Tout commence à l’ouverture d’un courriel. Sans s’en apercevoir, une image invisible est chargée depuis un serveur. Cette petite image permet à son expéditeur de collecter de nombreuses informations au sujet du destinataire. Il s’agit d’un traqueur portant le nom de pixel espion.

L’utilisation de pixels espions est largement répandue dans les courriels envoyés par des sociétés, notamment lors de campagnes publicitaires afin d’en mesurer le taux de réussite¹OREN, Neta. « Pixel Tracking: A Hacker’s Tool ». Checkpoint Blog [en ligne]. 8 septembre 2016. [Consulté le 10 mai 2024]. https://blog.checkpoint.com/research/pixel-tracking-a-hackers-tool/.. Une étude menée par la société Proton AG a démontré que près de 50 % des courriels envoyés contenaient des traqueurs ²« Une meilleure protection contre les traqueurs qui se trouvent dans les messages électroniques ». Proton Blog [en ligne]. 16 octobre 2023. [Consulté le 10 mai 2024]. https://proton.me/blog/fr/improved-protection-email-trackers..

Utilisé à des fins de marketing et de suivi des internautes, cette image transparente ne pourrait-elle pas servir à des fins frauduleuses ? Les cybercriminels ne pourraient-ils pas, par ce biais, obtenir de précieuses informations sur leurs potentielles victimes, et ce, dans le but de construire une attaque de qualité ?

Un pixel espion, c’est quoi ?

Les courriels d’aujourd’hui ne comportent pas que du texte mais également des images. Ces images n’y sont, en général, pas directement jointes, mais insérées sous forme de lien : il s’agit de contenu distant. Ce contenu est téléchargé par l’application de messagerie depuis un serveur tout comme le pixel espion. Cependant, il n’est constitué que d’un seul pixel ce qui le rend invisible aux yeux de l’utilisateur.

Le pixel espion peut être vu comme un accusé de réception. Il permet à son émetteur, en plus de savoir si le message a été ouvert, d’obtenir les informations suivantes ³« Tracking pixel ». Cookie-script [en ligne]. 3 mai 2022. [Consulté le 10 mai 2024]. https://cookie-script.com/blog/tracking-pixel?trk=article-ssr-frontend-pulse_little-text-block. :

• L’heure d’ouverture ;

• Le nombre de fois que le message a été ouvert ;

• Le système d’exploitation par lequel il a été ouvert ;

• Le fournisseur d’accès à internet (FAI) ;

• Si le courriel a été transféré ;

• La résolution de l’écran ;

• Le type d’appareil (mobile ou de bureau) ;

• Le suivi de la navigation internet ;

• La localisation approximative déduite par l’adresse IP.

Toutes ces données permettent aux entreprises de mieux connaître les préférences des utilisateurs afin de leur proposer des produits spécifiques ou, dans le cas où le courriel est ignoré, de stopper l’envoi ⁴KELION, Leo. « Spy pixels in emails have become endemic ». BBC [en ligne]. 17 février 2021. [Consulté le 10 mai 2024]. https://www.bbc.com/news/technology-56071437.. Ils sont très présents dans les courriels de type « newsletter » ou publicitaire. Notons également que lors de l’utilisation de pixels espions, les entreprises sont censées obtenir le consentement de l’utilisateur pour les informations récoltées ⁵« L’utilisation des pixels espions dans une newsletter ». PLR Avocats Blog [en ligne]. [Consulté le 10 mai 2024]. https://www.plravocats.fr/blog/data-protection-rgpd/l-utilisation-des-pixels-espions-dans-une-newsletter. .

Le pixel espion peut être vu comme une forme de cookie. Contrairement à ce dernier, il n’est pas enregistré dans le navigateur de l’utilisateur, rendant son blocage plus difficile ⁶BONDARYK, Peter. « The Secret World Of Tracking Pixels, Consumer Data, And The FTC’s Watchful Eye ». Linkedin [en ligne]. 11 septembre 2023. [Consulté le 10 mai 2024]. https://www.linkedin.com/pulse/secret-world-tracking-pixels-consumer-data-ftcs-eye-peter-bondaryk. . Une solution pour se prémunir de ce genre de traqueur est de désactiver le chargement automatique des images. La conséquence de ce paramétrage est de rendre les courriels moins conviviaux. En effet, démunis de leurs images, les courriels perdent de leur splendeur. Les utilisateurs, malgré le risque, ou plutôt par méconnaissance, ont tendance à activer le téléchargement automatique des images sans être conscient de ce que cela implique.

Une étude menée par l’université de Princeton ⁷ENGLEHARDT, Steven. « I never signed up for this! Privacy implications of email tracking ». Freedom to Tinker [en ligne]. 28 septembre 2017. [Consulté le 10 mai 2024]. https://freedom-to-tinker.com/2017/09/28/i-never-signed-up-for-this-privacy-implications-of-email-tracking/. a également révélé que ces traqueurs envoyaient non seulement des informations à l’expéditeur, mais également à des tiers, dont des « data broker ». Le but de ces derniers est de revendre ces données et les utiliser afin d’établir un profil détaillé de l’utilisateur.

Usage détourné du pixel espion

Comme expliqué ci-dessus, l’usage de pixels espions permet de recueillir de nombreuses informations et données. Il est donc facile de comprendre que cette technologie soit détournée par des pirates informatiques.

Afin de préparer au mieux une attaque, le pirate informatique doit obtenir le plus d’informations possibles sur sa cible et les analyser. Plus la connaissance sera bonne, plus les chances de réussite de l’attaque seront grandes.

Le pixel espion n’est pas une attaque en soit, mais il permet de préparer le terrain. Les données récoltées au travers de pixels espions envoyés via des courriels à des collaborateurs d’une entreprise ciblée par un pirate informatique permettent de cartographier les appareils utilisés, détecter les adresses IP, connaître les heures de travail des employés, ou encore détecter qui est plus susceptible d’être pris pour cible ⁸Ref. 1 . Ces informations, une fois analysées, permettent de connaître le système d’exploitation ainsi que d’autres logiciels utilisés. Le pirate informatique sera en mesure d’identifier de potentielles failles de sécurité ⁹WATERMAN, Shaun. « Hackers using pixel tracking to build data for better phishing practices ». Cyberscoop [en ligne]. 17 avril 2017. [Consulté le 10 mai 2024]. https://cyberscoop.com/pixel-tracking-hacking-check-point/., de préparer des attaques de type « phishing », « spear phishing » (hameçonnage sur une personne spécifique), « compromission d’e-mails professionnels » (BEC) ¹⁰LARKINA, Anna. « Who is tracking you on the web and how ». Kaspersky daily [en ligne]. 24 février 2023. [Consulté le 10 mai 2024]. https://www.kaspersky.com/blog/web-beacons-explained-and-how-to-stop-them/47281/. ou encore de mesurer, tout comme lors d’une campagne publicitaire, le taux d’ouverture lors de l’envoi de spams.

Le pixel espion peut également être logé dans un document Microsoft Office (Word, Excel ou PowerPoint). Ce type de document permettant de lier une image à un serveur distant peut servir de conteneur pour ce type de traqueur informant le pirate d’un éventuel transfert et d’en retirer des informations quant aux destinataires ¹¹MEYER, Donald. « When you look at files from the cloud, are they looking back at you? ».Checkpoint [en ligne]. 17 avril 2017. [Consulté le 10 mai 2024]. https://blog.checkpoint.com/research/look-files-cloud-looking-back/ ..

Dans une attaque de type « arnaque au président », le fait d’inclure un pixel espion dans un courriel suffisamment accrocheur pour être ouvert va permettre au pirate de connaître la géolocalisation approximative de la personne ciblée. Si cette dernière se trouve à l’étranger, alors il sera plus facile de se faire passer pour elle car moins disponible ¹²DEDENOK, Roman. « Pixel espion au service de la cybercriminalité ». Kaspersky daily [en ligne]. 10 septembre 2020. [Consulté le 10 mai 2024]. https://www.kaspersky.fr/blog/tracking-pixel-bec/15615/. .

Comment se protéger des pixels espions ?

Que ce soit pour des raisons de protections de sa vie privée ou pour éviter que des personnes malhonnêtes obtiennent des informations, il existe plusieurs solutions, payantes ou en open source, pour se prémunir des pixels espions.

Comme mentionné ci-dessus, bloquer le téléchargement des images de l’application gérant les courriels est un premier pas. Le pixel espion étant une image, il ne sera pas téléchargé et les informations ne seront pas transmises, mais l’apparence du courriel sera dégradée.

Se munir d’une protection contre le suivi est une possibilité. Cette protection permet de bloquer les traqueurs connus et de télécharger les images distantes via un proxy. Les images distantes, une fois téléchargées, sont stockées dans le cache. L’utilisateur peut ainsi ouvrir le courriel à plusieurs reprises avec les images sans avoir besoin de les retélécharger à chaque fois¹³ Ref. 2. Les informations ainsi transmise par le traqueur ne sont pas celles du destinataire. L’utilisation d’un VPN ou la dissimulation de sa véritable adresse électronique sont également deux solutions envisageables pour éviter de se faire suivre. Certains navigateurs proposent également des extensions qui permettent de bloquer ces traqueurs. Enfin, il est recommandé de ne pas ouvrir les courriels contenus dans le dossier des spams.

Conclusion et avis critique

L’utilisation de pixels espions représente une menace invisible dans le monde numérique. D’une part, les entreprises, à des fins de marketing, essaieront toujours d’obtenir des données avec ou sans le consentement des utilisateurs pour vendre leurs produits. D’autre part, le détournement de cet outil par des pirates informatiques prouvent que ces traqueurs représentent un réel risque de sécurité au vu des informations qu’ils permettent d’obtenir.

Des mesures de protection devraient être prises par tout un chacun, que ce soit dans le cadre privé ou professionnel. Une question que l’utilisateur devrait se poser : si l’application de messagerie a bloqué le téléchargement d’images, pourquoi l’autoriser ? Il faut que les utilisateurs soient conscients de l’impact que peuvent avoir ces traqueurs invisibles. En adoptant de bonnes pratiques de sécurité, il est possible de protéger sa vie privée et réduire les risques liés à la cybercriminalité.

En tant qu’étudiant du Master en lutte contre la criminalité économique, mon avis est que les utilisateurs devraient s’armer de connaissances afin d’être à même de savoir ce qu’il se passe derrière leur écran. La compréhension du monde informatique leur permettra de ne plus être simple spectateur, mais d’avoir un réel impact sur la sécurité informatique.

Autres références

• « Comment protéger sa vie privée contre les traqueurs d’e-mails ? ». Proton Blog [en ligne]. 30 avril 2024. [Consulté le 10 mai 2024]. https://proton.me/blog/fr/how-to-stop-email-trackers

• CNIL. « Tracking pixel/Web beacon ou « pixel espion » ». [en ligne]. [Consulté le 10 mai 2024]. https://www.cnil.fr/fr/definition/tracking-pixelweb-beacon-ou-pixel-espion

• CNIL. « Publicité ciblée en ligne : quels enjeux pour la protection des données personnelles ? ». [en ligne]. 14 janvier 2020. [Consulté le 10 mai 2024]. https://cnil.fr/fr/cookies-et-autres-traceurs/regles/cookie-walls/publicite-ciblee-en-ligne-quels-enjeux-pour-la-protection-des-donnees-personnelles

• GAVOIS, Sébastien. « Vie privée : deux tiers des emails reçus contiendraient un « pixel espion » ». NEXT [en ligne]. 19 février 2021. [Consulté le 10 mai 2024]. https://next.ink/brief_article/vie-privee-deux-tiers-des-emails-recus-contiendraient-un-pixel-espion/

• SCHMIEDT, Morgan. « Pourquoi les pixels espions sont utilisés et comment peuvent-ils vous espionner ? ». eWatchers [en ligne]. 23 août 2021. [Consulté le 10 mai 2024]. https://ewatchers.org/video/pourquoi-les-pixels-espions-sont-utilises-et-comment-peuvent-ils-vous-espionner-36

• « What Is A Tracking Pixel – Explained In 800 Words Or Less ». DigitalMarketer [en ligne]. 17 septembre 2019. [Consulté le 10 mai 2024] https://www.digitalmarketer.com/blog/what-is-tracking-pixel/?trk=article-ssr-frontend-pulse_little-text-block

• MILIN-ASHMORE, James. « What is a tracking pixel? ». Comparitech [en ligne]. 26 février 2023. [Consulté le 10 mai 2024]. https://www.comparitech.com/blog/information-security/what-is-a-tracking-pixel/?trk=article-ssr-frontend-pulse_little-text-block

• CROXTON, Justin. « Top 11 Pixels To Add To Your Website ». Propellant.media [en ligne]. 7 janvier 2021. [Consulté le 10 mai 2024]. https://propellant.media/top-11-pixels-to-add-to-your-website/?trk=article-ssr-frontend-pulse_little-text-block

• GOUTAL, Sébastien. « Contenu distant : un véritable danger pour les filtres de messagerie ». Vade Blog [en ligne]. 1cookie9 janvier 2021. [Consulté le 10 mai 2024]. https://www.vadesecure.com/fr/blog/remote-images-are-pushing-email-filters-to-their-limits

• BROCHAIN, Fabrice. « Détecter et bloquer les traqueurs dans Gmail ». CommentÇaMarche [en ligne]. 1er septembre 2021. [Consulté le 10 mai 2024]. https://www.commentcamarche.net/securite/confidentialite/1497-detecter-et-bloquer-les-traqueurs-dans-gmail/

• 1
  OREN, Neta. « Pixel Tracking: A Hacker’s Tool ». Checkpoint Blog [en ligne]. 8 septembre 2016. [Consulté le 10 mai 2024]. https://blog.checkpoint.com/research/pixel-tracking-a-hackers-tool/.
• 2
  « Une meilleure protection contre les traqueurs qui se trouvent dans les messages électroniques ». Proton Blog [en ligne]. 16 octobre 2023. [Consulté le 10 mai 2024]. https://proton.me/blog/fr/improved-protection-email-trackers.
• 3
  « Tracking pixel ». Cookie-script [en ligne]. 3 mai 2022. [Consulté le 10 mai 2024]. https://cookie-script.com/blog/tracking-pixel?trk=article-ssr-frontend-pulse_little-text-block.
• 4
  KELION, Leo. « Spy pixels in emails have become endemic ». BBC [en ligne]. 17 février 2021. [Consulté le 10 mai 2024]. https://www.bbc.com/news/technology-56071437.
• 5
  « L’utilisation des pixels espions dans une newsletter ». PLR Avocats Blog [en ligne]. [Consulté le 10 mai 2024]. https://www.plravocats.fr/blog/data-protection-rgpd/l-utilisation-des-pixels-espions-dans-une-newsletter.
• 6
  BONDARYK, Peter. « The Secret World Of Tracking Pixels, Consumer Data, And The FTC’s Watchful Eye ». Linkedin [en ligne]. 11 septembre 2023. [Consulté le 10 mai 2024]. https://www.linkedin.com/pulse/secret-world-tracking-pixels-consumer-data-ftcs-eye-peter-bondaryk.
• 7
  ENGLEHARDT, Steven. « I never signed up for this! Privacy implications of email tracking ». Freedom to Tinker [en ligne]. 28 septembre 2017. [Consulté le 10 mai 2024]. https://freedom-to-tinker.com/2017/09/28/i-never-signed-up-for-this-privacy-implications-of-email-tracking/.
• 8
  Ref. 1
• 9
  WATERMAN, Shaun. « Hackers using pixel tracking to build data for better phishing practices ». Cyberscoop [en ligne]. 17 avril 2017. [Consulté le 10 mai 2024]. https://cyberscoop.com/pixel-tracking-hacking-check-point/.
• 10
  LARKINA, Anna. « Who is tracking you on the web and how ». Kaspersky daily [en ligne]. 24 février 2023. [Consulté le 10 mai 2024]. https://www.kaspersky.com/blog/web-beacons-explained-and-how-to-stop-them/47281/.
• 11
  MEYER, Donald. « When you look at files from the cloud, are they looking back at you? ».Checkpoint [en ligne]. 17 avril 2017. [Consulté le 10 mai 2024]. https://blog.checkpoint.com/research/look-files-cloud-looking-back/ .
• 12
  DEDENOK, Roman. « Pixel espion au service de la cybercriminalité ». Kaspersky daily [en ligne]. 10 septembre 2020. [Consulté le 10 mai 2024]. https://www.kaspersky.fr/blog/tracking-pixel-bec/15615/.
• 13
  Ref. 2