Par mesure de sécurité, certains logiciels de courriels bloquent les images dans les emails. Parfois le courriel est difficile à lire sans les images et il faut généralement cliquer sur un lien ou bouton afin d’autoriser les images à être affichées. Tout cela semble bien beau, mais pourquoi donc est-ce que le fait d’afficher une simple image peut nuire à ma sécurité?

Boîte de conserve SPAM

Le fait d’afficher les images peut permettre à un spammer de confirmer votre adresse courriel. Un spammer peut envoyer des millions de courriels à autant d’adresses différentes. Parfois ils se basent sur des adresses courriel trouvées sur des sites web, mais il arrive aussi qu’ils se contentent d’envoyer des courriels à des adresses générées automatiquement. Ils peuvent donc, par exemple, envoyer du spam à toutes les combinaisons possibles de lettres et de chiffres de 20 lettres ou moins à les utilisateurs de Gmail, Hotmail, Yahoo! Mail, etc. C’est très simple comme méthode et ça permet de rejoindre une très grande quantité de personnes. Le problème de cette méthode c’est qu’il n’y a pas de façon de savoir si l’adresse existe ou non avant d’envoyer le courriel.

Toutefois, pour les adresses existantes, il est possible de savoir si un courriel a été ouvert (et du même coup par quelle adresse courriel)… à condition que les images soient affichées. Une adresse courriel confirmée comme étant valide a beaucoup plus de valeur pour un spammer puisqu’il est garanti de rejoindre quelqu’un. Qu’est-ce que les images ont de si spéciales pour permettre ce genre d’information d’être transmis?

Pour comprendre il faut savoir qu’un courriel est généralement transmis en HTML, c’est une syntaxe qui décrit le format du courriel (les paragraphes, les italiques, les liens, … et les images). Voici comment une image est représentée:

<img src="[url de l'image]" alt="image" />

(par exemple, l’image de SPAM ci-dessus a l’url suivant: /images/2011/09/spam.jpg)

L’url (lien Internet de format http://www.exemple.com) de l’image peut être n’importe quoi, il peut s’agir de l’url d’une image provenant de n’importe quel site sur la planète. Un spammer peut donc indiquer comme URL son propre site. Donc, lorsque son site reçoit une requête pour transmettre l’image cela indique que quelqu’un a ouvert le courriel et a affiché les images. Il est possible d’ajouter des paramètres à l’url qui permet d’identifier exactement quelle adresse courriel a ouvert le message.

C’est pourquoi la plupart des logiciels de courriels n’affichent pas les images lorsque les courriels proviennent d’adresses inconnues.