messageries emails et webmails : que choisir ?

mise à jour de ce billet sur le Blog Libre : https://www.blog-libre.org/2016/12/16/messagerie-email-ethique-ou-comment-eviter-de-se-faire-braquer-sa-vie-privee/


Un sujet qui m’intéresse particulièrement sur le net est celui de la messagerie email. L’email est l’outil de base pour communiquer entre amis, membres de la famille et les professionnels. On m’a relancé récemment pour refaire un billet sur le sujet.

au commencement était l’email

La messagerie web est un outil basique, utilisé par tous pour échanger ou communiquer des lettres, des images ou des fichiers. On peut constater que ce service a peu évolué depuis sa  démocratisation ces 20 dernières années : il s’agit toujours d’envoyer  des messages d’un point A vers un point B, via un serveur. Ce serveur étant  mis à disposition par un tiers (une entreprise, une association…) ou mis en place par vous même. Je vais me concentrer sur la première situation : la seconde, l’auto-hébergement, n’étant pas à la portée immédiate du grand public.

Cet outil email est souvent proposé gratuitement aux internautes, quelques fois sous formes payantes.

Certaines messageries sont proposées par des sociétés étrangères (USA, Russie…), européennes (Allemagne, Suède, Islande) ou tout simplement Françaises et sont donc sous l’influence des lois locales. Par exemple, aux USA, la NSA consulte ce qui est stocké sur les serveurs informatiques de son pays sans autorisation de qui que ce soit. Certaines sociétés ont été victimes de cette politique d’espionnage comme Lavabit, ceux qui ont collaboré vont très bien, merci pour elles : Google, Microsoft, Apple, Yahoo pour la partie messagerie électronique.
Le projet de Loi sur le Renseignement en France, s’il est voté par l’Assemblée Nationale, pourra faire de même : consulter vos données stockées chez une entreprise implantée en France sans la consultation d’un juge d’instruction, c’est ça qui fait mal.

Parmis ces fournisseurs de messageries emails, certains lisent ouvertement vos conversations pour analyser votre profil et gagner de l’argent avec la publicité générée, d’autres entreprises ou associations s’engagent à ne pas lire votre correspondance du tout.

Il faut donc faire le tri.

  • service gratuit / service payant
  • loi locale problématique / loi locale respectueuse des instances judiciaires
  • service violant la vie privée de l’utilisateur / service respectueux de l’utilisateur

Il faut viser le meilleur : un service qui respecte l’utilisateur, installé dans un pays respectueux des instances judiciaires.

le pire : services non respecteux de la vie privée et/ou soumettant de la publicité, dans un pays aux lois problématiques

– Gmail (USA)
– Hushmail (USA)
– Mail.com (USA)
– Yahoo (USA)

service respectueux de l’utilisateur, dans un pays aux lois problématiques

– Outlook (USA)
– Pobox (USA)
– Mail.be : leur service est intégralement hébergé au Royaume-Uni
– Zoho (USA)
– GoDaddy (USA)
– Riseup (USA) :  j’ai quelques scrupules à l’enlever parce qu’il s’agit d’un collectif qui défend la liberté d’expression, promeut une société libre  et qui veut lutter contre le capitalisme. J’imagine la difficulté pour eux d’exister au milieu de la NSA… Il faut souligner le risque.
– Openmailbox (France, dons)
– Web4all (France, payant)
– Gandi (France, via l’achat d’un nom de domaine)
– OVH (France, via l’achat d’un nom de domaine)
Net-C (France, gratuit)
La Poste (France, gratuit)
– Zaclys.com (France, dons à partir de 4,80 Euros par an)
– Fastmail (Australie, payant, serveurs basés à New York)

services soumettant de la publicité (loi locale ?)

– Yandex Mail (Russie, gratuit)

service respectueux de la vie privée, sans publicité, loi locale acceptable (pour le moment ?)

– Autistici (Italie, gratuit)
Mail.be (Belgique, gratuit)
– Vivaldi (Suède, Norvège, gratuit)
– Kolab Now (Suisse, payant)
– Tutanota (Allemagne, gratuit et chiffré/crypté)
– ProtonMail (Suisse, gratuit et chiffré/crypté)
– Unseen (Islande, gratuit)
– StartMail (Pays-Bas, gratuit)
– Posteo (Allemand, payant)
– MailFence (Belge, gratuit)

conclusion

La conclusion fait mal : je ne conseillais pas les messageries américaines par le passé et je déconseille dorénavant les fournisseurs français. Il reste tout de même 9 services dont 7 gratuits qui respectent l’utilisateur et dont les lois locales sont respectueuses des instances judiciaires. A vous de faire votre choix !
Edit 17 avril 2015 : mail.be est hebergé en Belgique, je  l’ajoute à la dernìère rubrique.

l’apparition des messageries chiffrées

Toujours intéressé par les messageries e-mails destinées au grand public, surtout celles qui respectent la vie privée de leurs utilisateurs, je constate l’apparition de services proposant maintenant le chiffrement des données de bout-en-bout. Vous et votre correspondant serez les seules et uniques personnes à pouvoir lire le contenu d’un message e-mail. Incroyable non ?

L’affaire Snowden a réveillé les consciences et certains voient une opportunité lancer leurs produits.

En vrac, voilà pas moins de 6 projets récents qui proposent une solution de messagerie chiffrée :

  • Caliopen de Laurent Chemla, fondateur de Gandi.net
  • Protonmail crée par plusieurs jeunes chercheurs du CERN en Suisse
  • Dark Mail née de l’association de Silent Circle et de feu Lavabit
  • StartMail de Surfboard Holding B.V, une société hollandaise, connue pour Ixquick et Startpage.

Le chiffrement des emails, est-ce que ça marche ?

Posons nous la question de l’efficacité. Jusqu’à présent, il semblerait que le chiffrement des données fonctionne. Je prend l’exemple de la société Lavabit qu’Edward Snowden utilisait pour communiquer avec l’extérieur : quand le FBI a compris quelle messagerie il utilisait, ils ont rencontré Ladar Levison et lui ont demandé les clés de son service pour connaître le contenu des emails de Snowden. On connait le triste sort de Lavabit : son créateur a préféré fermer son service et à jeter les clés à la mer. Depuis, il est en procès avec les autorités américaines. Il semblerait donc que le chiffrement fonctionne puisque le FBI dit ne pas avoir eu accès au contenu des emails.

Peut-on faire confiance à une société tierce pour gérer une messagerie chiffrée ?

Voilà la principale difficulté : faire confiance à un tiers pour fournir un service de messagerie confidentielle. Je n’ai pas vocation à dire qui est bon, qui ne l’est pas. Le temps nous dira qui est digne de confiance. La réputation des acteurs concernés entre également en ligne de compte. Je parlerais donc de ressenti, plus que de preuves concrètes et infaillibles.

Je retiendrais de façon subjective les projets Caliopen, Dark Mail.

Le premier est soutenu par Laurent Chemla dont la réputation n’est plus faire : fondateur de Gandi.net, acteur majeur de l’internet, il a rejoint la Quadrature du Net dans un poste important.

Le second projet est née de l’association des créateurs de Silent Circle et de Lavabit (Ladar Levison, oui encore lui). Ces personnes ont une grosse expérience dans les problèmes liés au chiffrement des données email, leur passé respectif le prouve. Ladar Levison est encore empêtré dedans et continue sur cette voie.

Que dire des autres projets ? Et bien, pas grand chose, ni en bien, ni en mal. Je vois beaucoup de bonne volonté, beaucoup de bonnes idées mais je ne saurai pas en dire beaucoup plus.

Conclusion

Le monde d’internet va vite mais la confiance, cela prend du temps.

Nous sommes a un carrefour entre un internet minitel 2.0 sous contrôle, comme la loi Cazeneuve (pour censurer sans juge, ni magistrat un site ou un forum) et un internet neutre, résistant et innovant.

_ Damien