MacGeneration

Mail : une base de données ne respecte pas le chiffrement des emails

Stéphane Moussie |

Au moment même où Apple promeut ses efforts en matière de confidentialité, une anomalie sur la gestion des emails chiffrés est mise en lumière. Le consultant Bog Gendler s'est rendu compte que macOS incluait une base de données ne tenant pas compte du chiffrement des emails.

Le base snippets.db, qui se trouve dans [Nom d'utilisateur] > Bibliothèque > Suggestions, contient des extraits lisibles en clair d'emails qui sont pourtant chiffrés dans Mail, avec le protocole S/MIME. Autrement dit, alors que vous devez saisir votre clé privée dans Mail pour lire les emails chiffrés, vous pouvez en lire une partie sans mot de passe dans la base snippets.db.

Un email chiffré qui apparait bien chiffré dans Mail, mais en clair dans la base de données. Image Bog Gendler.

D'accord, c'est un peu embêtant, mais il faudrait que le malandrin ait accès à mon Mac et connaisse le mot de passe de ma session pour pouvoir finalement lire mes emails chiffrés, vous dites-vous.

Sauf que Bob Gendler est très énervé parce que cette base de données snippets.db, elle remonte des informations à Siri pour améliorer ses suggestions. Sans verser dans la paranoïa, on peut trouver anormal que Siri tire parti d'informations que l'on croit chiffrées, et donc à l'abri de tous regards.

Siri réalise un traitement en local, mais envoie aussi des informations à Apple, comme le précisent les explications sur la confidentialité :

Siri fait appel à un processus de traitement des données sur l’appareil pour apprendre de quelle façon vous utilisez vos appareils et les apps afin de vous offrir une expérience personnalisée. Grâce aux informations stockées sur votre appareil, telles que votre historique de navigation Safari, vos e-mails, vos messages et vos contacts, ainsi que certaines informations fournies par d’autres apps installées, Siri peut offrir des suggestions dans Spotlight, Définition, Safari, des apps et plus encore. [...]

Pour rendre les suggestions et les résultats de recherche plus pertinents, des informations sont envoyées à Apple sans vous être associées

Il n'est pas clair si les informations contenues dans snippets.db sont envoyées à Apple, le fabricant ne détaillant pas ce point.

Dans tous les cas, si vous voulez éviter que Siri mette son nez dans la base de données de Mail, vous pouvez le désactiver ici : Préférences Système > Siri > Suggestions Siri et confidentialité > décocher « Afficher les suggestions Siri dans l'app » et « Apprendre de cette app ».

Décocher ces deux cases n'empêche pas le stockage en clair d'extraits d'emails chiffrés dans la base de données. Bob Gendler a contacté à plusieurs reprises Apple depuis cet été. Il a reçu comme réponse que sa découverte était en train d'être examinée et qu'il pouvait désactiver les suggestions Siri pour Mail.

Sur iPhone | Sur Android
Pour aller plus loin :
Apple est-elle hypocrite en matière de confidentialité ?
Accédez aux commentaires de l'article