Journal "Did they read it?" Avertissement de la CNIL

Posté par Jean-Christophe Berthon (site web personnel) le 07 juillet 2004 à 22:00.

Étiquettes : aucune

juil.

2004

Bonjour à tous,

Nouvelle importante sur le service "Did they read it?" à consulter sur le site de la CNIL :
http://www.cnil.fr/index.php?id=1602&news(...)[uid]=177&cHash=5f39b9474d

(tous à vos pare-feux pour bloquer les IP de www.didtheyreadit.com!!!)

Le service en question permet de tracer un courriel même transféré, de savoir combien de temps il a été lu, combien de fois il a été regardé, quelle est votre adresse IP (ou celle de votre router), quel est votre client de messagerie (version, OS, etc.), quel est le referrer (si vous utilisez une messagerie en ligne de type yahoo ou hotmail), etc. Le tout sans que le(s) destinataire(s) soi(en)t au courant.
Bref un Big Brother comme ne l'a jamais rêvé Orwell!!!

J'ai testé le service (et de manière légal car je me suis traqué moi-même donc j'étais au courant et consentant, au passage j'ai utilisé une redirection d'email chez www.jetable.com!). J'ai donc reçu l'e-mail en question qui sur un client web informe effectivement l'envoyeur que vous l'avez bien lu!
La technique utilisée est fort simple, la société Rampell Software ajoute à votre email un petit code HTML qui contient une "image" pointant sur son site. L'image en question a un nom unique qui permet d'identifier le message de plus le client email essaye de la télécharger en continue mais ne télécharge effectivement rien... Bref grâce à ça ils peuvent savoir si vous avez ouvert le message et combien de temps vous l'avez eu ouvert. De plus grâce à la connexion internet établi, ils peuvent déterminer adresse IP, identifiant du client de messagerie, etc.

Bref pour vous protéger de ses petits malins c'est pas très compliqué non plus. La manière la plus radicale c'est de supprimer tout contenu HTML pour vos emails (même Outlook Express possède cette option!!!), plus soft est d'utiliser Mozilla (ou j'imagine aussi Thunderbird) et d'aller dans les préférences --> privacy --> images --> et de cocher la case qui empêche les images distantes de se charger quand on est dans Mozilla Mail. Certains emails ont une drôle de tête de temps en temps mais on ne peut pas vous suivre à la trace!!!
Enfin, pour le moment ils n'ont qu'un seul site web (www.didtheyreadit.com) alors vous pouvez modifier vos fichiers hosts pour faire pointer cette adresse vers 127.0.0.1 par exemple!

--
Jean-Christophe

# [hors sujet] journaux privé ou publique???

Posté par Jean-Christophe Berthon (site web personnel) le 07 juillet 2004 à 22:14. Évalué à -2.

Bonjour,

J'eu espéré que ce journal apparaisse dans la liste des journaux publics... Comment ce fait-il qu'il soit privé par défaut? Cela-a-t'il changé récemment?
Comment fait-on alors pour poster un journal publique?

Désolé pour le hors sujet, mais en le mettant public, ce journal serait lu alors par le plus grand nombre et je crois qu'il est important d'informer le maximum sur ce sujet!

--
Jean-Christophe
- [^] # Re: [hors sujet] journaux privé ou publique???
  
  Posté par iridium77 le 07 juillet 2004 à 22:30. Évalué à 4.
  
  bon, allez, je le dis quand même :
  C'est vieux
  http://www.google.fr/custom?hl=fr&ie=ISO-8859-1&cof=AWFID%3(...)
  24 mai, pas accepter images distantes, toussa, toussa....
  
  Enfin, les piqures de rappel ne font pas de mal, même si le fait est que ces méthodes ne sont pas nouvelles (mais le "service" proposé ose l'utiliser vicieusement).
  
  Luce et Henri devraient utiliser thunderbird (ou du moins pas OE, chuis pas sectaire).
  - [^] # Re: [hors sujet] journaux privé ou publique???
    
    Posté par Jean-Christophe Berthon (site web personnel) le 07 juillet 2004 à 23:24. Évalué à 1.
    
    Effectivement, j'avais fait une recherche sous google pour le site linuxfr.org mais j'avais précisé la chaine de recherche suivante : "Did they read it" ce qui avec les espaces et les guillemets ne m'avaient rien retourné :-(
    Désolé...
# calmons nous

Posté par plagiats le 07 juillet 2004 à 22:25. Évalué à 1.

1. C'est déjà passé (mais bon je t'en veux pas, j'ai pas le lien)
2. Sous mozmail/tbird : il suffit d'aller dans Edit > Preferences > Privacy & security > [x] do not load remote images.
3. Ou, mieux, de ne lire et envoyer les mails qu'en texte brut (=convertir automatiquement, c'est ds les options)

bien à toi

plagiats
- [^] # Re: calmons nous
  
  Posté par plagiats le 07 juillet 2004 à 22:26. Évalué à 4.
  
  4. didtheyreadit ne sont pas les seuls à faire cela, ne bloquer qu'eux est une mauvaise facon d'aborder le probleme.
- [^] # Re: calmons nous
  
  Posté par Yves Agostini (site web personnel) le 07 juillet 2004 à 22:32. Évalué à 2.
  
  un filtre procmail sur le serveur
  http://www.impsec.org/email-tools/procmail-security.html(...)
  désactive les "web bugs" et les virus potentiels
- [^] # Re: calmons nous
  
  Posté par Jean-Christophe Berthon (site web personnel) le 07 juillet 2004 à 23:32. Évalué à 1.
  
  Effectivement c'est déjà passé, mais l'article de la CNIL statuant le fait que l'utilisation de ce service en France est illégal est nouveau.
  Sinon je te rejoins sur les points 2 et 3 (aussi mentionés dans le journal), pour ma part je préfère le point 2 au 3 car il est moins radical et tout aussi efficace pour ce genre de "failles".
  De plus, comme un autre post le mentionnait, si didtheyreadit.com n'est pas le seul à fournir ce service, la solution 2 ou 3 comparée à celle consistant à bloquer la résolution de nom ou les IP est plus élégante et est plus fiable également.
  
  En tout cas grâce à ça ma copine va passer entièrement sous Mozilla (mail inclus). Elle utilisait Mozilla seulement pour la navigation avant et maintenant comme elle ne veut pas se faire espioner mais qu'elle veut garder le formattage riche de l'HTML des emails, elle veut utiliser Mozilla Mail également :-)
  Comme quoi ces services à la *** ont aussi des avantages ;-)
  
  Jean-Christophe
# ça se passe depuis des années en France

Posté par Gniarf le 08 juillet 2004 à 02:52. Évalué à 5.

je ne sais pas ce que vaut l'avis de la CNIL, plus précisement ses "plus vives réserves".

parce que bon, c'est pas pour dire, mais la plupart des messages publicitaires expédiés par des prestataires français comme DOLIST.NET pour le compte de clients français utilisent déjà ce système de web bugs pour faire du "tracking" (comme ils disent, ces braves gens), entre autre pour valider des emails, estimer le pourcentage de mails ouverts donc "lus"...

on m'annonce bien parfois que les données nominatives me concernant et ayant servi à réaliser le mail (mon adresse email, cong) sont déclarés à la CNIL par le client du prestaire technique (le publicitaire, donc), mais absolument pas que le prestataire en question possède les miennes ou les a déclarées (or, il le doit : les mails à mon adresse sortent de sa machine), et la façon dont ils traite(nt) les informations de retour du massmailing.

donc si je peux essayer de paffer le prestataire et éventuellement son client de cinq ans d'emprisonnement et de 300 000 euros d'amende, ça risque d'être très amusant. (donc ça sera surement inapplicable :-)

(je passerais sous silence que je ne me suis pas inscrit sur leurs sites (des clients qui vantent leurs produits ou des prestataires "loueurs de tuyaux"), ni ai eu de contacts commerciaux préalables avec eux, etc etc), ce qui fait la différence entre un spam et un non-spam pour la CNIL. ce n'est pas la question ici.)
# merci !

Posté par xcoder_nux le 08 juillet 2004 à 09:24. Évalué à 1.

Les vilains espions sont bloqués !
# Sylpheed+Dillo

Posté par Panda Voyageur (site web personnel, Mastodon) le 08 juillet 2004 à 15:48. Évalué à 1.

Ma solution à moi pour les mails: Sylpheed (-claws bien sur) avec son affichage en mode texte des mails, et le plugin pour dillo en cas de mails html (je n'en recois pas beaucoup).

Par défaut la configuration du plugin fait qu'aucune connection au net n'est effectuée (un petit refresh pour l'activer si on est sur du mail).

Pour moi c'est le meilleur des 2 mondes (et en plus une interface légère et rapide en GTK1, ca fait du bien à mon petit ordi ;) )
- [^] # Re: Sylpheed+Dillo
  
  Posté par ashram4 le 08 juillet 2004 à 17:51. Évalué à 2.
  
  C'est bien la version claws de Sylpheed? Ça apporte quoi de mieux que le Sylpheed normal.
  
  Je sais que c'est une version expérimentale mais les plugins pour des applications externe ce n'est pas mon principal soucie. J'utilise Sylpheed depuis un moment mais ma version 0.9.8a a des problèmes avec les pièces jointes surtout dans le cas des forward où il arrive que le mail contienne un autre mail ecapsulé, dans ce cas impossible d'ouvrir avec Sylpheed je dois avoir recours un autre mailer (kmail). De plus les mime-types ne sont pas automatiques. Comme je compte mettre à jour ma distrib ce week-end j'envisage de changer de lecteur de mail (kmail ou thuderbird?).
  - [^] # Re: Sylpheed+Dillo
    
    Posté par Panda Voyageur (site web personnel, Mastodon) le 08 juillet 2004 à 22:23. Évalué à 2.
    
    Pour les différences, il y a http://sylpheed-claws.sourceforge.net/features.php(...)
    
    Ca fait plusieurs années maintenant que je suis passé en -claws (pour profiter de la correction orthographique à l'époque). Les mails forwardés ne m'ont jamais posé jamais de problème, chaque mail a une série de petites icones sur le côté pour pointer sur telle ou telle partie du mail (donc par exemple sur le mail forwardé). Et affichage des images, parties HTML & co au besoin...
    
    Après je sais pas si la liste des différences est encore à jour, normalement les spécificités de la branche -claws sont sensés s'intégrer au fil du temps dans la branche principale.
    
    Sinon kmail doit être bien en environnement KDE (pas envie de le lancer dans mon windowmaker-qui-prend-pas-trop-de-mémoire), et thunderbird est prometteur (mais là encore sur d'autres ordis plus puissants comme au boulot).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.