Sécurité : les deux tiers des mails que l’on reçoit aujourd’hui contiennent un pixel espion

Le phénomène des pixel espions (ou tracking pixels, web beacons, pixel tags…) est en train d'exploser. Selon une récente étude de la société derrière l'application Hey, les deux tiers des messages que nous recevons aujourd'hui en contiennent. A l'instant même où le destinataire ouvre ses mails, le pixel espion s'active et parvient à recueillir diverses informations concernant l'utilisateur.

Les pixel espions, ce n'est pas vraiment un phénomène nouveau. Les pixel espions, ce sont ces petites “images” de seulement 1 pixel, enregistrées aux formats PNG ou GIF. On en trouve sur le Web, mais aussi dans les e-mails que l'on reçoit quotidiennement, notamment des entreprises ou des sites de e-commerce.

Bien placé, un pixel espion est à l'abri des regards même les plus aguerris. Et il n'est même pas besoin de cliquer sur un endroit particulier du mail : le simple fait d'ouvrir le message suffit à activer le tracking. La pratique existe depuis des années et elle n'a rien d'illégal. Mais depuis quelques temps, le nombre de pixel espions a littéralement explosé, comme le montre une étude commandée pour la BBC auprès de l'entreprise à l'origine de l'application Hey, laquelle avait fait polémique l'an passé auprès d'Apple.

A lire aussi : Valak, ce malware qui fait des ravages vole vos données le plus simplement du monde

Les pixel espions sont partout dans nos mails

D'après Hey, les deux tiers des emails envoyés sur des comptes personnels font l'objet d'un pixel espion. Il semble que la plupart des grandes marques ont aujourd'hui recours à ce stratagème, à l'exception des grandes entreprises de la tech. Parmi les grandes marques qui ont recours à ce genre de méthode, Hey a recensé des noms comme British Airways, Vodafone, HSBC, Marks & Spencer, Tesco, etc. Et selon David Heinemeier Hansson, le cofondateur de Hey, leur utilisation est beaucoup plus répandue qu'on ne se l'imagine.

Le pixel espion est généralement utilisé dans le marketing et permet aux annonceurs d'obtenir des données statistiques sur les utilisateurs qui visitent un site ou qui reçoivent des mails, depuis une newsletter par exemple. Dans le dernier cas, le tracking pixel diffuse diverses informations sur l'utilisateur : le moment où il a ouvert un mail, quel appareil a été employé, et combien de fois l'opération a été réalisée. Et il est même possible d'obtenir l'adresse IP de l'utilisateur et de retrouver son adresse physique. Grâce au Pixel Espion, un consultant ou un vendeur peut contacter le destinataire en lui disant “je vous ai vu ouvrir mon courrier hier, mais vous n'avez pas encore répondu. Puis-je vous rappeler ?”

Son usage est pourtant réglementé par les Privacy and Electronic Communications Regulations (Pecr) de 2003, ainsi que par le Règlement général sur la protection des données (le fameux RGPD de 2016). Les entreprises qui ont recours à une méthode comme le pixel espion se doivent d'en informer les utilisateurs, et dans la plupart des cas, de demander leur consentement. Une procédure bien difficile à mettre en place dans le cas des emails, bien évidemment. Selon David Heinemeier Hansson, cette profusion de pixel espions dans les emails équivaut à une “invasion grotesque dans la vie privée“.

Comment bloquer les pixel espions de ses emails

Pour se prémunir de ce genre d'intrusion, plusieurs solutions sont envisageables. Si Hey propose un outil payant, il est possible de faire appel à des petits plug-ins gratuits dédiés à un logiciel de messagerie, ou des navigateurs si vous passez par un webmail (des extensions qui répondent aux noms de Ugly Email ou PixelBlock).

L'autre solution consiste à configurer la messagerie pour n'afficher que le texte, et non les images. Une solution qui n'est certes pas très esthétique, mais qui a le mérite de fonctionner à 100%.

Source : BBC