Mail : une base de données ne respecte pas le chiffrement des emails

Stéphane Moussie |

Au moment même où Apple promeut ses efforts en matière de confidentialité, une anomalie sur la gestion des emails chiffrés est mise en lumière. Le consultant Bog Gendler s'est rendu compte que macOS incluait une base de données ne tenant pas compte du chiffrement des emails.

Le base snippets.db, qui se trouve dans [Nom d'utilisateur] > Bibliothèque > Suggestions, contient des extraits lisibles en clair d'emails qui sont pourtant chiffrés dans Mail, avec le protocole S/MIME. Autrement dit, alors que vous devez saisir votre clé privée dans Mail pour lire les emails chiffrés, vous pouvez en lire une partie sans mot de passe dans la base snippets.db.

Un email chiffré qui apparait bien chiffré dans Mail, mais en clair dans la base de données. Image Bog Gendler.

D'accord, c'est un peu embêtant, mais il faudrait que le malandrin ait accès à mon Mac et connaisse le mot de passe de ma session pour pouvoir finalement lire mes emails chiffrés, vous dites-vous.

Sauf que Bob Gendler est très énervé parce que cette base de données snippets.db, elle remonte des informations à Siri pour améliorer ses suggestions. Sans verser dans la paranoïa, on peut trouver anormal que Siri tire parti d'informations que l'on croit chiffrées, et donc à l'abri de tous regards.

Siri réalise un traitement en local, mais envoie aussi des informations à Apple, comme le précisent les explications sur la confidentialité :

Siri fait appel à un processus de traitement des données sur l’appareil pour apprendre de quelle façon vous utilisez vos appareils et les apps afin de vous offrir une expérience personnalisée. Grâce aux informations stockées sur votre appareil, telles que votre historique de navigation Safari, vos e-mails, vos messages et vos contacts, ainsi que certaines informations fournies par d’autres apps installées, Siri peut offrir des suggestions dans Spotlight, Définition, Safari, des apps et plus encore. [...]

Pour rendre les suggestions et les résultats de recherche plus pertinents, des informations sont envoyées à Apple sans vous être associées

Il n'est pas clair si les informations contenues dans snippets.db sont envoyées à Apple, le fabricant ne détaillant pas ce point.

Dans tous les cas, si vous voulez éviter que Siri mette son nez dans la base de données de Mail, vous pouvez le désactiver ici : Préférences Système > Siri > Suggestions Siri et confidentialité > décocher « Afficher les suggestions Siri dans l'app » et « Apprendre de cette app ».

Décocher ces deux cases n'empêche pas le stockage en clair d'extraits d'emails chiffrés dans la base de données. Bob Gendler a contacté à plusieurs reprises Apple depuis cet été. Il a reçu comme réponse que sa découverte était en train d'être examinée et qu'il pouvait désactiver les suggestions Siri pour Mail.

avatar SyMich | 

Si vous ne voulez pas qu'Apple mette son nez dans vos emails, pensez à désactiver également "partager l'analyse iCloud"
"L’analyse des données de votre compte iCloud, comme des extraits de vos e-mails ou d’autres données similaires, est effectuée uniquement après avoir appliqué des techniques de protection de la confidentialité, telles que la confidentialité différentielle, afin qu’elle ne puisse pas être associée à vous ou à votre compte."

Si vous le laissez cocher, même si vous pensez que vos emails sont chiffrés, Apple peut récupérer des extraits en clair (peut-être via cette base snippets d'ailleurs)

avatar IRONMAN65 | 

@SyMich

Et pas qu’Apple....

avatar anonx | 

@SyMich

Réglages > Confidentialité > Analyse

Mais je crois que c’est décoché par défaut ?! (Moi ça l’était)

avatar Ced31400 | 

« Bob Gendler a contacté à plusieurs reprises Apple depuis cet été. »

Comme d’habitude et c’est intolérable qu’Apple ne réagisse pas !

avatar Krysten2001 | 

@Ced31400

Ils ont qu’il regardait à ça, pensez à lire :)

avatar Azurea | 

...ainsi que certaines informations fournies par d’autres apps installées...

C'est là que ça devient anormal, car qui fait quoi ?

avatar aldomoco | 

J’ai Mail au culte😜

avatar bugman | 

@aldomoco

Parce que j’aime bien les timbrés : 👍😂😉

avatar Jeamy | 

Apple chine partout !!!!

avatar Moonwalker | 

Excellent.

avatar T Ki | 

Utilisez de préférence GPG et son excellente implémentation GPGTools

avatar kitetrip | 

Protonmail
Signal Messenger
Firefox (sans aucun plugin)
et aucun cloud.

Le reste, c'est du marketing...

avatar Krysten2001 | 

@kitetrip

Pas forcément

avatar turismo | 

@kitetrip

Même si je n’ai pas testé la dernière version de Firefox, n’avoir aucune extension n’est pas un gage de sécurité, au contraire ! Et si tu veux une version sage de Firefox, les réglages about:config par défauts ne sont pas forcément idéaux.

avatar turismo | 

@kadok145

Le cloud à un côté pratique indéniable m, mais il existe des solutions autres que celles utilisées en général. J’utilise un cloud auto-hébergé et ça fonctionne très bien. Aujourd’hui il n’y a même plus besoin de mettre les mains dans le cambouis pour mettre en place une telle solution.

avatar Jacti | 

@kadok145 : perso je désactive entièrement tout ce qui est Cloud qui est une fumisterie sans nom car ça nous ramène 40 ans en arrière avec les serveurs centralisés.

avatar Eyquem | 

@kitetrip

Ublock origin + ghostery (ou équivalent) est indispensable...

avatar switch (non vérifié) | 

Apple pousse Siri en l'infiltrant un peu partout.
Je viens de mettre à jour un iPhone vers iOS 13 et c'est flagrant.
--
Ceci dit, Mail et Siri sont deux magnifiques bouses made in Apple (avec Photos, Rappels, QuickTime player et l'utilitaire de disque qui à nettement regressé)
J'aimerais pouvoir désinstaller totalement Siri sur mon Mac, mais ça ne doit pas être possible.
--
Quand je pense qu'Apple ne propose même pas une application de sauvegardes programmées (pas juste un clonage ), c'est le signe patent du quasi abandon de macOS.

avatar reborn | 

@kadok145

Il faut désactiver les suggestions Siri

avatar switch (non vérifié) | 

Merci Kadok145, je viens de passer qqes minutes sur mon iPhone à désactiver Siri, application par application.
Heureusement que je n'en ai pas bcp, sinon c'est un vrai calvaire.
J'ai aussi désactivé Siri dans iCloud.
Ce truc est devenu un véritable espion, ce n'est vraiment pas rassurant !
--
Voila les infos données affichées sous iOS :
-----
Siri analyse la manière dont vous utilisez vos appareils et les apps pour vous offrir des suggestions personnalisées et de meilleurs résultats de recherche en traitant les données sur l’appareil, et se synchronise sur l’ensemble de vos appareils avec un chiffrement de bout en bout via iCloud

Siri fait appel à un processus de traitement des données sur l’appareil pour apprendre de quelle façon vous utilisez vos appareils et les apps afin de vous offrir une expérience personnalisée. Grâce aux informations stockées sur votre appareil, telles que votre historique de navigation Safari, vos e-mails, vos messages et vos contacts, ainsi que certaines informations fournies par d’autres apps installées, Siri peut suggérer des raccourcis et offrir des suggestions dans les résultats de recherche, Définition, Safari, des apps et plus encore. Lorsque vous exécutez un raccourci suggéré par Siri, vous êtes soumis aux conditions générales et à l’engagement de confidentialité de l’app concernée.

Siri utilise iCloud pour synchroniser la personnalisation sur l’ensemble de vos appareils Apple à l’aide du chiffrement de bout en bout.

Pour rendre les suggestions et les résultats de recherche plus pertinents, des informations sont envoyées à Apple sans vous être associées

Quand vous utilisez les suggestions de Siri dans Rechercher, Définition, Safari ou #images dans Messages, aucune information envoyée à Apple ne vous identifie, et toutes les informations sont associées à un identifiant aléatoire généré par l’appareil et renouvelé régulièrement. Votre appareil peut envoyer à Apple des informations telles que votre position, vos domaines d’intérêt (par exemple la cuisine ou le basketball), votre requête, les suggestions que vous avez choisies et les données d’utilisation qui y sont liées. Ces informations n’incluent pas les résultats de recherche comprenant des fichiers ou du contenu présent sur votre appareil. Si vous souscrivez à des services de musique ou vidéo avec abonnement, le nom de ces services et le type d’abonnement peuvent être envoyé à Apple. Le nom, le numéro et le mot de passe de votre compte ne seront pas envoyés à Apple.

Ces informations sont utilisées afin de traiter votre requête et de vous fournir des suggestions et des résultats de recherche plus pertinents ; elles ne sont pas liées à votre identifiant Apple, votre adresse e-mail ou toute autre donnée qu’Apple pourrait avoir obtenue par le biais de votre utilisation d’autres services Apple.

Les informations agrégées peuvent être utilisées afin d’améliorer d’autres produits et services Apple. Les requêtes courantes peuvent être partagées avec un moteur de recherche afin d’améliorer les résultats de recherche.

Suggestions du moteur de recherche dans Safari

Safari comporte un champ destiné à la fois aux recherches et aux adresses web pour vous permettre de parcourir le Web facilement à partir d’un même endroit. Lorsque l’option « Suggestions du moteur de recherche » est activée, Safari demande des suggestions au moteur de recherche sélectionné en fonction de votre saisie.

Précharger le meilleur résultat dans Safari

Lorsque l’option « Précharger le meilleur résultat » est activée, dès que Safari détermine le meilleur résultat en fonction de vos signets et de votre historique de navigation, il commence à charger la page web en arrière-plan. Si vous désactivez cette option, la page est chargée normalement.

Vous avez le choix et c’est vous qui contrôlez

Vous pouvez contrôler les suggestions de Siri dans Réglages > Siri et recherche. Si vous ne souhaitez pas que les suggestions de Siri envoient vos informations à Apple, vous pouvez les désactiver dans « Siri et recherche ». Les suggestions Safari peuvent quant à elles être désactivées dans Réglages > Safari.

Vous pouvez consulter et contrôler la liste complète des fonctionnalités pouvant être personnalisées par Siri et des apps pour lesquelles Siri suggère des raccourcis dans la section « Siri et recherche » des réglages. Pour empêcher les apps de fournir les informations qui permettent à Siri de se personnaliser, accédez aux réglages Siri et faites glisser le bouton « Apprendre de cette app » de chaque app sur la position « désactivée ». Vous pouvez également indiquer pour chaque app si Siri peut vous envoyer des suggestions dans Rechercher ou sur l’écran verrouillé.

Vous pouvez désactiver le service de localisation pour les suggestions de Siri en accédant à Réglages > Confidentialité > Service de localisation > Suggestions selon le lieu. Si vous désactivez le service de localisation sur votre appareil, votre position exacte n’est pas envoyée à Apple. Pour offrir des suggestions de recherche pertinentes, Apple peut mettre en correspondance l’adresse IP de votre connexion Internet avec une région géographique afin de déterminer votre position approximative.

Si vous ne voulez pas que les données de personnalisation de Siri soient synchronisées sur tous vos appareils, vous pouvez désactiver Siri dans les réglages iCloud.

En utilisant Suggestions de Siri et Recherche, vous acceptez qu’Apple ainsi que ses filiales et ses représentants transmettent, recueillent, conservent, traitent et utilisent ces données. Les informations recueillies par Apple seront traitées conformément à l’Engagement de confidentialité d’Apple, que vous pouvez consulter à l’adresse suivante : www.apple.com/fr/privacy

avatar Krysten2001 | 

@switch

Vous exagérez pas un peu ?

avatar zoubi2 | 

@Depret Lucas

P'tet que oui, p'tet que non. Et c'est bien là le pb : on n'en sait strictement rien si on ne fait pas attention. C'est quand-même bien de savoir si on est bouffé, et si oui à quelle sauce.

avatar Krysten2001 | 

@zoubi2

On n’est pas identifier donc voilà, maintenant tu fais comme tu veux

avatar switch (non vérifié) | 

Un peu de paranoïa ne nuit pas en ce bas monde…
Le fait que Siri ait accès à toutes les applications installées dans mon iPhone et puisse "apprendre d'elles" puis envoyer des "petits résumés" en douce à Apple ne vous inquiète peut-être pas, moi oui.
Pourtant…que les 3 réglages de Siri soient sur "ON" pour chaque application iOS installée est un véritable scandale qui mériterait une class action pour espionnage dissimulé de l'usage d'un appareil électronique (je viens de l'inventer, je pars de ce pas breveter le concept).

avatar Artefact3000 | 

Merci du tuyau.

J'avais pas activé Siri sur mon Mac, mais j'ai quand même tout décoché les cases où Siri veut apprendre des applications.

avatar fiouze | 

What happens on your iPhone, stays ... oh wait

avatar Moonwalker | 

Bah! Je ne chiffre pas ma correspondance. Donc, au bout du compte pour moi c'est pinuts.

Et puis, je ne soutiens ni des terroristes ouïgours ni des activistes tibétains. Je n'ai pas prévu de voyage dans ce merveilleux pays qu'est la Chine avant quelques temps.

Il me faut juste attendre le correctif d'Apple.

CONNEXION UTILISATEUR