Passer au contenu

Des e-mails espions grâce à JavaScript

Un simple bout de code JavaScript inscrit dans un e-mail permet de le suivre à la trace
Une seule parade, désactiver les JavaScripts

La Privacy Foundation, un organisme américain chargé d’informer le grand public sur le respect de la vie privée sur Internet, a découvert une technique simple pour suivre les e-mails à la trace. Quelques lignes de code JavaScript incluses dans un message permettent en effet à l’émetteur de savoir l’heure et la date à laquelle le destinataire ouvre le message, et s’il est réexpédié à d’autres personnes, les adresses de ces nouveaux destinataires ainsi que les commentaires ajoutés au message.Les applications éventuelles de cette technique sont aussi nombreuses qu’inquiétantes. Une société de marketing pourrait récupérer une énorme quantité d’adresses électroniques grâce à un message se propageant facilement (les blagues que l’on n’hésite pas à faire suivre à ses collègues, par exemple). Pire, lors d’échanges successifs pour une négociation commerciale, un prestataire pourrait lire ces échanges et ainsi savoir comment est traitée sa proposition.

Un patch comme protection

Cette technique de surveillance ne fonctionne qu’avec les outils de messagerie compatibles avec HTML et acceptant du code JavaScript. Autre-ment dit, la plupart des clients de messagerie actuels. Une parade consiste à paramétrer ces logiciels de façon à ce qu’ils refusent tout code JavaScript, avec pour conséquence la perte de fonctions utiles. Un patch pour Outlook, disponible sur le site de Microsoft, pour contrer le virus ILOVEYOU, permet aussi de désactiver les JavaScripts. Toutefois, leur désactivation ne fonctionne qu’à la première étape du message. Après sa réexpédition, l’espionnage repart de plus belle…

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Pierre Berlemont