Comment sécuriser ses correspondances, simplement ?

Tout le monde n’a pas les possibilités techniques et financières de mettre en place un serveur mail dédié et sécurisé. Des solutions tierces existent. Il est possible d’utiliser des outils tels que GPG ou PGP. D’exploiter des solutions d’auto destruction de courriels. ZATAZ vous propose de tester des services de chiffrement d’eMail.

Protonmail – Ouvert en 2013, Proton mail cite spécifiquement Edward Snowden comme une source d’inspiration pour son service. Ils sont basés en Suisse, et propose un système à deux mots de passe. Le premier pour accéder au compte mail. Le second, pour déchiffrer les messages. Le service indique être aussi bien sécurisé que les banques Suisses. Que ses serveurs sont hébergés dans un ancien centre de commandement militaire, caché à l’intérieur des Alpes suisses. Ça, c’est pour le petit côté marketing. Pour le côté pratique. Le second mot de passe déchiffre les messages via du 2048 bits RSA. Le processus de décryptage se passe entièrement en mode local, dans le navigateur du client en utilisant JavaScript. La clé privée et la boîte aux lettres sont chiffrées en utilisant AES-256. Il est une implémentation de OpenPGP.js. ZATAZ utilise ce service depuis plusieurs mois. Propre, rapide et mature. 1 Go de stockage. 500.000 utilisateurs. https://protonmail.ch

Tutanota – Plus ancien que protonmail, l’Allemand Tutanota a été fondé en 2011. La version bêta a été fermée fin mars 2015. Tutanota n’utilise pas la méthode de doubles clés de PGP. Il propose une solution personnalisée à l’aide de clés RSA 2048 bits et AES-128. Tutanota, contrairement à Protonmail, a ouvert le code source de son outil. Tutanota a aussi des applications pour iOS et Android, et un plugin pour Outlook. Attention, Tutanota connecte les utilisateurs à leur boîte aux lettres, et déchiffre en utilisant le même mot de passe. Intéressant, l’échange de courriels chiffrés par mot de passe à destination d’internautes utilisateurs d’autres services. Les contacts sont eux aussi chiffrés. ZATAZ utilise ce service depuis plusieurs mois. Une version payante existe. Tutanota Premium vous permet d’enregistrer 5 e-mail alias pour votre utilisateur et d’ajouter des comptes utilisateurs illimités, et cela aussi pour votre propre domaine. 1 Gb de stockage. 100 mails par jour. Plusieurs domaines possibles. https://tutanota.com/fr/

Lavaboom – Un autre service Allemand. Ouvert en 2013, il fusionne les idées de Protonmail et Tutanota. Il utilise OpenPGP.js, mais utilise aussi un système de mot de passe unique. Lavaboom, en hommage à Edward Snowden, a choisi d’utiliser des clés 4096 bits RSA. Deux fois plus grande que celles proposées par Protonmail et de Tutanota. Si une clé forte est la chose la plus importante pour vous, cela peut être un bon choix. Bien entendu, votre mot de passe doit être en adéquation avec la sécurité proposées : chiffres, lettres, majuscules, signes de ponctuation. Lavaboom permet, soit de stocker vos clés privées chiffrées dans leurs serveurs, soit de sauver vos clés dans la mémoire cache de votre navigateur. L’inconvénient de cette dernière méthode est que, dans le cas où votre cache est effacée, vous ne serez plus en mesure d’accéder à vos courriels. Lavaboom est actuellement en bêta fermée. Ils valident les invitations, petit à petit. Il faut fournir, et valider un mail, pour pouvoir créer une version chiffrée. https://lavaboom.com

sigaint TOR

TOR Friendly

Mes trois propositions utilisent le chiffrement et le déchiffrement basé sur JavaScript. Trois sites proposés sur Internet. Il existe des solutions plus « deep web » comme Lelantos. Pour les amateurs d’histoires antiques [que je suis, Ndr] Lelantos est le dieu qui avait la capacité de passer inaperçu, de s’évader. Son pendant informatique passe donc pas TOR. Il permet d’anonymiser les connexions vers le service. Sauf qu’il faut retenir deux détails, le fait de vous connecter, et donc de rentrer un identifiant, minimise déjà cet anonymat. Lelantos est payant, en bitcoin. 0.043B pour six mois (10 dollars) ; 0.137B (32$) pour un abonnement à vie. Intéressant, le chiffrement automatique dès que vous proposez votre clé publique. Les membres sont  également autorisés à inscrire plus de 100 alias et de créer des adresses temporaires. Lelantos indique résilier le moindre compte permettant la diffusion de contenus illégaux. Comment le savent-ils ? http: //lelantoss7bcnwbv.onion.

Tor IDAttention, ce n’est pas parce que cela passe par TOR que le 100% « secure » existe. Le cas de Sigaint [sigaintevyh2rzvw.onion], en avril 2015, doit faire réfléchir. Cet éditeur indiquait alors avoir été espionné. Deux versions, gratuite et payante de leur service. La version gratuite propose 50Mo, la payante, en plus de services supplémentaires (SMTPS, IMAPS, POP3S; fichiers chiffrés, 1Go, intégration clé PGP), coûte 30 dollars pour une utilisation à vie. Douteuses, les publicités pour des services de black market. Je finirai avec Ruggedinbox.com. Service 100% gratuit. Il propose soit de passer par votre outil de communication en TLS/SSL (Outlook, Thunderbird, …), soit par son site Internet (via Roundcube, Squirrelmail) ou encore Onion [http://s4bysmmsnraf7eut.onion/rc]. Possibilité de créer un compte temporaire, avec une date d’expiration. 200Mb d’espace libre.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.
  1. Pingback: ZATAZ Magazine » ISIS : la chasse est ouverte, ne nous cachons plus !

  2. Pingback: Vuvuzela, le système qui permet de cacher ses SMS | Data Security Breach

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.