N.B. On n’aborde pas les messageries instantanées dans cet article, ni les apps de messagerie pour smartphone. Ni les messageries anonymes (mails jetables).

La messagerie est une activité à risques

Pour en savoir plus sur les deux solutions et leur intérêt, voir par ex. le site d’Arobase.

La messagerie, sous ses deux formes, constitue le deuxième service le plus utilisé après la consultation de sites internet. Pour beaucoup d’utilisateurs grands débutants qui viennent à l’EPN où j’interviens, la messagerie est d’ailleurs la motivation initiale pour “apprendre l’informatique”.

En général, on les aide à installer un webmail lié à leur FAI. Ne serait-ce que parce qu’ils ne sont pas venus avec leur portable, et que ce serait difficile à ce stade de leur expliquer comment installer un client de messagerie chez eux.
Ce premier pas dans “l’informatique” n’est cependant pas anodin, et on les lance sur internet alors qu’ils n’ont encore aucune notion de sécurité (informatique).Il paraît que plus de 3 millions de mails sont envoyés chaque seconde dans le monde (Economie Matin), ce qui évidemment attire irrésistiblement les chacals et les hiènes ! L’article ci-dessus de Kévin Baranski est fort instructif, et explique bien les dangers auxquels on est confronté à travers la messagerie électronique. Il propose aussi des pistes de protection, qu’on ne développe pas directement dans cet article-ci (voir Eviter la pub sur le web).

Les messageries alternatives dont on va parler offrent un niveau de confidentialité et de sécurité variable, parfois élevé mais jamais total, car cela n’existe pas sur internet… ni dans la « vraie vie » d’ailleurs ! Il faut raisonner comme pour la sécurisation de sa maison ou de ses biens : comment limiter les risques, et jusqu’à quel point est-on prêt à en assumer la contrainte, car il faut bien admettre que certaines solutions sont très exigeantes. A ce sujet, l’EFF propose une analyse de ses besoins en fonction du « modèle de menace » auquel on veut faire face : si l’on est journaliste en mission dans un pays totalitaire, on n’a pas les mêmes besoins que si on est comme moi un simple citoyen sourcilleux sur la confidentialité de ses échanges, etc.

Enfin, les messageries alternatives sont payantes ou passent par des dons, ne serait-ce que pour assumer les charges d’infrastructure. On laisse donc des traces de paiement, d’adhésion pour les messageries associatives, son IP est identifiable, etc. Les solutions proposées ici visent la sécurité et la tranquillité, mais pas l’anonymat (voir mon nouvel article “Messageries confidentielles“).

1^ère partie : Les Webmails (messageries web)

Les webmails sont des services en ligne (SAAS).

On consulte alors sa messagerie depuis son navigateur.
C’est pratique parce que l’on peut consulter ses messages et en envoyer où que l’on soit, à condition bien sûr de se souvenir de ses codes d’accès (à l’EPN où j’interviens, un usager sur 3 ou 4 ne peut pas accéder à sa messagerie pour ça, parce que chez lui c’est automatique !). Les bons webmails ont également des fonctionnalités étendues, équivalentes aux bons clients mail, pour couvrir tous les besoins des utilisateurs. Ils offrent aussi une bonne protection antivirale, et protègent souvent du spam et d’une partie de « contenus indésirables ».

Ces avantages réels expliquent leur succès.

Les géants du webmail sont tous américains : Apple mail, AOL mail, Gmail, Windows Live/hotmail/outlook.com, Yahoo mail. Sans compter évidemment les messageries des principaux réseaux sociaux, américains aussi.

Tous les opérateurs télécom (FAI et opérateurs mobile) offrent aussi un webmail : pour se limiter aux principaux français cette fois : BBox mail, Free mail, Numéricable, Orange Mail, SFR Mail, etc.

Tous ces services de messagerie sont gratuits.

Ceux des opérateurs ne le sont en fait qu’à moitié, puisque c’est compris dans l’abonnement ; mais on peut ouvrir plusieurs comptes, et comme dit wikipedia avec humour, ils offrent 2 avantages : “moins de virus, plus de publicité”.
Pour les géants du Webmail, c’est gratuit aussi, puisque “c’est vous le produit”.

Ce n’est pas un scoop, la gratuité est un paiement en nature. Voici pour Yahoo! il y a 4 ans ça étonnait encore. On l’a su un peu plus tard pour Gmail, puis pour TOUS les autres.

Si l’on ne veut pas être pisté en permanence pour savoir en détails ce que l’on fait et ce que l’on aime, il faut donc éviter ces solutions commerciales. Mais il n’y a pas que pour la pub qu’on nous espionne : Tous les webmails américains sont soumis au Patriot Act et sont en cheville avec les services de renseignement, et tous nos messages leur sont accessibles. Ça peut être utile, ça peut même devenir crucial, mais c’est quand même un déni de démocratie et un manque total de respect envers ses clients, comme dernièrement dans le cas de AT&T, le premier opérateur américain.

Moralité : Si vous voulez un webmail qui préserve votre confidentialité, votre identité, votre tranquillité, prenez-en un payant : Les gratuits sont trop chers !

Précautions à prendre

Prendre le Webmail de son opérateur-FAI présente un avantage, il n’est pas américain – ni russe ou chinois (mais il est presqu’autant impliqué dans la surveillance massive). Cependant, comme l’explique Korben, ce n’est pas une bonne solution.

Ne prendre un prestataire que s’il offre une connexion https, ce qui est le cas de Gmail (https://mail.google.com), de Yahoo!, de Riseup, de Hotmail… et des webmails de la liste que je présente plus bas. Ce qui permet de chiffrer les communications pendant leur transport. Mais si cela complique l’interception des messages, notamment par les cybercriminels, cela n’empêche évidemment pas leur accès par votre prestataire – et donc les agences de renseignement.

Si l’on veut échapper à la surveillance, s’orienter vers les services qui proposent de chiffrer les messages, ou employer un dispositif personnel de chiffrement et de signature de vos messages.
– la première solution vaut pour Gmail avec l’outil End-to-End sous forme d’extension OpenPGP dans Chrome, et Yahoo (http://www.itespresso.fr/securite-it-yahoo-evolue-chiffrement-authentification-forte-91087.html), qui propose déjà un dispositif d’authentification par mot de passe/SMS, va mettre en place son plugin fin 2015. Tous les grands webmails le font (Apple, WhatsApp) ou s’apprêtent à le faire, mais les services secrets américains bataillent pour interdire cette solution, et il est probable qu’en France aussi ce soit rapidement interdit. Les nouvelles lois françaises permettent désormais une surveillance massive de l’ensemble des citoyens, et la collaboration sans limite de nos FAI. De toute façon, le service possède les clés privées et ce n’est inaccessible qu’à une interception en ligne.
– la deuxième solution s’applique surtout aux clients mail, mais on peut aussi chiffrer soi-même ses messages webmail. Ce n’est pas simple, il y a de lourdes contraintes dont la plus importante est que votre destinataire utilise la même méthode et qu’il existe un échange de clés. J’en parle dans mon autre article. Il existe des procédés moins contraignants et moins puissants, comme l’addon FireCrypt ou Lock the text si vous utilisez Firefox ; mailvelope existe pour d’autres navigateurs mais n’est pas soutenu par Mozilla, et FireGPG est resté indéfiniment en version beta. Je l’ai expliqué dans Protéger sa correspondance, je chiffre simplement mes messages avec 7Zip, solution qui n’assure pas une grosse sécurité, mais qui me suffit. Une autre solution est Framadrop, qui chiffre aussi les messages ; mais comme il faut envoyer à son correspondant le lien de déchiffrement par mail en clair…

Quel Webmail choisir ?

Si on écarte ces grands services web qui présentent l’avantage de la facilité et les inconvénients de l’espionnage, reste à choisir en fonction de plusieurs critères :

Damien, de Planet-Libre, a établi l’an dernier une liste basée sur 3 critères, auxquels je souscris :

– le respect de la vie privée, car il n’y a pas que les gros webmails ci-dessus qui espionnent leurs clients ;
– la pérennité, car l’expérience montre que beaucoup de ces services disparaissent facilement ;
– la qualité technique, ben oui ! la bonne volonté ne suffit pas.

Sa liste comportait 18 services, mais il fait quelques entorses envers ses propres critères, puisqu’il y admet des sites hébergés aux USA (Fastmail, GMX), ou qui font de la pub (Netcourrier), un autre qui n’est qu’en allemand (Posteo.de), et d’autres qui sont inaccessibles ; ou qui le sont devenus depuis. Enfin, plusieurs de sa liste sont des hébergeurs, ce qui s’adresse à un public plus expérimenté (j’en reparle plus loin).

Ma liste de webmails

En m’appuyant sur les critères de Damien, auquel j’en ajoute un, la confiance qu’ils m’inspirent, qu’est-ce que je garde de sa liste et de mes propres investigations pour la fin 2015 ?

L’association Sud-Ouest propose une messagerie avec de nombreuses options de sécurité et des fonctionnalités étendues. Testé et approuvé ! A connu une période de mou, mais paraît avoir retrouvé son dynamisme.

DataHush est un service commercial français encore en version provisoire (appli finale fin 2015) prix 45 €/an. Plutôt destiné à un usage pro. Cryptage de bout en bout. A voir avec prudence.

Mailoo existe depuis 2008 et il est hébergé en France (On_Line SAS, du groupe Iliad/Free). Il présente la particularité de ne demander aucune information personnelle à l’inscription, qui est gratuite. On peut donc, si l’on est accepté (l’inscription est parfois bloquée en fonction de la capacité du serveur _c’est le cas à la mi 2017), créer un mail “anonyme”, dont l’activité ne sera pas analysée ni exploitée. La messagerie utilise RoundCube, et tous les programmes du site sont libres (GNU-GPL). Question sécurisation, ça ne va pas plus loin que le TLS. Avec le compte gratuit, on dispose d’une messagerie limitée à 1 Go seulement.

Mailpile est hébergé en Islande, c’est un Webmail dont l’interface ressemble à Gmail, mais aussi une application, libre et open source. Le webmail offre un chiffrement OpenPGP et système de signature, facilité par le programme. On peut auto-héberger l’application sur son ordi, même un Raspberry Pi, ou sur un NAS, voire une clé USB. Tout est en anglais sur le site, mais plusieurs sites en parlent, comme Developpez.com.

Net-C, anciennement « email.asssoc.net », appartient désormais à une PME (Mail Object), qui s’est orientée vers un usage familial, avec engagement de respect de la vie privée, mais n’offre en matière de sécurité qu’un Webmail Https. L’offre est gratuite pour 1 Go de mails et 25 Mo de pièces jointes.

OBM.org est une solution open source et gratuite, à tendance collaborative sous Linux, orienté groupware (Linagora), pouvant fonctionner avec son navigateur, mais aussi avec des clients emails comme Thunderbird et Outlook. Le site est en anglais, ou en vietnamien. On remarque que l’URL n’est pas en https, mais la messagerie propose un accès protégé SSL.

OpenMailBox est libre et gratuit, jusqu’à 1 Go en principe. En fait, je me suis désabonné rapidement, car je n’arrivais pas à utiliser la messagerie. Et je n’aime pas trop un site qui annonce en page d’accueil mi-août qu’il a récolté 16% des fonds qui lui sont nécessaires, et qui d’ailleurs envisage de changer de modèle économique. Cependant l’organisme a bonne réputation et l’offre est vraiment de qualité.
Info août 2017 : Le site devient payant, dans des conditions peu sympathiques pour les anciens clients…

ProtonMail, hébergé en Suisse, propose un chiffrement de bout en bout (“end-to-end”), sans stockage des clés privées sur les serveurs de l’organisme, contrairement à Tutanota, ci-dessous. La solution mise au point est selon O1Net « plus simple que d’installer OpenPGP sur un client de messagerie », et d’expérience je confirme. Le service a connu un grand succès, et a reçu des critiques élogieuses. Bien qu’installé à Genève, il ne parle qu’anglais… La politique de sécurité est vraiment satisfaisante… trop sans doute pour ceux qui ont essayé de mettre le service à genoux. Mais le service repart, et vient de passer à la mi-mars 2016 en version grand public. Cela veut dire qu’il n’est plus nécessaire d’être parrainé pour s’inscrire. La version gratuite est limitée à 500 Mb et à une seule adresse permettant 150 messages journaliers, l’offre ProtonMail Plus, qui offre 5 Gb, un nom de domaine et 5 adresses pour échanger jusqu’à 1000 messages par jour et un bon support (en anglais) coûte 5 €. Je vais réaliser un petit article pour en parler davantage, car c’est la solution qui me paraît actuellement la plus aboutie. Même par rapport à Telegram et Signal.

RiseUp, collectif militant basé à Seattle, dont l’internet libre n’est qu’un aspect. Le courriel aussi n’est qu’un aspect (Lists, chat, VPN), et peut prendre les 2 formes webmail (Roundcube ou squirrelMail) ou client email (thunderbird), les conditions de sécurisation sont importantes : chiffrage (StartTLS), brouillage géolocalisation et IP, suppression des traces d’identification.

Ceux qui utilisent Mac/iOS ont la chance d’avoir Signal, parmi d’autres applications (de messagerie instantanée) (http://frenchmac.com/iphone/meilleures-applis-messagerie-securisee-ios/) que l’on ne trouve pas sur d’autres plateformes. Petite mise à jour : Signal est désormais disponible aussi pour Android, et les possesseurs de smartphones peuvent donc aussi en bénéficier. Voici ce qu’en pense Sebsauvage.

Startmail me plait bien, en tant qu’utilisateur fidèle de startpage/ixquick certes, mais aussi parce que les Pays-Bas n’ont pas encore voté de loi sur le Renseignement… ;-). Offre une protection étendue par chiffrement PGP et signature « en un clic », avec dispositif  pour que le destinataire puisse facilement lire les messages par notification séparée et y répondre, SSL/TLS 1.2, etc. C’est malheureusement l’un des plus chers, et ils ne proposent que l’anglais et l’allemand.

Tutanota , dont Korben et Le Monde Informatique disent du bien. Le soft est libre (GPL v3), et le prestataire propose un chiffrement des messages de bout en bout, un an avant ProtonMail.

Vivaldi  s’est développé sur sa bonne réputation. Le site n’est plus hébergé en Islande, mais au Costa-Rica, et parle français, enfin sur la page d’accueil. Il s’oriente vers l’hébergement de blogs et le réseau social privé.

Zaclys est une association française qui propose une messagerie à ses adhérents, on ouvre donc un compte Zmail en s’inscrivant à l’association (entre 5 et 10 €), puis on peut participer à la vie de l’association, proposer des articles, etc. L’assoce est plus récente que Sud-Ouest, listée plus haut. Propose aussi bien Webmail (roundcube) que client mail (thunderbird). Il y a aussi un service ownCloud (1 Go gratuit, 5 €/an pour 5Go). Les mesures de sécurité se limitent au SSL/TLS.

C’est tout dans cette catégorie, car Lavaboom, le successeur de Lavabit, et sympathique pour cette raison, n’a malheureusement pas vécu longtemps et vient de fermer ses portes. Ça semble être aussi le cas de Scramble, de Privat DE Mail, de Lewebmail, de Citadel…

La solution de l’auto-hébergement :

Il existe deux formes d’auto-hébergement :

• L’achat d’un compte chez un prestataire qui héberge des clients pour leurs activités de réseau, et qui propose souvent la messagerie, avec des options de cryptographie.
• L’auto-hébergement chez soi, avec un NAS.

La deuxième forme suppose de bonnes compétences techniques, même si les fabricants de NAS personnels offrent de plus en plus leur pack logiciel qui rend la configuration et l’usage relativement accessibles. Le site Contrôle-tes-donnees explique par exemple comment installer sa messagerie sécurisée sur les NAS Synology.
L’offre Open Source et GNU –GPL de programmes de messagerie comme Zimbra, IMP/Horde, squirrelMail, Mailpile, RoundCube (pas franchement sexy), RainLoop (qui l’est nettement plus), permet aussi de se constituer un auto-hébergement puissant et sécurisé, mais ce n’est pas à la portée de tout le monde. Je rappelle que le NAS n’assure pas une meilleure sécurité, puisque le trafic transite par son FAI…

La première forme est un peu plus facile, et on trouve de bons tutos, comme par exemple celui de Contrôle-tes-donnees, qui explique comment se créer un nom de domaine sur OVH ou Gandi (qui proposent des options SSL et des méthodes de chiffrement).

On trouve également des hébergeurs engagés et/ou associatifs qui font une offre multi-service : hébergement, mail, cloud, communauté…

Petite liste en auto-hébergement

Autistici/Inventari, qui propose outre une messagerie sécurisée des services d’anonymisation, VPN, de chat, et de blog. Cette organisation militante et très engagée a connu, comme d’autres citées ici, bien des attaques ddos dans le passé, et des forumeurs mentionnent des difficultés de connexion. Espérons que…

kolabNow (Mycolab.com)  hébergé en Suisse, qui ne parle qu’anglais, à orientation professionnelle.

legTux, hébergeur français composé de militants du Libre, adhésion « à prix libre » comme Sud-Ouest.

Toile-Libre, hébergeur associatif « à prix libre » comme plusieurs autres mentionnés ici, et animé également de la philosophie du Libre, comme l’indique son nom. Propose un webmail et un client mail en messagerie, parmi d’autres services d’hébergement. Comme Web4all, pas de méthodes spéciales de sécurisation.

Web4all.fr, hébergeur français associatif depuis 2006 (un des plus anciens), qui propose Zimbra pour la messagerie. Orienté vers le Libre et le non commercial, mais n’offre pas de méthodes de sécurisation particulières.

Plusieurs des prestataires de la liste précédente auraient pu figurer ici. Et je ne cite pas des sites que ne prennent plus d’adhésion.

Enfin, tous ceux qui ont un hébergeur pour leur site internet disposent d’un système de messagerie : J’ai bien sûr un webmail auto-hébergé avec mon site internet, c’est ainsi que vous pouvez me contacter à propos d’un article !

Prudence !

Un grand nombre d’autres messageries “sécurisées” existent, et il ne fait pas de doute que leur nombre va croître ! Je ne vais donc pas essayer de les lister, mais il faut faire attention : certaines ressemblent furieusement à des honeypots, d’autres sont hébergés dans des pays où l’espionnage est une raison d’Etat, enfin l’hébergement dans des pays exotiques et opaques ne garantit souvent que le pire.

Il est donc préférable de se limiter aux services qui sont recommandés par les organismes connus pour la défense de la démocratie sur internet, et tout particulièrement les organismes de promotion des logiciels libres, et qui proposent des services qui utilisent des programmes open source et libres (GNU-GPL).

Plusieurs services cités ci-dessus, comme RiseUp et dernièrement ProtonMail, sont victimes d’attaques violentes et répétées, qui évidemment ne sont pas revendiquées, mais il n’est pas difficile d’imaginer “à qui profite le crime”. Tous les webmails qui permettent l’anonymat de la correspondance (chiffrement de bout en bout) connaissent ou vont connaître de telles attaques… jusqu’à ce que le chiffrement et l’anonymisation soient interdits, ou ne protègent plus vraiment leurs utilisateurs.

Info février 2018

Les listes fournies ne sont plus à jour, et je vous conseille donc ces deux liens vers des articles plus récents, en attendant que j’aie le temps… ou pas !

• Le site de Libère ton ordi,
• et celui de blog libre.

 

La 2^ème partie : Les clients de messagerie,  est disponible en suivant ce lien.