Messageries confidentielles

Laisser un commentaire
Publié le
Mis à jour le 14 mars 2019
Par .
Cet article vient en complément de Nos Boucliers Numériques 2-Le VPN, qui explique la nécessité d’avoir un compte mail confidentiel pour que le VPN ait des chances de l’être aussi. Je présente ici une liste de messageries réellement confidentielles. Par là, j’entends des messageries où l’on peut ouvrir un compte sans fournir de renseignements permettant de dévoiler sa véritable identité.

La quasi-totalité des messageries réclament pour s’inscrire une adresse mail valide, ou/et un numéro de téléphone, pour pouvoir vous envoyer vos codes personnels… et pouvoir vous identifier et vous tracer ! Parfois elles vous font remplir un formulaire pour établir votre profil, et ces informations sont recoupées avec d’autres captées à votre insu, dans la mesure où vous n’avez pas pris de précautions en surfant depuis chez vous et en communiquant avec une autre messagerie active, de telle sorte que tout investigateur sait précisément qui vous êtes et ce que vous faites. En outre, la plupart des messageries privées sont payantes, sans être forcément chères, mais cela oblige quand même à fournir vos identifiants bancaires !
Autrement dit, vous êtes tout nu.

Mais si vous voulez créer un compte mail réellement confidentiel, c’est forcément pour un usage restreint : car vous ne risquez pas de passer longtemps inaperçu si vous échangez des mails avec ce compte spécial ! Donc on n’est pas dans la perspective adoptée pour mon vieil article sur les messageries alternatives, qui visent un usage courant.

Et ce n’est pas du tout facile, comme l’explique remarquablement cet article du VPN Le VPN.

En voici quelques-unes, qui répondent plus ou moins à cette exigence.

Messageries confidentielles que j’ai testées

ProtonMail

Avec cette messagerie suisse très sécurisée (cryptage end-to-end), on peut ouvrir un compte gratuit sans fournir d’informations personnelles. Ce compte gratuit pour 1 utilisateur n’ouvre droit qu’à 1 alias, 500 Mo de stockage, 150 messages/jour. Ce n’est déjà pas si mal.
Veillez quand même lire cet article de Developpez.net (et les commentaires) si vous êtes très préoccupé par votre anonymat ! Alors j’ai été intéressé d’apprendre qu’on pouvait s’inscrire et accéder à la messagerie sous TOR, à cette adresse , mais pour avoir essayé ça n’apporte pas plus d’anonymat, puisqu’il faut fournir un numéro de téléphone (pour un SMS de contrôle), ou un email valide… ou faire un don avec sa carte bleue ! Mêmes limitations si l’on utilise un VPN. En fait, Protonmail veut absolument connaître votre identité, pour ses besoins de sécurité (lutte contre fraudes, attaques…), et pour répondre aux requêtes judiciaires (suisses, mais…). Alors il ne demande rien en laissant croire que vous êtes anonyme, quand vous vous connectez de chez vous avec votre IP et votre fingerprint… Et le compte payant ne propose pas mieux que les bitcoins en matière d’anonymat.

Tutanota

Domiciliée en Allemagne, cette puissante messagerie propose en gratuit, 1 Go de stockage, pour 1 utilisateur. Pas d’informations personnelles à fournir pour s’inscrire, captcha intelligente (pas celle de Google, quoi !), pas d’enregistrement du mot de passe. On peut y accéder par TOR (et sans doute VPN).  Parfait pour le compte gratuit, mais pour l’abonnement payant (1€/mois), il faut fournir CB ou paypal. Par ailleurs, on n’est pas totalement dans le “no logs” : des données d’identification sont conservées, y compris pour répondre aux requêtes judiciaires allemandes.
Question sécurité, chiffrement de haut niveau de bout en bout, qui n’utilise pas PGP et S/MIMe, qui commencent à poser problème selon eux. Le mot de passe, qui permet d’accéder au compte et qui sert au processus de chiffrement des données (emails et contacts, ainsi que objet, contenu et PJ) n’est pas transféré sur le serveur : pour éviter que l’oubli du mot de passe ne bloque définitement l’accès au compte, un code de récupération est généré au moment de l’inscription (que seul le client peut connaître, parait-il). Par contre les métadonnées que sont l’expéditeur, le destinataire et la date de l’email sont en clair, pour l’instant. La FAQ en français est très explicite sur les questions de confidentialité et de sécurité. Les mails que l’on supprime ne sont plus récupérables. Le compte gratuit est supprimé automatiquement s’il n’est pas utilisé pendant 6 mois.

Mailfence

Messagerie belge engagée dans la défense de la liberté numérique. Propose un compte gratuit avec 500 Mo d’emails, 500 Mo de documents, 1000 événements/calendrier, et même un support email. Il faut fournir un email valide, mais la liste de mon article est là pour vous aider 😉 . Il est possible de s’inscrire sous VPN (et je suppose sous TOR).
Là aussi, on a du chiffrement de bout en bout avec OpenPGP, signature électronique, authentification à deux facteurs… Les serveurs sont en Belgique sous leur contrôle direct, ne répondant qu’à des requêtes judiciaires belges strictes. Les comptes bénéficient d’une protection forte, explicitée dans leur modèle de menace. Ils proposent de nombreux services mais Il faut éviter leur client mail (IMAP/POP, SMTP, agenda et la connexion avec smartphone, et se limiter évidemment à leur offre webmail pour bénéficier du chiffrement de bout en bout ! Mais ça ne concerne de toutes façons que les comptes payants.

Mailbox

C’est une société allemande. Mailbox appartenait au départ à Dropbox, qui l’a fermé en fév. 2016. La page d’accueil est en anglais ou allemand, mais le français est disponible sur le reste du site.
Pas d’ email valide à fournir. Pas d’offre gratuite, mais à 1€/mois, qu’on peut payer en liquide, par la poste jusqu’à Berlin. En espérant qu’elle ne se perde pas, il faudra quand même patienter une bonne semaine. Ici comme dans pas mal de messageries de ce genre, il faut montrer qu’on n’est pas un robot, avec l’horrible système de reCaptcha de Google.
On a une période d’essai gratuite de 30 jours, avec un compte limité à 10 mails en envoi par jour, un espace limité à 100 Mo pour les mails, création d’un seul alias : C’est quand même étriqué. Sans passage à un compte payant, le compte est supprimé automatiquement au bout des 30 jours.

MSGsafe.io

La messagerie est fournie par Trustcor Systems, qui est une autorité de certification, immatriculée au Panama (avec serveur à Curaçao). On peut s’inscrire sous TOR ou VPN, et créer un compte gratuit, sans fournir d’email valide ni autres informations personnelles. On bénéficie d’1 Go de stockage, de 10 identités, et on peut envoyer 25 emails par jour. L’abonnement n’est pas limité dans le temps.
C’est une messagerie chiffrée de bout en bout, avec protection des métadonnées des messages, et l’on peut chiffrer le contenu avec GPG, et autres moyens de certification Webtrust. On peut se créer chez eux un domaine Web. Parmi divers services, on peut créer de multiples comptes.
C’est la messagerie la plus confidentielle de la liste, je crois bien.

Disroot.org

Cette association militante pour la liberté d’internet est située aux Pays-Bas. On peut s’inscrire sous TOR et VPN, mais ce n’est pas simple, à cause de leur formulaire old school. Ils ont remplacé le recaptcha de Google par une petite dissertation sur la nourriture, en évitant pour nous français les accents et caractères spéciaux. Il faut fournir un email valide, moi j’ai fourni celui d’une messagerie sans identifiants. Mauvaise blague : à la fin de l’inscription, et celle-ci validée en ayant fourni le code repêché sur sa messagerie chiffrée, j’ai dû recommencer à zéro. C’était peut-être un test ?! 😉 On n’est pas inscrit tout de suite, il faut attendre leur décision quelques jours. Et moi, j’ai été recalé : ma dissert’ ne leur a pas plu (militants, je vous dis !).
On peut bénéficier d’un compte gratuit, soit webmail soit client IMAP, mais j’ai expliqué pour Mailfence qu’il faut éviter cette solution qui ne permet pas la confidentialité.  On peut synchroniser avec Nextcloud, et une panoplie d’apps libres/open source est proposée. Mais là encore, cela compromet l’anonymat.

Posteo

Encore une société allemande, qui s’est fait remarquer en 2014 en refusant de coopérer avec la police. Aucune information confidentielle n’est demandée, ni même un email valide. Mais pas de compte gratuit : c’est 1€/mois, ce qui pose le problème de l’anonymat. Leur solution ? On peut désormais payer en liquide, là aussi avec une adresse postale à Berlin, mais c’est long à finaliser (12 jours pour moi). Sinon on paye en CB ou paypal, mais leurs CGU expliiquent que le lien entre banque et compte est supprimé à la fin de l’inscription. La seule trace reste donc le paiement bancaire, sans pouvoir le lier au compte Email (dixit). Il n’y a aucune conservation de données.
Son email principal utilise le domaine Posteo.de, on peut ensuite créer des alias avec Posteo.eu, Posteo.net, Posteo.ch etc… l’IP est anonymisée dans le header des emails. Le login se fait avec le username du mail, choisir donc un pseudo, puis créer un ou des alias avec lesquels communiquer (pour que personne ne connaisse votre login d’accès au site). FAQ en français, très détaillée et claire. C’est, avec Tutanota, ma solution préférée.

Mailden

Messagerie française sécurisée, assez chère (30 €/an). J’ai bien aimé la sobriété des informations utiles du site, qui expliquent comment et par qui le service a été créé, sur quelles bases il fonctionne, la FAQ , même si celle-ci est parfois prétentieuse (c’est la messagerie la plus sécurisée naturellement !). L’initiative est soutenue par Framasoft.
Pas de compte gratuit, paiement non anonyme (CB, Paypal, Bitcoin), serveur en France (OVH) et juridiction française (tribunal de Paris). La confidentialité repose donc sur le fait que l’accès au compte n’est possible que par le détenteur du compte, par contre un certain nombre d’infos personnelles et de métadonnées sont conservées, pour un “usage technique” (SIC).

Autres messageries anonymisantes

Confidesk

Messagerie suisse, mais enregistrée au Royaume-Uni (Kronolab Limited). Site entièrement en anglais. Il faut fournir une email valide ; mais pas que : je n’ai pas réussi à m’inscrire, malgré fourniture d’un email (de la liste ci-dessus), depuis TOR.

mail.fr

Puissante messagerie, issue de la société allemande mail.de. Elle offre une messagerie gratuite limitée, et une messagerie payante peu chère que l’on peut payer par passafecard, donc anonymement. Mais pas moyen de préserver pour autant son anonymat (sauf à essayer depuis une hotspot ?) : TOR et VPN ne marchent pas, et il faut fournir une adresse valide.

Soverin

Société sous juridiction néerlandaise, qui a une belle formule concernant ce que devrait être un bon email : “Plutôt une enveloppe scellée qu’une carte postale”. Compte à partir de 3,25 €/mois, avec domaine personnel, page web personnelle, messages illimités, 25 Go de stockage. Il faut fournir un numéro de téléphone, et le mode de paiement le plus anonyme est le bitcoin (donc on est parfaitement repérable). Le site nous montre son (bon) warrant canary, mais j’aurais préféré des indications sur son usage des logs et autres journaux face aux autorités.

Un peu à part :

Mailpile

C’est un programme open source à installer sur son ordi, et qui interagit avec le site. Intéressant mais pas pour l’usage prévu ici.

OnionMail

est accessible par TOR et surtout Tails, et il vaut mieux être déjà à l’aise avec les oignons !

En plus, Je n’ai pas testé :

  • startmail (cf. startpage) trop cher,
  • infomaniak, qui est surtout un hébergeur,
  • Runbox, une messagerie norvégienne et chère,
  • Kolab Now, suisse et payant, peu porté sur l’anonymat,
  • RiseUp et Autistici, qui sont plutôt des communautés activistes, forcément très surveillés,
  • Vivaldi La messagerie dépend du navigateur et de sa communauté.
  • Je ne parle pas non plus des messageries offertes par les VPN.

Voilà. J’ai écarté un certain nombre de messageries qui ne me revenaient pas (compromissions, scandales…), ou qui ne correspondaient pas à l’usage pour lequel cette liste est établie (usage professionnel, pays à risque,..).

N’hésitez pas à me transmettre vos expériences personnelles, qui m’aideront à compléter ou corriger mon article.

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.