Options de messagerie sécurisée pour la confidentialité 2020

Dans cet article sur les options de messagerie sécurisée de confidentialité, nous examinons différentes façons de rendre votre courrier électronique plus, bien… sécurisé et privé. Nous accordons une attention particulière à la race relativement nouvelle des services de messagerie Web cryptée de bout en bout, mais étudions également les avantages et les inconvénients des alternatives plus traditionnelles..

Les meilleurs fournisseurs de messagerie privée sécurisée

Ci-dessous, nous avons répertorié les fournisseurs de messagerie les plus sécurisés et privés. Pour plus d'informations sur l'un des services de cette liste, faites défiler l'article pour un résumé de chaque service ou cliquez sur le site Web du fournisseur.

  1. ProtonMail

    - Prix: gratuit (500 Mo / 1 adresse), 5 $ par mois (5 Go / 5 adresses).

  2. Tutanota

    - Prix: gratuit (1 Go / 1 adresse), 1,35 $ par mois (1 Go (extensible) / 5 adresses).

  3. Posteo

    - Prix: 2 € par mois (extensible).

  4. Mailfence

    - Prix: gratuit (500 Mo / 1 adresse), 2,50 € par mois (5 Go / 10 adresses), 7,50 € par mois (20 Go / 50 adresses)

  5. StartMail

    - Prix: essai de 7 jours, 59,95 $ par an (10 Go de stockage / 10 adresses).

  6. Mailbox.org

    - Prix: essai de 30 jours, 1 € par mois (2 Go de stockage de courrier, 3 adresses), 2,50 € par mois (5 Go de stockage de courrier, 25 adresses). Les prix peuvent être personnalisés selon vos besoins.

  7. Neomailbox

    - Prix: 49,95 $ par an (boîte aux lettres 1 Go, 1 adresse), 79,95 $ par an (boîte aux lettres 5 Go, 1 adresse), des niveaux de prix supplémentaires étendent la taille de la boîte aux lettres jusqu'à 240,95 Go / boîte aux lettres 40 Go.

L'e-mail n'est ni privé ni sécurisé

En tant que technologie, le courrier électronique n'a pas été conçu dans un souci de confidentialité ou de sécurité. En fait, la nécessité d'une telle approche n'a jamais traversé l'esprit des premiers pionniers du réseautage. Ainsi, quand il est devenu plus tard évident que les consommateurs d'Internet n'étaient pas disposés à payer pour les technologies extrêmement coûteuses et complexes qu'ils utilisent tous les jours et avec à peine une seconde pensée, les fournisseurs de messagerie avaient un moyen facile à disposition de monétiser leurs services..

Le modèle commercial le plus performant a été développé par Google, qui s'est rendu compte que les données personnelles d'un individu étaient extrêmement précieuses. Plus vous en collectez, plus il est précieux.

Après tout, si vous avez une bonne idée de ce qu'une personne aime et n'aime pas, où elle va, quels sont ses passe-temps et avec qui elle passe du temps, il est facile de la cibler avec les produits et services qu'elle est. susceptibles d'être intéressés par l'achat. Cha Ching!

En plus d'utiliser son moteur de recherche pour suivre les intérêts des utilisateurs, Google analyse tous les e-mails envoyés via son service Gmail. Notez que cela signifie non seulement les e-mails appartenant aux utilisateurs de Gmail, mais tous les e-mails envoyés aux utilisateurs de Gmail à partir d'autres services de messagerie.!

En 2017, Google a annoncé de manière un peu sincère qu'il ne scannerait plus les e-mails afin de cibler les utilisateurs avec des annonces personnalisées, mais cela ne signifie pas qu'il a cessé de scanner les e-mails à d'autres fins. Sa fonction de réponse intelligente basée sur l'intelligence artificielle tant vantée le prouve sans aucun doute, tout comme sa liste complète de tout ce que vous avez acheté chez n'importe quel détaillant en ligne depuis 2015!

Espionnage gouvernemental

Quelle que soit la situation avec Google, il est normal que les services de messagerie analysent les e-mails des utilisateurs à des fins publicitaires..

Et ce qui peut être collecté pour les revenus publicitaires est également incroyablement précieux pour «collecter tout» les agences de sécurité telles que la NSA.

Google a coopéré avec la NSA pour espionner ses utilisateurs pendant des années et ne s'est arrêté que lorsqu'il a été pris avec son pantalon par les révélations d'Edward Snowden en 2013. Ou du moins, il prétend s'être arrêté. Yahoo, en revanche, a continué à trahir ses utilisateurs envers la NSA jusqu'en octobre 2016 au moins..

Payer pour ça!

Comme le dit le vieil adage, "si vous ne payez pas pour un produit, alors vous êtes le produit".

Il existe des services de messagerie sécurisés gratuits, mais ils ont souvent des limites de données et n'incluent pas toutes les fonctionnalités offertes par la version premium du service.

L'exécution d'un service de messagerie électronique coûte beaucoup d'argent et de temps, vous devez donc examiner très attentivement comment ce service est financé. Des services tels que RiseUp et Autistici sont gérés par des militants politiquement motivés et sont principalement conçus pour assurer la confidentialité des militants partageant les mêmes idées..

Ces services sont prêts à subir une perte financière grâce à l'idéologie politique de leurs fondateurs. En tant que tels, ils sont petits et pas très bien financés. Les utilisateurs devraient certainement envisager de faire un don à leur intention s'ils en ont les moyens..

Les e-mails chiffrés par PGP peuvent être envoyés en toute sécurité via n'importe quel service de messagerie ordinaire, mais la simple réalité est que très peu de vos contacts (le cas échéant) utiliseront également PGP. Cela signifie que vous aurez toujours besoin d'un service de messagerie privé pour une utilisation quotidienne…

Tout le cryptage basé sur un navigateur n'est pas sécurisé

Les services de messagerie Web sont très pratiques, car ils sont facilement accessibles depuis n'importe quel navigateur Web. Malheureusement, la cryptographie dans les navigateurs est implémentée à l'aide de JavaScript, et la cryptographie JavaScript dans les navigateurs est intrinsèquement non sécurisée.

En effet, un serveur compromis ou une attaque man-in-the-middle peut envoyer des clés de chiffrement compromises à la fois à vous et aux navigateurs de votre destinataire..

Cela rend-il les services de messagerie Web inutiles? Non. Tout dépend de votre modèle de menace. Pour la plupart des utilisateurs, ils sont probablement très bien. Mais aucun service de messagerie Web ne sera aussi sûr que l'utilisation de PGP avec un client de messagerie dédié.

Si vous accédez à un service de messagerie Web crypté via son application mobile ou un client de messagerie dédié uniquement (c'est-à-dire pas via un navigateur), ce problème ne s'applique pas.

Utilisez plutôt le signal

«Je suis récemment arrivé à la conclusion que le courrier électronique est fondamentalement non sécurisable. Les choses que nous voulons du courrier électronique et d'un système de courrier électronique ne sont pas facilement compatibles avec le chiffrement. Je conseille aux personnes qui souhaitent que la sécurité des communications n'utilise pas le courrier électronique, mais utilisent plutôt un client de messagerie crypté comme OTR ou Signal. »Bruce Scheier.

Les applications de messagerie chiffrées sont beaucoup plus faciles à utiliser que PGP (qu'est-ce qui ne l'est pas!!), Et sont beaucoup plus sécurisées que tout type de courrier électronique. Le messager de signal est largement considéré comme le moyen le plus sûr de communiquer avec une autre personne encore imaginé, à moins de lui murmurer quelque chose à l'oreille.

Signal est donc la meilleure solution actuellement disponible pour sécuriser le contenu réel des messages. OTR est également une bonne option pour les utilisateurs de bureau.

Services de messagerie de confidentialité de bout en bout (e2e)

Pourquoi utiliser un service de messagerie électronique axé sur la confidentialité?

Si vous avez besoin qu'une conversation soit aussi privée que possible, utilisez Signal au lieu de l'e-mail. Mais le courrier électronique ne disparaît pas et reste le moyen de communication le plus populaire sur la planète. L'utilisation d'un service de messagerie privé et sécurisé du type décrit ci-dessous signifie:

  • Le service n'analysera pas vos e-mails (à des fins publicitaires ou à toute autre fin)
  • Ils utilisent un cryptage de bout en bout (e2ee). Vous cryptez et décryptez vos e-mails sur votre propre appareil afin que ni votre fournisseur de messagerie ni la NSA ne puissent y accéder.
  • Pas de pubs

Les meilleurs services de messagerie privée

1. ProtonMail

  • Tarification

    De 0,00 $
    Jusqu'à 500 Mo

ProtonMail était le premier dans un post-Snowden “nouvelle vague” de services de messagerie Web qui visent à fournir toutes les fonctionnalités de Gmail et de ses semblables, mais qui respectent les utilisateurs’ confidentialité et fournir un chiffrement complet de bout en bout (e2ee) pour les e-mails.

Les utilisateurs peuvent envoyer à n'importe qui un e-mail chiffré, auquel ils peuvent également répondre en toute sécurité.

ProtonMail est basé en Suisse, qui a des lois strictes sur la confidentialité et est en dehors de la NSA et du GCHQ’s zone d'influence directe. Être basé là-bas est donc généralement considéré comme une caractéristique forte du service.

Cependant, les lois récemment adoptées par le gouvernement en matière de surveillance sont préoccupantes et, malgré les assurances de ProtonMail, on ne sait toujours pas si ces lois affectent des services tels que ProtonMail..

La bonne nouvelle est que ProtonMail a introduit la prise en charge complète d'OpenPGP en 2018. Cela signifie que les utilisateurs peuvent envoyer des e-mails cryptés PGP à des contacts non ProtonMail et ouvrir des e-mails cryptés PGP envoyés à leur compte ProtonMail..

Veuillez consulter notre revue ProtonMail pour un examen approfondi de ce service.

2. Tutanota

Prix: gratuit (1 Go / 1 adresse), 1,35 $ par mois (1 Go (extensible) / 5 adresses).

  • Tarification

    De 0,00 $
    / mois

Tutanota est similaire à bien des égards à ProtonMail, ils sont basés en Allemagne. Cela a des lois strictes sur la confidentialité, mais pratique également une surveillance étendue de sa propre initiative, fournit la base de la NSA’s vastes opérations européennes, et est connu pour collaborer avec la NSA. Mais tous les e-mails sont stockés cryptés e2e, donc cela ne devrait pas’t importe.

Tutanota crypte les messages avec un chiffrement AES-128, une poignée de main RSA-2048 et un secret de transmission parfait, plutôt que d'utiliser PGP. Cela lui permet de crypter les lignes d'objet des e-mails lorsqu'il est envoyé à d'autres utilisateurs de Tutanota, mais cela signifie que le système n'est pas interopérable avec “ordinaire” Utilisateurs PGP.

3. Posteo

Prix: 2 € par mois (extensible).

  • Tarification

    De 1,13 $
    / mois

Également basé en Allemagne, Posteo est une bête quelque peu différente de Tutanota et ProtonMail. Il s'agit d'un service de messagerie sécurisé qui crypte ses connexions serveur avec TLS (à l'aide de DANE et d'une parfaite confidentialité), et stocke tous les e-mails sur des disques durs cryptés AES (taille de clé inconnue).

Par défaut, Posteo n'est pas un service crypté e2e. Le cryptage e-mail e2e est pris en charge, cependant, via “un clic” Prise en charge d'OpenPGP et S / MIME dans le navigateur. Les destinataires doivent avoir le même type de logiciel de cryptage installé sur leurs ordinateurs (OpenPGP ou S / MIME, selon le cas), mais ne doivent pas nécessairement être des utilisateurs de Posteo.

Posteo gère également son propre répertoire de clés PGP, qui est plus privé que les serveurs de clés PGP conventionnels. L'interface Web Roundcube fonctionne bien dans les navigateurs mobiles, mais Posteo n'a pas d'applications mobiles dédiées. La prise en charge IMAP, cependant, signifie que des applications de messagerie tierces peuvent être utilisées avec le service.

En 2013, ce service a fait ses preuves dans la vie privée en résistant avec succès aux demandes de la police pour l'identité d'un titulaire de compte Posteo qui était censé utiliser le service à des fins illicites. Le fait qu'il ne stocke aucune donnée sur l'identité de ses clients a rendu impossible la transmission de ces informations.

4. Mailfence

Prix: gratuit (500 Mo / 1 adresse), 2,50 € par mois (5 Go / 10 adresses), 7,50 € par mois (20 Go / 50 adresses)

  • Tarification

    De 0,00 $
    / mois

Mailfence est basé en Belgique, un pays avec des lois strictes sur la vie privée et aucun historique de coopération avec la NSA et le GCHQ. Les FAI sont tenus d'effectuer une conservation complète des données générales, mais l'accès à ces données est strictement réglementé et nécessite une garantie.

Mailfence utilise easy “un clic” Le cryptage OpenPGP pour sécuriser les e-mails et les e-mails envoyés à d'autres utilisateurs de Mailfence sont cryptés automatiquement (et ne quittent pas Mailfence’s serveurs).

Les e-mails à des non-membres peuvent être envoyés chiffrés par PGP, ou envoyés non chiffrés mais signés numériquement avec une clé PGP. Alternativement, des e-mails cryptés symétriquement peuvent être envoyés à des utilisateurs non-PGP en utilisant un secret partagé pour les sécuriser.

Et comme Mailfence utilise une implémentation standard d'OpenPGP avec une gestion complète des clés disponible, le service est interopérable avec “ordinaire” Utilisateurs PGP. La boîte aux lettres exécute son propre serveur de clés. Les clés PGP sont générées dans le navigateur et stockées sur Mailfence’serveurs utilisant un chiffrement AES-256.

Le chiffrement PGP basé sur un navigateur est open source, mais une grande partie de l'environnement backend est de source fermée. Les messages supprimés sont conservés pendant deux semaines à des fins de sauvegarde. Plus inquiétant, Mailfence enregistre toutes les métadonnées de courrier électronique, y compris “Adresses IP, ID de message’s, adresses de l'expéditeur et du destinataire, sujets, versions du navigateur, pays et horodatages.”

Un gros avantage de ce service est qu'il fournit des calendriers sécurisés et exportables et un stockage sécurisé des documents.

Malheureusement, Mailfence ne propose actuellement aucune application mobile, bien que les messages puissent être synchronisés avec les appareils iOS et Android à l'aide Microsoft Exchange ActiveSync et prend en charge POP et IMAC signifie que vous pouvez utiliser des applications tierces avec le service (utilisateurs payants uniquement). Il propose également une interface Web réduite spécialement conçue pour les appareils mobiles.

5. StartMail

  • Tarification

    De 4,99 $
    / mois

StartMail est un service de messagerie électronique axé sur la confidentialité exploité par les personnes qui exécutent également le moteur de recherche de confidentialité StartPage.

En raison de son utilisation intégrée de PGP, StartMail est entièrement interopérable avec d'autres utilisateurs de PGP. Il est également possible d'envoyer des e-mails cryptés à des utilisateurs non-PGP, qui doivent connaître un secret choisi par vous pour ouvrir l'e-mail.

L'une des caractéristiques les plus notables de ce service est que le chiffrement PGP est effectué côté serveur. En d'autres termes, ce n'est pas de bout en bout. StartPage cite les problèmes très réels avec le cryptage de navigateur basé sur JavaScript dont nous avons discuté dans l'introduction de cet article comme la raison de cela, mais c'est sans aucun doute une décision controversée.

Cette situation n'est pas facilitée par le fait que StartPage utilise un mélange de composants open source et de source fermée.

StartMail est basé aux Pays-Bas. Tout comme la Suisse, c'est un pays traditionnellement considéré comme respectueux de la vie privée, mais qui a récemment adopté de nouvelles lois de surveillance alarmantes..

Une chose que nous aimons vraiment avec StartMail est la possibilité de créer des adresses e-mail jetables illimitées. Il n'y a pas d'applications mobiles dédiées, mais la prise en charge complète IMAP et SMTP signifie que vous pouvez utiliser n'importe quelle application de messagerie tierce avec le service.

6. Mailbox.org

  • Tarification

    De 0 $
    / mois

Comme Tutanota, mailbox.org est basé en Allemagne. Cela a des lois strictes sur la confidentialité, mais pratique également une surveillance étendue de sa propre initiative, fournit la base de la NSA’s vastes opérations européennes, et est connu pour collaborer avec la NSA.

Le chiffrement PGP peut être effectué côté serveur pour plus de commodité, mais pas de bout en bout. mailbox.org atténue ce problème en exigeant également un mot de passe pour accéder aux e-mails chiffrés, qui n'est connu que de l'utilisateur du compte. Un certain niveau de confiance est cependant requis.

Alternativement, vous pouvez chiffrer e2e les e-mails PGP dans votre navigateur à l'aide du module complémentaire de navigateur Mailvelope, qui a été préconfiguré pour fonctionner avec mailbox.org sans nécessiter d'autres étapes de configuration..

Tous les e-mails envoyés et reçus sont éventuellement stockés dans une boîte aux lettres Guard chiffrée par PGP. Les e-mails non cryptés sont toujours vulnérables à l'interception pendant le transit, mais doivent être sécurisés au repos. Comme avec son cryptage PGP complet côté serveur des e-mails individuels, les boîtes aux lettres Guard sont sécurisées par un mot de passe que seul l'utilisateur connaît.

Il n'y a pas d'applications mobiles, mais mailbox.org prend en charge IMAP et POP pour une utilisation avec des applications de messagerie tierces. Les contacts et les calendriers peuvent être synchronisés sur mobile via ActiveSync.

7. Neomailbox

  • Tarification

    De 0 $
    / mois

Neomailbox est basée en Suisse. Alors que nous discutons dans notre regard sur ProtonMail, l'incertitude sur la façon dont ses nouvelles lois de surveillance seront appliquées sape ce pays’s réputation traditionnelle de respect de la vie privée.

Neomailbox ne vous permet pas d'envoyer ou de recevoir des e-mails cryptés PGP, mais il offre la possibilité de crypter automatiquement les e-mails stockés sur ses serveurs à l'aide de votre clé PGP publique. Cela signifie que Neomailbox ne peut pas accéder à vos e-mails, mais nécessite l'utilisation d'outils externes tels que Mailvelope ou Gpg4win afin de générer votre paire de clés PGP.

Les alias illimités sont autorisés sans configuration préalable, bien que tous utilisent votre nom de sous-domaine unique. Ces alias peuvent être bloqués et débloqués à volonté, ce qui les rend idéaux pour une utilisation en tant qu'adresses jetables.

Mentions honorables

Disroot et Runbox sont des services de messagerie respectueux de la confidentialité qui stockent les e-mails sur des disques durs chiffrés. Cependant, ils n'offrent aucune forme de cryptage de bout en bout. Kolab Now est également un service de messagerie respectueux de la confidentialité, mais ne stocke pas les e-mails cryptés.

Lorsque nous avons publié cet article il y a environ trois ans, le service Lavabit récemment ressuscité semblait prometteur. Cependant, la plupart des fonctionnalités de confidentialité et de sécurité promises ne se sont pas encore matérialisées, et nous avons du mal à recommander un service basé aux États-Unis (comme en témoigne de manière assez dramatique la propre disparition initiale de Lavabits!).

Assez bonne confidentialité (PGP)

PGP a été développé en tant que protocole de cryptage sécurisé des e-mails, et bien que le standard d'origine ne soit plus open source (il est désormais la propriété de Symantec), les Fondation du logiciel libre a repris la bannière open source sous forme d'interopérabilité à 100% OpenPGP la norme.

expéditeur et destinataire

La façon la plus traditionnelle (et toujours la plus sûre) d'utiliser PGP est GNU Privacy Guard (également connu sous le nom de GnuPG ou simplement GPG). Ceci est disponible pour Windows, macOS et Linux, avec un client de messagerie autonome tel que Claw-Mail ou Thunderbird.

Bien que le programme de base utilise une interface de ligne de commande simple, des versions plus sophistiquées sont disponibles pour Windows (Gpg4win) et Mac (GPGTools). Nous avons un guide pour sécuriser vos e-mails avec le guide Gpg4win autre part. Il vaut peut-être la peine de le lire pour comprendre comment fonctionne OpenPGP.

Notez qu'avec PGP, les métadonnées - adresses e-mail de l'expéditeur et du destinataire, date et heure d'envoi et ligne d'objet de l'e-mail - ne sont pas cryptées. Juste le corps et les attachements. Et tout service qui souhaite être compatible avec PGP subira nécessairement les mêmes limitations.

Un autre problème avec PGP est qu'il n'utilise pas Perfect Forward Secrecy (PFS). Ainsi, une fois les clés d'un e-mail crypté rompues, tous les autres e-mails cryptés à l'aide des mêmes clés seront également compromis. Il s'agit d'un domaine où les services Web de messagerie e2e PGP brillent car l'utilisation d'échanges de clés Diffie-Hellman ou ECDE dans leurs connexions TLS introduit PFS.

Nous devons noter qu'il s'agit d'un problème qui affecte toutes les implémentations de PGP, y compris les fournisseurs de messagerie répertoriés dans cet article.

Enveloppe postale - rendre PGP plus facile

Même un coup d'œil décontracté à travers notre Guide Gpg4win montrera amplement pourquoi PGP n’a pas réussi à s’adresser au public. Il est complexe au point d'être déroutant et difficile à comprendre. La plupart des services de messagerie Web e2e répertoriés ci-dessus utilisent PGP, mais visent à le rendre aussi convivial et «idiot-proof» que possible.

En cela, ils réussissent largement, mais à un prix en sécurité. Comme déjà discuté, la cryptographie basée sur un navigateur est profondément défectueuse. Il existe cependant une troisième option qui offre une sorte de «voie médiane».

Enveloppe postale est un plugin de navigateur OpenPGP qui est beaucoup plus facile à utiliser que la configuration plus traditionnelle (bien qu'il ne soit pas aussi simple que les solutions de messagerie Web «en un clic»).

Courriel auto-hébergé

Une option plus extrême pour tout ce qui précède consiste à auto-héberger votre propre serveur de messagerie. Cela peut être fait sur votre propre PC ou sur un serveur loué. Cela garantit à peu près que Google et d'autres grandes sociétés ne seront pas en train d'espionner vos e-mails (au moins directement - ils pourront toujours lire les e-mails non cryptés envoyés à d'autres utilisateurs de leurs services).

La mise en place et la maintenance de votre propre serveur de messagerie, cependant, est un travail non trivial, même pour les plus techniquement enclins. Et il est encore plus difficile de garantir sa sécurité. En fait, si ce n'est pas fait correctement, exécuter votre propre serveur de messagerie peut être très dangereux, car il peut fournir un faux sentiment de sécurité.

Cela ne veut pas dire que c'est impossible, et il y a certainement des fanatiques de la confidentialité qui jurent en auto-hébergeant leur courrier électronique. C'est certainement un sujet sur lequel nous pourrions écrire un guide à un moment donné dans le futur!

Des logiciels tels que Boîte postale et Mailcow faciliter le travail en automatisant le processus, mais pour une sécurité maximale, vous devez créer votre propre serveur à partir de zéro (pour ainsi dire). De grands tutoriels sur la façon de le faire peuvent être trouvés ici et ici.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me