Application myMail: des pratiques douteuses ?
Posté : 21 nov. 2014 00:35
Bonsoir à tous !
Ce message juste pour une mise en garde, ou du moins pour partager un certain flou sur les pratiques de l'application myMail. Cette appli, qui a l'avantage d'être extrêmement agréable d'un point de vue esthétique et ergonomique, me semble assez obscure sur un point: le stockage des identifiants d'accès à vos comptes mail (généralement adresse e-mail et mot de passe, que vous spécifiez au moment d'ajouter le compte à l'application).
En effet, il semblerait que les paramètres de connexion à votre serveur de messagerie soient stockés non seulement dans l'application sur votre téléphone, mais également sur les serveurs de l'éditeur de l'application (my.com) ! C'est un peu comme si Microsoft enregistrait chez lui les clés de votre boite mail Orange sous prétexte que vous lisez votre courrier avec Outlook Express... Cet éditeur dispose du coup de tous les accès possibles à votre boite mail et à ce qu'elle contient, et ce n'est pas du tout explicite ni à l'installation ni à l'usage du programme.
Les avis sur l'application sont très bons et j'avoue m'être laissé séduire moi-même, mais c'est en la testant aujourd'hui que je me suis aperçu que l'éditeur était assez intrusif. Là-dessus je me trompe peut-être, mais les en-têtes d'un mail envoyé via myMail laissent apparaitre beaucoup de mentions à "my.com" et c'est à croire que le mail est passé par leurs serveurs avant d'être envoyé au destinataire (et dans ce cas, cela signifie que tous les mails envoyés par l'application sont interceptés par les serveurs de l'éditeur sans que vous n'en soyez jamais informé). Cela demande confirmation. Toujours est-il que cela a fortement suscité ma curiosité, aussi c'est avec demi-surprise que des recherches m'ont conduit aux témoignages suivants:
- Danger: Application Mail sur Android MyMail de My.com [forum.korben.info, 4 juillet 2014]
- beware! myMail, a popular mail app, stores your passwords on their servers and continues checking your mail even after you uninstall [Reddit.com, 19 mars 2014]
Le deuxième en particulier est assez édifiant puisqu'il apporte la preuve que, même après désinstallation de l'application, les serveurs de son éditeur my.com continuent d'accéder au compte mail auparavant géré par l'appli. Et cela met en évidence un problème majeur à mon sens: l'éditeur de myMail a effectivement en sa possession vos identifiants et les conserve même une fois myMail supprimé de votre téléphone. Ce qui lui permet évidemment d'accéder en toute impunité à vos mails sans que vous ne soyez au courant de rien...
L'éditeur a apporté une réponse à cette question (ici) où il explique que les identifiants des comptes mails sont effectivement stockés sur ses serveurs et utilisés afin de proposer à l'utilisateur des services supplémentaires, mais qu'ils finissent par en être supprimés. Il s'en justifie en rappelant que myMail est une application basée sur le fameux et très en vogue "cloud". La difficulté viendrait du fait que l'éditeur n'est pas automatiquement prévenu de la désinstallation de son application par un utilisateur, conséquence de quoi la suppression des identifiants de leurs serveurs n'est pas immédiate.
Mais alors ce sont beaucoup de questions qui me viennent à l'esprit. Comment l'éditeur de myMail peut-il conserver sur ses serveurs nos identifiants personnels sans nous en informer explicitement ? Comment ce même éditeur peut-il se permettre d'accéder à nos mails dans notre dos ? S'il conserve nos identifiants, comment être sûr qu'il ne conserve pas également une copie de l'ensemble des mails qu'il a pu récupérer très discrètement sur le compte e-mail auquel il s'est octroyé tous les accès ? En somme, comment faire confiance à une application qui ne se contente pas de relever ses mails sur son smartphone comme on s'y attend naturellement, mais qui va jusqu'à faire passer la gestion de son compte mail par les serveurs d'un éditeur obscur sans que cela ne soit jamais présenté comme tel ?
Installée hier, je l'ai désinstallée aujourd'hui pour ma part. Et j'ai bien entendu changé le mot de passe de mon compte mail dans la foulée...
Ce message juste pour une mise en garde, ou du moins pour partager un certain flou sur les pratiques de l'application myMail. Cette appli, qui a l'avantage d'être extrêmement agréable d'un point de vue esthétique et ergonomique, me semble assez obscure sur un point: le stockage des identifiants d'accès à vos comptes mail (généralement adresse e-mail et mot de passe, que vous spécifiez au moment d'ajouter le compte à l'application).
En effet, il semblerait que les paramètres de connexion à votre serveur de messagerie soient stockés non seulement dans l'application sur votre téléphone, mais également sur les serveurs de l'éditeur de l'application (my.com) ! C'est un peu comme si Microsoft enregistrait chez lui les clés de votre boite mail Orange sous prétexte que vous lisez votre courrier avec Outlook Express... Cet éditeur dispose du coup de tous les accès possibles à votre boite mail et à ce qu'elle contient, et ce n'est pas du tout explicite ni à l'installation ni à l'usage du programme.
Les avis sur l'application sont très bons et j'avoue m'être laissé séduire moi-même, mais c'est en la testant aujourd'hui que je me suis aperçu que l'éditeur était assez intrusif. Là-dessus je me trompe peut-être, mais les en-têtes d'un mail envoyé via myMail laissent apparaitre beaucoup de mentions à "my.com" et c'est à croire que le mail est passé par leurs serveurs avant d'être envoyé au destinataire (et dans ce cas, cela signifie que tous les mails envoyés par l'application sont interceptés par les serveurs de l'éditeur sans que vous n'en soyez jamais informé). Cela demande confirmation. Toujours est-il que cela a fortement suscité ma curiosité, aussi c'est avec demi-surprise que des recherches m'ont conduit aux témoignages suivants:
- Danger: Application Mail sur Android MyMail de My.com [forum.korben.info, 4 juillet 2014]
- beware! myMail, a popular mail app, stores your passwords on their servers and continues checking your mail even after you uninstall [Reddit.com, 19 mars 2014]
Le deuxième en particulier est assez édifiant puisqu'il apporte la preuve que, même après désinstallation de l'application, les serveurs de son éditeur my.com continuent d'accéder au compte mail auparavant géré par l'appli. Et cela met en évidence un problème majeur à mon sens: l'éditeur de myMail a effectivement en sa possession vos identifiants et les conserve même une fois myMail supprimé de votre téléphone. Ce qui lui permet évidemment d'accéder en toute impunité à vos mails sans que vous ne soyez au courant de rien...
L'éditeur a apporté une réponse à cette question (ici) où il explique que les identifiants des comptes mails sont effectivement stockés sur ses serveurs et utilisés afin de proposer à l'utilisateur des services supplémentaires, mais qu'ils finissent par en être supprimés. Il s'en justifie en rappelant que myMail est une application basée sur le fameux et très en vogue "cloud". La difficulté viendrait du fait que l'éditeur n'est pas automatiquement prévenu de la désinstallation de son application par un utilisateur, conséquence de quoi la suppression des identifiants de leurs serveurs n'est pas immédiate.
Mais alors ce sont beaucoup de questions qui me viennent à l'esprit. Comment l'éditeur de myMail peut-il conserver sur ses serveurs nos identifiants personnels sans nous en informer explicitement ? Comment ce même éditeur peut-il se permettre d'accéder à nos mails dans notre dos ? S'il conserve nos identifiants, comment être sûr qu'il ne conserve pas également une copie de l'ensemble des mails qu'il a pu récupérer très discrètement sur le compte e-mail auquel il s'est octroyé tous les accès ? En somme, comment faire confiance à une application qui ne se contente pas de relever ses mails sur son smartphone comme on s'y attend naturellement, mais qui va jusqu'à faire passer la gestion de son compte mail par les serveurs d'un éditeur obscur sans que cela ne soit jamais présenté comme tel ?
Installée hier, je l'ai désinstallée aujourd'hui pour ma part. Et j'ai bien entendu changé le mot de passe de mon compte mail dans la foulée...
