Revue de ScryptMail

ScryptMail

ScryptMail cesse ses activités. Le 31 janvier 2020, le service de messagerie sera fermé et ils supprimeront toutes les bases de données le 31 mars 2020.

La bonne nouvelle est qu'il existe de nombreuses alternatives à ScryptMail. Veuillez consulter notre meilleur article sur les services de messagerie sécurisés pour une liste d'alternatives.

ScryptMail est un fournisseur de messagerie électronique développé par Sergei Krutov, consultant en protection des données basé à Spokane, Washington. La firme prétend offrir une sécurité de messagerie forte qui comprend le cryptage au repos et les métadonnées cryptées (une revendication que nous remettrons en question plus tard). Ce petit service indépendant semble intéressant, nous avons donc pensé le mettre à l'épreuve.

ProPrivacy.com But
5 sur 10

Sommaire

Être basé aux États-Unis est une préoccupation car les États-Unis abritent la NSA, la CIA, des ordres de bâillon et des mandats. Une base américaine est toujours une bonne raison de rester à l'écart de tout service qui prétend assurer la confidentialité, car il est difficile de vérifier qu'ils offrent vraiment la confidentialité et la sécurité qu'ils réclament (et même s'ils ont l'intention de le faire - ils pourraient être contraints de commencer espionner les utilisateurs en secret à tout moment).

De plus, bien que le code du service ait été placé sur Github, il manque de documentation et ne comprend aucun fichier de licence. Ainsi, ce n'est pas vraiment complètement open source. Malgré cela, il est préférable de mettre le code sur Github que de le garder caché sous clé. En revanche, il ne semble pas avoir fait l'objet d'audits tiers.

En surface, le fournisseur de messagerie ScryptMail semble avoir beaucoup de fonctionnalités puissantes. Dans notre examen de scryptmail, nous examinons en détail certaines de ses revendications - pour voir s'il vaut la peine de dépenser votre temps et votre argent.

Combien coûte ScryptMail?

ScryptMail est un service de messagerie à faible coût, qui peut être utilisé gratuitement. Les utilisateurs ont accès gratuitement à 300 Mo de stockage de messagerie. Les utilisateurs peuvent choisir de «recharger» leur compte avec un solde avec PayPal ou Bitcoin.

Une fois que l'argent a été ajouté au solde de son compte, l'utilisateur peut opter pour des mises à niveau individuelles telles que des domaines personnalisés, des alias, un cryptage de clé PGP plus fort et diverses autres fonctionnalités..

Ceux-ci sont facturés individuellement et à un prix assez raisonnable. Cependant, étant donné qu'il est possible d'obtenir des fournisseurs de messagerie sécurisés complets pour seulement 1 euro par mois (Tutanota ou Posteo, par exemple), le paiement de ce service va coûter cher si vous commencez à utiliser de nombreuses fonctionnalités.

Fonctionnalités de ScryptMail

  • Compte de messagerie gratuit disponible
  • Cuit dans le cryptage PGP
  • E-mails cryptés par code PIN
  • Chiffrement au repos
  • Dossier de spam
  • Contacts
  • Alias ​​(payés uniquement)
  • Domaines personnalisés (payants uniquement)
  • Authentification à deux facteurs
  • Filtrage des e-mails
  • Fonction liste noire

Intimité

Être basé aux États-Unis est toujours considéré comme un problème en matière de confidentialité. Les sociétés basées aux États-Unis peuvent se voir signifier des mandats et des ordres de bâillonnement qui les obligent à espionner leurs utilisateurs au nom du gouvernement. Si l'entreprise enfreint un bâillon (ce qui l'oblige à garder cette surveillance secrète), les employés de l'entreprise pourraient être poursuivis et condamnés à des peines de prison..

Un miroir du service de messagerie Web de ScryptMail est disponible sur le Web profond via Tor; ce qui est idéal pour les personnes qui souhaitent s'inscrire et accéder à leurs e-mails de manière anonyme. Pour les personnes qui ne sont pas prêtes à sauter dans les entrailles d'Internet, un client de messagerie Web similaire à ceux fournis par de nombreux autres clients de messagerie est disponible dans votre navigateur via Internet..

La politique de confidentialité révèle que l'entreprise stocke certains journaux de connexion: dernière heure de connexion, adresse IP, agent utilisateur et appel API. Confus, cependant, la politique se lit alors: "Nous n'avons pas la possibilité de faire correspondre une adresse IP à un compte d'utilisateur spécifique." Ceux-ci semblent être une contradiction directe.

En plus de ce problème, ScryptMail a un rapport sur la garantie et la transparence qui n'a pas été mis à jour depuis un certain temps. Un mandataire Canary périmé - qui est resté intact depuis 2016 - semble révéler que la société a reçu un mandat. Cela seul est une raison suffisante pour rester à l'écart du service. Le rapport sur la transparence se lit comme suit:

  • Nous avons reçu 8 demandes d'agences d'application de la loi pour accéder au fichier journal à une heure précise pour certains utilisateurs
  • 8 demandes de temps d'accès et IP ont été accordées

La bonne nouvelle (si vous pouvez l'appeler ainsi) est que le rapport de transparence révèle que l'entreprise collecte effectivement les journaux de connexion, y compris les adresses IP des utilisateurs. Ainsi, nous n'avons plus d'autre choix que de dissuader gravement les consommateurs d'utiliser ce VPN.

Sécurité

Toutes les communications avec les serveurs de ScryptMail se font via TLS / SSL (HTTPS), et la société affirme qu'elle implémente HSTS pour atténuer les attaques de Man in the Middle, ainsi que l'épinglage de certificat (pour résister à l'emprunt d'identité par les attaquants). Cependant, les tests effectués par Qualys SSL Labs révèlent que l'entreprise ne marque qu'un B pour la force de son implémentation SSL (car la chaîne de certificats du serveur est incomplète). Il s'agit d'un mauvais score, ce qui suggère que l'entreprise ne met pas réellement en œuvre le HSTS.

En ce qui concerne le stockage, l'entreprise affirme que toutes les données de courrier électronique sont cryptées au repos à l'aide d'un cryptage AES 256 solide et l'entreprise affirme que le secret de transmission est mis en œuvre pour plus de sécurité. Dans l'ensemble, cela signifie que l'entreprise semble gérer les e-mails de manière sécurisée. Cependant, il y a quelques mises en garde...

ScryptMail a été codé par un seul développeur et, depuis sa sortie en 2014, le développeur ne l'a mis à jour qu'une seule fois en janvier 2015. Cela sonne certainement une sonnette d'alarme, et comme d'autres l'ont souligné sur Reddit et ailleurs; il est difficile de croire qu'un service développé par une seule personne - et qui n'est jamais mis à jour - est en fait protégé contre les pirates ou les intrusions du gouvernement.

En ce qui concerne l'affirmation de la société selon laquelle elle crypte toutes les métadonnées, il convient de noter que bien que le cryptage de toutes les métadonnées alors qu'elles sont au repos soit possible (de sorte qu'au moins ScryptMail ne puisse pas accéder à ces informations) - il n'est pas possible de cacher qui a envoyé un e-mail (et quand) d'autres fournisseurs de messagerie. Les métadonnées doivent être incluses dans l'en-tête d'un e-mail pour qu'elles soient livrées, et ces données sont exposées lorsque l'e-mail est envoyé sur Internet. Ainsi, les métadonnées pourraient être collectées en masse (par les agences de renseignement ou une attaque MitM) pendant le transit.

Pour ceux qui préfèrent ajouter une authentification à deux facteurs à leur compte, la fonctionnalité est disponible dans les paramètres et peut être configurée pour fonctionner avec un Yubikey physique ou en utilisant Google Authenticator.

Facilité d'utilisation

Le démarrage d'un compte ScryptMail est facile et vous n'avez pas besoin de transmettre de données personnelles si vous préférez ne pas le faire. C'est très bien, car nous préférons les fournisseurs de messagerie qui ne demandent pas de numéro de téléphone ou une adresse e-mail précédente pour vérification.

créer un compte

Une fois votre compte créé, vous êtes invité à télécharger le jeton secret de votre compte. Le jeton secret est décrit par ScryptMail comme «l'outil ultime pour votre compte» car il peut être utilisé pour réinitialiser le mot de passe ou la phrase secrète utilisée pour la connexion. Cependant, il convient de noter qu'en plus du jeton, il est nécessaire d'avoir également le mot de passe ou la phrase secrète (alors assurez-vous de ne pas les stocker ensemble!)

écran montrant le compte créé avec succès

L'accès au webmail étant accordé, nous avons décidé de vérifier à quel point il est facile d'importer des contacts. Malheureusement, nous n'avons trouvé aucun moyen d'importer des contacts à l'aide d'un fichier CSV, ce qui signifie que vous devrez ajouter des contacts manuellement - un par un.

Ensuite, nous avons décidé d'envoyer un e-mail avec cryptage. Nous pourrions facilement trouver la méthode de cryptage PIN (qui vous oblige à partager le mot de passe en dehors de ScryptMail avec l'expéditeur de manière privée).

méthode de cryptage des broches dans scryptmail

Cependant, la configuration de la messagerie Web pour envoyer des e-mails chiffrés PGP n'est pas du tout évidente. Finalement, nous avons pu vérifier que pour envoyer des e-mails chiffrés PGP, vous devez créer un contact pour le destinataire et ajouter sa clé publique à partir des contacts.

menu des contacts scryptmail

Ensuite, vous pouvez créer un e-mail et un cadenas vert apparaîtra par défaut, ce qui révèle que l'e-mail est protégé par PGP. Vos clés PGP sont disponibles en accédant au Menu > Réglages > Clé PGP. Ici, vous pouvez accéder à votre clé PGP et demander à la rafraîchir, vous pouvez également copier des clés préexistantes si vous les avez déjà.

Clés PGP dans le courrier électronique crypté

Les alias ne sont disponibles que si vous payez pour le service, il en va de même pour les domaines personnalisés. Cependant, avoir la possibilité de passer à ces fonctionnalités est pratique pour quiconque aime particulièrement utiliser ScryptMail. Dans l'ensemble, nous avons trouvé que c'était un client de messagerie facile à utiliser, tant que vous êtes plutôt technophile et que cela ne vous dérange pas de fouiller dans le client pour trouver par vous-même.

Service client

Quiconque veut de l'aide a la possibilité de lire la section Blog et FAQ de son site Web. Cependant, bien que les guides soient informatifs, il est difficile de trouver des didacticiels utiles sur la configuration du chiffrement PGP ou l'envoi d'e-mails chiffrés PGP, par exemple. De plus, le contenu souffre de ne pas avoir été écrit par un anglophone natif.

Nous avons envoyé un e-mail à l'assistance pour obtenir des informations à ce sujet et quelques autres choses. Cependant, nous n'avons reçu aucun ticket pour nous faire savoir que l'e-mail avait été reçu. De plus, aucune réponse n’est jamais arrivée (nous avions attendu trois jours au moment de la rédaction).

Pour cette raison, il est conseillé à quiconque est un débutant d'utiliser des clients de messagerie sécurisée de chercher ailleurs s'il a besoin d'aide pour configurer ou utiliser le service. Il semblerait que SyncMail est complètement sans pilote.

Conclusion de ScryptMail

Dans l'ensemble, nous avons trouvé ce compte de messagerie assez facile à utiliser, en particulier pour toute personne ayant une expérience de l'utilisation de PGP et de fournisseurs de messagerie cryptés. L'absence d'IMAP et de POP est certainement un inconvénient qui découragera de nombreux consommateurs, et l'impossibilité d'importer des contacts via CSV est extrêmement ennuyeuse.

Gratuit, ce compte de messagerie serait probablement recommandé s'il n'y avait pas le mandataire périmé et les inquiétudes entourant le fait qu'il semble avoir été abandonné par son développeur. Le rapport sur la transparence et la politique de confidentialité soulèvent également des préoccupations, tout comme sa base aux États-Unis (qui, nous le craignons, a été compromise par les autorités).

Dans l'ensemble, nous ne nous sentons pas à l'aise de recommander ce service en raison de ses problèmes de confidentialité, et pour cette raison, nous recommandons généralement de chercher ailleurs.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me