Journal Méfiez-vous des applications de courriel sur mobile

Posté par (page perso) . Licence CC by-sa
55
31
déc.
2014

Sommaire

Introduction

Que ce soit sur Google Play ou même l’App Store, les applications mobiles alternatives pour consulter votre boîte mail prospèrent. Mais que font-elles vraiment ? Peut-on leur faire confiance ?

On s’imagine qu’elles sont justes « mieux faites » que les applications par défaut. « Pareil mais en mieux », plus jolies, plus simples, vous promettant un tri automatique du courriel entrant ou un (swype) super-cool, ou encore un regroupement de vos boîtes pro & perso, alors vous foncez. Mais qu’en est-il vraiment ?

J’ai connu l’appli myMail par le bouche-à-oreille, et à voir les notes qu’ont ce type d'applications sur les entrepôts applicatifs, aucune méfiance à avoir. Elles sont très largement appréciées et très largement recommandées.
Je n’ai pas parcouru les milliers de commentaires, mais les premières pages sont quasiment toutes élogieuses.

Chez Alinto, on fait du courriel (serveur collaboratif, relais sécurisé, webmail…), et par curiosité, j'ai voulu comprendre comment une appli comme myMail fonctionnait, et j'en ai fait un article sur notre blog technique (cf. liens "La démonstration technique")

Je démontre techniquement dans cet article, que les applications comme myMail ou encore CloudMagic ont toutes les clés en main pour faire ce qu’elles veulent de votre boîte mail.

Je reviendrai plus tard sur ces aspects techniques, mais la conclusion de cet article est que, lorsque vous entrez votre adresse e-mail et votre mot de passe dans l’une de ces applis, ces informations se retrouvent sur des serveurs en Russie (pour myMail) ou dans le cloud d’Amazon (pour CloudMagic) et qu'elles les conservent. Vous le saviez ?

Maintenant que j’ai attiré votre attention, continuons…

Liens

État des lieux

Votre messagerie, selon qu’elle soit personnelle ou professionnelle, contient une partie de votre vie.

Dans le cas d’une messagerie personnelle, elle « n’est que » privée… vos échanges avec vos amis, votre famille, quelques notions de vos goûts et de vos achats sur Internet.

Avec ces informations, une entreprise peut déjà en savoir pas mal sur vous, pas forcément en tant qu’individu, mais plus en tant que cible marketing, et c’est déjà pas mal.

Avec une messagerie professionnelle, c’est autre chose. Vos échanges internes, vos clients, vos prospects, votre stratégie. Dit autrement, selon votre poste et vos responsabilités, votre messagerie contient une partie de vos secrets professionnels, et c’est énorme.

À quel moment saisissez-vous vos identifiants de messagerie ? Lorsque vous configurez votre PC ou votre smartphone. Bien évidemment, les logiciels tels que Thunderbird, Outlook, Mail sous Mac OS ou le client de courriel par défaut de votre smartphone, sont tout à fait fiables (ne rentrons pas dans la polémique ici). De plus, à partir du moment où vous choisissez les protocoles sécurisés (par défaut en général) vous ne prenez pas (trop) de risques.

Cependant, vous serez peut-être tentés d’installer une autre appli sur votre smartphone. C’est sur ce dernier point que je voudrais attirer votre attention.

Installer une appli mobile, c’est simple, trop simple. 2 ou 3 tapotages suffisent. On s’imagine qu’elles sont justes « mieux faites » que les applis par défaut. Mais qu’en est-il vraiment ?

Dans l'article, je prouve que les applis tel que myMail ont et conservent vos login et mot de passe de messagerie, et ont forcément une copie de vos mails.

Une boîte mail, on l’a vu, c’est une partie de votre vie. Si pour eux, vous n’êtes qu’une cible marketing, après tout, Facebook ou Google vous ont déjà habitué à cela non ?

Mais ils ont également la possibilité de vous envoyer des mails, en outrepassant votre antispam. Eh oui, grâce à l’IMAP ou l’Active Sync on peut déposer un courriel directement dans votre courriel entrant, cool non ? (Je dis qu’il fallait y penser… on ne va pas se mentir, c’est malin ;) )

Pour en rajouter, comme ci ces informations ne suffisaient pas, l’appli mobile récupère le reste de vos informations grâce aux autorisations, vous savez, celles que très peu de gens lisent en se disant, "s’ils demandent ça, c’est qu’ils en ont besoin…"

Ces autorisations, ne sont que quelques détails tels que :
- votre n° de téléphone,
- vos autres comptes
- vos contacts
- vos identifiants pour les réseaux sociaux (si si, cf. les copies d’écrans de l’article)
- et puisqu’ils ont accès à vos courriels, ils ont également accès à toute votre correspondance, donc les courriels et les adresses de courriels de tous vos correspondants…

Et si par le plus grand des hasards, vous avez mis un compte professionnel, pour peu que vous utilisiez une boîte Microsoft Exchange ou compatible, grâce à l’Active Sync, ils auront également accès à :

  • votre annuaire d’entreprise (si si, le grand annuaire!, avec les adresses de tout le monde), votre agenda, vos notes, etc.

Que de simples détails… n’est-ce pas ?

Techniquement

Dans les grandes lignes, voici ce que démontre l’article :

Sur ce site, vous avez peut-être des notions sur le courriel plus avancées que la moyenne des utilisateurs. Pour relever une boîte de courriel distante, un client de messagerie utilise l’un des protocoles suivants : IMAP, POP3 ou Active Sync. En tout cas, c’est ce qui est proposé par défaut sur le client de votre Android ou de votre iPhone.

Grâce à ces protocoles, le client de messagerie de votre mobile, communique directement avec votre serveur de messagerie, sans serveur « tiers ».

Ces deux apps, quant à elles, communiquent avec des serveurs intermédiaires.

L’application envoie des requêtes HTTPS vers leurs serveurs, ceux-ci, se connectent en IMAP, en Active Sync, stockent les informations dans ce cloud, puis renvoie les données vers l’application.

Cela veut dire, que votre login et votre mot de passe sont forcément stockés sur ces serveurs, et de plus, même une fois l’application désinstallée, les accès sur le serveur de messagerie continuent.

En d’autres termes, une fois installée, et vos identifiants laissés, il est trop tard. Vos courriels ont été aspirés et continueront de l’être, sauf si vous changez votre mot de passe.

Conclusion

Peut être que certains d’entre-vous commencent à avoir peur… Je pense que vous avez raison.

Je crois aussi savoir que certaines personnes, comme moi, craignent la grandeur d’un Google ou d’un Microsoft, notamment avec les affaires d’écoutes, mais que peuvent faire les Russes de toutes ces informations ?

Je vous laisse l’imaginer, j’espère sincèrement que vous n’avez pas installé l’une de ces apps, mais si c’était le cas, la moindre des choses à faire après la désinstallation, est au moins de changer de mot de passe.

Et si vous deviez réfléchir à 2 fois la prochaine fois que vous saisissez vos identifiants de messageries, à cause de moi et de cet article, j’en serais ravi !

Alternative

Si vous souhaitez utiliser une application alternative sur Android, je vous conseille K9-Mail, qui en plus de faire directement de l'IMAP, est Open Source!

  • # K9-Mail en client d'un serveur yunohost

    Posté par . Évalué à 8.

    Je confirme l'intérêt et la fiabilité (accessibilité et fonctionnalités + confort d'utilisation) du client K9-mail pour smartphone, connecté à un serveur de messagerie roundcube, intégré à la solution d'autohébergment yunohost.
    Ici, dans un contexte d'utilisation TPE (une poignée de comptes utilisateurs, alias inclus), dans laquelle l'accent est mis sur la maîtrise des données, des outils et de l'infrastructure.

    • [^] # Re: K9-Mail en client d'un serveur yunohost

      Posté par . Évalué à 3.

      ups: serveur de messagerie dovecot/postfix

      • [^] # Re: K9-Mail en client d'un serveur yunohost

        Posté par (page perso) . Évalué à 10.

        Si vous souhaitez utiliser une application alternative sur Android, je vous conseille K9-Mail

        Perso, je conseillerais plutôt K9-mail sur f-droid.org :D

        Cela n'a l'air de rien, mais déjà éviter d'avoir besoin d'un compte google et utiliser un dépôt libre (serveur et client de f-droid sont disponibles sous licence libre) pour installer un logiciel libre, cela a un semblant de cohérence d'ensemble ;-)

        Cela est détaillé plus bas dans les commentaires et régulièrement sur LinuxFr.org avec le tag f_droid.

        Bonne année en (meilleure) sécurité et respect de la vie privée ;-) !

        • [^] # Re: K9-Mail en client d'un serveur yunohost

          Posté par (page perso) . Évalué à -10. Dernière modification le 01/01/15 à 09:59.

          Cela n'a l'air de rien, mais déjà éviter d'avoir besoin d'un compte google et utiliser un dépôt libre (serveur et client de f-droid sont disponibles sous licence libre) pour installer un logiciel libre, cela a un semblant de cohérence d'ensemble ;-)

          Ca va faire bondir certains ici, mais quand je vois la connerie aggressive et insultante de l'utilisation d'un mot "privateur" qui n'a rien à voir avec le sujet (on est privé de rien, c'est juste non libre), ça me donne pas du tout envie, et je préfère utiliser un compte Google et un dépot non libre, cela pour un minimum de respect envers les autres qui ne sont pas d'accord avec moi.
          Question de respect (et après on me dit que je ne respecte pas les autres, ça fait sourire).

          Evitez f-droid si vous avec un minimum de respect envers ceux qui ne sont pas d'accord avec vous. Tu parles de cohérence, mais encore faut-il que l'offre alternative soit acceptable : propose une alternative correcte, le fait que ce soit libre n'est pas suffisant (un certain Eich était très libriste mais on ne lui toutefois pas permis d'être CEO d'une entité libriste car il avait d'autres idées bof, donc pour f-droid c'est aussi une question de cohérence dans l'ensemble des idées qu'on a, mais après je conscient que si on est en mode "si tu n'es pas 100% avec moi, tu es contre moi", f-droid doit plaire).

          PS : je suis aussi conscient que c'est une connerie franco-française (en anglais, c'est "non-free", qui est neutre au niveau du rapport aux autres qui ne sont pas d'accord avec eux, mais bon, voila, ils ont accepté cette traduction française et ça c'est éliminatoire pour une personne lisant du français.

          PPS : parler de Mozilla en disant qu'il promeut du non libre, c'est quand même du gros foutage de gueule et montre un intégrisme énorme : non, vivre ensemble, accepter du non libre, n'est pas promouvoir, tout comme avoir des stats désactivables n'est pas épier.

          • [^] # Re: K9-Mail en client d'un serveur yunohost

            Posté par . Évalué à 10.

            euh, t'as eu un reveil de lendemain de reveillon difficile ?
            qqu'un conseille juste d'installer un soft libre a partir d'un dépot libre, et toi tu enchaine sur privateur, eich, mozilla, sous couvert de "toute vérité est bonne a dire".
            Zenitram, le Zemmour de linuxfr !

          • [^] # Re: K9-Mail en client d'un serveur yunohost

            Posté par . Évalué à 10.

            Marrant, j'ai cru te voir tenir une position du style "ce qui importe c'est pas la forme, c'est le message" il y a peu.

    • [^] # Re: K9-Mail en client d'un serveur yunohost

      Posté par . Évalué à 3.

      Je profite de cette discussion, qui porte sur K9-Mail, car peut-être que certains lecteurs participent à ce projet ? Qui sait, en tant qu'utilisateurs, traducteurs, créateurs de documentation, développeurs ou autres ?

      Du coup, j'en profite pour attirer l'attention sur une fonctionnalité qui serait bien utile, pas seulement à ses utilisateurs: ajouter un bouton « Répondre à la liste » quand les messages échangés sont liés à une liste de discussion.
      Cette fonctionnalité n'a pas été implémentée, ce qui lance des discussions récurrentes sur « Quels en-têtes de réponse pour la liste ? » sur différentes listes… et c'est une perte de temps bien dommage pour tout le monde ! :-/

      Sinon, est-ce qu'il y a des lecteurs qui utilisent avec succès et bonheur une « application courrielle pour mobile » qui aurait ce bouton de base « Réponse à la liste » ? Et si possible, qui ne stocke ni les authentifiants, ni les courriels sur les serveurs de l'éditeur de l'application ? ;)

      (Je n'utilise pas K9-Mail et je n'ai plus de mobile permettant de lire les courriels, d'où mes questionnements ci-dessus.)

  • # Pour être plus clair

    Posté par (page perso) . Évalué à -4.

    En gros, tu dis qu'une appli de gestion de mails, a accès… à tes mails ?

    Bon, sans troll, ton problème c'est qu'ils stockent les mots de passes chez eux.
    Mais pour moi, que les mots de passes soient effectivement stockés dans leur cloud ou non ne change pas grand chose,
    Le jour où une appli se fait corrompre, l'attaquant à juste à rajouter 3 lignes de code qui forwardent les identifiants vers l'attaquant. Elle se fera mettre à jour toute seule comme une grande par le Play Store, et voilà, l'attaquant a tout les mots de passes.

    Le problème existe aussi pour k9-mail, du moins celui que tu pointes:
    Même s'il est opensource et le code source est vérifié, rien ne prouve que le binaire ne corresponde.
    Et même s'il correspond à un instant t, ça sera pas forcement le cas de la prochaine mise à jour.

    • [^] # Re: Pour être plus clair

      Posté par . Évalué à -4.

      "Même s'il est opensource et le code source est vérifié, rien ne prouve que le binaire ne corresponde".

      L'intérêt de l'opensource, c'est de pouvoir compiler soit-même l'application.
      Donc si tu télécharges le binaire à la place de compiler c'est ton problème. En quelques sortes TU te mets en "danger" toi-même.

      "Opensource" ce n'est pas pour faire joli.

      • [^] # Re: Pour être plus clair

        Posté par (page perso) . Évalué à 4.

        Le problème existe aussi pour k9-mail, du moins celui que tu pointes:

        Il pointe vers le playstore, donc le binaire.

      • [^] # Re: Pour être plus clair

        Posté par (page perso) . Évalué à 1.

        C'est bien joli d'avoir les sources, mais qu'est-ce qui te garantit qu'elles sont exemptes de failles plus ou moins volontaires ?

        • [^] # Re: Pour être plus clair

          Posté par . Évalué à 0.

          Si tu connais un peu le Java tu peux les lire (ou faire des recherches sur les lignes de code responsables de l'envoi de requêtes par exemple).

          Sinon tu fais confiance, d'autres gens l'ont fait. Parce qu'à ce moment-là il ne faut pas faire confiance aux dépôts debian, ni aux images debian que l'on télécharge sur debian.org, ni même le programme qu'on utilise pour télécharger !

          Avec un minimum d'effort on peut faire confiance aux gens derrière K9-mail, F-Droid etc.

          • [^] # Re: Pour être plus clair

            Posté par . Évalué à -4.

            Ben oui, avoir et pouvoir lire les sources c'est une sacrée garantie qu'il n'y a pas de failles/backdoors.

            Shellshock et Heartbleed l'ont très bien montré.

            • [^] # Re: Pour être plus clair

              Posté par . Évalué à 3.

              Nan, mais ca c'etait des erreurs innocentes, ca change tout et diminue vachement l'impact desdites failles.
              </ironie>

              Linuxfr, le portail francais du logiciel libre et du neo nazisme.

          • [^] # Re: Pour être plus clair

            Posté par . Évalué à 3.

            Sinon tu fais confiance, d'autres gens l'ont fait.

            Et si ces autres gens pensent comme toi et se reposent sur d'autres gens?

            Autant pour les "gros" projets et populaires, on peut raisonnablement le croire mais pour un logiciel minime comme K9?
            Je ne mettrais pas ma main à couper pour CyanogenMod, ni F-Droid ni le projet AOSP. Qui a les compétences et le temps de farfouiller dans le git d'AOSP?

            Je pense qu'il est de plus en plus temps que même les gros projets constituent une équipe dédiée à l'audit et s"curité du code moyenant un financement récurrent.

            Après, on ne saura jamais sûr à 100% mais ce n'est pas le but.

    • [^] # Re: Pour être plus clair

      Posté par . Évalué à 10.

      En gros, tu dis quʼune appli de gestion de mails, a accès… à tes mails ?

      Que le programme installé sur ton appareil ait accès à tes mails est effectivement normal, mais que les ordinateurs de l'éditeur de ce programme l'aient ne l'est pas.

      Mais pour moi, que les mots de passes soient effectivement stockés dans leur cloud ou non ne change pas grand chose,
      Le jour où une appli se fait corrompre, l'attaquant à juste à rajouter 3 lignes de code qui forwardent les identifiants vers l'attaquant.

      Si, ça change beaucoup de choses. Si les mots de passe sont stockés sur un serveur tiers, tu peux te les faire voler en cas de piratage de ce serveur, même sans mettre à jour le programme, même sans l'utiliser et même après l'avoir désinstallé.

      • [^] # Re: Pour être plus clair

        Posté par (page perso) . Évalué à -3.

        À moins que t'ai une preuve qu'au moment où t'as installé l'appli, elle n'était pas corrompue, la différence n'est pas énorme.

        Après, ça dépend de contre quel type d'attaques t'essaie de te défendre. Je t'avoue que dans ce genre de discussions, je suppose qu'on est en mode parano absolu et qu'on veut se protéger des gouvernements. Par contre, contre des petits hackers qui veulent juste se faire de l'argent, effectivement le problème est plus présent.

        Par contre, ces services gèrent le OAuth, donc ont tous une authentification révocable, limitée au mail, et aucunement lié au mot de passe. (mais ils conservent effectivement tes mails)

    • [^] # Re: Pour être plus clair

      Posté par . Évalué à 4.

      De ce que j'ai compris, le problème est pire : tes identifiants et toutes les communications transitent par des serveurs à eux, qui peuvent donc intercepter tous tes mails. Après effectivement, le simple fait d'avoir tes identifiants stockés sur un serveur distant sur lequel tu n'as pas de contrôle (sans forcément faire transiter les mails) revient au même.

      Je n'utilise pas K9-Mail, mais j'imagine que le stockage des identifiants se fait uniquement sur le téléphone.

      Le problème n'est pas le même : même si les applications en elles-mêmes peuvent avoir une faille de sécurité, dans le cas des applications faisant tout transiter par des serveurs intermédiaires, en plus du risque d'attaque présent partout, on n'a aucune garantie que les développeurs n'ont pas d'intention malveillante (et, au contraire, on peut raisonnablement supposer qu'ils en ont ; les informations personnelles ça peut rapporter un peu avec la pub, les informations professionnelles, ça peut rapporter beaucoup au détriment de l'entreprise à laquelle elles appartiennent).

      Avec un client mail normal, tes mails et tes identifiants doivent rester sur ton téléphone, et si tu colles un wireshark au bout, les seules connections qu'on doit relever devraient être avec ton serveur de mail.

    • [^] # Re: Pour être plus clair

      Posté par . Évalué à 6.

      Le problème existe aussi pour k9-mail, du moins celui que tu pointes :
      Même s'il est opensource et le code source est vérifié, rien ne prouve que le binaire ne corresponde.
      Et même s'il correspond à un instant t, ça sera pas forcement le cas de la prochaine mise à jour.

      Ce problème existe avec google play, mais pas avec F-Droid, dont les mainteneurs font le même travail que ceux d'une distribution Linux sérieuse.

      PS : K9-mail est disponible sur F-Droid.

      • [^] # Re: Pour être plus clair

        Posté par (page perso) . Évalué à 4.

        Faut faire confiance à F-Droid ;-)

        Plus sérieusement, quel travail font-ils précisément ?
        Ils recompilent eux-même le code ?

        • [^] # Re: Pour être plus clair

          Posté par . Évalué à 10.

          Plus sérieusement, quel travail font-ils précisément ?
          Ils recompilent eux-même le code ?

          Oui, et ils mettent eux-même à disposition le code source qu'ils ont compilé pour générer le binaire. Exactement comme pour un logiciel libre sur une distribution Linux.

          En plus ils enlèvent les morceaux "problématiques" (code non-libre, spyware, adware) avant de compiler.

          • [^] # Re: Pour être plus clair

            Posté par . Évalué à 9. Dernière modification le 31/12/14 à 16:56.

            F-droid prévient aussi lorsqu'une application "promeut des extensions privatrices" ou bien encore "épie et rapporte votre activité"

            Firefox f-droid

            • [^] # Re: Pour être plus clair

              Posté par (page perso) . Évalué à 2.

              Ça pour le coup, je le mets pas vraiment dans les fonctionnalités qui font que F-Droid rend le tout plus sûr, à moins que ce soit détecté automatiquement
              Mais ça reste une fonctionnalité intéressante

              • [^] # Re: Pour être plus clair

                Posté par (page perso) . Évalué à 5.

                à moins que ce soit détecté automatiquement

                Les bibliothèques problématiques (pubs associées à des trackers, principalement) sont remplacées par des stubs de fonctions ne faisant rien. C'est une démarche manuelle lors de l'empaquetage / compilation, similaire au processus appliqué pour Debian : identification des dépendances, vérification de la disponibilité de l'intégralité des sources sous licence libre, cela permet de gérer le MANIFEST android permettant, en outre, la génération automatique de pages wiki documentant les changements de version en version.

                Les changements de droit d'une version à l'autre sont tracés et indiqués iirc.

                Tu as toute la doc' pour installer un build-system et le dépôt f-droid afin d'avoir la même chose chez toi et tout contrôler.

                Mais ça reste une fonctionnalité intéressante

                Si tu cherches des applications pour lister les droits inopportuns octroyés, tu peux regarder du côté des applications Permission et Permission Friendly que j'ai découvertes à cause d'une mésaventure suite à l'achat d'un ordiphone où je ne réussissais plus à installer d'apk avec f-droid à cause d'une sécurité intégrée à Android correspondant (en anglais) à Display system-level alerts [SYSTEM_ALERT_WINDOW] Allows an application to show system alert windows. Malicious applications can take over the entire screen => ce n'est pas complètement idiot, mais un peu déconcertant (surtout les contournements proposés sur les sites grand public :/).

                S'il y a une appli qui retire des droits à une application installée, cela m'intéresse ;-) notamment webcam et gyroscope :p

                Note : il me semble que la dépêche en rédaction pour se passer des big brothers serait intéressante pour certains ;-) (incitation à y participer et y ajouter des sujets au besoin).

            • [^] # Re: Pour être plus clair

              Posté par . Évalué à 2.

              Firefox pour Android envoi les statistiques d'utilisation par défaut ? Il me semble que sur la version Desktop (linux) il y a lors du premier démarrage un message qui te demande si oui ou non tu veux envoyer tes statistiques d'utilisation.

              • [^] # Re: Pour être plus clair

                Posté par (page perso) . Évalué à 2.

                Ce n'est pas que ça mais aussi :

                Sending crash reports without your knowledge or permission
                Checking for updates without your knowledge or permission
                Ce que fait Firefox par défaut, sur toutes les plateformes :(

                « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

                • [^] # Re: Pour être plus clair

                  Posté par (page perso) . Évalué à 2.

                  Pour l'envoi des rapports de crash, Firefox me demande systématiquement la permission. Je décoche la case, et je le relance.
                  Quand on regarde de nombreuses petites vidéos sur le web (imgur), ça plante toujours au bout d'un moment. Probablement un problème d'espace mémoire quelque part.

                  Les updates sont gérées par f-droid, sur mon smartphone, et Firefox ne m'a jamais rien dit à ce sujet (peut être qu'il test quand même les màj.)

                  Et, de toute façon, par défaut c'est ainsi que se comportent la plupart des logiciels, et cela convient à laplupart des gens. Ceux qui veulent changer les options le font. (d'autres s'en contrecarre)

                  • [^] # Re: Pour être plus clair

                    Posté par (page perso) . Évalué à 2.

                    Pour l'envoi des rapports de crash, Firefox me demande systématiquement la permission. Je décoche la case, et je le relance.

                    Du coup va falloir tabler sur t → +∞ pour la résolution du problème.

          • [^] # Re: Pour être plus clair

            Posté par . Évalué à 3.

            Voir la politique d'inclusion des addons tiers : https://f-droid.org/wiki/page/Inclusion_Policy
            et la liste des "antifeatures" https://f-droid.org/wiki/page/Antifeatures
            Celles-ci sont signalées explicitement et listées, par catégorie. On y trouve ainsi les antifonctions de pub, de pistage, de services réseau non libres, les addons non libres, les dépendances non libres et les upstream non libres.

  • # Connexions après désinstallation

    Posté par . Évalué à 2.

    même une fois l’application désinstallée, les accès sur le serveur de messagerie continuent

    Toi qui as fait des tests, peux-tu nous donner des précisions ? Quels types d'accès sont faits ?

    • [^] # Re: Connexions après désinstallation

      Posté par (page perso) . Évalué à 9.

      Ils continuent de scanner les mails en IMAP depuis leurs serveurs, tout simplement (les traces réseaux sont dans la démo technique)

      • [^] # Re: Connexions après désinstallation

        Posté par . Évalué à 2.

        En mêem temps, pour le coup, ils ne peuvent pas vraiment savoir que tu as désinstallé l'application (on peut désinstaller des trucs hors connexion sur Android, ce qui veut dire qu'il n'y a probablement pas de moyen pour le développeur de l'application de savoir si elle est toujours installée ou non). Du coup, ils ne peuvent que deviner que tu n'es plus intéressé par leur "service" qu'avec le temps ; si tu n'as plus relevé tes mails depuis 6 mois, il est probable que la synchronisation est totalement inutile.

        Ça ne justifie en rien ce mode de fonctionnement honteux, mais je ne pense pas qu'on puisse leur reprocher de continuer à relever tes mails à ta place en absence d'activité, puisque c'est ce qu'ils font déja, de toutes manières.

        Au passage, c'est une bonne raison de changer de mot de passe régulièrement ; au moins ça limite la compromission dans le temps.

  • # Réaliste car peu de moyens de faire autrement

    Posté par . Évalué à 4. Dernière modification le 31/12/14 à 17:35.

    Je reviendrai plus tard sur ces aspects techniques, mais la conclusion de cet article est que, lorsque vous entrez votre adresse e-mail et votre mot de passe dans l’une de ces applis, ces informations se retrouvent sur des serveurs en Russie (pour myMail) ou dans le cloud d’Amazon (pour CloudMagic) et qu'elles les conservent. Vous le saviez ?

    Ta conclusion (que les identifiants sont conservés par les serveurs distants) me paraît d'autant plus crédible que je ne vois guère comment un développeur d'applications mobiles pourrait faire autrement si son objectif est de se démarquer en offrant une application mail "plus jolies, plus simple, vous promettant un tri automatique du courriel entrant ou un (swype) super-cool, ou encore un regroupement de vos boîtes pro & perso"

    Le développement pour mobile a plusieurs talons d'achilles, mais deux qui sont incontournables sont la non-fiabilité de la connexion internet et la batterie qui est une ressource précieuse à économiser. Vous pouvez avoir comme objectif de respecter à 100% la privacy, vous pouvez avoir comme objectif de faire une appli performante, mais les deux en même temps ? Je demande à voir.

    "Faire directement de l'IMAP" ça veut dire qu'il y a un polling individuel au niveau d'une application plutôt que du système. Si votre but est de faire une application performante, celle-ci doit utiliser les moyens mutualisés par le système que sont les serveurs Push de Apple et Google. Et pour utiliser les serveurs Push d'Apple, il faut que l'interrogation des serveurs IMAP ne se fassent pas par l'application sur votre smartphone mais par votre serveur. Donc il faut que votre serveur aient les identifiants courriels.

    • [^] # Re: Réaliste car peu de moyens de faire autrement

      Posté par . Évalué à 6.

      Je chipote mais tout dépend de ce qu'on entend par "performante".
      K9 ne communique (non j'ai pas vérifié, clairement là c'est juste une histoire de confiance) qu'avec mon serveur IMAP et récupère les emails lorsque je le lui demande : c'est exactement ce que j'attend de lui.
      On peut mettre en place des règles du style "relever le courrier toutes les 10 minutes entre 7h et 19h du lundi au vendredi", lui préciser quels dossiers IMAP doivent être actualisés, etc … Et je n'ai pas constaté, avec mes règles, de diminution flagrante de ma batterie. Bref je le trouve performant.

      • [^] # Re: Réaliste car peu de moyens de faire autrement

        Posté par . Évalué à 2.

        On peut mettre en place des règles du style "relever le courrier toutes les 10 minutes entre 7h et 19h du lundi au vendredi", lui préciser quels dossiers IMAP doivent être actualisés, etc … Et je n'ai pas constaté, avec mes règles, de diminution flagrante de ma batterie. Bref je le trouve performant.

        Le problème est pourtant évident : tes mails arrivent avec du retard (jusqu'à 10 minutes) et seulement à certains horaires, alors qu'avec un logiciel push comme gmail et sans doute ceux cités dans le journal ils arrivent instantanément.

        • [^] # Re: Réaliste car peu de moyens de faire autrement

          Posté par (page perso) . Évalué à 10.

          tes mails arrivent avec du retard (jusqu'à 10 minutes)

          Et alors ? L’email n’a jamais été un médium de communication instantanée. Si le message est tellement urgent que dix minutes de délai dans l’acheminement constituent un problème, il ne faut pas passer par l’email (rien que le greylisting, de plus en plus utilisé, peut facilement rajouter quinze ou trente minutes de délai, et c’est totalement hors de contrôle tant de l’expéditeur que du destinataire).

          et seulement à certains horaires

          Dans l’exemple auquel tu réponds, je pense que c’est précisément ce qui est souhaité.

        • [^] # Re: Réaliste car peu de moyens de faire autrement

          Posté par . Évalué à 8. Dernière modification le 31/12/14 à 23:31.

          k9mail gère le pushing, après je sait pas si c'est activé pour certains dossiers (genre INBOX) ou pas.

          Bon faut que le serveur le gère aussi, mais pas de problème avec un dovecot récent.

          Avec ça tu reçoit tes mails en live.

        • [^] # Re: Réaliste car peu de moyens de faire autrement

          Posté par . Évalué à 3.

          Je n'ai pas particulièrement touché au paramètre de fréquence de rafraîchissement des mails reçus, mais sur k9-mail, la réception des messages que j'ai besoin d'avoir immédiatement est suffisamment instantanée à mon niveau (et me donne un avantage concurrentiel dans un usage pro). Parallèlement, une fréquence de 10 min. (par défaut) sur le client de messagerie icedove me convient parfaitement.

      • [^] # Re: Réaliste car peu de moyens de faire autrement

        Posté par . Évalué à 3.

        K9 ne communique (non j'ai pas vérifié, clairement là c'est juste une histoire de confiance) qu'avec mon serveur IMAP et récupère les emails lorsque je le lui demande : c'est exactement ce que j'attend de lui.

        Et bouffe facile 2-3h sur d’autonomie de mon téléphone si je veux des notifications d’arrivée de mail, relativement à l’app gmail.

        • [^] # Re: Réaliste car peu de moyens de faire autrement

          Posté par (page perso) . Évalué à 2. Dernière modification le 02/01/15 à 22:19.

          Vu que toutes les applis IMAP (y compris serveur) qui ne datent pas de Croc-Magnon gèrent IDLE, ça rajoute une connexion par rapport à celle (encore faut-il supposer que ça n'en ouvre qu'une…) pour C2M.

          Après libre à toi de tout faire passer par Google pour gagner un petit peu d'autonomie (mon OPO tient facilement deux jours sur batterie alors que j'ai le wifi et le GPS allumés en quasi permanence).

          • [^] # Re: Réaliste car peu de moyens de faire autrement

            Posté par (page perso) . Évalué à 4.

            Déjà, c'est une connexion par répertoire surveillé. Ensuite, mon expérience avec IDLE sur quelques clients mails que j'ai pu tester, c'est qu'ils relancent des synchro régulières, parce qu'ils sont vraiment pas sûrs de la connexion. (y a pas de keep-alive sur l'idle?)

            Sinon le WiFi sans activité ça consomme plus rien de nos jours (mais ça consomme plus quand y a de l'activité). Par contre pour le GPS ça m'étonne, en général ça tire beaucoup. Genre t'enregistre ta position en continue pendant 2 jours ?

            • [^] # Re: Réaliste car peu de moyens de faire autrement

              Posté par . Évalué à 3.

              Par contre pour le GPS ça m'étonne, en général ça tire beaucoup.

              Clairement. Il confond surement avec les services de localisations qui vont se baser sur le wifi/antennes gsm la majorite du temps et allumer le gps uniquement ponctuellement.

              Linuxfr, le portail francais du logiciel libre et du neo nazisme.

              • [^] # Re: Réaliste car peu de moyens de faire autrement

                Posté par (page perso) . Évalué à 2.

                J'enregistre entre autres mes trajets à vélo et vu que je vois limite sur quel trottoir quelle voie je suis, ça m'étonnerait que ça utilise seulement les antennes GSM.

                • [^] # Re: Réaliste car peu de moyens de faire autrement

                  Posté par . Évalué à 2.

                  quand bien meme.
                  Quand t'es a la maison, au boulot, dans la rue, etc, le gps a tres peu de chance de se déclencher, et quand bien meme il se déclenche, ca sera par acoups.
                  Si ton gps était effectivement allume en quasi permanence, ta batterie serais morte en 1 ou 2 heures max.

                  Linuxfr, le portail francais du logiciel libre et du neo nazisme.

                  • [^] # Re: Réaliste car peu de moyens de faire autrement

                    Posté par (page perso) . Évalué à 3.

                    Sur un galaxy nexus (pas vraiment à la pointe au niveau économie d'énergie), j'ai tenus 5-6heures (iirc) avec une applications qui enregistre la trace gps en permanence dans un gpx.

                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Permissions Android

    Posté par . Évalué à 8.

    C'est un problème intéressant que de savoir ce que fait réellement une appli mobile de nos données, qui n'est pas propre qu'aux applis de mails. Sur Android, il y a pourtant un système de permissions intéressant, mais qui au final ne sert à rien car beaucoup d'applis se contentent de demander un accès à un maximum de droits, sans qu'on puisse faire quelque chose, à part juste le choix binaire installer/ne pas installer l'application.
    Ça me rappelle l'histoire de l'application Uber (réservation de VTC) qui demande l'accès par exemple à la caméra de l'appareil ou encore l'accès complet au SMS du téléphone. Pourquoi ne pourrait-on pas installer une application en lui refusant tel ou tel droit séparément ?? Surtout quand on sait aujourd'hui la quantité faramineuse de données privées qu'on stocke sur nos mobiles.

    • [^] # Re: Permissions Android

      Posté par . Évalué à 2.

      Pourquoi ne pourrait-on pas installer une application en lui refusant tel ou tel droit séparément ??

      Au pif : parce-que ça casserait une quantité faramineuse d'allocations existantes ?

      • [^] # Re: Permissions Android

        Posté par . Évalué à 5.

        Plutot parce que google a deconne grave quand ils ont mit en place leur systeme de permissions.
        Ios marche exactement comme le decrit l'op, et c'est un peu plus agreable comme systeme (mais vachement plus chiant pour le developeur, qui doit gerer des cas d'erreurs).

        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: Permissions Android

          Posté par . Évalué à 7.

          Ios permet effectivement de désactiver les permissions et c'est certes plus pénible pour le développeur, mais je pense que c'est surtout un problème de business model…

          Le business model android, c'est les applis spyware gratuites avec de la pub.

          Si Google veut enlever des permissions sans compliquer la vie du développeur, il y a des solutions : renvoyer des données vides ou bidons. L'appli demande l'accès au carnet d'adresse mais n'en a pas le droit, on lui renvoie un carnet vide. Elle veut lire les sms, on lui envoie une liste vide de sms, etc.

          • [^] # Re: Permissions Android

            Posté par . Évalué à 5.

            Il me semble que Cyanogen avait essayé de faire un truc dans ce genre là récemment.

            • [^] # Re: Permissions Android

              Posté par (page perso) . Évalué à 5.

              C’est exactement comme ça sur Cyanogenmod depuis la version 10.1 (d’après mes recherches).

              Plus d’informations (AppOps dont ils parlent dans l’article est un truc qui a été supprimé depuis et qui ne devait jamais sortir).

              Écrit en Bépo selon l’orthographe de 1990

          • [^] # Re: Permissions Android

            Posté par . Évalué à -1.

            Ios permet effectivement de désactiver les permissions et c'est certes plus pénible pour le développeur, mais je pense que c'est surtout un problème de business model…

            Tu prêtes beaucoup de capacité visionnaire aux gens de la start-up Android Inc qui avaient pris soin de planifier avec malice à quoi ressemblerait leur plate forme une fois entre les mains de centaines de milliers de devs et d'un milliard de terriens

            Si Google veut enlever des permissions sans compliquer la vie du développeur, il y a des solutions : renvoyer des données vides ou bidons. L'appli demande l'accès au carnet d'adresse mais n'en a pas le droit, on lui renvoie un carnet vide. Elle veut lire les sms, on lui envoie une liste vide de sms, etc.

            Effectivement c'est beaucoup mieux: au lieu d'avoir des applis qui crashent de manière franche, on aura des applis qui ne fonctionneront pas de manière aléatoire sans que ni le développeur ni l'utilisateur ne comprennent réellement pourquoi

            • [^] # Re: Permissions Android

              Posté par (page perso) . Évalué à 10.

              on aura des applis qui ne fonctionneront pas de manière aléatoire

              Pourquoi ? On ne parle pas de refuser l'accès (ce qui pourrait effectivement générer des plantages de l'appli). On parle juste de renvoyer un résultat vide. Après tout il y a bien des gens qui effacent périodiquement leurs SMS ou qui n'ont personne dans leur carnet d'adresse non ? Pourquoi l'appli se vautrerait dans ce cas là ?

              • [^] # Re: Permissions Android

                Posté par . Évalué à -5.

                Se vautrer non mais elle apparaîtra buggée de manière inattendue.

                Si tu changes les présupposés sur laquelle a été bâtie la plate-forme, ça a nécessairement des effets de bord sur les applis existantes. Tu changes les fondations sur laquelle elles ont été pensées.

                Exemple : telle appli plus maintenue utilisait la permission SMS pour vérifier le numéro de téléphone, sans qu'il n'y ait de procédure mutuelle. Il y aura des utilisateurs pour qui elle va apparaître buggée.

                Exemple : voyant que Twitter scanne la liste de tes applis installées, ce qui est clairement de l'abus, des utilisateurs enlèvent cette permission à une autre appli comme Pocket. J'imagine que les api renvoie alors uniquement les applis installées par défaut. Pocket utilisait ça pour améliorer le bouton "partager avec…". L'utilisateur ne peut alors plus partager ses liens qu'avec la moitié des applis et comprend pas pourquoi. La encore l'appli apparaît buggée de manière bien mystérieuse et/ou chiante pour les devs.

                • [^] # Re: Permissions Android

                  Posté par . Évalué à -1.

                  J'imagine que les moinsseurs ont des arguments tellement triviaux qu'il est rébarbatif de les exposer.

                  En fait j'ai l'impression qu'ils font une fausse analogie avec adblock et ses amis qui rendent un service top. Oui, mais pour adblock, séparer le bon grain de l'ivraie est relativement trivial :

                  > Bon grain : monwebmail.fr/*
                  > Ivraie : tracking.biz/evil.js
                  > Ivraie : adnetwork.com/*
                  
                  > bon grain; <div id=content/>
                  > Ivraie : <div id=giantbanner>
                  

                  Est ce que jouer avec le système de permissions est équivalent à ça ?

                  Non, ça a plus à voir avec modifier la sémantique de la libc


                  Ceci dit, comme je suis pour que chacun fasse ce qu'il veut avec son smartphone, et pour rester constructif, je suggerais juste d'ajouter aux appels systèmes modifiés

                  Toast.show ("Permission XXX bidouillee. Partez du principe que les éventuels bugs sont de votre fait");

                  Alternative : envoyez un mail au développeur de l'appli qui vous intéresse (information présente dans le Play Store) pour dire que vous trouvez que les permissions XXX et yyy ne vous semblent pas essentielles pour ce que fait l'appli, et de migrer vers le nouveau système de permissions à la demande.

                  • [^] # Re: Permissions Android

                    Posté par (page perso) . Évalué à 5.

                    T'es resté sur adblock version 2008 avant que les régies le prennent en compte… C'est mignon mais carrément largué.

                    Quant aux permissions :

                    • Il suffisait de le gérer comme iOS dès le départ (autorisation à la demande plutôt que tout accepter aveuglément à l'installation) pour que les applis soient programmées correctement pour ne pas planter si mon jeu ne peut pas lire tous tes SMS
                    • Cyanogen propose une sorte de proxy qui permet d'autoriser/refuser/renvoyer une liste vide quand une appli cherche à accéder à une ressource (par exemple tes SMS) et étonnamment bah ça marche sans planter…
                    • Android (Google) stock a même proposé un truc du genre dans la 4.3 je crois, avant de revenir en arrière pour la 4.4 (enfin la suivante)

                    Bref pour la gestion de ses données persos vis-à-vis des applications, Google est pire qu'Apple qui est réglo sur ce point.

                    • [^] # Re: Permissions Android

                      Posté par (page perso) . Évalué à 2. Dernière modification le 02/01/15 à 23:47.

                      Pour info, cette fonctionnalité est apparue dans Android 4.3 et disparue dans 4.4.2 et s'appel(ait) appops.
                      Potentiellement ils l'ont enlevé, parce qu'en l'état elle est très loin d'être user-friendly (mais dans ce cas ils l'auraient amélioré plutôt que de l'enlever je pense..)

                      Certains constructeurs (mediatek entre autre) l'ont laissé, mais l'expérience utilisateur est vraiment mauvaise.
                      Potentiellement, elle est meilleure sur Cyanogen.

                    • [^] # Re: Permissions Android

                      Posté par . Évalué à 0.

                      La sémantique de la libc avait qu'à être comme je le voulais dès le départ

                      Et bien putain, avec un pragmatisme pareil, pas sûr que 2015 soit l'année de Linux sur le Desktop !

                      Et sinon, oui, Google a fait une expérimentation en loucédé pour voir s'ils pouvaient introduire ça sans rien casser d'important.
                      Mais la différence entre une expérimentation et une fonctionnalité, c'est qu'en itérant on a réussi à parvenir à un résultat satisfaisant

                      • [^] # Re: Permissions Android

                        Posté par (page perso) . Évalué à 1.

                        Et bien putain, avec un pragmatisme pareil, pas sûr que 2015 soit l'année de Linux sur le Desktop !

                        On s’en moque, ici on cause Linux sur mobile.
                        Avant d’essayer de lancer ce genre de troll, ça peut être bien d’au moins lire le titre du journal…

                • [^] # Re: Permissions Android

                  Posté par . Évalué à 2.

                  Ça ne se passe pas comme ça. Une appli n'a pas besoin de scanner. Une appli se propose pour être dans la liste des "à partager avec". Pocket peut proposer ce service, aucune appli n'aura besoin de savoir quelles applications sont installées pour pouvoir les utiliser pour un partage. Si Twitter scanne les applis installées, c'est clairement pour en savoir plus sur toi, pas pour pouvoir utiliser les partages de liens.

                  • [^] # Re: Permissions Android

                    Posté par . Évalué à 4.

                    Sans compter que twitter a implemente ca en testant si l'os peut ouvrir certaines url custom, pas en demandant au systeme la liste des applis installees. C'est pas un probleme de permission dans ce cas.

                    Linuxfr, le portail francais du logiciel libre et du neo nazisme.

    • [^] # Re: Permissions Android

      Posté par . Évalué à 6.

      Cyanogen fait effectivement ça (cela ajoute un onglet confidentialité avec lequel on peut régler les permissions des applis une à une).

      • [^] # Re: Permissions Android

        Posté par . Évalué à 1.

        Merci mon téléphone est justement sous Cyanogen, je vais me renseigner sur cette fonctionnalité que je n'avais pas encore vue, et voir aussi pour Xposed et Xprivacy :)

    • [^] # Re: Permissions Android

      Posté par . Évalué à 7.

      Pour ceux qui ont la chance d'avoir un téléphone android rooté avec une version inférieure à la 5.0, ils peuvent installer le couple Xposed+Xprivacy qui permet de bloquer "intelligemment" tout un tas de permissions (caméra, gps, internet, contacts, …).
      Et pour ne rien gâcher, notez qu'il s'agit en plus de logiciels open-source.

      http://repo.xposed.info/module/biz.bokhorst.xprivacy

  • # GMail

    Posté par . Évalué à 5.

    Juste par curiosité, ce serait intéressant de savoir si le nouveau client GMail (qui accepte les comptes tiers) se comporte comme un client mail normal ou passe aussi par les serveurs de Google.

    Après je suis pas près de me passer de k9mail, le cloud touSSa c'est bien joli, mais le principal problème avec les clients mails quand tu commence a en utiliser plusieurs c'est leurs différents choix de configurations, la fonctionnalité la plus importante est donc de pouvoir tout configurer afin d'unifier leurs comportements.

    Si tu a un compte genre gmail et que tu y accèdes via les clients officiels (web, mobile…) ou dédiés tu le voit pas ça, mais sur un compte pro ou perso tu remarque vite les problèmes.
    - Les mails supprimés sont marqués \Deleted, transférés dans un autre dossier ou les deux ? Nommé comment le dossier ? Trash ? Corbeille ? ゴミ ?
    - Les Spams sont marqués \Spam ? Transférés dans le dossier Spam (ou Spams) ? Le serveur s'attend à quoi pour le learning quand tu désigne un mail comme spam ?
    - Même-chose pour les dossiers modèles, envoyés…
    - Y'a un namespace ou les dossiers sont à la racine ?

    Si chaque client y va de sa propre idée de ce qui est meilleur pour toi, c'est vite le boxon dans ta boite.

    • [^] # Re: GMail

      Posté par . Évalué à 4.

      Juste par curiosité, ce serait intéressant de savoir si le nouveau client GMail (qui accepte les comptes tiers) se comporte comme un client mail normal ou passe aussi par les serveurs de Google.

      Je viens de vérifier, et les connexions vers mon serveur IMAP proviennent bien de l'adresse de la passerelle de mon opérateur mobile.

    • [^] # Re: GMail

      Posté par (page perso) . Évalué à 2.

      ? Nommé comment le dossier ? Trash ? Corbeille ? ゴミ ?

      Ne voulais-tu pas écrire ごみ par hasard?

      Écrit en Bépo selon l’orthographe de 1990

      • [^] # Re: GMail

        Posté par . Évalué à 2.

        C'est bien ゴミ sur jmail, le merdier je vous dit ! Vivement que la RFC 6154 se répande un peu

        • [^] # Re: GMail

          Posté par (page perso) . Évalué à 2.

          Hé bien les deux se prononcent pareil, mais ça n’est pas l’écriture habituelle.

          Écrit en Bépo selon l’orthographe de 1990

      • [^] # Re: GMail

        Posté par . Évalué à 2.

        Je l’ai toujours vu écrit en katakana y compris sur mes cours de Japonais quand j’étais encore un jeune étudiant.

        • [^] # Re: GMail

          Posté par (page perso) . Évalué à 2.

          Faut que j'arrête de me fier aux dicos alors. ;)

          Écrit en Bépo selon l’orthographe de 1990

    • [^] # Re: GMail

      Posté par . Évalué à 1.

      idem , j'aimerais bien savoir ce qu'il en est de l'appli par défaut d'android … on la retrouve partout … est-elle fiable ?

      Ce n'est pas parce que les choses sont difficiles que nous n'osons pas. C'est parce que nous n'osons pas qu'elles sont difficiles. - Sénéque

      • [^] # Re: GMail

        Posté par . Évalué à 2. Dernière modification le 06/01/15 à 11:20.

        L'appli Mail c'est celle de l'AOSP, souvent modifiée le constructeur (genre LG ou Samsung rajoutent le support de leurs systèmes de fenêtrages respectifs) difficile de répondre du coup, y'a autant d'applications Mail qu'il y a de modèles de téléphones.

        Mais en principe c'est un client IMAP/POP/SMTP tout ce qu'il y a de plus traditionnel. K9Mail, entre-autres, est basé sur le code de l'application Mail de l'AOSP.

  • # myMail serveurs

    Posté par . Évalué à 0.

    bonjour à tous
    à la lecture très instructive de cet article j'ai adressé une demande à l'éditeur puisque j'avais plusieurs comptes avec eux ! à la lecture j'ai tout supprimé et changé les mots de passe. voici la réponse de l'éditeur
    :Hello,

    Our servers are located in Holland.

    Thank you!

    Regards,

    donc Russie ou Hollande ?
    Daniel

  • # myMail

    Posté par . Évalué à 0.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.