Choisir son service mail

Service mail

Choisir son service mail ne va pas de soi et n’est pas indifférent. Les services mail de votre FAI commercial, de Google, Yahoo, etc., ne sont pas du tout recommandables. Pourquoi et quelles sont les alternatives ?

Service mail et vie privée

Du choix de votre service mail dépend la sauvegarde de votre vie privée. Tous les mails d’une messagerie GMail et tous les emails reçus par une adresse GMail sont conservés par Google et vous n’avez aucune information quant à la localisation du ou des serveurs par où transitent vos emails.

De votre choix dépend aussi la vie privée de vos correspondants. Par exemple, si je dois vous écrire à votre adresse GMail, Google récupère mon adresse mail, mon IP et le contenu de mon message. Alors que je n’utilise aucun service de Google et que je fais attention à interdire toute requête vers tout service de Google (GoogleAds, Google Fonts, etc.), un correspondant qui passe par GMail et à qui j’écris me trahit en livrant à Google un peu ou beaucoup de mes données personnelles et donc de ma vie privée.

Si j’écris à un correspondant qui est chez un FAI français comme Orange, les métadonnées du message (IP, mon adresse, celle de mon correspondant, la date) sont conservées chez Orange, alors que je n’ai aucun compte chez Orange. [Il y a eu des changements dans les obligations légales de conservation des données chez les FAI, je vais vérifier et compléter.]

Vérifiez si les FAI offrent des connexions sécurisées pour leur service mail. Apparemment, non. Même OVH, qui est le moins affreux des FAI commerciaux français, ne vous offre pas de TLS. Ce qui veut dire que tout malfrat peut intercepter vos mails, ainsi que votre adresse et celle de votre correspondant, sans aucun effort.

Post Office

Les FAI commerciaux sont peu nombreux, donc trop centralisés et trop gros pour échapper aux attaques de malfrats variés et c’est ainsi qu’Orange s’est fait piraté à grande échelle. Orange collabore en plus avec les services de renseignements.

Les FAI, si je comprends bien, ne sont pas responsables de vos données, et il est bien possible qu’ils ne fassent pas non plus tout le nécessaire pour sécuriser leurs serveurs. Il reste que sécuriser un serveur n’est pas une mince affaire.

Alternatives : quelques pistes

Les alternatives aux gros services mails qui vous placent sous haute surveillance ne sont pas nombreuses.

Si vous avez pu choisir un FAI associatif, FDN ou dérivé provincial, vous pouvez passer par leur service mail, tout en sachant qu’ils sont assujettis à la loi française tout autant que les FAI commerciaux. Vérifiez que les connexions pour les protocoles POP et SMTP sont bien sécurisées (TLS/SSL et non STARTTLS) et sinon, discutez-en avec l’association qui est votre FAI.

En dehors des quelques FAI associatifs, voici quelques pistes : mailoo.org (pas dispo pour le moment, patientez), openmailbox.org, sud-ouest.org, zaclys.com, ardechelibre.org…
Sud-ouest.org, ardechelibre.org et Zaclys (de son vrai nom «La mère Zaclys») sont des associations et Mailoo va en devenir une. Vous pouvez discuter avec des association. Par exemple, il faudrait demander :

  • À Zaclys d’offrir un serveur POP (IMAP est problématique)
  • À Sud-Ouest d’offrir du TLS en POP et en SMTP, pas simplement du STARTTLS
  • S’assurer qu’ardechelibre.org n’offre pas simplement une adresse OVH, donc sans aucune sécurité.

CaliOpen

Une initiative intéressante est CaliOpen, projet de webmail libre et pédagogique pour tout public, lancé par Laurent Chemla. Voyez sa conférence, CaliOpen (lien direct, vidéo WEBM), Pas Sage En Seine, 2014.

Il est intéressant de noter que CaliOpen a décidé de quitter la France parce que l’équipe estime ne pas pouvoir offrir un service mail sécurisé dans ce pays.

Le cas de Riseup.net

Pour le moment, je ne vois rien de mieux que Riseup.net, qui est un collectif d’hacktivistes américains qui résistent avec endurance et compétence à la haute surveillance qui nous atteint tous.

Riseup.net est ouvert à tous les gens qui veulent résister contre le régime de haute surveillance qu’on nous impose. Ce n’est donc pas un service fait pour les gens qui ne voient pas d’inconvénient à GMail, à Orange, etc.

Le collectif Riseup offre plusieurs autres services intéressants et leur service mail est un des rares qui cachent votre IP dans l’enveloppe de vos messages (vos métadonnées). Si vous passez par un logiciel libre sérieux comme Thunderbird et si vous le configurez pour que les mails ne restent pas sur les serveurs de Riseup.net, aucune trace de vos mails ne demeure chez Riseup.net. Même si vous les laissez chez Riseup (le moins longtemps possible, c’est le mieux), ils sont sur des disques chiffrés. Si vous écrivez à un correspondant qui est chez Riseup, vos emails sont totalement chiffrés dans leur trajet, de bout en bout, puisqu’ils circulent entre des serveurs de Riseup et qu’ils ne quittent pas le réseau local de Riseup.

Riseup ne vous demande aucun détail de votre identité, aucun email de secours, rien. En France, c’est impossible. Toute association doit avoir un registre des adhérents et tout FAI français, qu’il soit associatif ou commercial, doit avoir un registre des ses abonnés.

De plus, contrairement à la loi française qui impose aux FAI la conservation des données de connexion et des métadonnées (sinon les mails entiers) pendant un an, la loi américaine n’exige rien de tel. Cela peut nous étonner, vu l’invasion de la NSA dans toute la vie des Américains et du reste du monde, mais c’est ainsi.

Ma préférence va vers les gens compétents plutôt que vers une fausse sécurité extérieure sur laquelle nous n’avons aucun contrôle.

Cependant, si tous les mails qui circulent sont interceptés et engrangés par la NSA, peu importe que Riseup.net ne les conserve pas si la NSA s’en charge. Mais en France même, qui intercepte nos messages (la NSA et les services de renseignements français ?) et comment êtes-vous certains que vos mails ne transitent pas par les USA même si vous écrivez de France à un Japonais au Japon ?

Informez-vous !

Je ne peux vous donner aucune solution valable sans discussion. Riseup.net donne beaucoup d’informations pratiques pour protéger vos communications : Sécurité (pages en français).

À vous de vous informer sur tous ces sujets très importants mais plutôt embrouillés et mouvants.

À vous aussi d’envisager de chiffrer vos emails et de convaincre vos correspondants de le faire. C’est très efficace pour faire de l’espionnage de tous les internautes une entreprise coûteuse pour les services de renseignements à la condition que des tonnes de messages chiffrés circulent et que les emails soient bien chiffrés et que les méthodes de chiffrement soient solides. Réunir les bonnes conditions peut paraître une gageure :-( mais les difficultés n’empêchent pas d’apprendre à chiffrer ses messages.

Utilisez un logiciel de mail libre comme Thunderbird et le moins possible un webmail ou le protocole IMAP. Il est aussi recommandé d’utiliser le module TorBirdy pour Thunderbird, en particulier si votre IP n’est pas cachée par votre service mail. TorBirdy est disponible dans sa version la plus récente pour Debian Jessie (Jessie Backports).

Crédit photos

Photo d’entête

Montage, à ma façon, de deux photos :

  • Back of Rack, Copyleft Kim Scarborough, CC-By-SA, Wikimedia Commons.
  • Enveloppe postée de Crète, 1914, Domaine Public, Wikimedia Commons.

Photo dans l’article

The Post Office, image extraite de l’ouvrage suivant : The Microcosm of London or London in Miniature, (Pyne, William Henry et Combe, William, Methuen, (1904) [1809], Volume 2, Plate 63), Domaine Public, Wikimedia Commons.

9 commentaires

  • Merci pour cet article très intéressant. La question est loin d’être simple, quelques informations sont disponibles ici : http://prxbx.com/email/

    Il est notamment recommandé de ne pas utilisé de service basé aux US, au Canada ou en Allemagne. Même Riseup ! Des activistes espagnols ont notamment été condamné en partie car ils utilisaient riseup, et que c’est un repère bien connu d’activistes du monde entier. Le fait d’avoir un compte riseup rend suspect, et de toute façon c’est sur le territoire US, donc soumis aux règles US.

    L’idéal, c’est un réseau décentralisé d’associations locales qui fournissent des adresses mails à leurs adhérents, ardechelibre[.org] démarre tout juste en Ardèche, nous avons pour l’instant une 30aine d’adhérents, et les mails sont pour l’instant hébergés sur un serveur OVH en France, en attendant d’avoir le budget pour trouver une solution plus locale.

    Quelques autres pistes : toile-libre.org, infini.fr, ironie.org, mixmail.fr

    • Liberté GNU/Linux

      Oui, c’est compliqué, mais ce n’est pas aussi simple que de dire pas de mail ailleurs qu’en France. En Fr, les metadonnées sont conservées pendant 1 an par les FAI, selon une loi qui n’est pas récente, et en plus, apparemment, Orange a déjà collaboré avec les services de renseignement. Je crois que penser qu’en Fr on échappe au pire est une illusion. Chez Riseup sans Imap et sans laisser les messages sur leur serveur, c’est à mon avis aussi sûr qu’en Fr. sur Orange ou même OVH qui n’offre rien en TLS (du moins d’après ce que j’ai pu voir sur SSLLabs, qui n’est pas une autorité suprême).

      Nous avertir que Riseup.net est «un repère bien connu d’activistes du monde entier» est le même argument qui sert à dissuader les internautes d’utiliser TorBrowser. Riseup n’a aucune information à donner à la NSA, si les gens ne laissent pas leur message sur les serveurs. La seule chose, comme je le dis aussi, c’est si les mails sont interceptés pendant le transport entre un Riseup et un non-Riseup sans chiffrement des mails. Mais en Fr, est-on sûr que les mails ne sont pas interceptés pendant leur voyage??

      Le problème aussi, c’est que les assoc’ ne sont pas habitués à se méfier et n’ont pas toujours les compétences nécessaires et il leur faudra un certain temps avant de les acquérir.

      En tous cas, merci de tes pistes à étudier. Je connais toile-libre et ironie, ce sont des gens bien, savoir s’ils sont compétents, c’est une autre histoire. Sinon, ils le deviendront sans doute par la force des choses. En tous cas, il vaut mieux éviter le webmail.

  • Bonjour,
    Pas tout à fait d’accord avec ceci ou alors j’ai pas bien compris : « Riseup ne vous demande aucun détail de votre identité, aucun email de secours, rien. En France, c’est impossible. Toute association doit avoir un registre des adhérents et tout FAI français »…
    Mon « vrai Email » est chez Pierre (Openmailbox) et rien ne m’a été demandé (adresse/tél/nom/mail de secours etc…)
    Cordialement

    • Liberté GNU/Linux

      Bonne nouvelle, Jean :-)
      Openmailbox n’est ni une assoc’ ni un FAI. Mais ton FAI tient le registre de tes connexions (donc à Openmailbox inclus, et si tu passes par le webmail d’Openmailbox, chaque fois que tu consultes tes emails) et il faudrait demander à Openmailbox s’ils gardent une liste des IP qui s’enregistrent chez eux et l’enveloppe des messages. L’IP (en plus dynamique) ne devrait pas être une preuve d’identité mais dans les faits, il semble bien en constituer une. Il me semble avoir lu qu’Openmailbox retire l’IP de l’enveloppe des messages, ce qui est une excellent chose si c’est bien le cas (à vérifier).
      En tous cas, espérons que des services comme Openmailbox tiennent le coup face aux législations confuses et variées qui détruisent la neutralité de l’internet. Pour ma part, je n’ai pas de solution miracle pour le moment mais plutôt des solutions à bannir: le service mail de son FAI et ceux de Google, Microsoft etc.

  • Ok Je croyais avoir mal compris..J’utilise exclusivement Thunderbird ou Claws mail pour consulter mes Emails. Pour le reste si j’ai des infos je reviendrai ici en parler. (IP openmailbox etc.)

    Questions vie privée/confidentialité justement, j’ai lu ça récemment ici : https://boingboing.net/2016/06/15/intel-x86-processors-ship-with.html
    ou La : http://zammit.org/ ,désolé mais aucun sites Français n’en parlent..et c’est plutôt inquiétant non ? Utilisez/paramétrer/optimiser nos logiciels/OS « libre » ou pas etc. ne serviront plus à grand chose si ça continue.

    Pour le reste je fais comme toi, je banni certains « services » et passe mon temps à expliquer à mon entourage/amis/clients, pas toujours évident de trouver/proposer quelque chose qui soit équivalent (éco-systeme à la Google/MS and co.)

    • Liberté GNU/Linux

      Merci pour toutes ces info, Jean :-) Il a été déjà question de certains nouveaux processeurs Intel il y a un an ou deux et la parade semble être: garder son vieux matériel. Dans l’article de Boing, on voit tout de même que les gens du libre essaient de trouver des solutions …

      Quant aux alternatives à Google, Microsoft, etc. je trouve qu’il y a tout ce qu’il faut, mais il faut parfois payer. Par exemple, les FAI associatifs FDN et consorts ou encore Zaclys pour d’autres services (cloud, par exemple) sont des alternatives. Je n’ai pas essayé encore la Brique internet, mais l’idée en tous cas est très bonne (à condition d’avoir une bonne connexion internet).

      • C’est ça justement le problème, les gens veulent pas payer, ils ont tout gratuit+leurs habitudes complétement centralisé (Pc/Smartphone/cloud etc.) faut dire que d’un certains point de vue, l’éco systeme de Gogole est redoutable d’efficacité et pratique, en général j’arrive juste à faire préférer un client mail plutôt qu’un Webmail, c’est un début, merci pour les infos

  • Comme promis je reviens pour des éclaircissements au sujet d’Openmailbox :
    -Il dispose d’un système de stockage chiffré de nos mails
    -d’une sauvegarde journalière
    -IP du client supprimée du header du mail !
    -Protocole (TLS) et son prédécesseur Secure Sockets Layer (SSL)
    -Toutes les solutions utilisées sont open source

    Il m’a été répondu qu’aucun traçage n’est effectué (Pub etc..) ce n’est pas la politique
    de la maison, sinon y’a GPG par ex.pour certains.

  • J’arrive un peu tard, mais il existe aussi ProtonMail, que j’utilise moi-même.

    L’accès à la boîte de réception nécessite un mot de passe de connexion ET un second mot de passe connu uniquement de l’utilisateur, qui sert à déchiffrer la boîte mail. ^^

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *