Reprendre le contrôle de ses emails
Cette page présente quelques services email ethiques vis-à-vis de la vie privée, et les rassemble en un tableau comparatif synthétique.
IMPORTANT : Il ne faut JAMAIS envoyer des données sensibles (identité, etc.) dans un email non chiffré !
- 23/06/2021: ewatchers.org > Peut-on envoyer des données à caractère personnel par e-mail ? Par Morgan Schmiedt : Non, les données à caractère personnel ne peuvent être envoyées par e-mail, sauf si ces données ont été préalablement chiffrées. En l'absence de chiffrement, la confidentialité des e-mails n'est pas garantie, car le contenu des e-mails transite sur Internet, en clair, jusqu'au destinataire. Les fournisseurs de messagerie et les intermédiaires techniques acheminant les messages peuvent donc intercepter les e-mails et lire leur contenu, tout comme des éventuels attaquants qui écouteraient les communications. […] En envoyant des données personnelles par e-mail, cela crée donc non seulement un préjudice à la personne dont les données se rapportent, mais cela enfreint également le RGPD, qui demande de garantir la confidentialité des données. […] Les e-mails ne doivent, par conséquent, pas contenir de données à caractère personnel, sauf si ces données ont été chiffrées…
- cnil.fr > Sécurité : Sécuriser les échanges avec d'autres organismes : […] chiffrer les pièces sensibles à transmettre, si cette transmission utilise la messagerie électronique…
Voir également les pages suivantes :
- Coût écologique du numérique > Coût écologique du stockage et du transfert de données par Internet (archive 2018)
Introduction
En 1997, le collectif minizéro publiait le manifeste du web indépendant pour lutter contre la tendance naissante de marchandisation du web et des données personnelles collectées à l'insu des internautes. Une dizaine d'années plus tard, dopé par les technologies du Big data, le web est devenu une immense zone commerciale dans laquelle chaque fait et geste des usagers est espionné et agrégé à leurs profils consommateurs respectifs, puis revendus à des sociétés tierces sans leur consentement explicite. Pire encore, le contenu des emails à caractère strictement privé est scruté sans vergogne pour accroître la précision des profils consommateurs et la valeur marchande de leurs données. Ces pratiques de voyous sont tellement généralisées et banalisées que les banques et les sociétés d'assurance commencent à investir ce marché des données personnelles au mépris de leurs propres usagers…
Pourtant, il est possible de contrer cet espionnage systématique généralisé des emails, en sus des programmes anti-mouchards de navigation (uBlock Origin, Privacy Badger, Forget Me Not, etc.), par l'utilisation de services alternatifs qui s'engagent avant toute chose à respecter la confidentialité.
En reprenant le contrôle de vos emails grâce à ces outils, vous pourrez ainsi recouvrer un peu de vie privée.
Vous êtes incrédules sur les questions d'espionnage systématique généralisé ? Vous pensez que vous n'avez "rien à cacher" ? Vous pensez être à l'abri parce que vous avez une adresse email gratuite gérée en France par laposte.net ou bien parce qu'elle est fournie par votre propre fournisseur d'accès internet dont vous n'avez pas lu les conditions générales ?
Dans ce cas, je vous invite à écouter la courte chronique (2 minutes) de Catherine Petillon "Le Numérique et nous" du 05/11/2016 sur France Culture : "Surveillance sur le web : comment retrouver le pouvoir d'agir". Je vous invite également à consulter la page "Collecte de données et déclin de la vie privée"…
Services emails alternatifs
Les services emails présentés ci-dessous sont censés être hébergés en France. Basés sur des modèles économiques alternatifs, ils s'engagent à ne pas divulguer les données contenues dans les emails et n'incluent pas de mouchard sur leurs sites web1).
Comparatif des services emails alternatifs
– | sud-ouest2.org | Zaclys Mail | CaliOpen (beta test) | Lilo | |
---|---|---|---|---|---|
Détails | – | ci-dessous | ci-dessous | ci-dessous | ci-dessous |
Mouchard de pages web | – | Aucun | Aucun | Aucun | Aucun |
Gestionnaire | – | Association Sud-Ouest.org | Association "La Mère Zaclys" | Supporté par Gandi | SAS Lilo |
Financement | – | Adhésion, achat à prix libre et dons | Adhésion, dons | Adhésion, dons, … | Liens commerciaux du métamoteur de recherche Lilo |
Pré-requis d'inscription | – | Formulaire d'informations personnelles Adhésion associative : (2€/an personne physique 10€/an personne morale) et abonnement au service obligatoire à prix libre. Paiement obligatoire après 1 mois d'essai | Adhésion 5€/an, 10€/an ou plus | 1. Engagement à configurer un transfert de tous ses boîtes emails vers la messagerie Lilo 2. Engagement à utiliser la messagerie Lilo |
|
Délai d'inscription | – | N.C. | Quelques minutes si adhésion après inscription : il faut activer le service email dans les préférences du compte | … | |
Page d'inscription | – | Inscription | Inscription et adhésion | mail.lilo.org | |
Déclaré à la CNIL | – | N.C. | N.C. | N.C. | N.C. |
Quota | – | 128 Mo à 1 Go configuré à l'inscription | 5 Go (membre argent à 5€/an), 10 Go (membre or à 10€/an) évolutif par tranche de 5Go à 5€/an | N.C. mais gratuit | |
Inactivité du compte | – | Archivage du compte mail après 1 an d'inactivité | N.C. | ||
Hébergeur | – | OVH SAS (Paris) | OVH (Roubaix) | Gandi SAS (Paris) | OVH SAS (Paris) |
Stockage chiffré | – | Oui | N.C. | N.C. | |
Page d'accès Webmail | – | Webmail | Webmail | Webmail | |
Logiciel Webmail | – | logiciels libres | Logiciel libre Roundcube | CaliOpen | N.C. |
Accès POP STARTLS | – | Non disponible | N.C. | ||
Accès POP SSL/TLS | – | Oui | Non disponible | N.C. | |
Accès SMTP STARTLS | – | Oui | Oui | N.C. | |
Accès SMTP SSL/TLS | – | Oui | N.C. | ||
Accès IMAP STARTLS | – | Oui | N.C. | ||
Accès IMAP SSL/TLS | – | Oui | Oui | N.C. | |
Antivirus | – | Oui | N.C. | ||
Antispam | – | Oui | N.C. | ||
Types d'adresses emails | – | @sud-ouest.org @aquitania.org @neutralite.org @mailz.org | @zaclys.net | @lilo.org | |
CGU | – | CGU | CGU | CGU |
Sud-ouest.org
Adresse du site web : sud-ouest2.org
Extrait de la page Présentation de l'association :
Il s’agit ici d’un projet libre qui a pour vocation d’offrir, aux particuliers et associations qui se sentent concernés, une alternative aux solutions gratuites d’hébergement courriel de masse qui savent tirer profit de quelque chose qui n’a pourtant pas de prix : notre vie privée, ainsi que celle de nos correspondants.
Cette initiative est née du constat suivant : L’extrême majorité des utilisateurs d’Internet choisissent, par méconnaissance, de confier leurs informations personnelles et leurs correspondances à ces mastodontes du « fichier client » basés pour la plupart en dehors de l’Union Européenne, tout simplement parce que c’est facile, pratique et « gratuit », mais principalement, parce que ✈ tout le monde le fait…
Cette association a donc pour but de proposer une plateforme d’hébergement courriel, basée exclusivement sur des logiciels libres, et s’attachant particulièrement à protéger strictement la confidentialité des données personnelles et le secret des correspondances privées des utilisateurs.
Informations complémentaires :
- Adresses email en @sud-ouest.org ou @aquitania.org ou @neutralite.org ou @mailz.org
- Possibilité d'héberger les boites mails de son propre nom de domaine (c'est le cas de ordi49.fr)
- Sauvegarde quotidienne des boîtes mails sur un stockage différend de celui du serveur (maintenance préventive )
- Gestionnaire de listes de diffusion (logiciel libre Sympa)
- Adhésion annuelle : 2 euros
- Tarif : Prix librement fixé par l'utilisateur en fonction de ses besoins
(La capacité des boîte mail est variable de façon très souple en fonction des besoins estimés par l'utilisateur) - Informations détaillées : sud-ouest2.org > Détails de l’offre d’hébergement de boites courriel
Sud-Ouest ou Zaclys ?
- La préférence de Sud-Ouest à Zaclys concerne les personnes qui contestent l'utilisation abusive des stockages cloud, pour des raisons de sécurité informatique, de confidentialité et/ou de coût écologique ; qui n'ont pas de téléphone mobile, ne veulent pas communiquer le numéro de mobile, ne veulent ou ne peuvent pas envoyer un SMS avec ce mobile ; et/ou qui ne veulent ou peuvent pas se passer du protocole POP
- La préférence de Zaclys à Sud-Ouest concerne les personnes fortement dépendantes des services de stockage cloud de Google, Apple, Microsoft, Yahoo et Cie, et qui désirent migrer chez un fournisseur éthique sans trop remettre en question leurs propres habitudes ; et/ou qui ont absolument besoin de services de stockage et partage annexes dédiés – ceux de Framasoft (Framapic, Framadrop) n'étant pas dédiés –
Zaclys Mail
Adresse du site web : www.zaclys.com (Actualité sur Diaspora)
- Inscription (création d'un compte Zaclys) – Connexion au compte Zaclys
- zaclys.com > Formulaire de contact
- Suivi des travaux et incidents :
- zaclys.com > La gazette de Zaclys
- mastodon.zaclys.com > @zaclys
L'adresse email principale, de type <numero_adhérent>@zaclys.net, est attribuée arbitrairement par l'association. Exemple : 12345@zaclys.net. Il est possible de créer 1 alias d'adresse email pour les "adhérents argents" et 7 alias d'adresse email pour les "adhérents ors". Zaclys offre beaucoup d'autres services liés à la qualité d'adhérent de l'association. Par exemple, le service d'hébergement et partage de fichiers en ligne accessibles par navigateur web et via les logiciels libres ownCloud (Windows, GNU/Linux, Mac) et Nextcloud (smartphones).
S'il est possible d'accéder de façon restreinte à certains services Zaclys sans adhésion, celle-ci est obligatoire pour bénéficier des services mail de Zaclys :
- Adhérent membre argent : 5€/an mais la priorité et la vitesse d'accès au serveur mail sont bridées
- Adhérent membre or : 10€/an sans bridage de la priorité ni de la vitesse d'accès au serveur mail
Zaclys : beaucoup de services logiciels libres mais 2 accrocs aux libertés individuelles de l'utilisateur final :
La liberté de l'utilisateur final de pouvoir utiliser un logiciel sans aucun bridage est cruciale pour l'éthique hacker qui préside aux développement des logiciels libres. Or la liberté de l'adhérent Zaclys – même s'il est adhérent or – est limitée :
- par le fait qu'il est obligé de fournir un numéro de téléphone portable personnel pour pouvoir s'inscrire (ce qui exclut tous ceux qui n'ont pas de téléphone portable ou qui habitent en zone blanche)
Zaclys ou Sud-Ouest ?
- La préférence de Zaclys à Sud-Ouest concerne les personnes fortement dépendantes des services de stockage cloud de Google, Apple, Microsoft, Yahoo et Cie, et qui désirent migrer chez un fournisseur éthique sans trop remettre en question leurs propres habitudes ; et/ou qui ont absolument besoin de services de stockage et partage annexes personnels – ceux de Framasoft (Framapic Framadrop) n'étant pas personnels –
CaliOpen
Le projet CaliOpen en bref :
- Logiciel libre développé par Laurent Chemlas et son équipe, et supporté par Gandi
- État du projet : en développement :
- Depuis le 15/05/2019 : beta test en attente de financement
- 10/2017 : Publication de la version alpha
- 17/10/2016 : Démarrage du projet
- Service en ligne CaliOpen (beta test, inscription et connexion gratuite) : caliopen.app/about
- Suivre le développement de CaliOpen : caliopen.org/fr, caliopen.org/blog-fr et github.com/CaliOpen/Caliopen
Quelques objectifs du projet de webmail CaliOpen :
Un niveau de confidentialité est calculé pour chaque élément de l'interface (compte, message, contact…), ce niveau est à la fois un indicateur de confiance et une incitation à mieux se protéger
Centralisation des messages : la confidentialité concerne la totalité de la correspondance en ligne. Caliopen réunit dans une unique interface les messages privés applicatifs (Twitter, Facebook, Instagram, etc.), le courrier électronique, la messagerie en direct, les SMS…
Mode dégradé : lorsque le système détecte un risque d'interception (usage d'un réseau wifi ouvert, utilisation d'un terminal inconnu…), le compte n'est accessible qu'en mode dégradé et n'affichera rien au dessus d'un niveau de confidentialité minimal
Sous certains critères, une association spécialisée accordera le label et certificat électronique payant CaliOpen aux serveurs qui utilisent le logiciel libre CaliOpen. Ces derniers pourraient alors chiffrer de bout en bout les messages échangés entre leurs utilisateurs, dans la limite des lois du pays où est hébergé le service. Notons que si le chiffrement prévu n'est basé que sur un certificat électronique de type SSL, alors ce chiffrement sera moins efficace que celui des services présentés dans le paragraphe "Comparatif des webmails chiffrés de bout en bout".
Lilo.org
Adresse du site web : mail.lilo.org
Lilo est une Société par Actions Simplifiées dont l'activité principale est d'offrir un service métamoteur de recherche qui se dit éthique sur des critères de non collecte d'information personnelles par elle-même (lire l'avertissement ci-dessous) et de reversement d'une partie des bénéfices à des projets caritatifs et environnementaux.
Depuis mi-2017, Lilo propose un service email gratuit avec les mêmes critères éthiques (charte éthique), à condition que l'utilisateur de la boîte email Lilo s'engage sur les deux points suivants pour limiter l'empreinte carbone :
- Engagement à transférer tous ses anciens emails des messageries existantes vers la messagerie Lilo
- Engagement à utiliser la messagerie Lilo
Ces engagements que doivent moralement souscrire l'utilisateur afin de réduire l'empreinte carbone sont techniquement et scientifiquement justifiés, mais ils restent malheureusement encore très avant-gardistes. En effet, ces engagements vont à l'encontre de la mode qui consiste à accumuler des données personnelles et comportementales dans le cloud. Ce comportement général d'accumulation des données humaines (qui permet l'anthropométrie algorithmique et renforce l'espionnage de masse de la population) concerne la plupart des individus connectés à internet par smartphone ou par micro-ordinateur. Un grand nombre de personnes qui se disent écologistes sont également concernées (rappelons simplement qu'un compte Google non configuré accumule dans le Cloud Google l'historique de tous les emplacement géographiques des smartphones qui lui sont connectés. Ce n'est qu'un exemple parmi d'autres car Google accumule tous les historiques possibles).
Extrait de la charte éthique de Lilo Mail :
Depuis la venue des messageries imap et des webmessageries type GMail, tous vos messages et pièces jointes restent stockés à vie sur les serveurs. Chaque pièce jointe que vous envoyez ou recevez va être stockée indéfiniment, pour rien, alors que vous l'avez déjà téléchargée. Cela signifie qu'il y a des disques durs qui tournent pour rien, et qui consomment donc de l'énergie pour rien. Cela représente tout de même 136Kg de CO2 par an et par personne (source : adème)
C'est une aberration qu'il était temps de changer : avec la technologie intelligente de gestion des pièces jointes que nous avons intégrée dans l'email Lilo, vos pièces jointes ne seront plus stockées inutilement
Lire la suite sur le site de Lilo...
Sur ce sujet :
- Écouter 10/08/2019: franceinter.fr > Les Dernières Fois > Vanessa ne stocke plus rien dans le cloud
Informations complémentaires :
- Accès POP : Non communiqué
- Accès SMTP : Non communiqué
- Accès IMAP : Non communiqué
- Accès POP SSL/TLS : Non communiqué
- Accès SMTP SSL/TLS : Non communiqué
- Accès IMAP SSL/TLS : Non communiqué
- Quota de stockage mail : Non communiqué
- Durée de vie maximale des pièces jointes : une semaine
- Taille maximal d'une pièces jointe : 5 Go (= 5000 Mo ; 10 Mo chez la plupart des fournisseurs email)
- Suivi de l'évolution du service mail Lilo : mail.lilo.org/changelog
- Financement (juillet 2017) : Via les liens commerciaux affichés sur les pages du métamoteur de recherche Lilo :
- 50% reversés aux projets caritatifs et écologiques
- 20% utilisés pour la communication
- 30% utilisés pour payer les serveurs et les équipes
À propos du moteur de recherche Lilo (indépendant de l'email Lilo) :
Le service métamoteur de recherche de Lilo se dit éthique sur le plan de la confidentialité parce qu'il ne collecte pas lui-même de données personnelles. Cependant d'après la page web du site officiel lilo.org "Votre vie privée avec Lilo", il apparaît que le méta-moteur de recherche Lilo ne fait pas écran au moteurs de recherche Google, Yahoo et Bing ce qui conduit Google, Yahoo et Bing à espionner l'internaute alors même que celui-ci se croit hors de porté de ces sociétés parce qu'il utilise un métamoteur de recherche qui se dit respectueux de la vie privée3). À la date du 15/12/2018, j'ai effectivement constaté que la page d'accueil du méta-moteur de recherche Lilo demandait au navigateur d'effectuer des requêtes de recherche d'images auprès du moteur de recherche Bing.
Dans ces conditions et tant que Lilo préférera intégrer l'espionnage de Bing à l'instar de son concurrent pseudo-éthique Ecosia, il est plus cohérent et éthique d'utiliser Qwant, Swisscows ou DuckDuckGo qui respectent vraiment la vie privée, plutôt que d'utiliser le méta-moteur Lilo.
Webmails chiffrés de bout en bout
Pour protéger sa vie privée, une solution radicale est de chiffrer le contenu des messages avant l'envoi par email et de le déchiffrer après la réception : il s'agit du chiffrement de bout en bout. Le chiffrement efficace des messages électroniques de bout en bout existe au-moins depuis la création du protocole Pretty Good Privacy en 1991 par Philip Zimmermann (suivi en 1997 par son pendant libre GnuPG).
D'après Wikipedia :
Zimmermann souligne qu'il a développé PGP dans un souci de droit à la vie privée et de progrès démocratique : "PGP donne aux gens le pouvoir de prendre en main leur intimité. Il y a un besoin social croissant pour cela. C'est pourquoi je l'ai créé."
Il explique aussi que : "si l'intimité est mise hors la loi, seuls les hors-la-loi auront une intimité. Les agences de renseignement ont accès à une bonne technologie cryptographique. De même les trafiquants d'armes et de drogue. Mais les gens ordinaires et les organisations politiques de base n'avaient pour la plupart pas eu accès à ces technologies cryptographiques de "qualité militaire" abordable. Jusqu'à présent."
Bien que ces outils de chiffrement asymétrique de "qualité militaire" soient performants (tant que les ordinateurs quantiques ne sont pas développés) et utilisables sur n'importe quel ordinateur familial, leur complexité d'utilisation est rédhibitoire pour le grand public et rebute même de nombreux informaticiens windowsiens.
Heureusement, la technologie évolue, ainsi que les compétences mutualisées des hackers :
Suites aux révélations d'Edward Snowden sur l'espionnage massif et les interceptions des données utilisateurs par la NSA, de nombreux programmeurs ont travaillé pour élaborer une méthode plus simple de chiffrement des messages à destination du grand public, sur le modèle de ce que proposait la société Lavabit avant que celle-ci ne soit contrainte de fermer son service et de détruire toutes les données de ses disques durs.
De nos jours, quelques entreprises proposent ce type de service accessible au plus grand nombre au moyen d'un simple navigateur web. Elles sont toutes situées sur un territoire juridiquement indépendant des USA, afin d'échapper aux pressions de la NSA. Aucune d'elle n'intègre sur son site de code JavaScript ni de cookies de pistage, ni même le logiciel libre Piwik Analytic – le seul outil d'analyse qui soit encouragé par la CNIL –.
Comparatif des webmails chiffrés de bout en bout
ProtonMail | Tutanota | StartMail (déprécié) | CaliOpen (beta test) |
|
---|---|---|---|---|
Pays | Suisse | Allemagne | Hollande | France |
Langues | ca cs da de el en es fr hr hu id is it jp kab nl pl pt-br pt ro ru sv tr ua zh-hans zh-hant | ca da de en es el fr gl hr id it ro hu nl no pl pt_br pt_pt ru sk sl fi sv tr uk cs bg ar hi zh-hans ja zh-hant ko | de en | fr |
Gestionnaire | Proton Technologies AG | Tutao GmbH | StartMail B.V. ?? | Supporté par Gandi |
Financement | Dons | Dons, Vente de services premium | Vente de service | |
Pré-requis d'inscription | Une adresse email de contact | Néant | Néant | |
Délai d'inscription | Immédiat | Immédiat | Immédiat | |
Page d'inscription | Inscription | Inscription | Essai 7 jours et Achat | |
Page de connexion | Connexion | Connexion | Connexion | |
Quota | 500 Mo gratuits | 1 Go gratuit | 200 Mo en essai gratuit pendant 7 jours 10 Go pour 49,95 €/an | |
Localisation des données | Suisse | Allemagne | Europe | |
Stockage chiffré | Oui | Oui | Oui (LUKS) | |
Chiffrement de données | OpenPGP | AES 128 + RSA 2048 | OpenPGP | |
Types d'adresses emails | @ProtonMail.com | @tutanota.de | @startmail.com | |
Logiciels utilisés | Logiciels libres depuis 08/2015 | Logiciels libres Tutanota | Libres + privateur | Logiciel libre CaliOpen |
CGU | CGU | CGU | CGU (PDF) |
ProtonMail
Adresse du site web : protonmail.com/fr
Informations complémentaires :
ProtonMail a été créé en 2013 sous l'impulsion de 3 scientifiques du CERN (Jason Stockman, Andy Yen et Wei Sun) sur le modèle de Lavabit, pour contrer la surveillance globale et les interceptions des courriels opérés par la NSA. Sorti de la phase de beta test le 17/03/2016, l'inscription est désormais ouverte à tous. Le 19/03/2016, la page d'accueil était la seule page disponible en français.
Spécificités :
- Possibilité de programmer l'autodestruction des emails envoyés après une certaine durée
- Possibilité d'envoyer des emails à des destinataires étrangers à ProtonMail soit en mode chiffré (le destinataire doit connaître le mot de passe commun), soit en clair
Conseil de ProtonMail :
Edward Snowden - Si vous êtes Edward Snowden, ou le prochain Edward Snowden, et que votre situation est une question de vie ou de mort qui requiert la confidentialité, nous ne recommandons pas d'utiliser ProtonMail. Pour des situations extrêmement sensibles, ce n'est pas une bonne idée d'utiliser l'email comme media pour communiquer.
En novembre 2015, le serveur web ProtonMail a été paralysé pendant plusieurs jours à cause de deux attaques informatiques DDoS de grande ampleur. Le serveur surchargé a du être déconnecté pour garantir la sécurité des données.
Tutoriels pour ProtonMail :
- solidarite-numerique.fr > Créer et gérer mon adresse Protonmail
Actualité ProtonMail :
- Compte Twitter > #ProtonMail
- Blog de ProtonMail : protonmail.com/blog (Blog de secours)
- 23/11/2021: ewatchers.org > La sécurité des e-mails et les mirages de ProtonMail par Par Morgan Schmiedt
- 23/11/2021: ewatchers.org > podcast > La sécurité des e-mails et les mirages de ProtonMail (Fichier mp3)
- 31/01/2020: La Russie bloque ProtonMail pour avoir refusé de fournir les informations sur les personnes associées aux fausses alertes à la bombe :
La Russie est connue pour la fermeture des services Internet qui ne s'alignent pas sur la manière de voir les choses des autorités. Roskomnadzor, le Service fédéral de supervision des communications, des technologies de l'information et des médias de masse, a annoncé dans un communiqué mercredi, qu'il avait bloqué ProtonMail, le service de courrier électronique chiffré de bout en bout, ainsi que le service VPN ProtonVPN de Proton Technologies – qui sont tous les deux axés sur la sécurité. Le service de messagerie basé en Suisse et populaire auprès des journalistes et des militants a été bloqué justement à cause de son haut niveau de chiffrement qui protège la vie privée des utilisateurs. […] Selon un rapport de Reuters publié en juillet 2017, la Russie est devenue le premier pays à bannir totalement l'usage de toutes les technologies d'anonymisation sur Internet, notamment Tor, les serveurs proxy, les VPN et tout autre service similaire. […] "Nous condamnons ce blocage comme une mesure malavisée qui ne sert qu'à nuire aux gens ordinaires", a déclaré ProtonMail. - 17/03/2016: ProtonMail sort de sa bêta
Tutanota
Adresse du site web : tutanota.com
Informations complémentaires :
- Contrairement au chiffrement OpenPGP, l'objet du message est également chiffré.
- Un abonnement 12€/an permet d'ajouter des utilisateurs possédant chacun un quota de 1 Go et la possibilité d'avoir 5 alias d'adresses email
- Aucune possibilité de recours en cas d'oubli du mot de passe sauf s'il s'agit d'un utilisateur secondaire
Fonctionnement de Tutanota
Premier email en brouillon dans la boîte mail du compte créé :
De : system@tutanota.de
Objet : Retrouvons notre vie privée avec Tutanota !
Ce message est envoyé chiffré de bout en bout.
Bonjour !
Ceci est ma nouvelle adresse e-mail. Avec Tutanota, tous nos messages sont chiffrés automatiquement afin que personne ne puisse les intercepter. Toutes les données enregistrées sur les serveurs sont également chiffrées, rendant tout profilage impossible.
Rejoignez Tutanota :
https://app.tutanota.de/#register
Cordialement,
PS : Tutanota est gratuit et offre 1 Go de stockage, gratuitement. De plus, Tutanota est open source : https://github.com/tutao/tutanota
Au premier envoi à un destinataire donné, le service demande le mot de passe convenu avec ce destinataire, puis chiffre le message et le lui envoie. Comme ce mot de passe de communication en commun est mémorisé dans la fiche contact de l'utilisateur, les communications ultérieures avec celui-ci ne nécessitent pas de le taper à nouveau.
Le destinataire du message reçoit un email contenant un lien. Ce lien charge une page du site tutanota.de, demande le mot de passe convenu, puis affiche une boite de réception simplifiée dans laquelle le destinataire non inscrit peut archiver, supprimer ou répondre au message.
Exemple d'un message reçu de la part de John Doe :
Message confidentiel de John Doe
Bonjour,
Je vous ai envoyé un message confidentiel via Tutanota (https://tutanota.com). Tutanota chiffre automatiquement les messages, y compris leurs pièces jointes. Vous pouvez accéder à votre boîte aux lettres chiffrée et répondre par un message chiffré grâce au lien suivant :
Afficher le message chiffré
Ou ouvrez ce lien dans votre navigateur :
https://app.tutanota.de/#mail/K9jlUpg----0avYc_HfmOn9lz8oRs9W7bX
Cet email a été généré automatiquement afin d'envoyer le lien. Ce lien reste valide tant que vous ne recevrez aucun nouvel e-mail confidentiel de ma part.
Cordialement,
John Doe
StartMail (déprécié)
Adresse du site web : www.startmail.com
Alerte ! Doutes sérieux sur la confidentialité des données StartMail :
La société hollandaise StartMail B.V. a été créée en 2009 par la société Startpage B.V. qui gère le méta-moteur de recherche Startpage.
En septembre 2019, l'entreprise Startpage B.V. a été vendue en tant que filiale à la société britannique Privacy One Group qui appartient au groupe marketing britannique System1 coté au London Stock Exchange depuis 20064). Depuis cette date, personne ne fait plus confiance dans le méta-moteur de recherche Startpage. C'est pourquoi en l'absence d'information officielle concernant StartMail, il est fortement recommandé d'y supprimer toutes les données (emails et contacts) stockées et de supprimer le compte.
Informations complémentaires :
- Connexion IMAP SSL/TLS possible
- Chiffrement et déchiffrement possibles indifféremment sur le webmail StartMail et dans les courrielleurs prévus à cet effet, comme Mozilla Thunderbird avec l'extension Enigmail (le chiffrement / déchiffrement dans les courrielleurs n'est pas accessibles aux grand public).
- L'adresse email de récupération et les contacts ne sont pas stockés de manière chiffrée sur les serveurs StartMail (ils sont extérieurs au "Secure Vault"). StartMail justifie ceci dans le but de permettre aux utilisateurs oublieux de récupérer facilement leur compte
- La procédure normale de réinitialisation de mot de passe est possible soit par envoi d'un lien vers une adresse de contact, soit en entrant un code de récupération créé lors de l'inscription
- Inactivité du compte : compte mis en quarantaine si paiement annuel non renouvelé. Les comptes en quarantaine sont supprimés au bout de 6 mois.
- Configurer Mozilla Thunderbird et Enigmail pour lire les emails chiffrés (en) (pour utilisateurs expérimentés)
Autres services de messagerie chiffrées de bout en bout
- Kalab Now : société suisse proposant un service de groupware chiffré à destination des entreprises en anglais, allemand et français à partir de 4,55 Fr Suisses / mois. Les textes des emails doivent encore être chiffrés au préalable par GNU Privacy Guard au moyen de l'assistant personnel Kontact ou bien du courielleur Mozilla Thunderbird étendu par Enigmail. Le chiffrement par le navigateur dans l'interface webmail est une fonctionnalité en cours de développement.
- Silent Circle (en) : société suisse proposant des appels, messages textes, instantanés et vidéo chiffrés pour téléphones mobiles sécurisé (SilentPhone et BlackPhone), essentiellement à destination des entreprises. Ses serveurs sont situés au Canada. La société a suspendu son service d'emails sécurisés de bout en bout
- Bitmessage : système décentralisé de messagerie chiffrée inspiré du système BitCoin.
- Hushmail (en) : société basée au Canada
- Open Whisper Systems (en) : whispersystems.org, application logicielle libre pour smartphone (Tutoriel en français par l'Electronic Frontier Foundation)
Autres services emails alternatifs
- autistici.org – Association basée à Milan, utilisant des logiciels libres sur des serveurs situés à Oslo, Amsterdam (XS4ALL) et Paris (OVH)
- Mailfence – Service de la société belge ContactOffice Group SA
- Mailo (anciennement Net-C et NetCourrier) (www-2.mailo.com) – Service email de la société Mail Object basée à Saint-Maur-des-Fossés (Val-de-Marne)
- RiseUp – Service proposé par un organisme autonome basé à Seattle (USA) avec des membres dans le monde entier
- SCRYPTmail – Service d'emails chiffrés de bout en bout avec des logiciels libres sur des serveurs basés aux USA
- VFEmail – Société basée à Milwaulkee (USA)
- Zoho Mail – Organisation basée en Inde avec des bureaux en Chine, au Japon et aux USA
Services email intermédiaires (relais)
Certains services alternatifs font office d'email virtuel intermédiaire entre ceux qui vous écrivent et votre réelle adresse email. Ce contournement astucieux permet d'échapper au traçage et au matraquage publicitaire, à condition d'être organisé afin de pouvoir facilement retrouver l'adresse email communiquée.
Aucun service d'email temporaire mentionné ci-dessous n'est financé par la publicité. D'autres services similaires financés par les codes JavaScript et cookies de pistages sont indiqués au paragraphe "Emails temporaires et/ou intermédiaires" de la page "Outils en ligne".
Nombre illimité de messages pour une durée illimitée | Nombre limité de messages pour une durée illimitée |
---|---|
Les messages sont retransmis vers votre adresse email réelle de manière illimité (hors quota de débit horaire) | Les messages sont retransmis vers votre adresse email réelle jusqu'à une certaine quantité (hors quota de débit horaire) |
addy.io erine.email firefox.relay SimpleLogin (voir ci-dessous) | Spamgourmet (voir ci-dessous) |
Quelques relais email d'un nombre illimité de messages par alias, pour une durée illimitée :
- addy.io (en) par Will Browning (Twitter) — addy.io (anciennement AnonAddy qui était l'abréviation de "Anonymous Email Address"). Le mot "Addy" est une expression argotique utilisée sur le web pour désigner une adresse électronique. (Le serveur addy.io est hébergé en Hollande) :
- addy.io > FAQ
- erine.email (en) par Mikaël Davranche (Twitter) (stockage des données non précisé, probablement chez OVH Canada chez qui travaille Mikaël Davranche) :
- gitlab.com > mdavranche > erine.email (sous une licence libre GNU GPL v3)
- twitter.com > ErineEmail
- relay.firefox.com (en) (hébergé sur les serveurs Amazon Web Services sous tutelle du droit états-unien)
- github.com > mozilla > fx-private-relay (code source publié sous licence libre Mozilla Public License 2.0)
- SimpleLogin (fr, en) par Son Nguyen Kim (Twitter)
- github.com > simple-login > app (code source sous licence libre AGPL 3)
- addons.mozilla.org > SimpleLogin: Open-source Email Protection
- f-droid.org > SimpleLogin | Anti-spam (Pré-requis : Android 5+)
- play.google.com > SimpleLogin | Anti-spam (Pré-requis : Android 5+)
- twitter.com > SimpleLogin
- 12/03/2021: simplelogin.io > blog > What makes SimpleLogin a great Firefox Relay alternative? : Recently, we have noticed the rise of new services in the email aliases space. One of them, Firefox Relay is a Firefox extension developed by the Mozilla Foundation. In this post, we take a look at the similarities and differences between Firefox Relay and SimpleLogin. […] Business model. Firefox Relay includes a free tier and a new premium tier. The free tier allows creation of up to 5 aliases, while the premium tier provides access to unlimited aliases, ability to reply to forwarded emails, and an optional custom subdomain. Currently, the premium tier costs $0.99/month on limited time pricing. SimpleLogin has two pricing tiers. The free tier gives you access to all the essentials to get started with email aliases. There is no limit on bandwidth, TOTP is included, and you can create up to 15 aliases. The premium tier includes advanced features like PGP encryption, unlimited aliases and custom domains, etc for $4/month or $30/year. […] Dependency on third party services. Firefox Relay relies on Amazon SES to receive and forward emails to your mailbox. While Amazon isn't ideal in terms of privacy, Mozilla guarantees that only they know the association between your mailbox and your aliases. SimpleLogin doesn't rely on any external service. It is cloud agnostic and can be run anywhere, either on a small home server for people who want self host or on a powerful dedicated server. We did use Amazon for SimpleLogin first version but decided to leave the platform in February 2020. …
- 19/12/2020: simplelogin.io > blog > What makes email alias a better alternative to email plus sign (+) : en.wikipedia.org > Email subaddressing, also known as plus sign (+) trick, is popularized by Gmail and now supported by most email providers. It allows creating a new email address by simply appending the plus sign(+) to your current email address. For example, if your email address is
name@email.com
, you can quickly create a new email address likename+facebook@email.com
for Facebook,name+twitter@email.com
for Twitter, etc. Here's a closer look at the pros and cons of using the plus sign trick, especially when compared with email aliases. … - 12/07/2021: simplelogin.io > blog > What makes SimpleLogin a great Burner Mail alternative? : Burner Mail is an email alias solution to generate burner email addresses and protect your digital identity when shopping online or registering to newsletters. In this post, we take a look at the similarities and differences between Burner Mail and SimpleLogin. Open Source vs Proprietary. Burner Mail is a closed-source (proprietary) software. All SimpleLogin code is open-source. This means the code can be audited by anyone. You can check out the code on SimpleLogin GitHub. All developments, discussions, roadmap also happen on GitHub. SimpleLogin can also be self hosted, meaning you can install it on your own server. Emails can contain personal, sensitive information, and therefore open-source email services should be preferred over closed-source, proprietary ones. Do you trust a black box to handle your emails? …
- 08/08/2021: simplelogin.io > blog > A great alternative to 33mail : 3mail is a fantastic service to create email aliases and it's been online for more than 10 years. Here are the main differences between SimpleLogin and 33mail. […] One of the key differences between the SimpleLogin and 33mail is that SimpleLogin is completely open-source. This means countless developers constantly audited the code. SimpleLogin can also be installed on your own servers. Emails contain personal, sensitive information, and therefore open-source email services should be preferred over closed-source, proprietary ones. …
- 08/04/2022: protonmail.com > blog > Proton and SimpleLogin are joining forces
Spamgourmet, relais email d'un nombre limité de messages par alias, pour une durée illimitée :
Créé le 29/09/2000, Spamgourmet (code source) est un projet open source non explicitement déclaré comme tel, 100% gratuit et 100% bénévole, fondé à Houston Texas par l'avocat informaticien Josiah Quincy Hamilton (1968 - 2020).
Le 18/08/2019, celui-ci a annoncé la fermeture prochaine du service, pour des raisons de santé, et de nombreux utilisateurs ont émis le souhait que son oeuvre Spamgourmet subsiste au-delà de sa mort. Après son décès6), le 09/04/2020, son fils Josiah Hamilton a annoncé avoir "pris un rôle" dans le soutien de spamgourmet, toujours de manière 100% bénévole (don d'argent impossible).
La performance de Spamgourmet est en déclin critique à cause des lacunes dans la maintenance technique relative aux différents domaines utilisés par Spamgourmet. Bien que la qualité du blocage des emails reçus provenant d'expéditeurs indésirables reste toujours excellente, les alias d'adresses email fournies par spamgourmet sont de plus en plus souvent bannies en émission et/ou réception par les autres fournisseurs d'email, pour différentes raisons (nom de domaine de l'alias présent dans l'une des listes noires des services antispam, blocage manuel du nom de domaine par les administrateurs des sites commerciaux, etc.).
En lisant les messages du forum, on peut deviner que des services Spamgourmet efficaces existent encore de manière discrète. Moyennant quelques compétences techniques, n'importe quel internaute peut en effet louer un nom de domaine auprès d'un registrar, puis configurer son enregistrement DNS MX pour pointer vers le domaine gourmet7.spamgourmet.com.
sans le publier sur le forum.
Spamgourmet est probablement le premier service de relais d'adresse email. Plus d'informations sur Spamgourmet :
- spamgourmet.com (16 langues dont le français)
- bbs.spamgourmet.com (en)
- github.com > spamgourmet-com > spamgourmet-code (sous aucune licence, donc assimilée à une licence WTFPL "Do What The Fuck You Want to Public License" dont l'unique règle est "Faites ce que vous voulez, j'en ai RIEN À BRANLER", et qui est similaire à la licence Domaine Public)
- 04/11/2012: youtube.com > Tutoriel Spamgourmet en espagnol
jetable.org, ancien relais email d'un nombre illimité de messages pour une durée limitée :
Le site web éthique et non commercial jetable.org 7). Dans cette liste, on trouve le domaine www.caramail.com pointant dès 2001 vers l'adresse IP française 195.68.99.20 derrière laquelle se trouvent des serveurs de la société COLT Technology Services.
Bien que le service de messagerie CaraMail ait été racheté par GMX et que la presse informatique écrive que "la messagerie Caramail revient en force avec des emails chiffrés de bout en bout" (01net.com le 05/10/2016), il est conseillé de rester prudent vis-à-vis de Caramail. D'une part, le rachat d'une société n'implique pas obligatoirement la remise à plat du système informatique (loin s'en faut). D'autre part, contrôler discrètement un fournisseur d'emails représente un excellent moyen pour un service de renseignement de dissimuler l'envoi d'emails malveillants permettant de pénétrer les systèmes informatiques.
Recherches sur le chiffrement
Le développement de l'informatique et le développement des techniques de chiffrement sont intimement liées. Le premier ordinateur électronique – Colossus I – fut mis en œuvre en 1943 par le Royaume-Uni pour déchiffrer les messages codés de l'Allemagne Nazie.
L'avènement prochain des ordinateurs quantiques sera une révolution technologique majeure : leur puissance de calcul sera si colossale qu'elle transformera profondément tous les secteurs de l'activité humaine (physique, chimie, biologie, économie, marketing, médias, etc.), et les algorithmes de chiffrement actuellement utilisés seront caduques.
Les sites web ci-dessous sont indiqués pour la culture générale. Leurs contenus sont bien évidemment en anglais et nécessitent d'avoir au-minimum l'esprit scientifique :
- Communautés indépendantes (éthique hacker) :
- Dark Mail Technical Alliance : communauté de programmeurs pour le développement d'un service email 3.0 sécurisé, dont les fondateurs sont Philip Zimmermann (créateur du chiffrement PGP), Jon Callas, Mike Janke (co-créateur de Silent Circle (en)), et Ladar Levison (créateur de Lavabit)
- Sociétés et consortiums industriels :
- Recherches sur le chiffrement quantique sécurisé (Quantum Safe Cryptography).
Devant les menaces d'utilisation des ordinateurs quantiques pour déchiffrer toutes les données transitant par internet ou qui sont stockées depuis des années dans le cloud, des chercheurs étudient de nouvelles méthodes de chiffrement :- ID Quantique SA (société suisse) et son département "Quantum Safe Cryptography" (Chiffrement quantique sûr)
- European Telecommunications Standards Institute, situé à Sophia Antipolis en France, mobilise des chercheurs pour élaborer une spécification industrielle de chiffrement quantique sûr et de migration informatique vers ces nouveaux standards :
-
Références
Publications
- "surveillance:// Les libertés au défi du numérique : comprendre et agir". Tristan Nitot, C & F Éditions, 2016
- developpez.net > Introduction à la Cryptographie
Podcasts
- France Culture > Le Numérique et nous du 05/11/2016 : "Surveillance sur le web : comment retrouver le pouvoir d'agir"
(Courte chronique (2 minutes) de Catherine Petillon)
Presse
- cnil.fr > Sécurité : Sécuriser les échanges avec d'autres organismes - Renforcer la sécurité de toute transmission de données à caractère personnel : La messagerie électronique ne constitue pas un moyen de communication sûr pour transmettre des données personnelles, sans mesure complémentaire. Une simple erreur de manipulation peut conduire à divulguer à des destinataires non habilités des données personnelles et à porter ainsi atteinte au droit à la vie privée des personnes. En outre, toute entité ayant accès aux serveurs de messagerie concernés (notamment ceux des émetteurs et destinataires) peut avoir accès à leur contenu…
- 23/11/2021: ewatchers.org > La sécurité des e-mails et les mirages de ProtonMail par Par Morgan Schmiedt
- 23/11/2021: ewatchers.org > podcast > La sécurité des e-mails et les mirages de ProtonMail (Fichier mp3)
- 23/06/2021: ewatchers.org > Peut-on envoyer des données à caractère personnel par e-mail ? Par Morgan Schmiedt : Non, les données à caractère personnel ne peuvent être envoyées par e-mail, sauf si ces données ont été préalablement chiffrées. En l'absence de chiffrement, la confidentialité des e-mails n'est pas garantie, car le contenu des e-mails transite sur Internet, en clair, jusqu'au destinataire. Les fournisseurs de messagerie et les intermédiaires techniques acheminant les messages peuvent donc intercepter les e-mails et lire leur contenu, tout comme des éventuels attaquants qui écouteraient les communications. […] En envoyant des données personnelles par e-mail, cela crée donc non seulement un préjudice à la personne dont les données se rapportent, mais cela enfreint également le RGPD, qui demande de garantir la confidentialité des données. […] Les e-mails ne doivent, par conséquent, pas contenir de données à caractère personnel, sauf si ces données ont été chiffrées…
- 08/07/2017: silicon.fr > "Mail.Lilo, une messagerie écologique et responsable des données privées" par Christophe Lagane
- 27/06/2017: francoischarlet.ch > "Google lira encore vos emails, et SnapChat montre aux autres où vous vous trouvez" par François Charlet
- 15/04/2014: tomsguide.fr > "Espionnage de Gmail : Google persiste et signe" par Édouard le Ricque : […] Désormais, on peut y lire que "des systèmes automatisés analysent votre contenu à des fins de publicité, de personnalisation et de sécurité." …
Sites web
- controle-tes-donnees.net (La Quadrature du Net) :
- Choisissez un fournisseur d’email qui vous laisse le contrôle (Méthode consistant à souscrire un hébergement web pour bénéficier d'un service email personnalisé)
- 02/08/2018: ionos.fr > Que se passe-t-il lors de l'envoi d'un email ?
Voici ma réponse :On pourrait facilement activer le pop mais quel intérêt ?
Nous avons volontairement fait l'impasse sur ce protocole qui est presque obsolète : quel intérêt par rapport au protocole imap qui présente à ma connaissance tous les avantages ?
Inciter ou forcer les utilisateur à utiliser le protocole IMAP est généralement l'habitude de ceux qui font commerce du stockage en ligne (vente d'espace de stockage cloud). On peut légitimement se demander quel intérêt une association sans but lucratif peut avoir à vendre de l'espace de stockage supplémentaire.
En dépit du développement de la consultation des boîtes mails en simultané sur différents appareils, différentes raisons plaident toujours fortement en faveur du protocole POP :
- La maîtrise absolue du stockage de ses propres données (c'est notamment le choix de nombreuses entreprises et des particuliers pour qui les critères de sécurité informatique sont intangibles quelques soient les usages et effets de mode du moment)
- La diminution du risque de fuite de données dans un contexte où les compromissions avérées de serveurs sont de plus en plus fréquentes, ainsi que les différentes failles matérielles des microprocesseurs révélées depuis janvier 2018, et qui ruinent les efforts d'isolation mémoire sur les serveurs cloud
- La diminution de l'empreinte carbone des communications sur la biosphère. Car les centres de données constituent une plaie écologique et sociale grandissante (influence néfaste du "tout streaming", etc. Voir la page Coût écologique du numérique > Centres de données et l'offre Lilo.org dans cette page)
Quelles sont les données collectées par les algorithmes tiers utilisés par Lilo ?
Pour le moment Lilo n’héberge pas encore son propre algorithme de recherche, certains algorithmes de recherche tiers peuvent ainsi être utilisés (Google, Yahoo, Bing). Ces algorithmes peuvent avoir accès à votre adresse ip, à la version de votre navigateur, et peuvent déposer des cookies publicitaires.
- 19/09/2019 : startpage.com > blog > Building a more private internet experience with Privacy One Group
- 14/10/2019 : github.com > privacytoolsIO >privacytools.io > Issues > #1409 - Software Removal | Startpage.com
- 15/10/2019 : reddit.com > Startpage is now owned by an advertising company
- 16/10/2019 : techrights.org > Startpage and System1 Abuse Your Privacy Under the Guise of ‘Privacy One Group’
- 11/11/2019 : youtube.com > Switched to Linux (Tom Murosky) > StartPage Sale to System1: Is Startpage Still Safe? : Startpage recently sold some of it's company stock to System1, a data analytics firm… or more precisely, Privacy One Group, a somehow connected organization with no public information available. Is StartPage still safe?
- 12/11/2019 : blog.privacytools.io > Delisting Startpage.com : […] This de-listing does not necessarily mean Startpage is violating its privacy policy. We have no evidence of that. But because there are still so many unanswered questions, we can no longer recommend the service with good confidence. If Startpage aims to be re-considered, they will have to answer the questions above, preferably along with an explanation of why it took them so long to get proper answers out to the public.
- 15/11/2019 : restoreprivacy.com > Startpage Acquired by System1, Privacy One Group – Still Safe? By Sven Taylor
- 17/11/2019 : support.startpage.com > What is Startpage's relationship with Privacy One/System1 and what does this mean for my privacy protections?
- 09/02/2020: sbot.org > In memoriam of our friend and colleague, Josh Hamilton
- 2020: bradshawcarter.com > Tribute to Josiah Quincy Hamilton