Lorsque j'ai vu un message tomber sur Full-Disclosure à ce propos, je me suis immédiatement demandé comment ils s'y prenaient. Si l'ajout du web bug ne faisait aucun doute, je m'imaginais déjà un plugin, ajoutant l'image dans le courrier avant son envoi et l'associant auprès du service en ligne avec quelque identifiant qui lierait l'email à cet élément ajouté, et rien de plus. Et bien non. C'est beaucoup plus simple que cela. Voyons, pour le plaisir, comment ils ont fait tout ça.

En fait, ces gens vous l'expliquent sans aucune pudeur : le système se base sur le passage chez eux des courriers que vous expédiez. Rien de moins. Il vous suffit d'ajouter .didtheyreadit.com à l'adresse email de votre correspondant pour que votre prose s'en aille chez eux, soit traitée puis relayée vers son destinataire original. En gros, il vous demandent gentillement de leur envoyer vos missives pour qu'ils puissent gentillement, et surtout trsè simplement, les traiter. Et plus si affinité...

J'ai donc testé le système pour confirmer la théorie : je me suis créé un compte et envoyé un email. Sur des adresses jetables, forcément. Voici ce que j'ai expédié :

Subject: This email is confidential
From: Didier Jetable <xxxxxxxxxxxxxxx@xxxxxxxxxxx>
To: xxxxxxxxxxxxxx@xxxxxxxxxxx.DidTheyReadIt.com
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
Mime-Version: 1.0
Date: Sun, 30 Sep 2007 16:12:45 +0200

You can find confidential information we were talking about in a
upcoming email I will send you tomorrow.

-- 
Didier Jetable
CFO

Une fois que le courrier est passé chez eux, je suis notifié de son traitement via leur interface web, qui me permet de suivre la vie de mes envois :

Tracked email

Bientôt, l'email va arriver dans la boîte vers laquelle il a été expédié. Voici ce qu'il est devenu :

Subject: This email is confidential
From: Didier Jetable <xxxxxxxxxxxxxxx@xxxxxxxxxxx>
To: xxxxxxxxxxxxxx@xxxxxxxxxxx
Date: Sun, 30 Sep 2007 14:12:44 +0000
Mime-version: 1.0
Content-Type: multipart/alternative;
        boundary="=_fa03d55779d60f5cc09f8f683807a7c2"

This is a multi-part message in MIME format.
--=_fa03d55779d60f5cc09f8f683807a7c2
Content-Type: text/plain
Content-Transfer-Encoding: 7bit

You can find confidential information we were talking about in a
upcoming email I will send you tomorrow.

-- 
Didier Jetable
CFO


--=_fa03d55779d60f5cc09f8f683807a7c2
Content-Type: text/html

You can find confidential information we were talking about in a<br />
upcoming email I will send you tomorrow.<br />
<br />
-- <br />
Didier Jetable<br />
CFO<br />
<br />
<div><img src="http://e-mail-servers.com/
        402849bb1d28f49978a976796a5974b7worker.jpg"
        nosend="1" name="dtri" width="1" height="1">
--=_fa03d55779d60f5cc09f8f683807a7c2--

Le passage du format text/html au multipart ne vous aura pas échappé, pas plus que l'ajout de l'image dans la partie text/html. C'est le web bug, dont le chargement par votre MUA signalera la lecture du mail. Le mien lisant le courrier en teste brut par défaut et ne téléchargeant pas les images quand il est sur du text/html, il ne déclenche pas l'évènement. Ni une ni deux, un coup de wget sur l'image confirme le tout. Je reçois un email et je peux constater le changement en ligne :

Read email

Isn't it beautiful ? Le tout pour une modeste contribution pouvant aller jusqu'à 24,99USD/mois selon la durée d'abonnement et le volume de courrier que vous expédiez. Autant dire qu'ils n'y vont pas avec le dos de la cuillère pour rentabiliser cette magnifique plate-forme d'intelligence économique...


Bref. Voici donc un joli produit à l'usage de tous ceux qui veulent être sûrs qu'on lit les emails qu'ils expédient.

Produit qui se base d'abord sur une technique largement utilisée et éprouvée par les spammers et autres adeptes du marketing ciblés pour confirmer leurs bases d'adresses. Également par les concepteurs de vers, qui s'en servent pour exploiter des failles de parser graphique... Ceci rend son efficacité toute relative dans la mesure où la plupart des gens équipés d'une once de jugeotte d'une part et d'un client de messagerie décent d'autre part ont depuis longtemps bloqué le téléchargement des images dans les emails venus d'on ne sait où. Ou pas...

Produit qui, ensuite, et surtout, exige que vous fassiez transiter vos envois par un point unique sur lequel ils pourront être lus. Bien que la confidentialité d'un email soit aussi maigre que celle d'une carte postale, autant ne pas faciliter la tâche des curieux. En particulier quand il s'agit de courriers professionnels, parfois internes à une même entité. Savoir que Paul correspond avec Jacques, savoir à quel rythme Simone relève ses emails, connaître la fréquence des échanges entre Annie et Simon, ce sont autant d'informations qui valent leur pesant de cacahouètes, sans parler du contenu.

Pour autant, je ne doute pas un instant qu'ils trouveront des clients. Assez pour vivre, je ne sais pas, mais si une chose est bien sûre, c'est qu'ils trouveront des gens prêts à payer pour se faire espionner. Décidemment, Internet est un monde formidable...


Update: Thierry Zoller avait justement utilisé ce système pour son mail sur Full Disclosure, histoire de le tester grandeur nature. Il vient de mettre en ligne les résultats qu'il a obtenus, et c'est très intéressant. Il suffit de le parcourir, ça se passe de commentaire.