité de récupérer les informations qu'ils souhaitent. Et régulièrement, vos mails sont scannés pour faciliter les "fonctionnalités intelligentes" proposées par ces services, comme l'ajout automatique d'un rendez-vous à votre calendrier ou la protection contre le spam et le phishing. Si ces fonctionnalités sont utiles, elles peuvent présenter un risque pour votre vie privée.
Le pistage des marketeurs
Pour vérifier que leurs techniques de vente sont efficaces ou juger de l'impact d'une newsletter ou d'un mail promotionnel, les entreprises ont accès à différents outils. Parmi eux, des applications qui leur permettent d'ajouter des fonctionnalités de tracking aux emails qu'ils envoient. Généralement, ce tracking se présente sous la forme d'une image de 1 pixel sur 1 pixel, invisible pour l'utilisateur et appelé "tracking pixel" ou encore "pixel espion".
Les messageries ayant généralement tendance à afficher automatiquement le contenu distant comme les images, ce pixel espion sera également chargé à l'ouverture du mail. Ainsi, les entreprises reçoivent automatiquement plusieurs informations au moment où le mail est ouvert : la date et l'heure de consultation du mail, l'appareil utilisé, le nombre de fois où le mail a été consulté et l'adresse IP et donc une estimation de la localisation et même les éventuelle interactions et zones chaudes au sein des messages.
De cette manière, les entreprises peuvent déterminer le bon moment pour vous relancer avec un nouveau mail promotionnel et commencer à établir un profil sur vos préférences en se basant sur les emails qui ont été ouverts ou consultés plusieurs fois pour mieux cibler la publicité envoyée.
Les informations collectées via vos emails
Lorsque vous envoyez un email, en plus de votre message, un header qui contient de plus amples informations est envoyé. Outre les informations classiques (sujet, adresse mail, nom), sa version détaillée permet également de voir l'adresse mail d'origine, qui peut être différente de celle affichée dans le cadre d'une tentative de phishing, les serveurs par lesquels le mail a transité, l'adresse IP, ainsi que les résultats des checks d'authentification et des filtres de spam.
En général, les adresses IP des particuliers ne sont pas présentes dans les headers des mails qu'ils envoient et les headers seuls ne permettent pas de déterminer l'identité d'une personne. Mais ces informations, associées à d'autres métadonnées, peuvent être utilisées par votre FAI ou des agences gouvernementales pour déterminer qui est à l'origine d'un mail.
Comment se protéger du tracking ?
Une messagerie privée
L'une des meilleures façons de se protéger du tracking par email est d'utiliser une messagerie sécurisée et chiffrée, comme Proton Mail. Par défaut, le fournisseur utilise un chiffrement "zero-knowledge". Cela signifie que si un message entrant n'est pas chiffré de bout en bout, il arrive en clair sur le serveur de Proton Mail avant d'être immédiatement chiffré à l'aide de votre clé publique. Ainsi, Proton ne peut pas y accéder dans le futur, ni donner l'accès au contenu de votre mail à quiconque : seul le détenteur de la clé privée, ici l'utilisateur, peut déchiffrer le message pour le lire une fois qu'il est dans la boite de réception.
Pour encore plus de sécurité, Proton permet de chiffrer les messages de bout en bout. Le chiffrement est automatique entre deux utilisateurs de Proton, mais vous avez la possibilité d'utiliser les clés PGP publiques de vos contacts ou d'ajouter un mot de passe à vos emails. Dans tous les cas, votre conversation ne pourra être lue que par vous et vos contacts, sans que Proton ou qui que ce soit d'autre puisse y accéder.
Un dispositif anti-tracking
En plus du chiffrement, Proton Mail protège vos mails du tracking. Bien évidemment l'éditeur dispose aussi d'un algorithme permettant d'identifier les spams et les tentatives de phishing. L'adresse IP du serveur SMTP, les sommes de contrôle (checksums) des messages ou encore les informations DMARC, SPF et DKIM des domaines sont passées au crible et comparées à une base de données de spams connus.
Désormais, avec sa protection contre le suivi, Proton s'occupe également de supprimer les trackers connus et de précharger les images présentes. Ainsi, au lieu de recevoir vos informations personnelles lors du chargement des images, les entreprises reçoivent une adresse IP et une localisation génériques provenant de Proton et n'ont pas accès à l'heure exacte où vous avez ouvert le mail.
Ce dispositif est activé par défaut, mais peut être désactivé dans les options du compte.
Des alias pour masquer votre email
Comme l'explique cet article du New York Times, les annonceurs ne se reposent plus uniquement sur les cookies et trackers invisibles pour suivre vos activités sur le web depuis que ceux-ci sont de plus en plus bloqués et difficiles à utiliser. Mais ils ont une autre information à leur disposition : votre adresse mail. Plus vous l'utilisez sur différents sites, plus il est facile d'établir un profil détaillé permettant de vous identifier et de déterminer vos centres d'intérêt.
L'une des solutions pour contourner ce pistage est l'utilisation d'alias. SimpleLogin, qui a récemment rejoint Proton, permet de se connecter directement avec son compte Proton Mail pour créer rapidement des alias à rentrer sur les différents sites. Les emails envoyés à vos alias sont immédiatement transférés sur votre boite mail Proton, vous permettant de les consulter sans que les entreprises aient accès à votre véritable adresse mail, et donc à une nouvelle façon de vous suivre en ligne.
Pour aller plus loin : les VPN
Vous pouvez combiner toutes ces méthodes avec l'utilisation d'un VPN, comme Proton VPN. Les VPN permettent de cacher votre véritable adresse IP et localisation lorsque vous naviguez sur le web et préservent votre confidentialité en ligne. Ainsi, si vous ouvrez ou envoyez un mail en étant connecté à un serveur VPN, l'adresse IP liée sera celle du VPN et non pas la vôtre, compliquant encore plus le suivi de vos activités en ligne.
- storage15 Go de stockage
- securityChiffrement natif par défaut
- alternate_emailSupport nom de domaine
- smartphoneApplications iOS, Android
- push_pinJurisdiction Suisse
Proton Mail est une sérieuse alternative à Gmail. Elle redéfinit le cryptage en le plaçant à la portée de tout le monde. Certes, il faudra probablement adopter le plan payant pour en profiter au maximum, mais c'est un excellent premier choix pour quiconque souhaite commencer à s'affranchir des services des GAFAM en étant assuré que les communications restent privées.
- Infrastructure robuste et sécurisée
- Simplification extrême du cryptage
- Localisé en Suisse
- Formule gratuite limitée en stockage
- La sécurité accrue rend le développement lent