Reprendre le contrôle de ses emails

Cette page présente quelques services email ethiques vis-à-vis de la vie privée, et les rassemble en un tableau comparatif synthétique.

Grâce à Internet, personne ne sait que je suis un chien... (Crédit: openclipart.org sous licence Domaine Public)

IMPORTANT : Il ne faut JAMAIS envoyer des données sensibles (identité, etc.) dans un email non chiffré !

  • 23/06/2021: ewatchers.org > Peut-on envoyer des données à caractère personnel par e-mail ? Par Morgan Schmiedt : Non, les données à caractère personnel ne peuvent être envoyées par e-mail, sauf si ces données ont été préalablement chiffrées. En l'absence de chiffrement, la confidentialité des e-mails n'est pas garantie, car le contenu des e-mails transite sur Internet, en clair, jusqu'au destinataire. Les fournisseurs de messagerie et les intermédiaires techniques acheminant les messages peuvent donc intercepter les e-mails et lire leur contenu, tout comme des éventuels attaquants qui écouteraient les communications. […] En envoyant des données personnelles par e-mail, cela crée donc non seulement un préjudice à la personne dont les données se rapportent, mais cela enfreint également le RGPD, qui demande de garantir la confidentialité des données. […] Les e-mails ne doivent, par conséquent, pas contenir de données à caractère personnel, sauf si ces données ont été chiffrées
  • cnil.fr > Sécurité : Sécuriser les échanges avec d'autres organismes : […] chiffrer les pièces sensibles à transmettre, si cette transmission utilise la messagerie électronique…

Voir également les pages suivantes :

Introduction

En 1997, le collectif minizéro publiait le manifeste du web indépendant pour lutter contre la tendance naissante de marchandisation du web et des données personnelles collectées à l'insu des internautes. Une dizaine d'années plus tard, dopé par les technologies du Big data, le web est devenu une immense zone commerciale dans laquelle chaque fait et geste des usagers est espionné et agrégé à leurs profils consommateurs respectifs, puis revendus à des sociétés tierces sans leur consentement explicite. Pire encore, le contenu des emails à caractère strictement privé est scruté sans vergogne pour accroître la précision des profils consommateurs et la valeur marchande de leurs données. Ces pratiques de voyous sont tellement généralisées et banalisées que les banques et les sociétés d'assurance commencent à investir ce marché des données personnelles au mépris de leurs propres usagers…

Pourtant, il est possible de contrer cet espionnage systématique généralisé des emails, en sus des programmes anti-mouchards de navigation (uBlock Origin, Privacy Badger, Forget Me Not, etc.), par l'utilisation de services alternatifs qui s'engagent avant toute chose à respecter la confidentialité.
En reprenant le contrôle de vos emails grâce à ces outils, vous pourrez ainsi recouvrer un peu de vie privée.

Vous êtes incrédules sur les questions d'espionnage systématique généralisé ? Vous pensez que vous n'avez "rien à cacher" ? Vous pensez être à l'abri parce que vous avez une adresse email gratuite gérée en France par laposte.net ou bien parce qu'elle est fournie par votre propre fournisseur d'accès internet dont vous n'avez pas lu les conditions générales ?
Dans ce cas, je vous invite à écouter la courte chronique (2 minutes) de Catherine Petillon "Le Numérique et nous" du 05/11/2016 sur France Culture : "Surveillance sur le web : comment retrouver le pouvoir d'agir". Je vous invite également à consulter la page "Collecte de données et déclin de la vie privée"…

Services emails alternatifs

Les services emails présentés ci-dessous sont censés être hébergés en France. Basés sur des modèles économiques alternatifs, ils s'engagent à ne pas divulguer les données contenues dans les emails et n'incluent pas de mouchard sur leurs sites web1).

Comparatif des services emails alternatifs

sud-ouest2.org Zaclys Mail CaliOpen
(beta test)
Lilo
Détailsci-dessousci-dessousci-dessousci-dessous
Mouchard de
pages web
AucunAucunAucun Aucun
GestionnaireAssociation Sud-Ouest.orgAssociation "La Mère Zaclys"Supporté
par Gandi
SAS Lilo
FinancementAdhésion, achat à prix libre et donsAdhésion, donsAdhésion, dons, … Liens commerciaux
du métamoteur
de recherche Lilo
Pré-requis
d'inscription
Formulaire d'informations personnelles
Adhésion associative :
(2€/an personne physique
10€/an personne morale)
et abonnement au service
obligatoire à prix libre.
Paiement obligatoire après
1 mois d'essai
Adhésion 5€/an, 10€/an ou plus 1. Engagement à configurer un transfert de tous ses boîtes emails vers la messagerie Lilo
2. Engagement à utiliser la messagerie Lilo
Délai d'inscriptionN.C.Quelques minutes si adhésion après inscription :
il faut activer le service email dans les préférences du compte
Page d'inscriptionInscriptionInscription et adhésionmail.lilo.org
Déclaré à la CNILN.C.N.C.N.C.N.C.
Quota128 Mo à 1 Go configuré à l'inscription5 Go (membre argent à 5€/an),
10 Go (membre or à 10€/an)
évolutif par tranche de 5Go à 5€/an
N.C. mais gratuit
Inactivité du compte Archivage du compte mail
après 1 an d'inactivité
N.C.
HébergeurOVH SAS (Paris)OVH (Roubaix)Gandi SAS (Paris)OVH SAS (Paris)
Stockage chiffréOuiN.C. N.C.
Page d'accès WebmailWebmail Webmail Webmail
Logiciel Webmaillogiciels libresLogiciel libre RoundcubeCaliOpen N.C.
Accès POP STARTLS Non disponible N.C.
Accès POP SSL/TLSOuiNon disponible N.C.
Accès SMTP STARTLSOuiOui N.C.
Accès SMTP SSL/TLS Oui N.C.
Accès IMAP STARTLS Oui N.C.
Accès IMAP SSL/TLSOuiOui N.C.
AntivirusOui N.C.
AntispamOui N.C.
Types d'adresses emails@sud-ouest.org
@aquitania.org
@neutralite.org
@mailz.org
@zaclys.net @lilo.org
CGUCGUCGU CGU

Sud-ouest.org

Adresse du site web : sud-ouest2.org

Extrait de la page Présentation de l'association :

Il s’agit ici d’un projet libre qui a pour vocation d’offrir, aux particuliers et associations qui se sentent concernés, une alternative aux solutions gratuites d’hébergement courriel de masse qui savent tirer profit de quelque chose qui n’a pourtant pas de prix : notre vie privée, ainsi que celle de nos correspondants.

Cette initiative est née du constat suivant : L’extrême majorité des utilisateurs d’Internet choisissent, par méconnaissance, de confier leurs informations personnelles et leurs correspondances à ces mastodontes du « fichier client » basés pour la plupart en dehors de l’Union Européenne, tout simplement parce que c’est facile, pratique et « gratuit », mais principalement, parce que ✈ tout le monde le fait…

Cette association a donc pour but de proposer une plateforme d’hébergement courriel, basée exclusivement sur des logiciels libres, et s’attachant particulièrement à protéger strictement la confidentialité des données personnelles et le secret des correspondances privées des utilisateurs.

Lire la suite...

Informations complémentaires :

  • Adresses email en @sud-ouest.org ou @aquitania.org ou @neutralite.org ou @mailz.org
  • Possibilité d'héberger les boites mails de son propre nom de domaine (c'est le cas de ordi49.fr)
  • Sauvegarde quotidienne des boîtes mails sur un stockage différend de celui du serveur (maintenance préventive )
  • Gestionnaire de listes de diffusion (logiciel libre Sympa)
  • Adhésion annuelle : 2 euros
  • Tarif : Prix librement fixé par l'utilisateur en fonction de ses besoins
    (La capacité des boîte mail est variable de façon très souple en fonction des besoins estimés par l'utilisateur)
  • Informations détaillées : sud-ouest2.org > Détails de l’offre d’hébergement de boites courriel

Sud-Ouest ou Zaclys ?

  • La préférence de Sud-Ouest à Zaclys concerne les personnes qui contestent l'utilisation abusive des stockages cloud, pour des raisons de sécurité informatique, de confidentialité et/ou de coût écologique ; qui n'ont pas de téléphone mobile, ne veulent pas communiquer le numéro de mobile, ne veulent ou ne peuvent pas envoyer un SMS avec ce mobile ; et/ou qui ne veulent ou peuvent pas se passer du protocole POP
  • La préférence de Zaclys à Sud-Ouest concerne les personnes fortement dépendantes des services de stockage cloud de Google, Apple, Microsoft, Yahoo et Cie, et qui désirent migrer chez un fournisseur éthique sans trop remettre en question leurs propres habitudes ; et/ou qui ont absolument besoin de services de stockage et partage annexes dédiés – ceux de Framasoft (Framapic, Framadrop) n'étant pas dédiés –

Zaclys Mail

Adresse du site web : www.zaclys.com (Actualité sur Diaspora)

L'adresse email principale, de type <numero_adhérent>@zaclys.net, est attribuée arbitrairement par l'association. Exemple : 12345@zaclys.net. Il est possible de créer 1 alias d'adresse email pour les "adhérents argents" et 7 alias d'adresse email pour les "adhérents ors". Zaclys offre beaucoup d'autres services liés à la qualité d'adhérent de l'association. Par exemple, le service d'hébergement et partage de fichiers en ligne accessibles par navigateur web et via les logiciels libres ownCloud (Windows, GNU/Linux, Mac) et Nextcloud (smartphones).

S'il est possible d'accéder de façon restreinte à certains services Zaclys sans adhésion, celle-ci est obligatoire pour bénéficier des services mail de Zaclys :

  • Adhérent membre argent : 5€/an mais la priorité et la vitesse d'accès au serveur mail sont bridées
  • Adhérent membre or : 10€/an sans bridage de la priorité ni de la vitesse d'accès au serveur mail

Zaclys : beaucoup de services logiciels libres mais 2 accrocs aux libertés individuelles de l'utilisateur final :
La liberté de l'utilisateur final de pouvoir utiliser un logiciel sans aucun bridage est cruciale pour l'éthique hacker qui préside aux développement des logiciels libres. Or la liberté de l'adhérent Zaclys – même s'il est adhérent or – est limitée :

  • par le fait qu'il est obligé de fournir un numéro de téléphone portable personnel pour pouvoir s'inscrire (ce qui exclut tous ceux qui n'ont pas de téléphone portable ou qui habitent en zone blanche)
  • par le fait qu'il ne peut pas utiliser le protocole POP (= bridage) pour accéder au service email Zaclys via son logiciel de messagerie2).

Zaclys ou Sud-Ouest ?

  • La préférence de Zaclys à Sud-Ouest concerne les personnes fortement dépendantes des services de stockage cloud de Google, Apple, Microsoft, Yahoo et Cie, et qui désirent migrer chez un fournisseur éthique sans trop remettre en question leurs propres habitudes ; et/ou qui ont absolument besoin de services de stockage et partage annexes personnels – ceux de Framasoft (Framapic Framadrop) n'étant pas personnels –
  • La préférence de Sud-Ouest à Zaclys concerne les personnes qui contestent l'utilisation abusive des stockages cloud, pour des raisons de sécurité informatique, de confidentialité et/ou de coût écologique ; et/ou qui ne veulent / peuvent pas se passer du protocole POP

CaliOpen

Le projet CaliOpen en bref :

Quelques objectifs du projet de webmail CaliOpen :
Un niveau de confidentialité est calculé pour chaque élément de l'interface (compte, message, contact…), ce niveau est à la fois un indicateur de confiance et une incitation à mieux se protéger

Centralisation des messages : la confidentialité concerne la totalité de la correspondance en ligne. Caliopen réunit dans une unique interface les messages privés applicatifs (Twitter, Facebook, Instagram, etc.), le courrier électronique, la messagerie en direct, les SMS…

Mode dégradé : lorsque le système détecte un risque d'interception (usage d'un réseau wifi ouvert, utilisation d'un terminal inconnu…), le compte n'est accessible qu'en mode dégradé et n'affichera rien au dessus d'un niveau de confidentialité minimal

Sous certains critères, une association spécialisée accordera le label et certificat électronique payant CaliOpen aux serveurs qui utilisent le logiciel libre CaliOpen. Ces derniers pourraient alors chiffrer de bout en bout les messages échangés entre leurs utilisateurs, dans la limite des lois du pays où est hébergé le service. Notons que si le chiffrement prévu n'est basé que sur un certificat électronique de type SSL, alors ce chiffrement sera moins efficace que celui des services présentés dans le paragraphe "Comparatif des webmails chiffrés de bout en bout".

Email de bienvenue sur la version beta de CaliOpen : Email de bienvenue sur la version beta de CaliOpen

Lilo.org

Adresse du site web : mail.lilo.org

Lilo est une Société par Actions Simplifiées dont l'activité principale est d'offrir un service métamoteur de recherche qui se dit éthique sur des critères de non collecte d'information personnelles par elle-même (lire l'avertissement ci-dessous) et de reversement d'une partie des bénéfices à des projets caritatifs et environnementaux.

Depuis mi-2017, Lilo propose un service email gratuit avec les mêmes critères éthiques (charte éthique), à condition que l'utilisateur de la boîte email Lilo s'engage sur les deux points suivants pour limiter l'empreinte carbone :

  1. Engagement à transférer tous ses anciens emails des messageries existantes vers la messagerie Lilo
  2. Engagement à utiliser la messagerie Lilo

Ces engagements que doivent moralement souscrire l'utilisateur afin de réduire l'empreinte carbone sont techniquement et scientifiquement justifiés, mais ils restent malheureusement encore très avant-gardistes. En effet, ces engagements vont à l'encontre de la mode qui consiste à accumuler des données personnelles et comportementales dans le cloud. Ce comportement général d'accumulation des données humaines (qui permet l'anthropométrie algorithmique et renforce l'espionnage de masse de la population) concerne la plupart des individus connectés à internet par smartphone ou par micro-ordinateur. Un grand nombre de personnes qui se disent écologistes sont également concernées (rappelons simplement qu'un compte Google non configuré accumule dans le Cloud Google l'historique de tous les emplacement géographiques des smartphones qui lui sont connectés. Ce n'est qu'un exemple parmi d'autres car Google accumule tous les historiques possibles).

Extrait de la charte éthique de Lilo Mail :

Depuis la venue des messageries imap et des webmessageries type GMail, tous vos messages et pièces jointes restent stockés à vie sur les serveurs. Chaque pièce jointe que vous envoyez ou recevez va être stockée indéfiniment, pour rien, alors que vous l'avez déjà téléchargée. Cela signifie qu'il y a des disques durs qui tournent pour rien, et qui consomment donc de l'énergie pour rien. Cela représente tout de même 136Kg de CO2 par an et par personne (source : adème)

C'est une aberration qu'il était temps de changer : avec la technologie intelligente de gestion des pièces jointes que nous avons intégrée dans l'email Lilo, vos pièces jointes ne seront plus stockées inutilement

Lire la suite sur le site de Lilo...

Sur ce sujet :

Informations complémentaires :

  • Accès POP : Non communiqué
  • Accès SMTP : Non communiqué
  • Accès IMAP : Non communiqué
  • Accès POP SSL/TLS : Non communiqué
  • Accès SMTP SSL/TLS : Non communiqué
  • Accès IMAP SSL/TLS : Non communiqué
  • Quota de stockage mail : Non communiqué
  • Durée de vie maximale des pièces jointes : une semaine
  • Taille maximal d'une pièces jointe : 5 Go (= 5000 Mo ; 10 Mo chez la plupart des fournisseurs email)
  • Suivi de l'évolution du service mail Lilo : mail.lilo.org/changelog
  • Financement (juillet 2017) : Via les liens commerciaux affichés sur les pages du métamoteur de recherche Lilo :
    • 50% reversés aux projets caritatifs et écologiques
    • 20% utilisés pour la communication
    • 30% utilisés pour payer les serveurs et les équipes

À propos du moteur de recherche Lilo (indépendant de l'email Lilo) :
Le service métamoteur de recherche de Lilo se dit éthique sur le plan de la confidentialité parce qu'il ne collecte pas lui-même de données personnelles. Cependant d'après la page web du site officiel lilo.org "Votre vie privée avec Lilo", il apparaît que le méta-moteur de recherche Lilo ne fait pas écran au moteurs de recherche Google, Yahoo et Bing ce qui conduit Google, Yahoo et Bing à espionner l'internaute alors même que celui-ci se croit hors de porté de ces sociétés parce qu'il utilise un métamoteur de recherche qui se dit respectueux de la vie privée3). À la date du 15/12/2018, j'ai effectivement constaté que la page d'accueil du méta-moteur de recherche Lilo demandait au navigateur d'effectuer des requêtes de recherche d'images auprès du moteur de recherche Bing.
Dans ces conditions et tant que Lilo préférera intégrer l'espionnage de Bing à l'instar de son concurrent pseudo-éthique Ecosia, il est plus cohérent et éthique d'utiliser Qwant, Swisscows ou DuckDuckGo qui respectent vraiment la vie privée, plutôt que d'utiliser le méta-moteur Lilo.

Webmails chiffrés de bout en bout

Pour protéger sa vie privée, une solution radicale est de chiffrer le contenu des messages avant l'envoi par email et de le déchiffrer après la réception : il s'agit du chiffrement de bout en bout. Le chiffrement efficace des messages électroniques de bout en bout existe au-moins depuis la création du protocole Pretty Good Privacy en 1991 par Philip Zimmermann (suivi en 1997 par son pendant libre GnuPG).

D'après Wikipedia :

Zimmermann souligne qu'il a développé PGP dans un souci de droit à la vie privée et de progrès démocratique : "PGP donne aux gens le pouvoir de prendre en main leur intimité. Il y a un besoin social croissant pour cela. C'est pourquoi je l'ai créé."

Il explique aussi que : "si l'intimité est mise hors la loi, seuls les hors-la-loi auront une intimité. Les agences de renseignement ont accès à une bonne technologie cryptographique. De même les trafiquants d'armes et de drogue. Mais les gens ordinaires et les organisations politiques de base n'avaient pour la plupart pas eu accès à ces technologies cryptographiques de "qualité militaire" abordable. Jusqu'à présent."

Bien que ces outils de chiffrement asymétrique de "qualité militaire" soient performants (tant que les ordinateurs quantiques ne sont pas développés) et utilisables sur n'importe quel ordinateur familial, leur complexité d'utilisation est rédhibitoire pour le grand public et rebute même de nombreux informaticiens windowsiens.

Heureusement, la technologie évolue, ainsi que les compétences mutualisées des hackers :
Suites aux révélations d'Edward Snowden sur l'espionnage massif et les interceptions des données utilisateurs par la NSA, de nombreux programmeurs ont travaillé pour élaborer une méthode plus simple de chiffrement des messages à destination du grand public, sur le modèle de ce que proposait la société Lavabit avant que celle-ci ne soit contrainte de fermer son service et de détruire toutes les données de ses disques durs.

De nos jours, quelques entreprises proposent ce type de service accessible au plus grand nombre au moyen d'un simple navigateur web. Elles sont toutes situées sur un territoire juridiquement indépendant des USA, afin d'échapper aux pressions de la NSA. Aucune d'elle n'intègre sur son site de code JavaScript ni de cookies de pistage, ni même le logiciel libre Piwik Analytic – le seul outil d'analyse qui soit encouragé par la CNIL –.

Comparatif des webmails chiffrés de bout en bout

ProtonMail Tutanota StartMail (déprécié) CaliOpen
(beta test)
PaysSuisseAllemagneHollandeFrance
Languesca cs da de el en es fr hr hu id is it jp kab nl pl pt-br pt ro ru sv tr ua zh-hans zh-hantca da de en es el fr gl hr id it ro hu nl no pl pt_br pt_pt ru sk sl fi sv tr uk cs bg ar hi zh-hans ja zh-hant kode enfr
Gestionnaire Proton Technologies AGTutao GmbHStartMail B.V. ??Supporté
par Gandi
FinancementDonsDons,
Vente de services premium
Vente de service
Pré-requis d'inscriptionUne adresse email de contactNéantNéant
Délai d'inscriptionImmédiatImmédiatImmédiat
Page d'inscriptionInscriptionInscriptionEssai 7 jours
et
Achat
Page de connexionConnexionConnexionConnexion
Quota500 Mo gratuits1 Go gratuit200 Mo en essai
gratuit pendant 7 jours
10 Go pour 49,95 €/an
Localisation des donnéesSuisseAllemagneEurope
Stockage chiffréOuiOuiOui (LUKS)
Chiffrement de donnéesOpenPGPAES 128 + RSA 2048OpenPGP
Types d'adresses emails@ProtonMail.com@tutanota.de@startmail.com
Logiciels utilisésLogiciels libres depuis 08/2015
Logiciels libres
Tutanota
Libres + privateurLogiciel libre CaliOpen
CGUCGUCGUCGU (PDF)

ProtonMail

Adresse du site web : protonmail.com/fr

Informations complémentaires :
ProtonMail a été créé en 2013 sous l'impulsion de 3 scientifiques du CERN (Jason Stockman, Andy Yen et Wei Sun) sur le modèle de Lavabit, pour contrer la surveillance globale et les interceptions des courriels opérés par la NSA. Sorti de la phase de beta test le 17/03/2016, l'inscription est désormais ouverte à tous. Le 19/03/2016, la page d'accueil était la seule page disponible en français.

Spécificités :

  • Possibilité de programmer l'autodestruction des emails envoyés après une certaine durée
  • Possibilité d'envoyer des emails à des destinataires étrangers à ProtonMail soit en mode chiffré (le destinataire doit connaître le mot de passe commun), soit en clair

Conseil de ProtonMail :

Edward Snowden - Si vous êtes Edward Snowden, ou le prochain Edward Snowden, et que votre situation est une question de vie ou de mort qui requiert la confidentialité, nous ne recommandons pas d'utiliser ProtonMail. Pour des situations extrêmement sensibles, ce n'est pas une bonne idée d'utiliser l'email comme media pour communiquer.

En novembre 2015, le serveur web ProtonMail a été paralysé pendant plusieurs jours à cause de deux attaques informatiques DDoS de grande ampleur. Le serveur surchargé a du être déconnecté pour garantir la sécurité des données.

Tutoriels pour ProtonMail :

Actualité ProtonMail :

Tutanota

Adresse du site web : tutanota.com

Informations complémentaires :

  • Contrairement au chiffrement OpenPGP, l'objet du message est également chiffré.
  • Un abonnement 12€/an permet d'ajouter des utilisateurs possédant chacun un quota de 1 Go et la possibilité d'avoir 5 alias d'adresses email
  • Aucune possibilité de recours en cas d'oubli du mot de passe sauf s'il s'agit d'un utilisateur secondaire

Page d'accueil de Tutanota

Fonctionnement de Tutanota

Premier email en brouillon dans la boîte mail du compte créé :

De : system@tutanota.de
Objet : Retrouvons notre vie privée avec Tutanota !
Ce message est envoyé chiffré de bout en bout.

Bonjour !
Ceci est ma nouvelle adresse e-mail. Avec Tutanota, tous nos messages sont chiffrés automatiquement afin que personne ne puisse les intercepter. Toutes les données enregistrées sur les serveurs sont également chiffrées, rendant tout profilage impossible.

Rejoignez Tutanota :
https://app.tutanota.de/#register
Cordialement,

PS : Tutanota est gratuit et offre 1 Go de stockage, gratuitement. De plus, Tutanota est open source : https://github.com/tutao/tutanota

Au premier envoi à un destinataire donné, le service demande le mot de passe convenu avec ce destinataire, puis chiffre le message et le lui envoie. Comme ce mot de passe de communication en commun est mémorisé dans la fiche contact de l'utilisateur, les communications ultérieures avec celui-ci ne nécessitent pas de le taper à nouveau.

Le destinataire du message reçoit un email contenant un lien. Ce lien charge une page du site tutanota.de, demande le mot de passe convenu, puis affiche une boite de réception simplifiée dans laquelle le destinataire non inscrit peut archiver, supprimer ou répondre au message.

Exemple d'un message reçu de la part de John Doe :

Message confidentiel de John Doe

Bonjour,
Je vous ai envoyé un message confidentiel via Tutanota (https://tutanota.com). Tutanota chiffre automatiquement les messages, y compris leurs pièces jointes. Vous pouvez accéder à votre boîte aux lettres chiffrée et répondre par un message chiffré grâce au lien suivant :

Afficher le message chiffré
Ou ouvrez ce lien dans votre navigateur :
https://app.tutanota.de/#mail/K9jlUpg----0avYc_HfmOn9lz8oRs9W7bX

Cet email a été généré automatiquement afin d'envoyer le lien. Ce lien reste valide tant que vous ne recevrez aucun nouvel e-mail confidentiel de ma part.

Cordialement,
John Doe

StartMail (déprécié)

Adresse du site web : www.startmail.com

Alerte ! Doutes sérieux sur la confidentialité des données StartMail :
La société hollandaise StartMail B.V. a été créée en 2009 par la société Startpage B.V. qui gère le méta-moteur de recherche Startpage.
En septembre 2019, l'entreprise Startpage B.V. a été vendue en tant que filiale à la société britannique Privacy One Group qui appartient au groupe marketing britannique System1 coté au London Stock Exchange depuis 20064). Depuis cette date, personne ne fait plus confiance dans le méta-moteur de recherche Startpage. C'est pourquoi en l'absence d'information officielle concernant StartMail, il est fortement recommandé d'y supprimer toutes les données (emails et contacts) stockées et de supprimer le compte.

Informations complémentaires :

  • Connexion IMAP SSL/TLS possible
  • Chiffrement et déchiffrement possibles indifféremment sur le webmail StartMail et dans les courrielleurs prévus à cet effet, comme Mozilla Thunderbird avec l'extension Enigmail (le chiffrement / déchiffrement dans les courrielleurs n'est pas accessibles aux grand public).
  • L'adresse email de récupération et les contacts ne sont pas stockés de manière chiffrée sur les serveurs StartMail (ils sont extérieurs au "Secure Vault"). StartMail justifie ceci dans le but de permettre aux utilisateurs oublieux de récupérer facilement leur compte
  • La procédure normale de réinitialisation de mot de passe est possible soit par envoi d'un lien vers une adresse de contact, soit en entrant un code de récupération créé lors de l'inscription
  • Inactivité du compte : compte mis en quarantaine si paiement annuel non renouvelé. Les comptes en quarantaine sont supprimés au bout de 6 mois.

Support StartMail :

Autres services de messagerie chiffrées de bout en bout

  • Kalab Now : société suisse proposant un service de groupware chiffré à destination des entreprises en anglais, allemand et français à partir de 4,55 Fr Suisses / mois. Les textes des emails doivent encore être chiffrés au préalable par GNU Privacy Guard au moyen de l'assistant personnel Kontact ou bien du courielleur Mozilla Thunderbird étendu par Enigmail. Le chiffrement par le navigateur dans l'interface webmail est une fonctionnalité en cours de développement.
  • Silent Circle (en) : société suisse proposant des appels, messages textes, instantanés et vidéo chiffrés pour téléphones mobiles sécurisé (SilentPhone et BlackPhone), essentiellement à destination des entreprises. Ses serveurs sont situés au Canada. La société a suspendu son service d'emails sécurisés de bout en bout
  • Bitmessage : système décentralisé de messagerie chiffrée inspiré du système BitCoin.
  • Hushmail (en) : société basée au Canada
  • Open Whisper Systems (en) : whispersystems.org, application logicielle libre pour smartphone (Tutoriel en français par l'Electronic Frontier Foundation)

Autres services emails alternatifs

Services email intermédiaires (relais)

Certains services alternatifs font office d'email virtuel intermédiaire entre ceux qui vous écrivent et votre réelle adresse email. Ce contournement astucieux permet d'échapper au traçage et au matraquage publicitaire, à condition d'être organisé afin de pouvoir facilement retrouver l'adresse email communiquée.

Aucun service d'email temporaire mentionné ci-dessous n'est financé par la publicité. D'autres services similaires financés par les codes JavaScript et cookies de pistages sont indiqués au paragraphe "Emails temporaires et/ou intermédiaires" de la page "Outils en ligne".

Nombre illimité de messages
pour une durée illimitée
Nombre limité de messages
pour une durée illimitée
Les messages sont retransmis
vers votre adresse email réelle
de manière illimité
(hors quota de débit horaire)
Les messages sont retransmis
vers votre adresse email réelle
jusqu'à une certaine quantité
(hors quota de débit horaire)
Site web éthique et indépendantaddy.io
erine.email
firefox.relay
SimpleLogin
(voir ci-dessous)
Site web éthique et indépendantSpamgourmet
(voir ci-dessous)

Quelques relais email d'un nombre illimité de messages par alias, pour une durée illimitée :

  • addy.io (en) par Will Browning (Twitter) — addy.io (anciennement AnonAddy qui était l'abréviation de "Anonymous Email Address"). Le mot "Addy" est une expression argotique utilisée sur le web pour désigner une adresse électronique. (Le serveur addy.io est hébergé en Hollande) :
    • addy.io > FAQ
    • github.com > anonaddy > anonaddy (code source publié sous licence libre MIT)
  • erine.email (en) par Mikaël Davranche (Twitter) (stockage des données non précisé, probablement chez OVH Canada chez qui travaille Mikaël Davranche) :
  • relay.firefox.com (en) (hébergé sur les serveurs Amazon Web Services sous tutelle du droit états-unien)
  • SimpleLogin (fr, en) par Son Nguyen Kim (Twitter)
    • github.com > simple-login > app (code source sous licence libre AGPL 3)
    • f-droid.org > SimpleLogin | Anti-spam (Pré-requis : Android 5+)
    • play.google.com > SimpleLogin | Anti-spam (Pré-requis : Android 5+)
    • twitter.com > SimpleLogin
    • 12/03/2021: simplelogin.io > blog > What makes SimpleLogin a great Firefox Relay alternative? : Recently, we have noticed the rise of new services in the email aliases space. One of them, Firefox Relay is a Firefox extension developed by the Mozilla Foundation. In this post, we take a look at the similarities and differences between Firefox Relay and SimpleLogin. […] Business model. Firefox Relay includes a free tier and a new premium tier. The free tier allows creation of up to 5 aliases, while the premium tier provides access to unlimited aliases, ability to reply to forwarded emails, and an optional custom subdomain. Currently, the premium tier costs $0.99/month on limited time pricing. SimpleLogin has two pricing tiers. The free tier gives you access to all the essentials to get started with email aliases. There is no limit on bandwidth, TOTP is included, and you can create up to 15 aliases. The premium tier includes advanced features like PGP encryption, unlimited aliases and custom domains, etc for $4/month or $30/year. […] Dependency on third party services. Firefox Relay relies on Amazon SES to receive and forward emails to your mailbox. While Amazon isn't ideal in terms of privacy, Mozilla guarantees that only they know the association between your mailbox and your aliases. SimpleLogin doesn't rely on any external service. It is cloud agnostic and can be run anywhere, either on a small home server for people who want self host or on a powerful dedicated server. We did use Amazon for SimpleLogin first version but decided to leave the platform in February 2020. …
    • 19/12/2020: simplelogin.io > blog > What makes email alias a better alternative to email plus sign (+) : en.wikipedia.org > Email subaddressing, also known as plus sign (+) trick, is popularized by Gmail and now supported by most email providers. It allows creating a new email address by simply appending the plus sign(+) to your current email address. For example, if your email address is name@email.com, you can quickly create a new email address like name+facebook@email.com for Facebook, name+twitter@email.com for Twitter, etc. Here's a closer look at the pros and cons of using the plus sign trick, especially when compared with email aliases. …
    • 12/07/2021: simplelogin.io > blog > What makes SimpleLogin a great Burner Mail alternative? : Burner Mail is an email alias solution to generate burner email addresses and protect your digital identity when shopping online or registering to newsletters. In this post, we take a look at the similarities and differences between Burner Mail and SimpleLogin. Open Source vs Proprietary. Burner Mail is a closed-source (proprietary) software. All SimpleLogin code is open-source. This means the code can be audited by anyone. You can check out the code on SimpleLogin GitHub. All developments, discussions, roadmap also happen on GitHub. SimpleLogin can also be self hosted, meaning you can install it on your own server. Emails can contain personal, sensitive information, and therefore open-source email services should be preferred over closed-source, proprietary ones. Do you trust a black box to handle your emails? …
    • 08/08/2021: simplelogin.io > blog > A great alternative to 33mail : 3mail is a fantastic service to create email aliases and it's been online for more than 10 years. Here are the main differences between SimpleLogin and 33mail. […] One of the key differences between the SimpleLogin and 33mail is that SimpleLogin is completely open-source. This means countless developers constantly audited the code. SimpleLogin can also be installed on your own servers. Emails contain personal, sensitive information, and therefore open-source email services should be preferred over closed-source, proprietary ones. …
    • 08/04/2022: protonmail.com > blog > Proton and SimpleLogin are joining forces

Spamgourmet, relais email d'un nombre limité de messages par alias, pour une durée illimitée :
Créé le 29/09/2000, Spamgourmet (code source) est un projet open source non explicitement déclaré comme tel, 100% gratuit et 100% bénévole, fondé à Houston Texas par l'avocat informaticien Josiah Quincy Hamilton (1968 - 2020).

Le 18/08/2019, celui-ci a annoncé la fermeture prochaine du service, pour des raisons de santé, et de nombreux utilisateurs ont émis le souhait que son oeuvre Spamgourmet subsiste au-delà de sa mort. Après son décès6), le 09/04/2020, son fils Josiah Hamilton a annoncé avoir "pris un rôle" dans le soutien de spamgourmet, toujours de manière 100% bénévole (don d'argent impossible).

La performance de Spamgourmet est en déclin critique à cause des lacunes dans la maintenance technique relative aux différents domaines utilisés par Spamgourmet. Bien que la qualité du blocage des emails reçus provenant d'expéditeurs indésirables reste toujours excellente, les alias d'adresses email fournies par spamgourmet sont de plus en plus souvent bannies en émission et/ou réception par les autres fournisseurs d'email, pour différentes raisons (nom de domaine de l'alias présent dans l'une des listes noires des services antispam, blocage manuel du nom de domaine par les administrateurs des sites commerciaux, etc.).

En lisant les messages du forum, on peut deviner que des services Spamgourmet efficaces existent encore de manière discrète. Moyennant quelques compétences techniques, n'importe quel internaute peut en effet louer un nom de domaine auprès d'un registrar, puis configurer son enregistrement DNS MX pour pointer vers le domaine gourmet7.spamgourmet.com. sans le publier sur le forum.

Spamgourmet est probablement le premier service de relais d'adresse email. Plus d'informations sur Spamgourmet :

jetable.org, ancien relais email d'un nombre illimité de messages pour une durée limitée :
Le site web éthique et non commercial jetable.org 7). Dans cette liste, on trouve le domaine www.caramail.com pointant dès 2001 vers l'adresse IP française 195.68.99.20 derrière laquelle se trouvent des serveurs de la société COLT Technology Services.

Bien que le service de messagerie CaraMail ait été racheté par GMX et que la presse informatique écrive que "la messagerie Caramail revient en force avec des emails chiffrés de bout en bout" (01net.com le 05/10/2016), il est conseillé de rester prudent vis-à-vis de Caramail. D'une part, le rachat d'une société n'implique pas obligatoirement la remise à plat du système informatique (loin s'en faut). D'autre part, contrôler discrètement un fournisseur d'emails représente un excellent moyen pour un service de renseignement de dissimuler l'envoi d'emails malveillants permettant de pénétrer les systèmes informatiques.

Recherches sur le chiffrement

Le développement de l'informatique et le développement des techniques de chiffrement sont intimement liées. Le premier ordinateur électronique – Colossus I – fut mis en œuvre en 1943 par le Royaume-Uni pour déchiffrer les messages codés de l'Allemagne Nazie.
L'avènement prochain des ordinateurs quantiques sera une révolution technologique majeure : leur puissance de calcul sera si colossale qu'elle transformera profondément tous les secteurs de l'activité humaine (physique, chimie, biologie, économie, marketing, médias, etc.), et les algorithmes de chiffrement actuellement utilisés seront caduques.

Les sites web ci-dessous sont indiqués pour la culture générale. Leurs contenus sont bien évidemment en anglais et nécessitent d'avoir au-minimum l'esprit scientifique :

Références

Publications

Podcasts

Presse

Sites web

1)
Notez qu'il est également possible de souscrire à un hébergement web pour bénéficier d'un fournisseur d'email personnalisé. Cette méthode plus technique est préconisée par la La Quadrature du Net mais est à proscrire si vous n'êtes pas à l'aise en informatique. Voir les explications sur le site controle-tes-donnees.net : "Choisissez un fournisseur d’email qui vous laisse le contrôle"
2)
Ayant contacté l'association Zaclys à propos de cette absence de prise en charge du protocole POP, son représentant m'a répondu :
On pourrait facilement activer le pop mais quel intérêt ?
Nous avons volontairement fait l'impasse sur ce protocole qui est presque obsolète : quel intérêt par rapport au protocole imap qui présente à ma connaissance tous les avantages ?
Voici ma réponse :
Inciter ou forcer les utilisateur à utiliser le protocole IMAP est généralement l'habitude de ceux qui font commerce du stockage en ligne (vente d'espace de stockage cloud). On peut légitimement se demander quel intérêt une association sans but lucratif peut avoir à vendre de l'espace de stockage supplémentaire.
En dépit du développement de la consultation des boîtes mails en simultané sur différents appareils, différentes raisons plaident toujours fortement en faveur du protocole POP :
  • La maîtrise absolue du stockage de ses propres données (c'est notamment le choix de nombreuses entreprises et des particuliers pour qui les critères de sécurité informatique sont intangibles quelques soient les usages et effets de mode du moment)
  • La diminution du risque de fuite de données dans un contexte où les compromissions avérées de serveurs sont de plus en plus fréquentes, ainsi que les différentes failles matérielles des microprocesseurs révélées depuis janvier 2018, et qui ruinent les efforts d'isolation mémoire sur les serveurs cloud
  • La diminution de l'empreinte carbone des communications sur la biosphère. Car les centres de données constituent une plaie écologique et sociale grandissante (influence néfaste du "tout streaming", etc. Voir la page Coût écologique du numérique > Centres de données et l'offre Lilo.org dans cette page)
3)
Extrait de Votre vie privée avec Lilo :
Quelles sont les données collectées par les algorithmes tiers utilisés par Lilo ?
Pour le moment Lilo n’héberge pas encore son propre algorithme de recherche, certains algorithmes de recherche tiers peuvent ainsi être utilisés (Google, Yahoo, Bing). Ces algorithmes peuvent avoir accès à votre adresse ip, à la version de votre navigateur, et peuvent déposer des cookies publicitaires.
4)
5)
chatons.org : Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires
7)
archive.org) était un service géré par l'APINC - Association Pour l'Internet Non Commercial. Il relayait les messages envoyé à l'alias email vers la véritable adresse email pendant une durée limitée de 1 heure, 1 jour, 1 semaine ou 1 mois. De nombreux services similaires existent depuis des années. Mais il ne sont pas éthiques : leur gratuité est financée par du marketing (espionnage de l'internaute). ===== Annexe ===== ==== À propos de Caramail ==== Au mois d'août 2016, comme l'avait fait précédemment Edward Snowden, une personne travaillant pour la NSA a fait fuiter d'importantes masses de données comprenant des outils de cyber-attaque mis au point et utilisés par le département de piratage "Equation Group" de l'agence américaine vers une autre équipe de pirates informatiques nommée "The Shadow Brokers". Le 30/10/2016, The Shadow Brokers a publié une liste de serveurs qui ont été compromis et utilisés par les pirates de la NSA pour espionner et attaquer d'autres ordinateurs((Cf. article "Shadow Brokers publie une liste de serveurs qui ont été utilisés par la NSA pour ses opérations d'espionnage avec Equation Group", Stéphane le calme, 01/11/2016, developpez.com