Comment sécuriser ses correspondances, simplement ?
Tout le monde n’a pas les possibilités techniques et financières de mettre en place un serveur mail dédié et sécurisé. Des solutions tierces existent. Il est possible d’utiliser des outils tels que GPG ou PGP. D’exploiter des solutions d’auto destruction de courriels. ZATAZ vous propose de tester des services de chiffrement d’eMail.
Protonmail – Ouvert en 2013, Proton mail cite spécifiquement Edward Snowden comme une source d’inspiration pour son service. Ils sont basés en Suisse, et propose un système à deux mots de passe. Le premier pour accéder au compte mail. Le second, pour déchiffrer les messages. Le service indique être aussi bien sécurisé que les banques Suisses. Que ses serveurs sont hébergés dans un ancien centre de commandement militaire, caché à l’intérieur des Alpes suisses. Ça, c’est pour le petit côté marketing. Pour le côté pratique. Le second mot de passe déchiffre les messages via du 2048 bits RSA. Le processus de décryptage se passe entièrement en mode local, dans le navigateur du client en utilisant JavaScript. La clé privée et la boîte aux lettres sont chiffrées en utilisant AES-256. Il est une implémentation de OpenPGP.js. ZATAZ utilise ce service depuis plusieurs mois. Propre, rapide et mature. 1 Go de stockage. 500.000 utilisateurs. https://protonmail.ch
Tutanota – Plus ancien que protonmail, l’Allemand Tutanota a été fondé en 2011. La version bêta a été fermée fin mars 2015. Tutanota n’utilise pas la méthode de doubles clés de PGP. Il propose une solution personnalisée à l’aide de clés RSA 2048 bits et AES-128. Tutanota, contrairement à Protonmail, a ouvert le code source de son outil. Tutanota a aussi des applications pour iOS et Android, et un plugin pour Outlook. Attention, Tutanota connecte les utilisateurs à leur boîte aux lettres, et déchiffre en utilisant le même mot de passe. Intéressant, l’échange de courriels chiffrés par mot de passe à destination d’internautes utilisateurs d’autres services. Les contacts sont eux aussi chiffrés. ZATAZ utilise ce service depuis plusieurs mois. Une version payante existe. Tutanota Premium vous permet d’enregistrer 5 e-mail alias pour votre utilisateur et d’ajouter des comptes utilisateurs illimités, et cela aussi pour votre propre domaine. 1 Gb de stockage. 100 mails par jour. Plusieurs domaines possibles. https://tutanota.com/fr/
Lavaboom – Un autre service Allemand. Ouvert en 2013, il fusionne les idées de Protonmail et Tutanota. Il utilise OpenPGP.js, mais utilise aussi un système de mot de passe unique. Lavaboom, en hommage à Edward Snowden, a choisi d’utiliser des clés 4096 bits RSA. Deux fois plus grande que celles proposées par Protonmail et de Tutanota. Si une clé forte est la chose la plus importante pour vous, cela peut être un bon choix. Bien entendu, votre mot de passe doit être en adéquation avec la sécurité proposées : chiffres, lettres, majuscules, signes de ponctuation. Lavaboom permet, soit de stocker vos clés privées chiffrées dans leurs serveurs, soit de sauver vos clés dans la mémoire cache de votre navigateur. L’inconvénient de cette dernière méthode est que, dans le cas où votre cache est effacée, vous ne serez plus en mesure d’accéder à vos courriels. Lavaboom est actuellement en bêta fermée. Ils valident les invitations, petit à petit. Il faut fournir, et valider un mail, pour pouvoir créer une version chiffrée. https://lavaboom.com
TOR Friendly
Mes trois propositions utilisent le chiffrement et le déchiffrement basé sur JavaScript. Trois sites proposés sur Internet. Il existe des solutions plus « deep web » comme Lelantos. Pour les amateurs d’histoires antiques [que je suis, Ndr] Lelantos est le dieu qui avait la capacité de passer inaperçu, de s’évader. Son pendant informatique passe donc pas TOR. Il permet d’anonymiser les connexions vers le service. Sauf qu’il faut retenir deux détails, le fait de vous connecter, et donc de rentrer un identifiant, minimise déjà cet anonymat. Lelantos est payant, en bitcoin. 0.043B pour six mois (10 dollars) ; 0.137B (32$) pour un abonnement à vie. Intéressant, le chiffrement automatique dès que vous proposez votre clé publique. Les membres sont également autorisés à inscrire plus de 100 alias et de créer des adresses temporaires. Lelantos indique résilier le moindre compte permettant la diffusion de contenus illégaux. Comment le savent-ils ? http: //lelantoss7bcnwbv.onion.
Attention, ce n’est pas parce que cela passe par TOR que le 100% « secure » existe. Le cas de Sigaint [sigaintevyh2rzvw.onion], en avril 2015, doit faire réfléchir. Cet éditeur indiquait alors avoir été espionné. Deux versions, gratuite et payante de leur service. La version gratuite propose 50Mo, la payante, en plus de services supplémentaires (SMTPS, IMAPS, POP3S; fichiers chiffrés, 1Go, intégration clé PGP), coûte 30 dollars pour une utilisation à vie. Douteuses, les publicités pour des services de black market. Je finirai avec Ruggedinbox.com. Service 100% gratuit. Il propose soit de passer par votre outil de communication en TLS/SSL (Outlook, Thunderbird, …), soit par son site Internet (via Roundcube, Squirrelmail) ou encore Onion [http://s4bysmmsnraf7eut.onion/rc]. Possibilité de créer un compte temporaire, avec une date d’expiration. 200Mb d’espace libre.
Pingback: ZATAZ Magazine » ISIS : la chasse est ouverte, ne nous cachons plus !
Pingback: Vuvuzela, le système qui permet de cacher ses SMS | Data Security Breach