Email sécurisé

La volonté de censure de l’état « capitalo-communiste » à la Chinoise qui s’étend sur la planète entière depuis la soi-disant crise de la grippe Covid, pousse forcément à vouloir préserver un minimum de liberté.

Les derniers mois ont montré que tout peut basculer très vite, sous n’importe quel prétexte : l’état d’urgence permanent donne les pleins pouvoirs et permet à l’état de s’arroger le droit de mettre n’importe qui en détention pour n »importe quelle raison : la seule chose qui les en empêche est d’une part le nombre de dissidents encore trop élevé (donc on tape uniquement sur les plus célèbres, via les accords de censure avec Facebook, Twitter et consorts), et d’autre part la nullité technologique du gouvernement français.

Ils ne sont déjà pas capables d’utiliser correctement leurs moteurs de recherche d’espionnage des conversations privées pour traquer quelques milliers de terroristes, alors imaginez comment ils pourraient traquer des millions de gens.. Pour le moment.

Cependant, mieux vaut prévenir que guérir. Des services comme Gmail et TOUS les services grands public de taille suffisante, sont susceptibles d’ajouter une backdoor, sur ordre du gouvernement, qui renvoie tous vos messages. En fait, Gmail (et les autres) a même automatisé la remontée de ces informations sur demande : Snowden l’a montré dans ses leaks, qui pourtant datent d’il y a un paquet d’années.

La première réaction est de se dire : moi je ne suis pas fou, je ne veux pas autoriser Gmail à lire tous mes emails (car oui c’est ce qui se passe et leur permet d’améliorer le profil qu’ils ont sur vous et compte environ500 champs.. enfin je ne sais plus si c’est celui de Google ou de Facebook qui a 500 champs, mais bon vous avez l’idée). Mais il n’existe quasiment plus aucun « petit » service d’email, qui soit gratuit et au service correct. Yahoo, Hotmail, GMX, Free, SFR.. tous ceux là sont des gros.

Les geeks peuvent imaginer hoster un serveur mail eux-mêmes via des outils opensource de type Roundcube. Mais c’est un énorme travail d’installer une pile complète d’antivirus (type clamavis), de configuration de MX, de forwards, de règles de sécurité.. tout ça pour à la fin finir vite fait en spam car des providers peu scrupuleux de type Free ont la gachette du bannissement très rapide (j’ai eu beaucoup de problèmes avec eux lorsque je faisais du « mass mailing » et je les hais pour ça).

Chiffré ?

Alors, il reste la solution de l’email chiffré. Il y a quelques années, un ancien collègue était tout fier d’exhiber son adresse protonmail, c’était la première fois que j’en entendais parler. Ca m’a plu. Et puis en creusant le sujet pour cet article, je me suis rendu compte que ce n’est pas la panacée non plus: par définition, même chiffrés, un serveur mail converse une copie de tous vos mails. On raconte que la NSA garde des emails chiffrés quelques années car régulièrement, les progrès des 5 années suivantes permettaient de les chiffrer. C’est moins vrai maintenant car avec le chiffrement 2048 bits et le matériel qui progresse peu, les chiffrement « durent » plus longtemps. Mais rien n’est éternel. Bon, 5 ans après, pour un utilisateur normal, ça suffit largement pour éviter d’être « tracé » en s’enfuyant d’un pays par exemple. Mais. Protonmail n’a pas que des amis : il ne chiffre que les contenus, pas les titres des emails. Or la NSA s’intéresse presque plus à « avec qui vous échangez des emails, sur quel titre, à quelle heure » que au contenu (qu’ils ont de toute façon bien du mal à garder plus de quelques jours pour le monde entier, car cela génère trop de données. Ils peuvent archiver des contenus de mail, mais uniquement pour les dissidents sur liste noire). Bref, à la fin, la NSA en saura quasiment autant sur vous, car n’oubliez pas qu’ils font des copie du trafic directement depuis les câbles transatlantiques.

Tutanota ?

Protonmail a l’avantage d’être Suisse, donc en dehors de l’UE, dans un pays réputé pour son respect de la vie privée. Mais lien au-dessus jette des doutes. Tutanota lui, chiffre les titres, ainsi que les contacts, et n’utilise jamais de captcha Google. Et leurs clients sont entièrement open source et la partie mobile est publiée sur F-Droid, gage de non espionnage. Cependant l’actualité vient de nous rappeler que même eux, étant situés en Allemagne, doivent obéir aux juges et installer des backdoors pour fournir les messages non chiffrés reçus par leurs utilisateurs, avant le stockage chiffré sur leurs serveurs. Certes le jugement n’est que sur un cas, mais en ces temps incertains cela peut vite bouger.. et cela rappelle que les homologues américains, avec les « gag orders », peuvent avoir le même genre d’ordre du gouvernement et EN PLUS avoir l’interdiction d’en parler.

Tutanota a pris publiquement la défense du chiffrement contre les attaques répétées, notamment du gouvernement américain, qui souhaite obliger les fournisseurs de chiffrement à fournir une « master key » au gouvernement.

L’actualité nous montre que même Tutanota doit intégrer une backdoor. Donc que faire ?

Chiffrement local ?

La solution la plus sécure reste évidemment de chiffrer soi-même les messages, avec une clé partagée avec le destinataire, ou un système clé publique / clé privée. Mais cela nécessite un outil bien conçu afin que ce ne soit pas trop complexe, et surtout que vos correspondants l’utilisent !

Passlok peut-être une bonne solution pour cela, mais je n’ai pas eu le temps d’approfondir l’usage exact et si c’est pratique pour les correspondantes. Au moins, on évite le stockage sur un serveur. Cryptext propose cela aussi (avec un fonctionnement similaire à Signal) mais uniquement entre utilisateurs Cryptext, ce qui est très léger..

Tagués avec :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.