Messageries alternatives – 2

Suite de l’article Messageries alternatives – 1

La première partie de l’article se concentre sur les webmails – messageries que l’on utilise avec son navigateur Firefox, Chrome, Internet Explorer…, mais comme je l’annonçais, je préfère utiliser les clients de messagerie, tout en ayant quand même besoin de webmail quand j’utilise d’autres ordinateurs que le mien.
En effet, pour utiliser un client de messagerie, il faut l’installer et le paramétrer sur un ordinateur, ce que l’on ne fait en général que sur le sien ! -)

Quels sont les avantages des clients de messagerie ?

Ils ont beaucoup perdu de terrain par rapport aux grands webmails en matière d’avantages : classiquement ils permettaient un stockage local des messages, ils étaient exempts de pub, ils se montraient plus rapides. Ces avantages ont disparu. Et ils se montrent moins souples et évolutifs, et passent par une installation et un paramétrage que certains trouvent fastidieux.

Pourtant, ils restent les maîtres en matière de comptes multiples, d’accès regroupé à toutes ses BAL, de possibilité de stockage local (en POP) ou /et de stockage à distance (en IMAP), ce qui offre l’avantage d’une double conservation des messages et de leur disponibilité à la fois en ligne et hors ligne. Les options de synchronisation se multiplient. Ils gardent l’avantage de la rapidité de gestion des messages : tri et classement des mails, de filtrages sur divers critères. Et l’éditeur de texte reste en général plus sophistiqué. Les meilleurs clients de messagerie offrent en outre une messagerie instantanée (chat) sécurisée, et se doublent de « gestionnaires d’informations personnelles » (PIM), groupware et d’agrégateur de news (usenet).

En matière de lutte contre les pourriels (SPAM) et autres cochonneries (phishing, scam, adwares et spywares, virus, redirections malveillantes (« relais »…), les grands webmails permettent une protection réelle mais indifférenciée. Alors que les clients de messagerie offrent une gestion poussée sous le contrôle de l’utilisateur.

Est-ce encore vrai ? Et est-ce suffisant par rapport à la facilité d’utilisation des webmails ? Oui pour moi, et pour tous ceux qui ont besoin ou qui veulent aller plus loin en matière de sécurité et de confidentialité, mais il est vrai que cela exige plus d’effort. Cependant je crois que certains clients de messagerie permettent une protection supérieure à celle des webmails en général, et même des bons webmails alternatifs sécurisés dont j’ai parlé en première partie.
On trouve des clients de messagerie qui offrent une sécurité renforcée, des possibilités de chiffrement et d’authentification supérieures. On peut chiffrer à la fois les connexions (que le protocole soit POP, IMAP, SMTP), voire de passer par proxy ou VPN, ou se combiner avec TOR ; et chiffrer le contenu des messages avec les meilleurs algorithmes pour éviter qu’il ne puisse être lu sur les serveurs de transit et ceux du prestataire. Tout est contrôlé par soi en local, et c’est irremplaçable : Je partage volontiers le point de vue développé par Mailpile, que vous trouverez dans ma liste des clients mails alternatifs ci-dessous, mais qui ne vaut pas que pour lui (désolé c’est en anglais) :

How does Mailpile compare with something like Hushmail? Protonmail? Whiteout?
Usually, these solutions store your e-mail data on their servers.
Usually, they also provide a web interface to read and write mail, possibly using Javascript-based cryptography to support claims that they cannot read your mail since all the encryption and decryption takes place in your browser, on your computer.
This may be better than nothing, but it can also provide a false sense of security: if the same entity is responsible for storing the e-mail and providing you with encryption software, then all they need to do to read your mail is modify the code so it goes behind your back and sends them a copy of the keys. This is not a theretical problem, it has already happened and if your adversary is a government you would do well to steer clear of these solutions.
Mailpile is just software. The authors of Mailpile will never have a copy of your e-mail (or encryption keys), unless you mail them to us! Furthermore, we are committed to distributing Mailpile in ways that make it hard or impossible for us target individual users for “Trojan horses”.

Comment choisir son client de messagerie ?

Il existe bon nombre de logiciels de messagerie, comme on appelle aussi les clients de messagerie ou clients email ou clients mail, voire client de courrier électronique ou client lourd. Beaucoup cependant ont été remplacés, ont disparu ou/et n’ont pas été maintenus, et ne fonctionnent plus sur les systèmes récents. C’est ce que l’on peut constater dans la liste de l’article de Wikipédia.
Par ailleurs, si la plupart des clients de messagerie est gratuite, tous n’offrent pas de moyens pour assurer la confidentialité des échanges ni la sécurité des utilisateurs. Or les risques sont importants dans ces deux domaines.

La gratuité des messageries propriétaires présente une lourde contrepartie : l’exploitation des informations personnelles pour un usage mercantile. Comme on l’a déjà dit pour les webmails, on paye en nature en servant de chair à pub. Mais l’espionnage ne s’arrête pas à l’exploitation commerciale, et nous sommes surveillés en permanence dans nos activités en ligne par les services policiers et secrets nationaux et étrangers. Par ailleurs, nous intéressons aussi énormément les pirates et autres cybercriminels : spam, adwares, virus, arnaques, rançons, botnets, vol de données…

C’est pourquoi il est vraiment recommandé d’utiliser une messagerie alternative, qui peut au moins nous éviter la pub directe ainsi que le pistage et le profilage publicitaires. Quelques-unes proposent des options qui permettent de renforcer la confidentialité et la sécurité, même si aucune n’est en mesure de garantir une sécurité totale : Pour y parvenir, il faut prendre des précautions extrêmes, ce que des sites comme Security-in-a-box préconisent pour les journalistes d’investigation, les opposants politiques et contestataires de pays autoritaires, les lanceurs d’alerte de TOUS les pays, les défenseurs des droits humains, etc. Ces moyens sont contraignants, mais les gens qui les utilisent trouvent en général que c’est un moindre mal ! -D

On ne présente donc ici que des logiciels de messagerie qui n’affichent pas de pub, qui n’espionnent pas leurs utilisateurs et qui disposent d’options de renforcement de la confidentialité et de la sécurité que l’on peut paramétrer en fonction de ses besoins.

En l’occurrence, les points suivants semblent requis :

  • solution de lutte anti-spam, et de détection d’indésirables
  • blocage/suppression des cookies et autres moyens de tracking
  • dispositif d’alerte concernant les courriers frauduleux, le fishing, les sources douteuses, le relayage, etc.
  • blocage/filtrage des contenus externes (feuilles de style, images, pixels espions, macros et scripts malveillants, fichiers exécutables…)
  • réglage des informations personnelles que l’on fournit avec nos messages (plateforme et applications utilisées, géo-localisation, adresse, autres méta-données) et de limitation de leur collecte
  • coordination avec son antivirus et autres logiciels de sécurité, et gestion sécurisée des pièces jointes
  • gestion et protection des mots de passe
  • paramétrage des connexions acceptant une sécurisation de type SSL-TLS (v1.1 ou 1.2)
  • moyens d’authentification de signature
  • outils de chiffrement asymétrique (de type RSA, le plus souvent PGP/GPG).
  • configuration des certificats (et contrôle de la validité de ceux-ci)
  • suppression des traces et des brouillons (ou leur chiffrement)

De mon point de vue, seules les messageries Open Source et/ou Libres (GNU-GPL) peuvent remplir ces conditions, même s’il faut éviter pour autant de se croire complètement à l’abri.

Liste (alphabétique) de clients e-mail

Claws-mail

V. 3.1.2 en juillet 2015, pour Linux et Windows (pour d’autres plate-formes UNIX aussi, mais je n’ai pas essayé : BSD, Solaris… et Mac OS-X).

L’ordre alphabétique fait bien les choses, en commençant par ce client de courrier libre (GNU-GPL), gratuit, léger et rapide, qui peut convenir à des PC peu puissants.
Certes, il y a plus beau et plus convivial, mais plus puissant et configurable je ne crois pas.

Fonctionnalités : comptes multiples, importation de la plupart des autres clients de messagerie, fonctions de recherche et de filtrage développées, système de modules dont PIM, calendrier partagé (LDAP), listes de diffusion, groupes de discussion NNTP/newsgroups, flux RSS, barre d’outils personnalisables, extensibilité (plugins), etc. (voir le site de l’éditeur, en anglais malheureusement ).
C’est un logiciel très complet, qui possède aussi des fonctions de confidentialité et de sécurité poussées, tant pour le contenu des messages que pour leur transport : OpenSSL, divers formats d’authentification, signatures numériques et chiffrement asymétrique avec GnuPG, GPGME, GpgSM (intégrés par défaut). C’est l’importance accordée à la sécurité qui explique d’ailleurs que l’on dispose seulement d’un éditeur texte et non HTML. Tails l’utilise pour le courrier.

Très configurable, pour les utilisateurs expérimentés (clawsker…). Modules anti-spam (spamassassin, bogofilter, BSFilter), d’effacement des PJ suspectes, des courriers “illégitimes”, lien avec l’anti-virus, gestion du contenu distant, BAL virtuelle…

Il existe une documentation étoffée, y compris en français.

Evolution

V. 3.16.2.1 en mai 2015, pour Linux (il existe théoriquement des versions pour Windows et Mac OS, mais les avis sont peu encourageants).

Développé par Novell, c’était le client mail par défaut d’Ubuntu jusqu’à la v. 11 avec l’environnement Gnome. On trouve un tutoriel en français sur le site Gnome.org, qui continue à le développer.

C’est à la fois un client mail, avec toutes les fonctionnalités habituelles des grands clients de messagerie, une interface graphique évoluée et le courrier en mode texte ou HTML, et un client groupware : fonctions PIM, synchronisation des contacts et des activités collectives, et synchronisation avec Palm et smartphones. Fonctionnement avec les serveurs Microsoft Exchange et Novell GroupWise ; l’agenda se connecte directement à celui de Google. Sert aussi aux groupes de discussion Usenet.

Question sécurité, l’information est chiche, mais il existe des fonctions anti-spam ((SpamAssassin ou Bogofilter) et de Signature et chiffrement avec GPG et S/MIME.

Fetchmail

V. 6.3.26 en avril 2013, pour Linux et autres UNIX.

Fetchmail n’est pas très répandu, et je ne le connais pas personnellement. Voici ce qu’on en dit sur Wikipédia et sur le site de l’auteur.

Client mail Libre ou plutôt Open Source (son auteur Eric Raymond a popularisé ce concept par opposition au Libre). En mode de maintenance permanent, il a été critiqué pour ses trous de sécurité. Il possède pourtant de dispositifs de chiffrement et de sécurisation conséquents, et la possibilité de transmission en tunnel SSH. Tout est en anglais, mais on trouve un tuto en français sur le site de freebsd : https://www.freebsd.org/doc/fr_FR.ISO8859-1/books/handbook/mail-fetchmail.html. Et surtout sur le site de l’April : http://www.april.org/groupes/labo/fetchmail/ qui indique qu’on peut l’utiliser sur Debian. Mais c’est un article qui commence à dater.

Geary

en v. 0.11. Pour Linux

Développé par l’équipe de Shotwell (Linux), pour l’environnement Gnome, en GNU-LGPL. C’est le mailer d’Elementary OS. Lancé fin 2013, il reste un programme jeune, qui souffre encore de quelques défauts. Il se veut léger et minimaliste : le logiciel consomme beaucoup moins de ressources système que Thunderbird et les autres ténors du mailing.

Léger, mais avec une interface graphique agréable et ergonomique, le HTLM est accepté, et les PJ visibles sous forme d’aperçus, ainsi que les images, et l’on peut décider de les télécharger ou non. L’avatar de l’expéditeur apparaît, on a un affichage par conversation, vérification des nouveaux messages, utilisation des “labels” (comme Gmail), etc.

Une campagne de financement participatif a été menée en 2013 pour son développement, qui a permis d’améliorer le programme, avec une ambition qui me parle : ” Pour moi, Geary a vocation à faire revenir les e-mails sur le bureau. Il me semble que beaucoup de gens se sont mis à utiliser les e-mails principalement via leur navigateur web, et disent des choses comme « Ouah, c’est si rapide et si facile » ; pour moi, c’est sur le bureau que les choses devraient être rapides et faciles. Et nous devrions arriver à faire un client mail pour le bureau qui soit plus rapide et plus facile que tout ce que vous pourriez trouver sur le web.” (Adam Dingle, cité par Linuxfr.org).

C’est un peu l’antithèse de Claws Mail : accent sur l’esthétique et la simplicité, par opposition à la puissance et à la configurabilité. Mais le développement n’est pas centré sur la sécurité et la confidentialité, quoiqu’il autorise par exemple le chiffrement SSL/TLS.

Kmail et Kontact/KDE-PIM

V; 4.13, pour l’environnement KDE des distributions Linux (v. 15.08.1 en sept. 2015), BSD et autres UNIX.

Kmail, le client de messagerie de l’environnement KDE, est identique à la partie courriel d’Evolution (pour Gnome).Intégré dans Kontact, pour la partie PIM (gestionnaire d’informations personnelles), il devient l’équivalent KDE d’Evolution, avec un agenda (KOrganizer), un carnet d’adresses (KadressBook) et un agrégateur de news (aKregator). On peut le lancer en mode graphique ou en console, et les messages peuvent être en Texte ou HTML. Kontact évolue vers KDE-PIM en version 5.0, qui intègre d’autres applications (KNotes, KAlarm, BlogIlo, etc.)

On peut avoir plusieurs comptes et identités, avec d’éventuels mots de passe. Et on peut importer des messages depuis la plupart des autres clients de messagerie. On peut aussi trier ses courriers (filtres), disposer de listes de diffusion, etc.

Kmail utilise l’anti-spam SpamAssasin ou Bogofilter, que l’on peut paramétrer, avec jauge de probabilité de spam. On peut le configurer en POP3S (POP3 over SSL) ou en IMAPS (IMAP over SSL) pour sécuriser la communication avec le serveur, et on a des options SSL/TLS pour le SMTP. On peut chiffrer les messages et les signer en GPG et S/MIME, avec support d’authentification.

Lea-Linux propose un tuto en français.

Libremail

V; 2.5 (juin 2015), pour Linux et autres UNIX.

Proposé sur Tuxfamily.org par Bernard C., en français mais pas que. En double sur Free.

Framasoft offre un bon résumé. Wikipédia aussi.

GNU/Linux et Unix, mais pas Windows, par principe contre « Micro$oft ». Fonctionne uniquement en mode texte (vs HTML), ce qui offre l’avantage de filtrer la pub et de refouler le spam. On peut supprimer les messages d’adresses d’expéditeurs « indésirables », et on dispose d’autres moyens de filtrage. On peut aussi faire des téléchargements partiels de mails, et examiner à part les pièces jointes. C’est un programme extrêmement rapide puisque non fenêtré. Évidemment, c’est un programme réservé aux linuxiens expérimentés et qui savent coder.

Je n’ai trouvé aucune indication concernant les questions de sécurité et leur gestion.Mais je suppose qu’il est suffisamment configurable pour ajouter ce qu’il faut, si l’on sait mettre les mains dans le cambouis. Il faudra que je l’essaie quand même !

Mailpile

v.0.3, pour Windows, Mac OS-X, Linux.

Client e-mail islandais qui a 2 inconvénients : c’est en anglais, et c’est hébergé aux USA. Sinon, on a les bonnes conditions requises ici : ni ads, ni spying, protection de la vie privée, Libre et Open Source (AGPLv3), et c’est actif avec une communauté vivante. Options de recherche internet et webmail.
Présenté comme “facile à chiffrer” (signature et chiffrement openPGP), et proposé pour combattre la surveillance gouvernementale et l’espionnage commercial (il n’y a pas de base de données utilisateurs, et aucun tracking). Données de configuration, contacts et recherche sont chiffrés (open SSL AES), méthodes d’authentification, et accès aux domaines .onion avec Tor (SMTorP : Simple Mail Tor Protocol = SMTP over TOR), pour le courrier et les recherches. Selon eux, outre la recherche et la gestion des mails, quelle que soit leur quantité, mailpile est rapide même sur les vieux ordis, et peut fonctionner “hors ligne”. On peut l’installer sur ses propres supports : PC, raspberry PI, serveur perso ou non, ou simple clé USB.

Très prometteur, car on est encore en version Beta.

Mutt

V. 1.5.24 en août 2015, pour Linux et autres UNIX.

Client de messagerie depuis 1995, dernière version stable en 2007, avec des versions de développement en 1.5.xx depuis 2009. Libre (GNU-GPL), il fonctionne en mode console sur les systèmes UNIX, dont Linux et BSD, mais aussi OS-X et même Windows pré-XP (avec la version 1.4 de 2008). Possibilités de configuration très étendues. Il ne comporte pas lui-même d’éditeur de texte, mais dispose d’une interface de gestion via Sendmail pour recevoir et envoyer les courriers (POP, IMAP, SMTP). Il supporte PGP-S/MIME pour la sécurisation des messages.

Pour plus d’informations : Wikipédia, le site officiel, ou le site de présentation « pour les newbies ».
Hélas, tout est en anglais, sauf la docu Ubuntu.

Thunderbird, IceDove, SeaMonkey

V. 38.2 en septembre 2015, pour Windows, Mac OS-X, Linux et autres UNIX (où il peut être remplacé par des variantes comme IceDove pour Debian, ou être utilisé comme composant de la suite intégrée Seamonkey). Versions ESR pour les grandes organisations, à mises à jour annuelles.

J’ai hésité à le présenter, parce qu’il fait partie des ténors des logiciels de messagerie, mais il est incontournable par rapport aux buts de cet article. C’est évidemment le logiciel de messagerie de référence, Open Source et Libre.
C’est d’ailleurs un champion, sous l’égide de Mozilla, des valeurs du Libre : Respect de la vie privée et lutte contre l’exploitation commerciale et la surveillance de masse (par ex. la dernière campagne StopWatching.Us). Cet idéal se traduit plutôt mieux sur les produits de Mozilla que sur la plupart des autres, et en ce qui concerne Thunderbird, c’est un logiciel de messagerie réputé notamment sur ces aspects de protection des utilisateurs en ligne et des renseignements personnels. C’est aussi un lecteur Usenet et de flux RSS.

Vraiment très complet et avec plein de possibilités de configuration, il existe de multiples présentations et tutos, et pour éviter des longueurs, je renvoie à la liste de Gratilog qui fait une bonne énumération de la v. 38.2 actuelle.
J’ajouterai simplement quelques points concernant les nouveautés et les aspects confidentialité et sécurité :

Le programme de PIM Sunbird a été remplacé par l’extension Lightning (et intégré depuis la v.38), et permet la synchronisation avec Google Agenda et autres agendas (Evolution, Palm et smartphones). Les possibilités de synchronisation s’étendent à chaque nouvelle version.

Sécurité et confidentialité : très poussées, blocage par défaut des images distantes, protection contre le hameçonnage, alerte en cas de redirection dans les liens, anti-spam intelligent (filtre dit bayesien d’apprentissage) et utilisation de SpamAssassin ou SpamPal, plusieurs logiciels anti-virus proposent un anti-spam et un contrôle antiviral dédié à Thunderbird. L’addon Signal Spam permet de transmettre ses spams directement au site qui les traite. Le chiffrement des messages passe par le module Enigmail.

Tous les sites qui s’occupent de la confidentialité et de la sécurité font référence à Thunderbird et expliquent comment procéder pour le paramétrer finement. Security-in-a-box, Wefightcensorship, la Free Software Foundation, l’Electronic Frontier Fondation, et le site Contrôle -tes-données… Tous évidemment proposent la solution de chiffrement GPG, mais j’estime que sauf si l’on se trouve en danger, c’est plutôt un acte citoyen qui sert à protéger ceux qui en ont vraiment besoin… Car si je l’ai installé, je ne m’en sers pratiquement pas, faute d’interlocuteurs. L’authentification OAUTH se met en place (comptes IMAP Gmail). Pour l’instant Thunderbird ne propose pas de chiffrement de bout en bout (end2end), mais ça devrait venir.

Outre le tuto de Mozilla pour paramétrer les options de sécurité, on peut trouver de nombreux sites d’aide à l’installation et à la configuration, pour chaque plateforme et chaque distribution Linux, et des forums très vivants. Je ne citerai donc que le pdf de Flossmanuals, qui date de 2012 mais est vraiment complet.

Zimbra Collaboration

V. 8.6.0 en déc. 2014, pour Windows, MacOS X, Linux en ce qui concerne le logiciel de messagerie (le client mail fonctionne avec tous les navigateurs et sur toutes les plateformes).

Là aussi, j’ai hésité à en parler, car Zimbra contient certes un client de messagerie, mais c’est essentiellement une plateforme contenant une suite logicielle complète, comparable à Microsoft Exchange. De ce point de vue, il concerne surtout les très grosses organisations, destiné aux milieux professionnels, notamment comme solution de collaboration, même s’il n’est pas impossible de se l’installer en auto-hébergement ou dans un cloud. En outre, il n’est que partiellement libre/open source, en prenant alors l’appellation Zimbra Collaboration (ZCS).
Pour le particulier, il offre par ailleurs surtout un webmail, mais Zimbra Desktop (v. 7.2.7 en juillet 2015) est un client de messagerie libre (GNU-GPL).

Personnellement, je l’ai testé parce mon FAI est Free, et qu’il propose Zimbra comme messagerie, que ce soit directement en webmail ou à travers un client email comme Thunderbird.
La sécurité est évidemment un élément essentiel, au niveau serveur, et protège efficacement les utilisateurs, mais pour une installation en tant que logiciel domestique il me semble personnellement qu’il vaut mieux utiliser un autre client de messagerie, qui peut importer/exporter ses messages transitant par Zimbra. Car pour le particulier, c’est quand même une grosse usine à gaz.