La dernière alerte de Richard Smith, de la Privacy Foundation, révèle qu’un petit bout de code javascript, oportunément placé dans un e-mail au format HTML, permet d’espionner celui qui le reçoit.
En 1998, un certain Carl Voth pointait du doigt, à l’occasion de la sortie d’Internet Explorer 4, les risques que posaient l’utilisation malicieuse du javascript au sein d’e-mails en terme de traçabilité des internautes. Aujourd’hui, c’est Richard Smith, un consultant informatique qui s’était fait connaître, notamment, en décryptant la traçabilité effectué par les cookies de DoubleClick, ainsi qu’en révélant l’existence des "web bugs", qui enfonce le clou et tire la sonnette d’alarme. La faille de sécurité en question permet à quelqu’un de savoir si vous avez bien lu l’e-mail qu’il vous a envoyé, si vous l’avez forwardé et quels sont les commentaires que vous avez pu y ajouter. Pour Richard Smith, qui travaille désormais pour la Privacy Foundation, non seulement c’est illégal, mais, pire : c’est très facile... Tellement facile qu’il se refuse d’ailleurs à donner le petit bout de code à rajouter à un e-mail pour qu’il soit en mesure de surveiller ses lecteurs.
Espionner certaines personnalités
La faille ne concerne que ceux qui utilisent un lecteur d’e-mail compatible HTML et javascript, tels qu’Outlook, Outlook Express ou encore Netscape 6 (AOL et Eudora serait épargnés). Pour s’en prémunir, il suffit de désactiver la fonction javascript de son lecteur d’e-mail, ce qui permet aussi, par exemple, d’éviter d’être infecté par Kak Worm, l’un des virus les plus répandus de l’année passé, ou encore d’opter pour un lecteur d’e-mail autrement plus fiable, et sécurisé, tel que The Bat !, ou Eudora. Pour Richard Smith, cette faille pourrait être utilisée par quelqu’un qui, à l’occasion d’un contrat, ou d’une négociation, voudrait savoir ce qui se dit de l’autre côté de l’e-mail, ou encore pour espionner certaines personnalités, etc. Smith avance ainsi que deux sociétés au moins, Postel et ITraceYou, proposent déjà un service permettant de savoir quand et où un e-mail est lu. Pour lui, nul doute que le marché de ce genre de surveillance ne peut que se développer, ne serait-ce qu’offshore, là où cela n’est pas interdit...