Arobase.org le guide de l'e-mail
Depuis les révélations d’Edward Snowden sur les programmes d’écoute des services de renseignement américains, l’opinion publique a pris conscience que la confidentialité des messages et le respect de la vie privée sur Internet n’étaient pas – et de loin – garanties. Pendant que le débat faisait rage (faut-il sacrifier la vie privée à la sécurité ?), que les révélations s’égrenaient (récemment, il a été prouvé que l’Allemagne espionnait pour le compte des Américains) et que les projets de loi se multipliaient (la France est en passe de faire adopter une contestée Loi sur le Renseignement), des messageries permettant d’échapper à la surveillance de masse et préserver sa vie privée se sont développées. Pourquoi et comment opter aujourd’hui pour une messagerie sécurisée ? Quelle est l’offre disponible ? Dossier complet.
Comment se pratique la surveillance ?
Pour comprendre les enjeux, il importe de savoir comment nous pouvons être surveillés. La surveillance des courriels par les agences de renseignement s’effectue principalement de 2 manières :
- En accédant directement ou indirectement aux serveurs des messageries, que ce soit sur requête judiciaire, administrative ou illégalement, les services de renseignement récupèrent les messages ou leur métadonnées (liste des correspondants et dates d’envoi).
En juin 2013, le quotidien britannique The Guardian a ainsi confirmé que le programme PRISM facilitait à la NSA (l’agence de renseignement américaine) l’accès aux données hébergées par Google, Facebook, Microsoft, Yahoo, AOL et Apple. En France, l’installation de boîtes noires chez les hébergeurs et fournisseurs d’accès français, prévue dans la Loi pour le Renseignement (adopté par l’Assemblée Nationale le 5 mai dernier), autorise une surveillance de masse. - En interceptant les données dans les tuyaux d’Internet, les agences peuvent collecter les informations à leur aise. Le programme américain Upstream ou son équivalent britannique Tempora, permettent de prélever les données depuis les câbles sous-marins et les infrastructures d’Internet.
Bref, quand vous envoyez un courrier vers ou depuis Gmail, Outlook.com / Hotmail, Yahoo Mail, AOL Mail et iCloud, si votre boîte aux lettres est hébergée en France ou si votre message (ou une sauvegarde de celui-ci) traverse en clair les mers et les océans, il y a de fortes chances qu’une ou plusieurs agences de renseignement soient en mesure d’y accéder. Cela ne signifie pas que vous êtes surveillé en permanence, mais que pour une raison ou une autre, un comportement jugé suspect, des relations douteuses, un défaut de l’algorithme ou une décision arbitraire, vous pouvez l’être. Sans céder à la paranoïa (lisez à ce propos le point de vue très arguménté de Jean-Marc Manach), vous êtes donc potentiellement surveillable sur Internet.
LeMonde.fr : Comment la NSA vous espionne (expliqué en patates)
Pourquoi vouloir protéger sa correspondance ?
S’il est idiot de contester l’utilité du renseignement et des écoutes ciblées, notamment dans le contexte actuel de montée du terrorisme, on peut en revanche émettre de sérieuses réserves sur la surveillance de masse.
- Si vous n’avez rien à cacher et rien à vous reprocher, pourquoi donc des gouvernements auraient-ils le droit de violer votre droit à la vie privée (qui est garanti par l’article 12 de la Déclaration universelle des droits de l’homme) ?
- Le fait de savoir que vous êtes surveillé influe sur votre comportement, c’est prouvé. Vous surveiller ne vous prive-t-il pas d’une liberté ? (lisez à ce propos l’article d’Amnesty International sur la surveillance de masse).
- De quel droit des gouvernements étrangers se permettent-ils de vous surveiller ? Qui vous garantit d’ailleurs que le renseignement ne s’étend pas aux domaines industriels et économiques ?
Bref, vous avez quelques raisons de vouloir protéger un tant soit peu votre courriel.
Comment échapper à la surveillance de masse ?
Précisons tout d’abord que les messageries que nous présentons ici ne permettront pas (et c’est heureux) d’échapper à de potentielles écoutes ciblées si vous êtes dans le collimateur de la police, de la justice ou des services de renseignement. Dans bien des cas, les agences de renseignements ont les moyens de contourner les protections mises à disposition. Notons également que la manière la plus efficace de protéger ses messages reste de les chiffrer au cas par cas avec un système de clés asymétriques (consultez le dossier chiffrer ses messages pour en savoir plus).
Pour échapper à une surveillance massive, deux solutions sont à votre portée. La première est d’opter pour une messagerie qui héberge ses serveurs dans un pays qui respecte le droit à la vie privée. Par exemple la Norvège ou la Suisse. La seconde est de choisir une messagerie qui stocke les messages de façon chiffrée sur ses serveurs.
Pour éviter que le contenu de vos messages puisse être sondé au fond des mers (ou ailleurs), assurez-vous que votre messagerie mette en oeuvre systématiquement le chiffrement des messages lors de l’acheminement. Google, qui communique beaucoup sur le sujet, mesure ainsi que seuls 60 % des messages entrants sur sa messagerie sont protégés.
Que valent donc les messageries classiques sur ce point ?
Les géants américains du Web décrochent logiquement un bonnet d’âne. Oubliez les messageries Gmail, Outlook.com / Hotmail, Yahoo Mail, AOL Mail et iCloud si vous voulez être un tant soit peu à l’abri des grandes oreilles américaines. Quant aux messageries françaises, elles risquent fort d’être bientôt soumises aux boîtes noires prévues par la Loi sur le Renseignement. Oubliez particulièrement Free, dont le chiffrement des messages pendant l’acheminement laisse à désirer (selon Google).
Parmi les grandes messageries gratuites, reste l’allemande GMX. Même si la NSA semble avoir ses entrées en Allemagne et que le CCC, club de hackers allemands, émet de sérieuses réserves, la loi allemande apporte encore certaines garanties. Un pis-aller.
Les messageries sécurisées
Si vous voulez vraiment protéger votre boîte e-mail, optez pour une messagerie sécurisée. Nous vous en avons sélectionné quelques unes. N’hésitez pas à nous signaler d’autres services ou nous faire part de vos retours dans les commentaires de cet article.
-
Mailden 
France – 30 Go – 30 € / an
Cette messagerie française, lancée en septembre 2014, chiffre et stocke tous les e-mails entrants sur ses serveurs (hébergés par OVH). Conçue pour «M. et Mme tout le monde », le service ne propose pas pour l’instant d’option de chiffrement de bout en bout (vous devez installer un plugin comme Mailvelope) ou mais chiffre par défaut les messages sortants pour l’acheminement. A noter : la présence de serveurs IMAP / SMTP (lire notre test). -
Tutanota
Allemagne – en français – 1 Go – gratuit
Ce service, avec serveurs situés en Allemagne, chiffre non seulement les messages mais également les sujets et les pièces attachées. Vos messages sont stockés chiffrés sur les serveurs et vous seul pouvez les déchiffrer. Pas de serveur IMAP mais des applications iOS et Android (lire notre test). -
ProtonMail
Suisse – 500 Mo / 1 Go – gratuit
Cette messagerie suisse, de loin la plus sécurisée, chiffre les messages et les pièces attachées. Encore en version bêta, elle vient de lever des fonds pour son développement. Pas de serveur IMAP, ni d’application mobile : tout passe par le Web (lire notre test). -
FastMail Australie – en anglais – 1 Go / 10 Go – 20 $ / 40 $ par an
FastMail est soumise aux lois australiennes, plutôt en faveur du respect de la vie privée. La société assure ne coopérer avec aucun service de surveillance et ne divulguer des informations que sur mandat délivré par un juge australien. La messagerie est hébergée aux Etats-Unis mais chiffre les connexions et les messages stockés sur ses propres serveurs. Elle propose des serveurs POP/IMAP et SMTP. Offre d’essai 30 j. -
Runbox
Norvège – 1 Go / 5 GO – 20 $ / 35 $ / an
Cette messagerie écolo (alimentée par hydroélectricité) chiffre les messages pendant l’acheminement et stocke les messages en clair sur ses serveurs. Mais elle est soumise au droit norvégien, particulièrement respectueux de la vie privée. -
Hushmail
Canada – en anglais – 1 Go – 35 $ par an – Essai gratuit
Cette messagerie a fait de la sécurité et de la vie privée un argument commercial (hush veut dire chut en anglais). Elle chiffre les messages pendant l’acheminement ou de bout en bout par l’intermédiaire d’une question secrète posée au destinataire. A noter que certains internautes doutent de la fiabilité de ce prestataire, le Canada étant membre de l’alliance des « Cinq Yeux » (« Five Eyes ») regroupant les partenaires historiques des Etats-Unis en matière de renseignement. - On note aussi RiseUp.net, messagerie sécurisée « pour les personnes et les groupes qui militent en faveur d’un changement social libérateur ».
Notez enfin qu’un e-mail envoyé en clair vers ou depuis Gmail (ou une autre messagerie peu sécurisée) a beau être stocké de manière sécurisée par une messagerie ultra-sécurisée, il restera stocké sur Gmail. Pour être vraiment sécurisés, les échanges doivent l’être de toute part !
Twitter
Facebook
LinkedIn
Attention Runbox est aussi 5« Five Eyes »
Salut tout le monde! Je pars bientôt en vacances et je ne sais pas comment m’y protéger. Parce qu’à la maison, j’ai toujours tout configuré et je ne m’inquiète pas. Mais ici, en vacances, je ne voudrais pas d’une fuite de données. Alors donne moi des conseils
il manque ik.me la boîte mail sécurisée et respectueuse de la sphère privée d’infomaniak, entreprise suisse.
un presque nouveau joueur: https://swisscows.email/fr/
Bonjour,
Dur dur de mettre derrière nous 15 ans de boîte mail Gmail. Cela se fait sur plusieurs années mais la première démarche consiste déjà à ouvrir une boîte mail chez un prestataire sécurisé, gratuit ou payant selon ce que l’on veut.
J’ai testé Protonmail et Tutanota et préfère ce dernier, les tarifs de Protonmail étant devenus prohibitifs…
J’ai écrit un petit comparatif entre les 2, alimenté de mon expérience : https://nicolasforcet.com/2022/05/08/email-securise-je-quitte-protonmail-pour-tutanota/
Bonne continuation et merci pour cet article.
Nicolas
Attention Runbox est aussi 5« Five Eyes »
C’est bien beau sécuriser ses courriels mais faudrait que tout le monde le fasse par défaut incluant les services en ligne comme Gmail, Microsoft et les applications de bureautique commerciale, organismes publics et organismes comme les villes, les professionnelles, etc.
J’ai testé protonmail avec un message chiffré mais n’a pu être lu par le destinataire vu que la personne utilise un client comme outlook sur PC.
Le courriel sécurisé n’est pas généralisé ni démocratique pour les utilisateurs. Et souvent payant.
En suisse nous avons https://www.letsmail.ch/ avez-vous testé ?
iCloud pas fiable ? FAUX ! les adresses mails iCloud sont entièrement cryptées de bout en bout si vous activez sur votre Apple ID l’identification à deux facteurs.
Pour ce qui de l’accès des serveurs d’Apple c’est fini depuis 2014 avec l’affaire Snowden puis qu’Apple a même été en justice pour ne pas s’être plié aux règles du FBI et de la NSA à propos de l’attentat de Boston car Apple ne voulait pas déverrouiller l’iPhone du terroriste et depuis c’est encore la guerre puis qu’Apple refuse toujours de fournir une boite noir…
Regardez qui héberge les données d’Apple …
tout le reste est de la communication pour nous, le grand public, en off je n’imagine même pas…
réponse : Google
Excellent article qui explique bien comment se fait la surveillance et l’importance de protéger sa confidentialité. Dommage juste que http://www.Mailfence.com ne soit pas mentionné. Vous l’aviez repris dans cet article: https://www.arobase.org/messageries/mailfence.htm
Excellent article, clair et détaillé comme à l’accoutumée ici. Le courriel n’est pas ce qui m’accapare le plus, l’habitude crée des automatismes qui font que l’on peut ne pas songer à s’interroger : cette page (re)met en lumière la faille d’indiscrétion propre aux mails envoyés/hébergés/reçus sans enveloppe sécurisante.
Ce qui est certain ici c’est une politique email de base : ne jamais laisser de contenus sur un serveur de messagerie non crypté : IMAP oui si crypté sinon on rapatrie tout en temps réel via POP3. Ensuite, les trajets vers et depuis la messagerie, et là c’est moins évident si l’on ne maîtrise pas le PGP (Pretty Good Privacy), auquel cas des messageries cryptant de bout en bout (envoi/hébergement/réception) tel que ProtonMail sont une solution idéale mais qui supposent qu’émetteur et récepteur y aient tous deux un compte pour bénéficier au mieux du service.
Quoi qu’il en soit, l’adage selon lequel un courriel envoyé tel quel est semblable à une carte postale lisible par tous est plus que jamais fondé. A notre bon entendement, salut !