Gmail : quand les e-mails sont lus par les employés des sociétés de marketing

Mickaël Bazoge |

Les boîtes de réception de millions d’utilisateurs de Gmail ont été « visitées » par des éditeurs d’applications : ces derniers ont lu des e-mails, que ce soit avec des machines ou par des humains. Ces développeurs tiers qui exploitent les API de Gmail proposent à leurs utilisateurs des services de comparaison de prix, des planifications d’itinéraires, etc.

Les informations recueillies dans les e-mails sont précieuses. On y trouve en effet des historiques d’achats, des transactions bancaires, des communications personnelles. Gmail comptant 1,4 milliard d’utilisateurs, c’est là un coffre au trésor que les spécialistes de l’exploration de données (autrement dit du data mining) veulent percer au moyen d’applications et de services gratuits suffisamment alléchants pour que les utilisateurs en autorisent l’exploitation.

Sundar Pichai, le CEO de Google, devant le nouveau Gmail. Photo : AP/Jeff Chiu.

Que des éditeurs puissent scanner les courriels de Gmail n’est pas nouveau. C’est d’ailleurs ce que faisait Google jusqu’à l’an dernier, le moteur de recherche ayant annoncé qu’il cesserait de fouiller dans les boîtes de réception. Cette pratique a permis à l’entreprise d’afficher des publicités ciblées en lien avec le contenu des messages. Désormais, Gmail a changé de modèle économique et se présente comme une plateforme pour les développeurs.

Mais les éditeurs qui exploitent les bases de données de Gmail conservent toute latitude pour faire ce qu’ils veulent de la masse de messages des utilisateurs. Le Wall Street Journal rapporte deux exemples : Return Path, qui a à son actif 163 apps partenaires, recueille les données des utilisateurs de Gmail (mais aussi des services mails de Yahoo et Microsoft) en scannant leurs courriels. Les ordinateurs de cet éditeur moulinent près de 100 millions de messages chaque jour.

Et quand les machines ne suffisent pas, ce sont des yeux humains qui lisent les e-mails : cela a été le cas il y a deux ans chez Return Path, avec des employés qui ont compulsé 8 000 messages non expurgés de leurs informations personnelles. Idem chez Edison Software, autre éditeur de solutions basées sur Gmail, dont des employés ont lu les e-mails de centaines d’utilisateurs.

Dans les deux cas, il s’agissait de peaufiner de nouvelles fonctions et d’améliorer des algorithmes de traitement de l’information. Si l’on pouvait déjà tiquer sur le fait que des machines puissent examiner le contenu d’un e-mail, l’idée que ce soit un humain qui ait un tel accès à ces courriels — même sous couvert d’amélioration de fonctionnalités — pourra paraître intolérable à beaucoup.

Les deux éditeurs mis en cause par l’article se couvrent en expliquant d’une part que ces pratiques sont autorisées par leurs conditions générales d’utilisation, et d’autre part que les employés qui accèdent au contenu des mails font l’objet d’une sélection rigoureuse. Ni Return Path, ni Edison ne mentionnent toutefois l’éventualité d’une lecture des messages par un employé.

Le tableau de bord de Return Path.

Du côté de Google, on indique que les tiers qui ont accès aux données de Gmail sont soumis à un processus de contrôle « à la main » ; les utilisateurs doivent par ailleurs donner leur accord explicite. Il arrive à des employés de Google de lire des messages Gmail, mais dans des cas très spécifiques qui nécessitent un consentement éclairé de l’utilisateur, ou encore dans le cadre de situations mettant en cause la sécurité d’une personne ou d’un système (bug informatique…). Google précise par ailleurs que les tiers ont interdiction de réaliser et de stocker des copies des données.

Les données recueillies par les éditeurs tiers à partir de Gmail n’ont, a priori, pas servi à des activités délictueuses comme cela avait été le cas par Cambridge Analytica avec les informations de dizaines de millions d’utilisateurs de Facebook. Néanmoins, dans le contexte actuel, cette exploitation de Gmail fait tache.

Gêné aux entournures — même si rien d’illégal n’est à relever —, Return Path explique que les utilisateurs ont toujours la possibilité de retirer leur autorisation. L’entreprise cherche aussi « activement » à améliorer la transparence de ses règles de confidentialité.


avatar SartMatt | 

Tous ceux à qui tu donnes accès à ton compte iCloud peuvent aussi lire tes mails. C'est pas fondamentalement différent des autres fournisseurs de mail.

La seule différence, c'est qu'il y a beaucoup moins de services qui s'interfacent avec iCloud, donc beaucoup moins de services qui vont te demander accès au compte. Mais à partir du moment où tu donnes accès au compte, ils ont accès aux mails (vu qu'avec iCloud, c'est tout ou rien, là où les autres gros fournisseurs ont un système d'autorisation plus fin, qui permet de donner accès à certaines choses uniquement).

avatar en ballade | 

@Serdinant

"La solution : iCloud "

==) patriot act

Au moins une boîte française

avatar Sgt. Pepper | 

@lulubotine

??
iCloud évidemment ?

avatar anonx | 

@Sgt. Pepper

Le problème reste le même si le type se fait phishing ?

Août 2014 iCloud ??

avatar Ricobtz | 

Pour l’instant iCloud et surtout ProtonMail restent les plus sûrs

avatar Phoenixxu | 

@Ricobtz

Merci !

avatar Ricobtz | 

@Phoenixxu

De rien :)

avatar flagos | 

Mouais, rien de bien scandaleux. Ces boites n'ont acces a tes mails que si tu lui les autorises a le faire. Rien de bien méchant donc.

avatar xou | 

@lulubotine
Les mails des fournisseurs ( orange, free... ) sont déjà mieux que les pseudos mails gratuits dont vous êtes le produit. Pas d'utilisation commerciale il me semble.
Sinon il faut aller voir du côté des alternatifs, après plusieurs essais et recherches moi j'ai choisi posteo.de/fr qui me satisfait pleinement: chiffrée, personnelle, verte ( 100% renouvelable ), sans pub, calendrier et contacts chiffrés etc... 1€/mois

avatar R5555 | 

Perdez pas que de vue que ces applications sont installées volontairement pour un service précis,
type celle-ci : https://korben.info/gagnez-de-largent-grace-aux-retards-de-sncf.html

Le jeu n'en vaut peut-être pas la chandelle pour certain. Mais ça reste une liberté individuelle.

avatar rolmeyer | 

@R5555

Attends mais sérieux c’est PIRE que ça. Tu es spammé à mort parce qu’un cretin de tes potes (ben oui y en a) a filé à son marmot son smartphone et lui s’est loggé dans facebook pour avoir des gemmes à la con gratuites dans un jeu. Et hop le jeu pompe les contacts, et paf tu reçois des pubs à la con au mieux dans ton fil facebook, au pire sur ton mail si ton pote à donné ton mail à facebook en donnant accès au contacts..
Ils n’ont pas besoin de voler les infos, ils trouvent dans ton carnet d’adresses toujours le point faible qui va par incompétence, irresponsabilité ou négligence faire tomber toute la chaine. Et ainsi de suite avec les nouveaux contacts pèchés, hop on va à la chasse à l’idiot.
Je n’ai que 4 jeux sur mon iPad, aucun sur mon tel, y a pas un dans le lot qui ne me presse pas de me logger dans le jeu via Facebook.... voir même en échange de bonus et autres cadeaux...pour que mes amis facebook puissent voir ma progression, mais oui...?

avatar Le docteur | 

C’est cool le nouveau système de la demande par mail.
Je ne réponds à quasi aucun et fini les casse-burnes.
Le ménage que c’est en train de me faire.

Sinon un preuve de plus que le gratosssse ça se paie.

avatar fredseg | 

ProtonMail ou autre ne sert à rien si le destinataire n’est pas lui-même sécurisé effectivement. Bref on est tous à poil.

avatar anonx | 

Comptes google > connexion sécurité > applications ayant accès à votre compte > gérer les applications

"Vous n'avez accordé l'accès à votre compte Google à aucune application ni à aucun service. En savoir plus"

Voilà article basé sur la peur pour rien ?

Paranoïa des fanboyz d'Apple quoi.. nouveau fond de commerce de Cupertino ?

avatar Sgt. Pepper | 

@anonx

Le ? de service à encore frappé

Le WSJ serait maintenant un journal « fanboyz d’Apple » ??

avatar anonx | 

@Sgt. Pepper

C'est les soldes... toujours pas trouvé une personnalité ? ?

Je cible wsj ? Trou du fesse ?? --> pour varier ta vie...

Trop facile de te choper dans mes filets ?

avatar oomu | 

vérifiez aussi de même pour iCloud, y a aussi une page d'autorisations.

signé: Le OomuZ Masqué

avatar thierry37 | 

@anonx
Merci pour l'info.
C'est bien fait au moins chez Google.
On voit ce qu'on a donné comme accès.

avatar Rage68 | 

@anonx

Paranoïa des fanboys d’Apple...Fond de commerce de cupertino!!! Toi y a quelque chose qui doit pas tourner rond!!

avatar Sgt. Pepper | 

@Rage68

?

avatar anonx | 

@Rage68

On se demande vraiment d'où proviennent toutes ces rumeurs ou faux problèmes hum hum...

Quand c'est pas Gmail c'est Alexa ou google home, ou bien Samsung, ou Spotify ou google map bref trop louche.. à qui profite le crime ? Celui qui est en train de se faire bouffer dans tous ces domaines et de très très loin ?of course

Vous êtes parano quand il faut pas et d'une naïveté aberrante d'autres fois ?

avatar SLV17000 | 

Le jour ou l’on apprend des attaques ddos sur les serveurs de ProtonMail !

avatar lmouillart | 

"Gmail : quand les e-mails sont lus par les employés des sociétés de marketing" - traduction -> quand vous donnez accès a votre boite mail (vos données en générale), faites attention. C'est d'ailleurs valable pour les extension de Google Drive, ou tout autre mécanisme d’extension, ou de délégation. A un moment ou un autre pour que le produit fonctionne, il faut bien qu'il ai accès aux données.

avatar Narcis | 

Quand on voit le coût à l’année d’un nom de domaine + email, et l’efficacité d’un service dédié, je ne comprends pas que les gens ne basculent pas sur cette solution simple et efficace (mais certes payante, quoique infime).
En plus avec une solution externe adieu le spam : il suffit de créer un alias par site web de type nomdusiteweb@siteweb.fr pour savoir qui vend nos données/emails aux spameurs. Si spam : suppression de l’alias / adresse mail corrompue, plus de spams !
Donc tout à gagner que de se passer de ces fournisseurs de services gratuits mais qui ont accès à nos données.

avatar oomu | 

cela demande des connaissances techniques.

Perso, j'arrive toujours pas à m'intéresser aux pistons des voitures (alors que DNSsec et Ipsec ça me passionne...)

Alors pourquoi tout le monde devrait s'intéresser à l'existence de IMAP, de l'hébergement de service et des clauses d'infogérance et de saisie de votre serveur hébergé et/ou virtualisé ?

Dites moi pourquoi ? quand y a tant de choses à se passionner dans la vie, telle que la collection de Pin's Pokémon Rares !

avatar ForzaDesmo | 

Ca fait bien longtemps que j'essaie de ne plus utiliser le moindre service, moteur, logiciel... Googolien pour ce genre d'irrégularité. C'est vraiment le Far West avec eux, sans aucun scrupule, moralité bafouant toutes les lois sous prétexte numérique.

avatar oomu | 

bah,

mon serveur imap perso depuis la nuit des temps et pis c'est tout.

et je n'autorise qu'au compte goutte des services d'avoir accès aux informations (jamais contenu) de mon compte poubelle gmail (car si je n'ai pas de compte facebook ou skippy, j'ai un compte poubelle google, idéal pour spammeries et forums sans important non tout orange)

-
beaucoup plus dérangeant dans le cadre d'un usage profesionnel de gmail

et l'administrateur de domaine peut surveiller, voir interdire de telles autorisations aux employés utilisateurs du domaine gmail d'entreprise.

ce qui est FORT IMPORTANT VOIR VITAL (pour l'entreprise) !

avatar obiwanceleri | 

C'est encore la même vieille rengaine (et MacGénération semble trouver ça ordinaire) : à chaque fois que ce type d'horreur arrive, les corporations se drapent de légalité ...
Entendons-nous. Ce n'est pas parce que c'est légal que c'est nécessairement MORAL.

avatar bidibout (non vérifié) | 

J'ai depuis quelques semaines résilié mon nom de domaine et ai donc pour la première fois créé une adresse iCloud mais depuis je me pose une question, si un jour mon adresse fuite étant donné que c'est une adresse iCloud on comprend de suite que c'est le sésame pour se connecter à un compte iCloud, n'aurait-il pas été plus judicieux que je conserve finalement mon ancienne adresse (qui était aussi mon identifiant iCloud mais là le nom de domaine ne laissait pas présager que c'était un identifiant Apple). Question bête peut-être mais ça m'intrigue.

avatar phil3 | 

@bidibout

Tu peux créer une adresse chez un fournisseur qui milite pour le respect de tes mails, et l'utiliser comme identifiant Apple.

Par exemple, une adresse Lilo, ou Posteo. Certes c'est payant. Mais je pense qu'il y a une logique derrière...

avatar bidibout (non vérifié) | 

@phil3

L'idée c'était de tout regrouper chez Apple même les mails et comme ça fonctionne bien... mais la simplicité à un revers du coup.

Merci en tout cas pour les noms ??

avatar airmax95 | 

Et l e-mail d apple? C'est plus safe à ce niveau ? Suis sur le cul la quand même. J ai retiré un paquet d appli qui avait accès à. Mon gmail

avatar webHAL1 | 

Je n'ai pas lu l'article original du Wall Street Journal, mais la synthèse faite par MacG me semble source de confusion.
Si je comprends bien, certaines personnes ayant accordé l'accès à leur boîte Gmail à certaines applications, ont vu les éditeurs de ces applications avoir accès au contenu de leur boîte Gmail. OK, et sommes-nous censés trouver cela inadmissible ou scandaleux ? Si ma belle-maman me demande mes identifiants Google et que je lui les donne, puis-je ensuite pousser de hauts cris en apprenant qu'elle a lu des messages que j'aurais préféré lui cacher ?
À moins que quelque chose m'échappe, il me semble qu'il n'y a dans cette histoire absolument rien qui mérite une médiatisation pareille.

Quant aux personnes qui recommandent l'installation de son propre serveur de courriels, ont-elles vraiment conscience de la charge de travail que cela représente pour s'assurer que celui-ci soit en permanence sécurisé et protégé contre les attaques extérieures ? Sans compter l'aspect des sauvegardes et des performances, à moins de très bien connaître le domaine et d'avoir du temps libre, personnellement je ne conseillerais à personne d'opter pour une telle solution...

avatar pagaupa | 

Il y a bien longtemps que je n’utilise plus gmail. A fouiller partout ils m’ont foutus un bordel dans les autres boites...un vrai cauchemar.

avatar Polyme | 

Eh bien je suis prêt à payer 20 euros par an pour gmail pourvu que je ne sois pas le produit, mais le client, pareil pour les jeux.

avatar lmouillart | 

Mince Google truande en refilant à des tiers, l'accès à mes photos, mon drive, mon agenda, mes imprimantes, mes contacts, et mes mails ... !!!

Ah bah non : https://drive.google.com/open?id=1wHWRuoIpcaqXxZ77hKREO0E9Ex9girJd
C'est moi qui lui ai demandé parce que justement les applications que j'utilise ont demandé ces accès et je les y ai autorisés.

Bref, j'essaie de lire un peu (pour le coup c'est simple et clair) avant que cliquer partout sur j'accepte.

Pages

CONNEXION UTILISATEUR