Vous êtes régulièrement épié lorsque vous consultez votre boîte mail : deux tiers des emails contiennent un pixel espion. C'est la conclusion choc d'une étude du service Hey commandée par la BBC. Un pixel espion, c'est une méthode permettant à l'expéditeur (ou à un tiers) de voir si son email a été ouvert, et si oui combien de fois, avec quel appareil et à quel emplacement géographique grâce à l'adresse IP.
Ces informations sont souvent utilisées dans le cadre de campagnes marketing, afin de juger de leur efficacité. Dans ce cas-là, les données sont agrégées, mais les données collectées grâce aux pixels espions peuvent aussi servir à alimenter des profils publicitaires individuels.
Un pixel espion, aussi appelé pixel invisible, prend la forme d'une minuscule image de 1 x 1 pixel insérée dans le corps du mail. Lorsque l'email est ouvert, cette image est chargée et remonte aux serveurs les informations décrites ci-dessus.
Le phénomène n'a rien de nouveau ; en 2015, nous publiions déjà un article expliquant comment identifier ces emails curieux et éviter la fuite de ses données. Ce qui est plus surprenant, c'est que les protections n'ont quasiment pas évolué depuis.
On pense à Apple, en particulier, qui prend pourtant régulièrement des mesures pour améliorer la confidentialité de ses clients. En six ans, la protection de la vie privée a été considérablement renforcée dans Safari. Même chose sur l'App Store, avec l'entrée en vigueur très prochainement de l'encadrement du suivi publicitaire. Mais dans Mail, rien de neuf.
Mail n'est pas dépourvu de protection contre les pixels espions, seulement c'est une option loin d'être optimale. Dans Préférences > Présentation, il faut décocher la case Charger le contenu distant des messages, ce qui a pour effet de ne plus charger l'intégralité des images stockées sur des serveurs distants. Or, bon nombre de courriels comprennent des images légitimes chargées à distance, ce qui fait que l'on se retrouve avec des messages au mieux incomplets et au pire complètement vides.
Dès lors, Mail donne la possibilité de charger le contenu distant pour chaque courriel individuel, mais ce n'est pas l'idéal, car il faut donc répéter l'opération pour chaque message affecté et le pixel invisible est chargé comme le reste du contenu. Il y a clairement matière à améliorer cela.
Certains clients mail tiers, comme Airmail, ont une option dédiée pour bloquer les pixels espions exclusivement. C'est aussi le cas du service d'emails Hey (qui profite donc de l'étude pour se faire un peu de pub), qui précise qu'en moyenne chacun de ses utilisateurs reçoit quotidiennement 24 emails contenant un pixel invisible — et ce, sans compter les spams.
Mais pour Mail, alors ? Il existe MailTrackerBlocker, un plug-in assez récent qui bloque les pixels espions et uniquement eux. Ce plug-in (qui nécessite macOS 10.11 El Capitan au minimum) gratuit et open source fait barrage à une cinquantaine de publicitaires et services spécialisés sans empêcher le chargement des autres images. Quand MailTrackerBlocker bloque un pixel espion, il le signale dans l'en-tête par une petite croix bleue.
Une autre méthode pour bloquer le pistage au sein de Mail est de le faire à un niveau plus haut, par exemple en contrôlant les requêtes réseau sur son Mac grâce à Little Snitch, voire au niveau DNS avec un Pi-Hole ou le service NextDNS. Des solutions existent donc pour Mail, mais il est étonnant qu'Apple ne s'y soit pas encore attelée elle-même.