MailBird : un nouveau client email pour Mac?

Les plus attentif auront remarqué que cette News est dans la catégorie 'sécurité'...On m'a proposé de tester le client email MailBird, qui existe pour PC Windows et qui va sortir ce lundi dans une version pour Mac, et j'en sais gré.Je résume le test: rien de probant et les fonctions IA que j'espérais je ne les ai pas rencontré.Mais j'ai rencontré bien plus troublant:Un tracker par défaut dans chaque email envoyéIls le mettent maintenant sur leur site Web, comme une qualité.J'ai été franchement surpris car c'est à cause des abus de ces trackers, sous forme d'un pixel, que maintenant quasi tous les clients emails ne chargent plus les contenus par défaut!Beaucoup de correspondants se feront avoir.D'autres, comme moi, filtreront le domaine tracking.getmailbird.com via leur /etc/hosts ou Pi Hole.Mais ça va plus loin...Ce tracker contient quatre (4) PII au sens du GDPR/RGPDÉvidemment quand le tracker est créé, MailBird dialogue avec magicalmailapp.com, en fait il dialogue énormément avec sans qu'on puisse savoir la teneur des échanges, il y a probablement un CA Racine fixé (Root CA Pinning), ce qui est une bonne pratique de sécurité!Mais ce tracker contient l'adresse email utilisé par l'émetteur et pire celle du destinataire.Lorsque le destinataire clique sur le bouton lui permettant de télécharger le contenu distant, dans de nombreux cas son adresse IP sera transmise, et évidemment il transmettra les informations du tracker dont sa propre adresse email.Ces adresses email sont hashés (sha-256), mais ça ne les sécurise en rien ni ne les anonymise, il y a des listes d'adresses email partout, et il faut quelques secondes à une GPU pour en parcourir toute la liste, elles peuvent aussi être stockées toutes sur un SSD et alors chacune retrouvée en moins d'une milliseconde!https://tracking.getmailbird.com/OpenTrackingPixel/?messageId=3DMai=

lbird-1a7ce2b7-859c-44b8-8e13-ba12a44df662@gmail.com&senderHash=3D8FD5=

EBBC526D22A3E1B82E10989B52C60C09C8CC22576900A77522A2E670AAC0&recipient=

Hash=3DDBDD2C42C46E6E8A27A0AE559E9811B005AF243CD8E88DDDB91A1FB8BEA389E7&am=

p;internalId=3D1758b2aa-3644-4191-be7c-9ec4cf6268b9' =

alt=3D'596e0277-d575-4421-b049-089697c87689

Pourquoi s'arrêter en si bon chemin?La déclaration de confidentialité sur le site Web n'en fait pas mentionLa page (en Anglais) concernant la Politique de confidentialité ne mentionne pas ces adresses IP ni ces adresses emails ni la capture de ces informations lors de l'activation (par l'émetteur) ou de l'utilisation (par le destinataire) de ces trackers.'2. COLLECTING YOUR PERSONAL DATA We collect information about you in the following ways: Information You Give Us. This includes:the personal data you provide when you register to use our Services, including your‎ name, postal code, email address, telephone number;the personal data that may be contained in any video, comment or other submission you upload or post to the Services;the personal data you provide in connection with our rewards program and other promotions we run on the Services;the personal data you provide when you report a problem with our Services or when we provide you with customer support;the personal data you provide when you make a purchase thorough our Services; andthe personal data you provide when you correspond with us by phone, email or otherwise.'Au contraire, il est précisé 'The information we collect using pixel tags is not linked to our users’ personal data' quand les pixels tags contenus dans les emails comportent déjà deux adresse emails et leur cycle d'usage envoie les 2 adresses IP publiques, celle de l'émetteur et celle du destinataire.Pour le GDPR/RGPD le support est minimaliste et caché dans cette même page illisible...Les options d'accès à l'information, de modification ou d'effacement ne sont pas proposées dans le formulaire (toujours en Anglais, même pas de lien /fr/).ConclusionLes faits sont graves, j'ai donc capturé et fait capturer les pages sus-mentionnées.Je ne peux que déconseiller l'usage de MailBird, qui ne m'a rien apporté, sauf la certitude que l'adage 'quand c'est gratuit c'est toi le produit' est souvent approprié!Les PII d'une personne ne peuvent être transmises et stockées qu'avec son accord explicite et informé, ce qui n'est évidemment pas le cas du récipiendaire d'un email qui cliquerait sur 'Charger les contenus distants'. Il ne pourra pas plus faire enlever ses PII (adresses email et IP)Pas plus que l'émetteur d'un message s'attendrait à ce que le créateur de son client email reçoive l'information sur l'adresse email qu'il a utilisé ni à qui il a écrit, contrairement évidemment aux deux fournisseurs d'adresse email.Addenda: lisez cette pièce en Anglais. C'est mensonger.