Confidentialité •Terms of use • Aqua Mail

Confidentialité

 

La politique de confidentialité globale de MobiSystems peut être trouvée ici.

Veuillez noter qu’il englobe tous nos produits et n’est pas spécifique à Aqua Mail.

Vous trouverez ci-dessous une explication de certains aspects de la confidentialité spécifiques à Aqua Mail:

 

Non basé sur le cloud

Plusieurs applications de messagerie actuellement populaires sont basées sur le cloud.

Cela signifie qu’ils exécutent leurs propres serveurs, qui se connectent aux serveurs de messagerie réels hébergeant votre (vos) compte(s) (Yahoo, Gmail, Hotmail), collectent vos messages sur ces « propres » serveurs (pour une certaine durée), puis envoyer des messages à partir de là vers l’appareil.

Ainsi, vos messages sont stockés ailleurs (pour une certaine durée), et dans certains cas, les mots de passe de votre compte le sont également, de sorte que les « propres serveurs » de l’application peuvent se connecter aux serveurs de messagerie de votre compte – en tant que « vous ».

Les développeurs de ces applications ont certainement pris toutes les précautions possibles pour faire ce qui précède de la manière la plus sécurisée possible, qu’ils soient compétents, que leurs systèmes soient protégés, audités, mis à jour, corrigés pour la sécurité… et que le fonctionnement de ces applications soit clairement communiqué. sur leurs sites Web, dans les conditions de service et les politiques de confidentialité. Mais encore – c’est un endroit de plus qui stocke vos messages et peut-être les mots de passe de vos comptes.

Aqua Mail n’est pas basé sur le cloud, il fonctionne « de manière traditionnelle », comme Thunderbird ou Outlook.

Il ne stocke les mots de passe de vos comptes que sur le téléphone / la tablette (et peut même ne pas le faire si vous utilisez la nouvelle « authentification plus sécurisée » de Google avec les comptes Gmail ou Google Apps, appelée OAUTH2).

Il se connecte uniquement aux serveurs de messagerie hébergeant vos comptes de messagerie et ne transmet le mot de passe qu’à ces serveurs (et peut même ne pas le faire lorsque vous utilisez OAUTH2).

Il ne collecte aucune information personnelle ou sensible de l’utilisateur ni ne les partage avec des tiers.

Il stocke uniquement vos messages sur l’appareil.

Suivi des spammeurs

 

Les messages de spam contiennent souvent divers techniques permettant aux expéditeurs (les spammeurs) de savoir si vous avez ouvert un message, et peut-être par d’autres moyens. C’est l’un des « travaux » d’une application de messagerie pour essayer de vous protéger de ce type de suivi.

Il existe un site Web, EmailPrivacyTester.com, qui vous permet de vous envoyer un message de test contenant un certain nombre de ces techniques de suivi, puis de vérifier dans quelle mesure votre application de messagerie a été capable de les gérer.

Il existe un site Web, EmailPrivacyTester.com, qui vous permet de vous envoyer un message de test contenant un certain nombre de ces techniques de suivi, puis de vérifier dans quelle mesure votre application de messagerie a été capable de les gérer.

À partir de la version 1.5.9, Aqua Mail obtient un score parfait à ce test, avec le paramètre « Afficher le contenu lié uniquement à partir d’expéditeurs connus » étant « activé », ce qui est la valeur par défaut (juste au cas où, les paramètres de l’application -> vue du message).

Sécurité

 

La confidentialité et la sécurité sont liées, voici donc un bref aperçu.

OAUTH2 pour Gmail et Google Apps et maintenant pour Hotmail, Yahoo et Office 365

 

Depuis la version 1.5.1, Aqua Mail peut utiliser les comptes Gmail ou Google Apps avec la méthode d’authentification préférée de Google, appelée OAUTH2.

Lors de l’ajout d’un nouveau compte, vous devrez choisir « Gmail ou Google Apps ». Pour mettre à niveau un compte Gmail existant, assurez-vous de le synchroniser au moins une fois (afin que l’application sache qu’il s’agit de Gmail), puis appuyez longuement dessus (le compte), choisissez Configuration du compte et vous devriez voir une invite verte pour passer à OAUTH2.

Lorsque vous utilisez OAUTH2, Aqua Mail ne verra pas, ne stockera pas ou ne transmettra pas le mot de passe de votre compte. Au lieu de cela, il utilisera un « token d’accès » pour se connecter.

Ce token d’accès utilise des mathématiques complexes (cryptographie) et ne peut pas être utilisé pour récupérer le mot de passe du compte, même si le token est intercepté par un tiers malveillant.

Récemment, l’authentification OAUTH2 est également prise en charge pour Hotmail et Yahoo. Vous le verrez lors de l’ajout d’un nouveau compte dans Aqua Mail.

Pour convertir un compte existant, appuyez longuement dessus (le compte) -> configuration du compte et vous devriez voir un panneau vert proposant la mise à niveau

Cryptage SSL fort (alias durcissement SSL)

 

Comme la plupart des applications de messagerie, Aqua Mail peut crypter son trafic réseau lorsqu’il « parle à » votre (vos) serveur(s) de messagerie. Lors de l’ajout d’un nouveau compte, les paramètres par défaut ont le cryptage activé (SSL ou STARTTLS).

Maintenant, il existe différents « chiffres » et « protocoles » – cela dépend beaucoup de ce qu’un serveur de messagerie prend en charge – et le reste dépend de ce qu’une application négocie avec le serveur.

Avant Android 5.0, les « chiffrements » et les « protocoles » par défaut utilisés par le système Android étaient plutôt faibles. Pour utiliser les plus sécurisés, veuillez activer les paramètres Aqua Mail -> réseau -> renforcement SSL. Cela essaiera d’utiliser les protocoles TLSv1.2, TLSv1.1, TLS1, SSLv3 dans cet ordre, en mettant également sur liste noire certains chiffrements connus pour être non sécurisés. Il existe également un paramètre permettant de ne pas utiliser SSLv3, récemment découvert comme non sécurisé.

À partir d’Android 5.0, les choix effectués par le code système sont meilleurs, mais Aqua Mail réactive les chiffrements « moins sécurisés » lorsque le « renforcement SSL » est désactivé. Ceci est fait pour une meilleure compatibilité: certains serveurs/services de messagerie, en particulier ceux d’entreprise, nécessitent toujours ces chiffrements « moins sécurisés » et ne peuvent pas fonctionner avec les plus modernes.

Conclusion: si vous souhaitez qu’Aqua Mail utilise le cryptage de réseau le plus sécurisé disponible dans la version Android de votre téléphone, activez le « renforcement SSL » dans Aqua Mail et désactivez SSLv3.

Suivi des certificats SSL

 

Il existe un type de risque de sécurité, non spécifique à Aqua Mail, mais plutôt quelque chose qui peut affecter toute application qui communique avec un serveur distant, sur le réseau, en utilisant le cryptage.

Appelé « attaque de l’homme du milieu », c’est quand quelque chose ressemble à ce serveur distant (serveur de messagerie) même quand ce n’est pas le cas – en interceptant le trafic réseau – et il est alors possible de déchiffrer ce trafic et de voir ce qui est transmis (votre mot de passe, par exemple).

Aqua Mail a un moyen de gérer cela.

Si vous activez les paramètres -> réseau -> suivi SSL, Aqua Mail examinera le «certificat SSL» (empreinte digitale) de chaque serveur lors de la connexion, l’enregistrera, puis surveillera les modifications lors des connexions suivantes.

Si le certificat d’un serveur est différent de la dernière fois, cela peut signifier que quelque chose prétend être le serveur de messagerie de Gmail (ou de Yahoo ou de Hotmail…), alors que ce n’est vraiment pas le cas.

Dans ce cas, Aqua Mail s’arrêtera alors, avant de transmettre le mot de passe de votre compte à un tiers potentiellement malveillant. Il y aura alors un message d’erreur à ce sujet sous le compte (dans la liste des comptes). Appuyez sur l’erreur pour examiner les derniers certificats connus et actuels, et décidez si vous acceptez la modification.

Désormais, certains services de messagerie (par exemple, Gmail, Office 365) modifient assez souvent leurs certificats de cryptage, ce qui déclenchera l’erreur, même s’il ne se passe rien de grave.

C’est à vous (l’utilisateur) de décider si une modification particulière des certificats SSL détectée par Aqua Mail est valide, ou éventuellement malveillante, et si vous souhaitez qu’Aqua Mail accepte le nouveau certificat et continue.

Validation DKIM et SPF

 

Nouveau depuis la 1.6.1, affiché sous la forme d’une petite icône de cadenas vert ou rouge lors de l’affichage d’un message.

La FAQ contient des informations plus détaillées.