Sécurité informatique : nouveaux capotages pour votre vie privée
Bien que nous vous ayons déjà fait part, dans des articles précédents, de nos inquiétudes concernant votre vie privée lorsque vous utilisez un smartphone ou des services d’informatique en nuage (voir par exemple « ... Et merci pour vos données mobiles » et « Prison ou “Prismˮ ? Vos données en garde à vue »), les dernières nouvelles nous poussent encore une fois à aborder le sujet, car même après les révélations d’Edward Snowden, rien ne semble vraiment s’améliorer !
Commençons par Microsoft et son initiative visant à créer un client de messagerie Outlook sur les téléphones Android et iOS. Cette application joue le rôle de boîte mail pour les comptes mail Exchange, Outlook, iCloud, Google et Yahoo, de la même façon que peuvent le faire d'autres clients de messagerie, tels que celui existant sous iOS.
Malheureusement, vos courriels ne sont pas collectés et stockés localement sur votre téléphone. Ils sont collectés par des serveurs gérés par Microsoft, tout comme les données présentes dans votre calendrier. Comment ? Vos identifiants de connexion à votre compte Exchange, iCloud ou Gmail… (y compris votre mot de passe) sont simplement envoyés à ces serveurs Microsoft, qui peuvent ensuite récupérer directement toutes ces informations. Ainsi, si vous utilisez cette application pour lire vos courriels du CERN, votre mot de passe CERN passe entre les mains de Microsoft. Le Parlement européen a considéré ce problème comme très sérieux, au point d’interdire à ses membres l’utilisation de cette application sur tous leurs appareils et comptes professionnels, et, de leur imposer, au cas où ils l’utiliseraient déjà, de la désinstaller et de changer leur mot de passe. Peut-être est-il également temps pour vous de reconsidérer, le cas échéant, l'utilisation de cette application, et de changer votre mot de passe CERN...
À cet égard, Microsoft est très différent de l'iCloud d'Apple ou de Gmail. L'iCloud d'Apple contient bien une copie chiffrée de votre mot de passe CERN - par l’intermédiaire de vos sauvegardes iOS - mais pas de copie lisible. Gmail n'a quant à lui aucune connaissance de votre mot de passe, si vous lui transmettez simplement vos courriels CERN (si vous êtes membre du personnel CERN, nous vous invitons cependant à ne pas transmettre de la sorte vos courriels à des tiers tels que Google. Voir « Évitez les fuites de courrier »).
La société Apple a elle aussi quelques soucis avec la protection de votre vie privée (si vous y croyez encore) : le client de messagerie d'Apple a une fonctionnalité qui permet de bloquer explicitement le suivi des courriels*, empêchant l'expéditeur de savoir si vous avez lu son message. Or, le moteur de recherche Spotlight d'Apple indexe vos courriels… et a donc besoin de les lire, lui aussi ! Et c'est là que le bât blesse : Spotlight télécharge les ressources incluses dans vos courriels au lieu de les bloquer, informant malgré vous l'expéditeur que vous avez bien reçu son message.
En deux mots : faites attention ! Protégez votre vie privée et votre mot de passe CERN. Certaines applications et certains programmes collectent plus d'informations que vous le pensez. Laissez le soin au service mail du CERN de garder vos courriels et ne les transmettez pas à des fournisseurs mail tiers.
*Techniquement parlant, ce suivi est réalisé en analysant un objet du message contenant un identifiant unique (par exemple une image intégrée dans le courriel), qui sera téléchargé depuis le client de messagerie. Lorsque vous regardez le message, ce téléchargement suffit à l’expéditeur pour savoir que vous avez regardé son courriel (et donc que vous l'avez bien reçu).
N'hésitez pas à contacter l'équipe de sécurité informatique
ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.
par Stefan Lueders, Computer Security Team
