Quittons un moment le monde du bois, du métal, du béton, de la plomberie, des fils électriques et disons un mot de ce qui a remplacé, à toutes fins pratiques, le système postal. Il s’agit, bien sûr, du courrier électronique, qui permet à tout un chacun d’envoyer ou de recevoir des messages, en autant qu’il ne s’agit pas d’objets physiques massifs, qu’un système de drones fera peut-être bientôt circuler efficacement.
Normalement, les fournisseurs d’accès Internet mettent à la disposition de leur clientèle plusieurs comptes courriels. Mais il faut parfois changer de fournisseur d’accès Internet. Adieu, alors, les comptes email de Bell, Vidéotron, et quoi encore. C’est pourquoi il vaut mieux opter pour un compte courriel indépendant des fournisseurs d’accès Internet. Si l’offre ne manque pas, il faut évaluer la qualité du service et, depuis les révélations d’Edward Snowden (en 2013) concernant l’espionnage de masse, chercher à se prémunir contre les intrusions de toute sorte en choisissant une messagerie sécuritaire autant que facile à utiliser.
Il est relativement facile de se faire une idée des messageries les plus intéressantes actuellement (décembre 2018). Il suffit de jeter un coup d’oeil sur des sites Internet qui en font la recension: nexusconsultancy, ikream, lifewire, theVPN guru, techjunkie, blog-libre, pour ne nommer que ceux-là. Ce qui est intéressant, c’est que dans toutes ces sources, trois services reviennent comme des refrains: tutanota, protonmail et mailfence.
Nous allons donc faire un essai de ces trois possibilités, en privilégiant leur option gratuite. Précisons que nos besoins se limitent à l’envoi et à la réception de emails, parfois de pièces jointes (textes ou photos), en plus d’éventuels liens vers un site Internet ou l’autre. Les fonctionnalités sophistiquées recherchées par les nerds du domaine ne sont donc pas dans notre mire.
Parlons d’abord de tutanota (https://tutanota.com/fr/). Ce service basé en Allemagne est très simple d’utilisation. Il ne réclame pas de renseignements personnels et inclut un chiffrement automatique des messages. Cela ne pose aucun problème entre comptes tutanota, mais il faut transmettre un mot de passe à un adepte d’une autre messagerie si l’on veut qu’il puisse accéder au message. Comme cette procédure peut être considérée comme laborieuse, il est aussi possible d’utiliser un mode non chiffré (dit « non confidentiel »).
Par ailleurs, ce service adopte une approche originale lorsqu’il est nécessaire de reprendre possession d’un compte, par exemple en cas d’oubli du mot de passe ou lors du malfonctionnement occasionnel du système: on nous fournit un code de récupération qui évite de faire appel à une autre adresse courriel. Une autre caractéristique de tutanota, c’est qu’il ne présente pas d’icône permettant d’intégrer des liens. Il faut donc réaliser le lien sur un éditeur de texte (comme par exemple à l’intérieur d’un article sur WordPress.com) ou encore à l’intérieur d’un message sur un autre compte courriel, pour ensuite faire un copier-coller.
Détails de la procédure copier-coller sur un ordinateur PC: on met d’abord en brillance l’URL, c’est-à-dire l’adresse du site Internet qui nous intéresse; on fait ensuite CTRL c (les deux touches en même temps) pour la mettre en mémoire; puis on place le curseur à l’endroit dans le message tutanota où on veut insérer le lien et on fait CTRL v pour l’afficher.
Ces originalités de tutanota visent sans doute à assurer son insularité et donc à renforcer sa sécurité.
Protonmail (https://protonmail.com/fr/) a un peu moins de scrupules en la matière. Il s’agit d’un service de messagerie chiffrée basé en Suisse qui permet, lui, d’intégrer des liens dans les messages. Mais l’espace de stockage sur protonmail est de 500 Mo seulement, soit la moitié de ce qu’offre l’option gratuite de tutanota. Il est aussi un peu pénible à utiliser, si on le compare à tutanota.
Par ailleurs, les messages de l’équipe protonmail sont généralement en anglais, ce qui signifie peut-être que celle-ci s’intéresse surtout au marché américain. Mais alors, cela veut-il dire que malgré sa localisation en Suisse, protonmail pourrait subir des pressions des agences de renseignements américaines, largement dévoilées par Edward Snowden en 2013, comme on l’a vu plus haut?
Il y a certes moins de risques à ce propos avec le service mailfence, basé en Belgique (https://mailfence.com/fr/). Il semble que les lois belges protègent la vie privée et rendent donc mailfence sécuritaire (sauf bien sûr si on l’utilise pour commettre des délits). Mais le service lui-même présentent d’étranges incongruités. Par exemple, il affiche, dès l’inscription, une page où des renseignements personnels assez élaborés sont demandés (adresse, date de naissance, etc.). En fait, il n’est pas vraiment indispensable de fournir ces données, mais la chose n’est pas mentionnée clairement.
D’autre part, on peut facilement réinitialiser un mot de passe de l’extérieur, par le biais d’une autre messagerie, qui, elle, pourrait ne pas être sécurisée. (Là-dessus, comme on l’a vu, tutanota préfère fournir un code de récupération, ce qui permet d’accéder à son compte en urgence, sans avoir recours à une autre messagerie.) Il est ironique de constater qu’à l’intérieur d’un compte mailfence, un bug rend le changement de mot de passe assez difficile. Par ailleurs, mailfence, version gratuite, fournit un espace de stockage de 500 Mo, soit autant que protonmail. Et sa barre des tâches donne la possibilité d’inclure des liens (mais seulement en réponse à un message, car la barre des tâches ne s’affiche pas lorsqu’on écrit soi-même un premier message). Notons en terminant qu’avec mailfence, le chiffrement peut être activé à volonté, et qu’il ne l’est pas par défaut comme sur tutanota et protonmail.
Bref, avec tutanota, protonmail et mailfence, on est dans le monde des messages chiffrés, au moins en partie. Mais à l’expérience, il est clair que tutanota remporte la palme de la sécurité autant que de la convivialité.
Mise à jour de décembre 2019:
Le 12 ou le 13 décembre 2019, une alerte de sécurité (suite à une intrusion vite arrêtée) a attiré l’attention sur la nécessité d’aller au-delà de la protection minimale que procure le mot de passe. On parle alors de « validation à deux facteurs » ou de « validation à deux facteurs » (https://www.pcworld.com/article/3225913/what-is-two-factor-authentication-and-which-2fa-apps-are-best.html).
Il semble que l’envoi d’un code par message-texte soit peu sûre, parce que le code risque d’être intercepté. La méthode réputée la plus sûre serait une clé USB spécialisée de type Yubikey qu’on branche sur l’appareil. Mais on peut perdre cette clé USB, qu’il faut d’ailleurs commander à l’étranger (au coût minimal de 20$, plus frais de transport et frais de douane).
Une autre méthode, pratique et gratuite, mais un peu moins efficace que la Yubikey ou l’équivalent, consiste à installer un authentificateur sur un téléphone intelligent. Le plus simple, Google Authenticator, permet de scanner un code soumis par tutanota. Tutanota demande ensuite de transcrire le code à six chiffres créé par l’authentificateur. On dispose désormais d’une protection supplémentaire appréciable, bien que l’entrée dans le compte courriel soit maintenant plus longue et plus ennuyeuse.
Cette « validation à deux étapes » est parfois proposée pour les comptes bancaires en ligne et pour le transfert de fonds. Il s’agit certainement d’une option intéressante, qui devrait permettre d’écarter, autant que possible, l’envoi d’un code par message-texte.
comprendreconstruire 