Computer Security: an update on your privacy – or lack of it
Authors/Creators
Description
While we have reported on our privacy concerns when using smartphones or cloud services in past issues of the Bulletin (e.g. “Enter the Cloud, pay with your password”, “… and thank you for your mobile data!”, and “Prison or 'Prism'? Your data in custody”), recent news has once again given us a reason to rant: even after the Snowden revelations, things are not getting better!
Let me start with Microsoft and its initiative to bring the “Outlook” mail client onto Android and iOS smartphones. This app can act as an email inbox for Exchange, Outlook, iCloud, Google and Yahoo mail accounts, just like, for example, the iOS mail client. However, instead of aggregating and storing all emails locally on the smartphone, the user’s email and/or calendar data is aggregated on servers operated by Microsoft. For this, the credentials (i.e. passwords) for the corresponding Exchange/iCloud/Gmail/etc. accounts are uploaded to the same Microsoft servers that subsequently fetch all relevant data, emails and calendar entries. Thus, if you use this app to read your CERN emails, your CERN password will already have been transferred to Microsoft. The European Parliament considered this dangerous enough to warrant banning this app from all its devices and forced all its users at that time to change their passwords. Time for you to reconsider using that Outlook app and to change your CERN password…
In this respect, Microsoft is significantly different from Apple’s iCloud or Gmail if you synchronise your CERN mailbox with them. Apple iCloud holds an encrypted copy of your CERN password through your iOS back-up, but not a clear text one. Gmail doesn’t hold it at all if you just forward the emails sent to your CERN email address to it (but if you are CERN staff, please refrain from doing this as it has implications for CERN’s privileges and immunities as an intergovernmental organisation; see “Don’t let your mail leak”).
From a different angle, however, Apple has also failed to provide proper privacy (if you believe that this even exists): the Apple mail client provides the capability to block the tracking of emails explicitly, i.e. prevent senders from learning when you’ve read or looked at their emails. Technically, such tracking is done via a unique token (e.g. an image embedded in your email) being downloaded from the sender’s side. Once you look at that email, this download is sufficient to indicate to the sender that you’ve seen it. But you’re not the only one who could be looking at it: the Apple Spotlight search indexes your emails, and, thus, needs to “look” at them, too. This is were Apple failed: Spotlight triggers the download even if it should be blocked, so the sender at least knows that you’ve properly received the email...
In short, watch out: protect your privacy and your CERN password. Some apps and programs might gather more information than you expect. Also, keep your emails with the CERN email service and do not forward them to a third-party email provider.
For further information, questions or help, check our website or contact us at Computer.Security@cern.ch.
Do you want to learn more about computer security incidents and issues at CERN? Follow our Monthly Report.
Access the entire collection of Computer Security articles here.
Other (French)
Bien que nous vous ayons déjà fait part, dans des articles précédents, de nos inquiétudes concernant votre vie privée lorsque vous utilisez un smartphone ou des services d’informatique en nuage (voir par exemple « ... Et merci pour vos données mobiles » et « Prison ou “Prismˮ ? Vos données en garde à vue »), les dernières nouvelles nous poussent encore une fois à aborder le sujet, car même après les révélations d’Edward Snowden, rien ne semble vraiment s’améliorer !
Commençons par Microsoft et son initiative visant à créer un client de messagerie Outlook sur les téléphones Android et iOS. Cette application joue le rôle de boîte mail pour les comptes mail Exchange, Outlook, iCloud, Google et Yahoo, de la même façon que peuvent le faire d'autres clients de messagerie, tels que celui existant sous iOS.
Malheureusement, vos courriels ne sont pas collectés et stockés localement sur votre téléphone. Ils sont collectés par des serveurs gérés par Microsoft, tout comme les données présentes dans votre calendrier. Comment ? Vos identifiants de connexion à votre compte Exchange, iCloud ou Gmail… (y compris votre mot de passe) sont simplement envoyés à ces serveurs Microsoft, qui peuvent ensuite récupérer directement toutes ces informations. Ainsi, si vous utilisez cette application pour lire vos courriels du CERN, votre mot de passe CERN passe entre les mains de Microsoft. Le Parlement européen a considéré ce problème comme très sérieux, au point d’interdire à ses membres l’utilisation de cette application sur tous leurs appareils et comptes professionnels, et, de leur imposer, au cas où ils l’utiliseraient déjà, de la désinstaller et de changer leur mot de passe. Peut-être est-il également temps pour vous de reconsidérer, le cas échéant, l'utilisation de cette application, et de changer votre mot de passe CERN...
À cet égard, Microsoft est très différent de l'iCloud d'Apple ou de Gmail. L'iCloud d'Apple contient bien une copie chiffrée de votre mot de passe CERN - par l’intermédiaire de vos sauvegardes iOS - mais pas de copie lisible. Gmail n'a quant à lui aucune connaissance de votre mot de passe, si vous lui transmettez simplement vos courriels CERN (si vous êtes membre du personnel CERN, nous vous invitons cependant à ne pas transmettre de la sorte vos courriels à des tiers tels que Google. Voir « Évitez les fuites de courrier »).
La société Apple a elle aussi quelques soucis avec la protection de votre vie privée (si vous y croyez encore) : le client de messagerie d'Apple a une fonctionnalité qui permet de bloquer explicitement le suivi des courriels*, empêchant l'expéditeur de savoir si vous avez lu son message. Or, le moteur de recherche Spotlight d'Apple indexe vos courriels… et a donc besoin de les lire, lui aussi ! Et c'est là que le bât blesse : Spotlight télécharge les ressources incluses dans vos courriels au lieu de les bloquer, informant malgré vous l'expéditeur que vous avez bien reçu son message.
En deux mots : faites attention ! Protégez votre vie privée et votre mot de passe CERN. Certaines applications et certains programmes collectent plus d'informations que vous le pensez. Laissez le soin au service mail du CERN de garder vos courriels et ne les transmettez pas à des fournisseurs mail tiers.
*Techniquement parlant, ce suivi est réalisé en analysant un objet du message contenant un identifiant unique (par exemple une image intégrée dans le courriel), qui sera téléchargé depuis le client de messagerie. Lorsque vous regardez le message, ce téléchargement suffit à l’expéditeur pour savoir que vous avez regardé son courriel (et donc que vous l'avez bien reçu).
N'hésitez pas à contacter l'équipe de sécurité informatique
ou à consulter notre site web.
Si vous voulez en savoir plus sur les incidents et les problèmes de sécurité informatique rencontrés au CERN, consultez notre rapport mensuel (en anglais).
Accédez à la collection complète d'articles de l'équipe de sécurité informatique ici.
Additional details
Identifiers
- CDS
- 1994237
- CDS Report Number
- BUL-NA-2015-044
Related works
- Is published in
- Periodical issue: jqt2y-n5541 (CDS)
- Periodical issue: xb265-f9f02 (CDS)