Mail : comment bloquer les pixels espions oubliés par Apple
Vous êtes régulièrement épié lorsque vous consultez votre boîte mail : deux tiers des emails contiennent un pixel espion. C'est la conclusion choc d'une étude du service Hey commandée par la BBC. Un pixel espion, c'est une méthode permettant à l'expéditeur (ou à un tiers) de voir si son email a été ouvert, et si oui combien de fois, avec quel appareil et à quel emplacement géographique grâce à l'adresse IP.
Ces informations sont souvent utilisées dans le cadre de campagnes marketing, afin de juger de leur efficacité. Dans ce cas-là, les données sont agrégées, mais les données collectées grâce aux pixels espions peuvent aussi servir à alimenter des profils publicitaires individuels.
Un pixel espion, aussi appelé pixel invisible, prend la forme d'une minuscule image de 1 x 1 pixel insérée dans le corps du mail. Lorsque l'email est ouvert, cette image est chargée et remonte aux serveurs les informations décrites ci-dessus.
Le phénomène n'a rien de nouveau ; en 2015, nous publiions déjà un article expliquant comment identifier ces emails curieux et éviter la fuite de ses données. Ce qui est plus surprenant, c'est que les protections n'ont quasiment pas évolué depuis.
On pense à Apple, en particulier, qui prend pourtant régulièrement des mesures pour améliorer la confidentialité de ses clients. En six ans, la protection de la vie privée a été considérablement renforcée dans Safari. Même chose sur l'App Store, avec l'entrée en vigueur très prochainement de l'encadrement du suivi publicitaire. Mais dans Mail, rien de neuf.
Mail n'est pas dépourvu de protection contre les pixels espions, seulement c'est une option loin d'être optimale. Dans Préférences > Présentation, il faut décocher la case Charger le contenu distant des messages, ce qui a pour effet de ne plus charger l'intégralité des images stockées sur des serveurs distants. Or, bon nombre de courriels comprennent des images légitimes chargées à distance, ce qui fait que l'on se retrouve avec des messages au mieux incomplets et au pire complètement vides.
Dès lors, Mail donne la possibilité de charger le contenu distant pour chaque courriel individuel, mais ce n'est pas l'idéal, car il faut donc répéter l'opération pour chaque message affecté et le pixel invisible est chargé comme le reste du contenu. Il y a clairement matière à améliorer cela.
Certains clients mail tiers, comme Airmail, ont une option dédiée pour bloquer les pixels espions exclusivement. C'est aussi le cas du service d'emails Hey (qui profite donc de l'étude pour se faire un peu de pub), qui précise qu'en moyenne chacun de ses utilisateurs reçoit quotidiennement 24 emails contenant un pixel invisible — et ce, sans compter les spams.
Mais pour Mail, alors ? Il existe MailTrackerBlocker, un plug-in assez récent qui bloque les pixels espions et uniquement eux. Ce plug-in (qui nécessite macOS 10.11 El Capitan au minimum) gratuit et open source fait barrage à une cinquantaine de publicitaires et services spécialisés sans empêcher le chargement des autres images. Quand MailTrackerBlocker bloque un pixel espion, il le signale dans l'en-tête par une petite croix bleue.
Une autre méthode pour bloquer le pistage au sein de Mail est de le faire à un niveau plus haut, par exemple en contrôlant les requêtes réseau sur son Mac grâce à Little Snitch, voire au niveau DNS avec un Pi-Hole ou le service NextDNS. Des solutions existent donc pour Mail, mais il est étonnant qu'Apple ne s'y soit pas encore attelée elle-même.
@MGA
"Sur le fond, je vous envoie un email (que vous n’avez pas sollicité) cela me permet de savoir où vous êtes en vacances par exemple ou bien si vos affaires vous amènent dans un pays ou un autre... je persiste à penser qu’on peut parler d’extorsion, le moyen (la force) c’est le détournement de la fonction pour obtenir une information (qui peut avoir une utilité, un prix en fonction de l’objectif, espionnage industriel par exemple)"
Je vous comprends. L’extorsion, c’est contre le consentement, d’où les sanctions. On peut prouver qu’il y a extorsion dès lors qu’il n’y a pas de consentement.
@Paquito06
L’absence de consentement n’est pas l’unique critère il y a également le fait que le moyen d’obtenir les informations est volontairement dissimulé, et que le message n’est pas sollicité par la « victime ».
Mais je conçois que le mot « extorsion » recouvre de multiples situations parfois vraiment violentes et qu’il fasse réagir.
@MGA
"L’absence de consentement n’est pas l’unique critère il y a également le fait que le moyen d’obtenir les informations est volontairement dissimulé, et que le message n’est pas sollicité par la « victime ».
Mais je conçois que le mot « extorsion » recouvre de multiples situations parfois vraiment violentes et qu’il fasse réagir."
C’est en fait la premiere fois que je vois l’emploi du terme “d’extorsion”, d’habitude c’est “collecte de donnees”, “recuperation de donnees”, voire “commercialisation de donnees”. Les firmes n’ont jamais demandé leur avis aux utilisateurs, c’est sûr, car un refus de leur part et une exploitation de celles-ci les mettrait a mal forcement.
@stephmouss
Non, impossible de l'installer sous Mojave et Mail 12.4 !
@Stéphane,
Même sous High Sierra, impossible pour moi. Il me dit que c'est ma version de mail qui ne va pas. Il désactive l'extension mais je ne sais pas comment l'enlever maintenant...
Attention, le tracking peut se faire dans les petites images comme dans les grandes et aussi au niveau des liens intégrés dans l'email. Pour les liens ça leur permet de savoir si la "campagne" a motivé un click ou pas...
> il faut décocher la case Charger le contenu distant des messages, ce qui a pour effet de ne plus charger l'intégralité des images stockées sur des serveurs distants. Or, bon nombre de courriels comprennent des images légitimes chargées à distance
Euh... la technique est presque aussi vieille que les mails !
Et la case à cocher est bien là pour ça.
Le seul problème est le suivant :
Cette case est-elle cochée par défaut ou non ? (Elle ne devrait pas l'être).
Et si un message contient un "pixel" espion, alors je doute qu'il contienne des « images légitimes chargées à distance ». Et ça prouve que l'expéditeur est malhonnête.
Et si Apple ou d'autres mesurent la taille des images distantes, alors les malandrins ajouteront des images blanches de 2 pixels, ou 3, ou 5.
@marc_os
Ça doit pouvoir se détecter aussi. Fais le malin avec du texte blanc sur fond blanc sur ton site web et tu verras ton référencement 😉
@cham
Rien n’interdit un gif transparent.
Sous quel justification ?
Fut un temps le petit gif en question était d’ailleurs quasi indispensable à la bonne tenue d’une mise en page HTML en tableau (shim) par exemple.
Et franchement, les spams (ceux qui visent à détourner des données ou piquer de l’argent) de nos jours sont plutôt de belles imitations de mails légitimes (provider, banque etc...) avec des logos, les liens et tout le tralalas qui va bien.
Je ne suis même pas sûr que le gif transparent soit encore si prisé de nos spammers.
Impossible de l’installer sur Safari Big Sur. Peut-être à cause de Spamsieve ?
Désinstaller le plug-in de SpamSieve ne change rien
Le message est Modules incompatibles désactivés
Mail a désactivé les modules suivants :
MailTrackerBlocquer
Contacter les éditeurs de ces modules pour en obtenir des versions compatibles avec Mail 10.3
Sur MailTrackerBlocker, la petite croix peut-être bleu, blanche ou grise.
Bleu, courriel à pixel espion ; blanche, pas de pixel espion.
Et grise, ça veut dire quoi ? (pas trouvé sur le site)
Ce qui arrive sur Mail chez moi, c’est ma toute première adresse Gmail, qui date de plus de dix ans. Je ne reçois jamais (jamais) de spams, ou de liens commerciaux, ou de confirmation de commande, ou quoi que ce soit de ce genre. Juste des mails de travail et perso, car cette adresse n’a jamais été renseignée dans un formulaire en ligne. Pour toute mon activité en ligne, j’ai une « adresse à spams », qui n’entre pas dans Mail (je me connecte à Gmail si j’ai besoin d’y accéder).
Question : est-ce que ces pixels invisibles m’espionnent même si je n’affiche pas les messages dans Mail ?
Je ne charge jamais les images des mails
Je ne clique jamais sur un lien dans un mail
@Stéphane Moussie : merci, croix grise, c'est pour un "éventuel“ tracker ...
L'installeur n'installe rien… (11.2.1.INtel)
La pub ça devient vraiment un enfer, quel que soit l'endroit où l'on se trouve...
Il y a des années ça se limitait à la télé, la boite au lettres physique et aux affichages sur panneau... Là c'est partout, partout. Suis-je le seul à trouver ça usant ?
Les e-mails légitimes mettent souvent les images en pièce jointe et ne posent pas de problème (si ce n'est écologique) ou alors ont un lien "lire en ligne" donc la manipulation quand les images sont bloquées n'est pas très compliquée.
Désactiver le chargement de contenu distant est la première chose à faire au premier lancement d'un client.
L'article cible le problème des campagnes marketing. C'est le moindre souci.
Le plus gros problème reste les spams.
A quoi ça sert de désigner un e-mail en tant que spam si juste avant il a chargé des images indiquant, comme décrit dans l'article, que l'adresse est valide, que le courrier est relevé ?
Ne fonctionne pas chez moi sous MacOS 10.13.6 et Mail 11.5.
Et alors dans Mail/Preferences/Général, je ne vois rien sur la gestion des plugins, je rate quelque chose ?
On désinstalle comment maintenant ?
Même configuration, même problème.
Mais ça semble résolu.
Au début, il me dit que le plug-in est incompatible et qu'il le désactive.
J'ai effectué les trois commandes dans le terminal (voir le site, "troubleshootings"). Puis réinstallé.
Même message.
Mais après redémarrage, plus de message, et le plug-in est bien installé. Pour vérifier, un tour dans la console, démarrage de Mail : il dit bien que ça fonctionne (pas de message d'erreur). Et j'ai bien la petite croix bleue dans l'en-tête du message chaque fois qu'il contient une image 1x1 du type que l'on pourchasse. Et d'ailleurs il y en a un paquet dans les trucs plus ou moins publicitaires !
Par contre, je n'ai pas le bouton "gérer les extensions" dans le menu préférences.
Faute de frappe :Publiions avec deux i ?😉
Passé ! Pas présent.
Euh... Il ne faut pas tout confondre. Prenez le cas d'une société tout à fait légitime qui envoie des informations marketing à ses clients qui ont donné leur consentement. C'est tout à fait normal pour cette société d'essayer de savoir ce qui a été reçu, le contenu qui est lu et celui qui est considéré comme inintéressant.
Et sui vous ne voulez pas recevoir ce genre d'e-mail, il y a GDPR, E-privacy, etc... On clique sur Unsubscribe et puis voilà.
Et quand il s'agit de spam, la plupart des clients e-mails bloquent déjà les images dans tous les messages arrivant dans Junk. Et cela inclus le pixel invisible.
Le reste c'est de l'éducation. Si vous recevez un e-mail marketing, vous devez savoir que l'envoyeur en tirera des statistiques. Si vous cliquez sur un lien Facebook, si vous regardez une fiche produit sur Amazon... c'est pareil. (sauf que les deux derniers sont encore plus intrusifs, puisque subitement, partout où vous allez, vous voyez des pubs en lien avec ce que vous venez de cliquer sur FB ou Amazon)
Mais dire "je veux bien recevoir et lire votre pub, mais je ne veux pas que vous le sachiez"... C'est un peu mesquin. Et de toute façon, pour tout ce qui va au-delà de la simple statistique (est-ce que ce CONTENU a bien été lu), ça devient du tracking (quel contenu intéresse cette PERSONNE) et un consentement explicite est requis.
Vous semblez découvrir un bug qui traine depuis des années dans Mail sans que JAMAIS APPLE ne réagisse.
Le plus grave c'est que même les mails mis en Indésirables interrogent internet ce qui est tout simplement scandaleux !
Faites également le test de prendre un mail dans Indésirable et supprimez le, il part dans la corbeille en redevenant "desirable" (!!!), il réinterroge l'internet !!!
En plus, je vois pas pourquoi vous parlez d'un simple pixel, une "bête" image suffit pour gérer le tracking.
Comme l'utilisateur ne peut pas empêcher le chargement de ces images lorsqu'il consulte ses mails, c'est inutile de se cacher.
Ne s'installe pas sur Big Sur 11.2.2 et Mail 14.0
Merci !
Pages