Revue Hushmail

Hushmail


Hushmail est un fournisseur de messagerie sécurisé appartenant à Hush Communications Ltd, basée à Vancouver, au Canada. Cependant, cette entreprise est une filiale de Hush Communications Corporation, une entreprise basée au Delaware, aux États-Unis. Le fournisseur de messagerie a été lancé en 1999, et depuis lors, il est devenu un service populaire pour les consommateurs cherchant à envoyer des e-mails cryptés sécurisés..

ProPrivacy.com But
8 sur 10

Sommaire

Bien que Hushmail ait une bonne réputation pour fournir des fonctionnalités de messagerie sécurisées, être basé au Canada est loin d'être idéal. En effet, la nation fait partie des CINQ YEUX et a de nombreuses lois qui portent atteinte à la vie privée des personnes - y compris le projet de loi C-11 qui oblige les FAI à effectuer la conservation obligatoire des données. Ses liens avec sa société mère basée aux États-Unis soulèvent également des questions sur la possibilité que des mandats et des ordres de bâillon soient utilisés pour extraire des données aux États-Unis de ses serveurs internationaux..

En outre, Hushmail est une application propriétaire à source fermée, ce qui signifie que bien que le cryptage PGP qu'il utilise pour fournir des e-mails sécurisés ait été audité - le logiciel Hushmail ne l’a pas été. Selon votre modèle de menace, ces facteurs peuvent mettre certaines personnes hors service.

Statistiques rapides

  • Pays
    Canada

Combien coûte Hushmail?

Hushmail fournit un essai gratuit qui permet aux utilisateurs de se faire une idée de ses services sans avoir à dépenser un centime. Les utilisateurs bénéficient gratuitement de 15 Mo de stockage et d'une adresse e-mail.

Premium coûte 49,98 $ et permet aux utilisateurs d'utiliser un nombre illimité d'alias et 10 Go de stockage. Le service est également livré avec une fonctionnalité de formulaires sécurisés.

Frais Hushmail Premium

Pour toute personne qui nécessite l'utilisation d'un domaine personnalisé: vous devrez débourser pour le compte «entreprise» plus cher. Cela coûte 5,99 $ par mois (71,88 $ par an), par utilisateur.

traits

Par rapport à de nombreux fournisseurs de messagerie, Hushmail est un peu mince sur le terrain en termes de fonctionnalités. Si vous migrez depuis Google, la perte d'un calendrier, du stockage (via le lecteur) et des feuilles de calcul peut être un choc. Cependant, si vous n'avez besoin que de services de messagerie sécurisés, Hushmail peut suffire.

Il convient également de noter que si vous le souhaitez, vous trouverez ci-dessous l'ensemble complet des fonctionnalités disponibles sur Premium:

  • 10 Go de stockage
  • Alias ​​illimités
  • Prise en charge IMAP, POP
  • Importer des contacts via CSV
  • Dossier spam / courrier indésirable
  • Cryptage OpenPGP
  • Vérification en deux étapes (SMS, e-mail ou application)
  • Fonctionnalité de formulaires sécurisés
  • compatible iPhone

Intimité

À la suite de la perte de Microsoft dans l'affaire Microsoft Corp. contre États-Unis, la Cour suprême des États-Unis a estimé que les sociétés américaines avaient le devoir d'extraire des données de leurs serveurs internationaux lorsqu'elles recevaient un mandat des autorités américaines. Pour Hushmail qui est une filiale d'une entreprise américaine, cela soulève des problèmes de confidentialité concernant la possibilité de commandes bâillonnantes.

Ces inquiétudes s'ajoutent au fait que Hushmail est basé au Canada, qui est connu pour coopérer avec les autres pays à CINQ YEUX pour effectuer la surveillance. Dans l'ensemble, cela met un point d'interrogation sur la confidentialité que vous pourriez gagner en utilisant Hushmail - en particulier compte tenu de la nature de source fermée de la plate-forme.

De plus, pour ouvrir un compte Hushmail, vous devez accepter un certain traitement des données personnelles. L'entreprise informe également les utilisateurs qu'ils se conformeront aux autorités si un mandat légitime leur est signifié. Il convient de noter à ce stade qu'il n'y a pas de fournisseurs d'e-mails de journaux sur le marché qui vous permettent de vous inscrire sans fournir de données personnelles ou d'adresse e-mail..

Créer un compte Hushmail

La collecte de données personnelles de Hushmail est détaillée dans sa politique de confidentialité comme suit:

«Dans le cadre du processus de création de compte, votre adresse IP sera enregistrée. Nous pouvons également vous demander de fournir d'autres informations, telles qu'un numéro de téléphone. Nous utilisons ces informations pour analyser les tendances du marché, collecter des informations démographiques générales et prévenir les abus de nos services. Nous ne partagerons pas ces informations avec des tiers. »

En outre, l'entreprise avertit les utilisateurs que s'ils décident d'acheter un abonnement, les données suivantes seront nécessaires pour le traitement:

"Nom, le compte que vous mettez à niveau, le domaine que vous souhaitez utiliser pour votre e-mail, autre adresse e-mail, votre adresse de facturation et les informations de votre carte de crédit. De plus, nous enregistrerons l'adresse IP à partir de laquelle le paiement est effectué. Lorsque nous traitons votre transaction de paiement, ces informations de paiement seront transmises à notre processeur de paiement. Nous utilisons des services tiers conformes à la norme PCI pour traiter votre transaction de paiement. Lorsque nous traitons votre paiement, nous partageons votre adresse IP, votre ville, votre pays et votre code postal avec un service anti-fraude tiers pour déterminer la probabilité que l'achat soit une transaction frauduleuse. Nous ne stockons pas votre numéro de carte de crédit sur nos serveurs. »

De plus, Hushmail explique qu'il collectera des données auprès de vous au fur et à mesure que vous vous connectez et utilisez son service:

"Les informations que nous enregistrons peuvent inclure votre adresse IP, votre type de navigateur, la langue du navigateur, la date et l'heure de l'action, les noms d'utilisateur de compte, les adresses e-mail de l'expéditeur et du destinataire, les noms de fichiers des pièces jointes, les sujets des e-mails, les URL dans les corps des e-mails non cryptés, et toute autre information que nous jugeons nécessaire d'enregistrer afin de maintenir le système et de prévenir les abus. »

Comme vous pouvez le voir, le cabinet recueille et conserve toutes les métadonnées de courrier électronique, probablement afin de pouvoir se conformer aux mandats et aux demandes des forces de l'ordre si elles leur sont présentées. Y a-t-il des preuves que Hushmail a transmis des données aux autorités?

Pour commencer, Hushmail ne fournit pas de rapport de transparence, ni de mandataire Canary, comme beaucoup de ses concurrents. C'est dommage car cela signifie qu'il est impossible pour les consommateurs de comprendre le nombre de demandes de données qu'il reçoit et qu'il satisfait. Cependant, avec juste un peu de recherche, il est possible de trouver des preuves que Hushmail a déversé des informations aux autorités canadiennes.

En 2007, Hushmail a remis 12 CD de courriels relatifs à trois comptes Hushmail. Selon des sources de l'affaire, Hushmail a fourni des versions en texte clair des e-mails chiffrés auxquels il n'aurait pas dû avoir accès en raison du chiffrement de bout en bout. Ces données ont été transmises aux autorités fédérales américaines, à la suite d'une décision de justice obtenue via le traité d'assistance mutuelle entre les États-Unis et le Canada (FVEY). L'affaire est extrêmement préoccupante et jette de sérieux doutes sur le service et la possibilité qu'il ait une porte dérobée.

À la suite de l'affaire, le CTO de Hushmail a également admis que les agences de renseignement pouvaient pénétrer dans les e-mails cryptés des comptes ciblés via des vulnérabilités dans l'application de navigateur Javascript.

Pour être honnête sur Hushmail, c'est un problème pour tout cryptage basé sur un navigateur qui est exécuté avec Javascript. Pour cette raison, toute personne qui souhaite envoyer et recevoir des e-mails cryptés PGP en toute sécurité sans la possibilité d'une attaque man-in-the-middle qui peut forcer des clés de cryptage compromises sur les navigateurs de l'expéditeur et du destinataire - devra opter pour l'utilisation d'un e-mail service avec un client dédié. (Hushmail peut être utilisé de cette manière; si vous y faites confiance.)

D'un autre côté, l'admission franche que cet exploit Java est réellement exploité sur les utilisateurs de Hushmail va beaucoup plus loin que de simplement dire que c'est possible en théorie, et c'est un rappel brutal du fait qu'il est très difficile de faire confiance Services américains qui prétendent assurer la confidentialité.

Enfin, nous avons détesté que nous devions fournir un numéro de téléphone au stade de l'abonnement afin de recevoir un code de vérification SMS. Devoir fournir votre ancien e-mail et un numéro de téléphone est trop envahissant pour nous.

Sécurité

Hushmail implémente le cryptage pour l'envoi et le stockage d'e-mails sur ses serveurs. Cependant, tout e-mail envoyé non crypté est stocké sur les serveurs de Husmail non crypté, ce qui signifie qu'ils pourraient être compromis si la société reçoit un mandat. C'est dommage car il n'y a absolument aucune raison pour que Hushmail ne puisse pas crypter tous les e-mails qui sont au repos; y compris ceux qui ont été envoyés non cryptés.

Lorsque les utilisateurs envoient des e-mails à l'aide de Hushmail, leur véritable adresse IP est le scrubber de l'en-tête et est remplacée par une adresse IP appartenant à Hushmail. C'est bon pour la sécurité car le destinataire ne verra jamais la véritable adresse IP de l'expéditeur. Cependant, il convient de noter que Hushmail enregistre toujours votre adresse IP lorsque vous vous connectez à ses services; afin que les données soient enregistrées et puissent être transmises aux autorités à une date ultérieure.

Bien que Hushmail utilise un logiciel propriétaire fermé, il met en œuvre des normes OpenPGP entièrement auditées pour le cryptage des e-mails. L'entreprise implémente également le cryptage TLS / SSL (Transport Layer Security) pour toutes les données qui sont communiquées en transit à ses serveurs. Pour plus de sécurité, la société implémente Hushmail utilise le secret avancé, la sécurité de transport stricte HTTP et l'épinglage de certificat. Le cryptage SSL / TLS est également utilisé lorsque l'entreprise transmet des e-mails entre les serveurs. Cette sécurité devrait permettre d'arrêter les attaques de l'Homme au Milieu.

En ce qui concerne le cryptage PGP, Hushmail garantit que le corps principal et les pièces jointes contenus dans les e-mails sont protégés par le cryptage OpenPGP. Le cryptage OpenPGP est disponible via le service de messagerie Web de Hushmail et dans son application iPhone. Il est également disponible lors de l'accès à Hushmail via IMAP ou POP3.

Comme c'est le cas avec Tutantoa, Hushmail a une fonctionnalité qui permet aux utilisateurs d'envoyer des e-mails cryptés à des utilisateurs qui n'ont pas Hushmail (ou un autre compte de messagerie compatible PGP). Lors de l'envoi d'un e-mail crypté à un utilisateur non Hushmail, l'e-mail crypté est stocké sur les serveurs Hushmail et le destinataire reçoit un lien pour accéder à cet e-mail qui peut être décrypté via un système de questions et réponses dont le destinataire doit connaître la réponse..

Ce système est généralement considéré comme sûr. Cependant, cela signifie que vous devez faire confiance à Hushmail, ce qui pourrait avoir froid pour certains consommateurs. Vous devrez faire ce jugement vous-même en fonction de votre modèle de menace.

Pour se connecter à un compte, hushmail suggère aux utilisateurs d'entrer une phrase secrète. L'entreprise déclare que ces mots de passe ne sont jamais stockés sur ses serveurs. Au lieu de cela, ils sont transformés en une valeur hachée à partir de laquelle la phrase secrète ne peut jamais être dérivée.

Si les utilisateurs le souhaitent, ils configurent également l'authentification à deux facteurs sur leur compte. Cela leur permet de recevoir un code via un compte de messagerie secondaire, via SMS ou à l'aide d'une application d'authentification. Hushmail fournit une autre mesure de sécurité en verrouillant les comptes si trop de tentatives d'accès à un compte sont effectuées dans un court laps de temps, cela protège les comptes contre les tentatives de force brute.

Dans l'ensemble, la sécurité et le chiffrement du service Hushmail semblent bons. Certes, nous avons vu des implémentations encore meilleures qui incluent Perfect Forward Secrecy et d'autres mesures de sécurité telles que HSTS, CAA, CSP, MTA-STS et X-XSS.

Facilité d'utilisation

Obtenir un compte Hushmail est aussi simple que d'aller sur son site Web et de configurer l'option de messagerie gratuite. Malheureusement, vous devez entrer un e-mail précédent et un numéro de téléphone pour vous inscrire et obtenir le code d'activation SMS. Ceci est extrêmement invasif. Avec le code SMS entré, vous avez accès à votre compte de messagerie.

Version d'essai de Hushmail Webmail

Les utilisateurs gratuits obtiennent 25 Mo de stockage sur l'adresse e-mail unique qu'ils ont configurée.

La mise à niveau vers un abonnement premium fournit aux utilisateurs un nombre illimité d'alias, de pseudonymes et d'adresses e-mail temporaires. De plus, les utilisateurs bénéficient de 10 Go de stockage de données. La version premium permet également aux abonnés de configurer deux formulaires Web sécurisés à l'aide de son générateur de formulaires par glisser-déposer.

Contrairement à de nombreux fournisseurs de messagerie sécurisés moins chers sur le marché, vous n'obtenez pas d'extras sympas tels qu'un calendrier, un stockage (lecteur), une discussion en ligne, des feuilles de calcul, etc. Cependant, vous obtenez une section de contacts très importante qui se trouve dans le hamburger dans le coin supérieur droit de l'interface Web. Et, contrairement à certains fournisseurs de messagerie, il est extrêmement facile de voir comment vous importez vos contacts depuis votre ancien compte de messagerie via le format CSV (la vCard n'est pas disponible).

Importer des contacts Hushmail

En raison de son manque de fonctionnalités, on peut dire qu'il n'y a pas beaucoup de courbe d'apprentissage avec ce fournisseur de messagerie. À moins, bien sûr, que vous ne soyez pas familier avec la gestion des clés PGP; puis vous devrez soit effectuer vos propres recherches, soit utiliser le centre d'aide (FAQ) de Hushmail..

Pour envoyer un e-mail à un utilisateur non Hushmail via PGP, le destinataire devra télécharger sa clé publique sur les serveurs Hushmail. Il y a un guide pour y parvenir dans la FAQ.

IMAP et PoP sont disponibles pour se synchroniser sur tous les appareils, et ils sont disponibles pour iOS et Android. Des guides sont également fournis pour utiliser ces fonctionnalités utiles.

Pour ceux qui le souhaitent, IMAP peut être utilisé pour configurer Hushmail pour fonctionner avec un client autonome tel que Outlook, MacMail ou Mozilla Thunderbird. Et cela améliorera la sécurité de la plate-forme par rapport à l'utilisation du système de messagerie Web basé sur un navigateur (et ses vulnérabilités JavaScript inhérentes).

Nous aimons également que les utilisateurs gratuits bénéficient automatiquement d'un essai gratuit de 14 jours de prime, ce que j'ai utilisé pour tester le fournisseur de messagerie dans cet avis.

Le plus gros inconvénient du service gratuit est peut-être que les comptes qui restent inactifs pendant plus de trois semaines sont automatiquement supprimés. Cela risque d'être frustrant si vous partez en voyage pendant une longue période et revenez pour constater que votre compte est fermé et que vous avez perdu / manqué certains e-mails importants que vous attendiez.

Bien sûr, la réponse simple à ce problème est d'obtenir un abonnement. Cependant, compte tenu des problèmes de confidentialité que nous avons rencontrés avec ce service (et du prix relativement élevé), nous recommandons généralement d'acheter un abonnement ailleurs.

Service client

En plus de son utile centre d'aide FAQ - qui comprend divers guides et articles - les utilisateurs gratuits et Premium peuvent demander de l'aide par e-mail.

Aucun système de ticket n'existe, vous devrez donc être patient et attendre une réponse. Le support client n'est disponible que pendant les heures d'ouverture de US Pacific. En plus de l'assistance par e-mail, les utilisateurs peuvent obtenir une assistance téléphonique (uniquement disponible pour les abonnés Premium).

Dans l'ensemble, le support sur la plate-forme est adéquat, et nous n'avons jamais été en attente d'une réponse pendant plus d'une journée. Cependant, compte tenu du prix élevé (par rapport à d'autres services), il est dommage que Hushmail ne dispose pas d'une fonction de chat en direct sur son site Web..

Conclusion

Dans l'ensemble, nous avons trouvé le logiciel Web de ce fournisseur de messagerie facile à utiliser et à synchroniser sur tous les appareils. Et, bien qu'il puisse être considéré comme une bonne option pour les débutants (en termes de facilité d'utilisation), il peut être considéré comme coûteux par rapport à d'autres fournisseurs de messagerie plus réputés. Son manque de fonctionnalités peut également décourager de nombreux consommateurs, compte tenu de ce qui est disponible avec Mailfence, Posteo et de nombreux autres fournisseurs..

Un cas précédent dans lequel Hushmail a fourni des copies en clair des e-mails aux autorités est extrêmement préoccupant et peut signifier que les applications de sources fermées de Hushmail sont détournées. Le manque de fonctionnalités peut également décourager certaines personnes.

Pour conclure, nous vous recommandons de chercher ailleurs. Le port d'attache de ce fournisseur de messagerie au Canada et sa société mère aux États-Unis laissent trop de points d'interrogation concernant la confidentialité et la sécurité.

Enfin, parce qu'il est possible d'obtenir un meilleur compte de messagerie pour moins de la moitié du prix - nous vous recommandons de magasiner pour un service alternatif.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me