Rien de plus basique que d’utiliser une application mail pour les regarder. Cependant, attention, certaines applications pourraient être dangereuses.
Un exemple concret dans ce post.
J’ai écrit cet article en 2017, et je le reprends aujourd’hui.
Généralités
Sur ordinateur, la majorité des utilisateurs passent par un webmail pour accéder à leur boite mail. Par contre, sur smartphone, on est plus facilement amené à utiliser une app.
Je dois avouer que sur iPhone, l’application mail est bien conçue, et je doute que beaucoup d’utilisateurs passent par une application tierce pour cet usage.
Par contre, et à mon grand désarroi, sur Android c’est tout autre. L’application Android par défaut est Gmail. Bien qu’elle ait beaucoup évolué ces derniers temps, elle a un gros souci majeur : elle est surtout optimisée pour les boites Gmail. Tout ce qui est IMAP ou POP va avoir quelques lacunes.
Une majorité d’utilisateurs (on va être honnête, surtout des Geek), vont passer par d’autres applications.
Ok mais tu veux en venir où ?
On donne à notre application mail une info essentielle : notre identifiant/mot de passe.
L’application pourrait bêtement nous le prendre et voilà. Peut-être qu’elle le fait, mais l’objectif de ce post n’est pas vraiment sur ce point.
Attend mais ça fonctionne comment un serveur mail ?
Un serveur mail est découpé en deux (en gros).
Un serveur IMAP/POP qui gère le stockage de tes mails, et son accès distant, selon le protocole POP ou IMAP (qui ont chacun leurs avantages et inconvénients). Le tout avec une authentification (ton mail et un mot de passe).
Ensuite le serveur SMTP, qui lui a pour rôle d’envoyer les mails, ou d’en recevoir. Lorsqu’il envoie un mail il va bêtement contacter le SMTP du domaine de ton destinataire, et s’il en reçoit, il va le donner au serveur IMAP/POP qui va le stocker (pour faire simple).
Techniquement donc, une application mail, va te demander ces paramètres : qui sont les serveurs IMAP/POP et SMTP, ainsi que le compte/mot de passe.
Ok donc dans la logique..
Dans la logique, ton application va se connecter directement aux serveurs en utilisant les infos fournies. Elle va donc utiliser ton accès internet local (wifi/4G/pigeon voyageur) et c’est parti.
Tout transite entre toi et le serveur mail et basta.
Un peu comme ça (en moche) :
Sauf que…
Sauf que certaines applications ne font pas du tout ça. Et le risque est là.
A une époque j’ai eu envie de tester des applications Android. Certaines ont des millions de téléchargements.
J’ai donc voulu vérifier par moi-même, et puisque j’héberge ma propre infra mail, rien de plus simple. J’ai créé un compte mail bidon et j’ai testé les apps.
J’ai regardé le trafic réseau qui se passait entre mon smartphone et internet, et entre mon serveur mail et internet. Sauf que je me suis rendu compte qu’il y avait un délai sur le rafraichissement des mails d’une boite, ou des ptites choses bizarres… J’avais même contacté un support, qui m’avait dit avoir fait des corrections de paramétrage pour améliorer les synchros…
…Euh what ?
“En quoi tu as pu modifier des paramètres de mon serveur mail hébergé chez moi et de mon appli mail sur mon tel ?”
Bon t’as vu quoi ?
Sur une bonne appli, j’aurais du voir bêtement mon smartphone aller sur le net à destination de mon serveur, utilisant les protocoles SMTP, et IMAP/POP. Et sur mon serveur, j’aurais du voir l’IP de mon accès internet de mon smartphone arriver.
Ce que j’ai vu, de manière instantanée après la configuration de certaines app, c’est un serveur tiers inconnu se connecter à mon serveur mail, et générer une bonne quantité de trafic. Entre mon smartphone et internet, un simple accès HTTPS à destination d’un serveur iconnu.
Ce qu’il se passe est simple : un serveur hébergé ailleurs, utilise ton compte/mot de passe mail que tu as fourni pour télécharger toute ta boite chez lui. C’est lui qui vérifie les mails pour toi, et pas ton smartphone. Et ton téléphone ne fait qu’un simple appel en HTTPS vers cette plateforme pour récupérer les notifications et les mails.
Un peu comme ça (en moche v2) :
Ok. C’est bizarre, mais en quoi c’est dangereux ?
On va me dire “j’ai rien à cacher”. Mais n’oublions pas que par mail on reçoit :
- des factures avec des identifiants en tout genre
- des infos fiscales (avis d’impôts, etc..)
- des invites de réinitialisation de mot de passe si besoin de n’importe quel site
- et tout un tas de trucs.
En gros dans ta boite mail, pour certains il y a une mine d’info personnelles et toute ta vie.
Du coup ça me dérange sur plusieurs points quand une appli fait ce petit mic-mac :
- On ne m’a pas prévenu. Bon j’ai pas lu toutes les conditions générales de l’appli, mais ça serait bien de prévenir simplement l’utilisateur que toutes ces données seront hébergées sur un serveur tiers et qu’il doit donner son accord. Encore plus aujourd’hui, ça doit pas être très RGPD.
- Même après suppression de certaines applications, j’ai continué à avoir des accès pendant des semaines sur mon serveur mail à destination de la boîte de test. Et si même sans l’application on continuait à me pomper mes mails ??? J’aime pas trop l’idée et je pourrais pas vérifier.
- Je vois pas l’intérêt d’héberger mon propre serveur mail chez moi, pour que toto me le pompe dans un autre pays.
- Et puis pourquoi faire simple quand on peut faire compliqué !
Quelles applications j’ai testées ?
A l’époque, en 2017, j’avais testé ces applications :
- AquaMail : pas de souci apparent.
- MyMail : Ne gérait pas l’imap, donc je n’ai pas testé plus
- BlueMail : Concerné. Même après suppression de l’application j’avais des accès distants
- TypeApp: Exatement pareil que BlueMail.
- MailDroid : pas de souci apparent.
- SolMail : pas de souci apparent.
- GMX Mail : pas de souci apparent.
- Mail.ru : Concerné. Sans surprise par une floppée d’IP de Russie.
Dès que j’ai un peu de temps je reprendrais la liste pour mettre à jour tout ça. D’autres applis ont du sortir depuis..
En conclusion
Je ne veux pas vendre la peau de l’ours. Les accès externes sont assez curieux, mais rien ne dit qu’ils sont à but de nuire ou d’espionner votre boîte. Je trouve juste que cette info de l’utilisation d’un intermédiaire devrait être expliquée. Après pour moi ça reste un usage détourné du fonctionnement basique d’une application mail.
K9
Si vous voulez utiliser une appli Android fiable, utilisez K9Mail. Elle est opensource et suivie depuis de nombreuses années par la communauté.