Campagnes publicitaires ciblées, achats en ligne, photos de vacances, échanges avec les services administratifs ou tout simplement correspondances professionnelles sensibles, sur l’année 2019, ce ne sont pas moins de 290 milliards d’emails échangés quotidiennement par la population à travers le monde. Ce chiffre ne fera qu’augmenter au fil du temps, grâce à la précieuse aide des sociétés d’hébergement de courriers électroniques, dont certaines bien connues de tous comme Gmail de Google, Outlook de Microsoft ou encore Yahoo Mail et d’autres plus adaptées à un certain besoin de sécurité comme ProtonMail ou Tutanota.
Une question de souveraineté
La société actuelle évolue dans un monde ou la donnée se monétise grassement. Certains hébergeurs ont déjà subi le feu des critiques et ont fini devant les tribunaux pour non-respect de la vie privée des utilisateurs. Lors de ses accusations en 2013, Google s’est défendu devant la cour suprême en rétorquant : « Tout comme l’expéditeur d’une lettre à un collègue de travail ne peut être surpris que l’assistant du destinataire ouvre la lettre, les gens qui utilisent le courriel aujourd’hui ne peuvent être surpris si leurs courriels sont traités par le fournisseur de messagerie du destinataire pendant la livraison ».
Depuis les révélations d’Edward Snowden sur les programmes d’écoute des services de renseignement américains la même année, l’opinion publique a également pris conscience que la confidentialité des échanges et de la vie privée sur Internet n’était pas garantie pour tout le monde. Pour mieux comprendre, l’accès à notre insu aux contenus de nos emails peut se faire de plusieurs manières et par plusieurs typologies d’acteurs. La première manière s’opère en accédant directement ou indirectement aux serveurs des entreprises qui hébergent nos emails de quelque manière que ce soit. Cela peut se faire simplement par des acteurs étatiques (notamment la NSA dénoncé par Snowden) dans plusieurs pays à l’aide de programmes tels que Prism ou Upstream. De son coté, la France n’est pas en reste avec le déploiement de la Loi n° 2015-912 relative au renseignement qui autorise la mise en œuvre de « black box » chez les hébergeurs pour la surveillance de masse.
La deuxième et la moins légale en matière de traitement de l’information est employée par l’hébergeur lui-même, qui par défaut, a un accès illimité à ses propres serveurs sur lesquels il stocke nos courriers. Tandis que la troisième manière est de passer par une application de gestion de mail comme Mail d’Apple, Mozilla Thunderbird ou encore Edison Mail. En employant un gestionnaire de mail indépendant de notre OS, nous offrons sur un plateau d’argent une quantité surréaliste d’informations à un nouvel acteur qui n’a plus qu’a pioché ce qui l’intéresse. Tout cela, malgré des engagements très axés sur un respect de la confidentialité irréprochable.
Edison Mail : l’application de gestion d’email au cœur de la polémique
Jusqu’à une période récente, les soupçons d’entrave au respect de la vie privée étaient principalement orientés vers les sociétés d’hébergements elles-mêmes. Néanmoins, en février 2020, un journaliste de Vice révèle ses trouvailles suite à une enquête visant la souveraineté de l’application de traitement de courriers électroniques Edison Mail. L’application aux multi-millions de téléchargements et classée N°153 dans l’App-Store d’Apple clame ses vertus exemplaires sur le respect de la vie privée et promet une expérience client démunie de publicité. Ils citent dans leur politique de confidentialité : « Nous demanderons toujours votre consentement avant de partager vos informations d’une manière qui n’est pas abordée dans la présente politique. » – « Nous prenons très au sérieux notre responsabilité de maintenir la confidentialité de vos informations personnelles. » – « Nous utilisons les données commerciales que nous collectons pour créer, partager et utiliser les données de recherche Edison Trends comme décrit ci-dessus. Les données commerciales ne doivent pas être utilisées pour fournir Edison Trends à des tiers lorsque cette utilisation n’est pas autorisée. »
Le fournisseur de services peut s’atteler au ramassage des informations que contiennent nos emails, et plus particulièrement les historiques de ce que l’on achète et pour quel montant, afin de monétiser ces données une centaine de milliers de dollars aux clients d’Edison qui exerce principalement dans la finance, le commerce ou encore dans l’industrie du voyage. Un document de la célèbre banque J.P.Morgan, que Motherboard a pu se procurer, révèle explicitement que certaines entreprises de traitement de mail leur vendent de la donnée personnelle et plus particulièrement l’entreprise Edison qui leur fournit des mesures d’achat de ses clients comprenant la fidélité aux marques, les préférences d’achat et tous autres comportements clients qu’elle collecte via son application smartphone « Edison Email App ».
Edition n’est pas le seul contrevenant. Plusieurs autres services de messagerie gratuits servent également de faucheuse pour la récolte de données, qui est ensuite revendue aux entreprises clientes. Malgré une communication inébranlable et des valeurs qui mettent le respect de la vie privée des utilisateurs en top priorité, nous faisons face ici à une guerre de l’information et un encerclement cognitif des fournisseurs de services de gestion mail, qui œuvrent de concert pour faire croire aux adeptes de ces applications que leurs informations personnelles ne sont ni stockées ni consultées. Et encore moins revendues ! Mais comment gagnent-ils leur vie ?
Parmi les autres délinquants de la vente de données personnelles, on retrouve l’application Cleanfox , un nettoyeur de boîte mail accusé, documents à l’appui, par Motherboard de les siphonner plutôt que de les nettoyer. En réalité, le but premier de l’application est d’extraire les reçus des achats clients, les anonymiser, les traiter et les vendre à l’insu des utilisateurs à des entreprises comme PayPal ou encore des majeurs du conseil comme McKinsey & Company et Bain & Company. D’un autre côté, le service Slice de Rakuten, maintenant écarté de la zone Européenne à cause du RGPD, opérait de manière similaire en récoltant les informations personnelles d’achats en vue de les commercialiser.
Un bon nombre de prestataires ne se sont pas encore fait accuser. Certainement bien protéger par leurs clients assoiffés de « data client » pour orienter leurs affaires dont il en reviendrait de même à comparer cela à de la vente « d’insight ». L’enjeu économique de ces acteurs est beaucoup trop important pour imaginer que toutes entreprises du secteur se fasse pincer, mais on pourrait très facilement, dans un autre registre, imaginer Amazon faire de même au vu de l’éventail de services que propose la firme et du nombre de clients qui utilisent déraisonnablement la plateforme, que ce soit le service Prime Video, Prime ou Alexa.
Kevin Sclacmeuld
L’article La captation des données dans les mails est apparu en premier sur Infoguerre.