Les emails sont une composante essentielle de notre vie numérique. Pourtant, tous les services de messagerie ne se valent pas. Vente de données à des fins marketing, chiffrement discutable, spams, phishing, les géants du secteur sont loin d'être irréprochables.
Malgré des avancées en matière de protection de la vie privée et le développement de nouvelles fonctionnalités riches, tout est loin d'être parfait dans le monde des services de messagerie. Les deux principaux acteurs du secteur, Gmail et Outlook, se rendent coupables de pratiques pas toujours idéales pour la sécurité de leurs utilisateurs. On vous explique.
Ce que votre fournisseur de messagerie ne vous dit pas
La collecte de données dans Gmail à des fins marketing
Depuis 2017, Google affirme ne plus scanner les mails de ses utilisateurs pour récupérer des données à des fins de publicité ciblée. Cela ne signifie pas pour autant que les communications sont à l'abri des yeux indiscrets du géant du web : des scans automatiques des mails continuent d'avoir lieu. Et les données récoltées sont tout de même bien utiles pour Google (horadatage, fréquence d'utilisation, destinataires courants…), qui promet alors de meilleures intégrations à son écosystème, comme des ajouts automatiques sur Agenda ou Maps.
De plus, lorsque Google a détaillé en 2021 les données qui étaient collectées par son application Gmail sur iPhone, il a été découvert que l'entreprise partageait aux annonceurs la localisation approximative des utilisateurs, leur identifiant utilisateur et des données sur les publicités qu'ils avaient vues en ligne. Même si les mails ne sont plus scannés à cette fin, les données que Google récupère ne sont donc pas totalement à l'abri des annonceurs.
Des apps tierces au détriment de la sécurité
Si Google avait décidé d'arrêter de scanner les mails pour revendre des données marketing à des tiers, l'entreprise n'a cependant pas empêché les développeurs d'add-ons et applications mobiles de le faire. En 2018, le Wall Street Journal a dévoilé que ces add-ons et applications avaient accès au contenu des boites mail des utilisateurs et que dans certains cas, ils permettaient à leurs employés de les lire pour améliorer leurs services. Certains vendaient même les informations à d'autres sociétés. Pour se défendre, Google a affirmé que les applications qui avaient accès à ces données devaient le préciser aux utilisateurs. Mais la plupart le font dans des politiques de confidentialité qui, avouons-le, sont rarement lues dans leur entièreté.
Des promesses de chiffrement douteuses
Les failles du mode confidentiel de Gmail
Pour répondre aux inquiétudes de ses utilisateurs, Google a introduit un "mode confidentiel" à Gmail. Lorsqu'un message "confidentiel" est envoyé, plusieurs options supplémentaires (expiration, révocation de l'accès) sont disponibles pour protéger sa copie ou son transfert accidentel. Aussi, un code secret peut être demandé pour valider l'identité du destinataire.
Cependant, ce mode présente plusieurs défauts. Pour profiter de la fonctionnalité de code secret, vous devez fournir le numéro de téléphone de votre contact à Google. En plus de récupérer des données, l'entreprise sait donc parfaitement avec qui vous communiquez. Par ailleurs, les mails ne sont pas chiffrés de bout en bout, ce qui signifie que si besoin, l'entreprise pourrait tout à fait avoir accès à leur contenu, d'autant que les messages n'expirent pas réellement. Ajoutons que le code secretest généré par… Google et non choisi l'expéditeur.
Contrairement aux apparences, ce mode confidentiel n'améliore pas la confidentialité des utilisateurs. Il ne sert qu'à prévenir des erreurs humaines qui pourraient conduire à un partage accidentel d'une communication privée.
Les failles du chiffrement d'Outlook.com
De son côté, Outlook propose un système de chiffrement des mails, à condition d'être abonné au service. Microsoft donne le choix entre deux options : chiffrer ou chiffrer et désactiver le transfert. Dans le deuxième cas, les pièces jointes Microsoft Office restent chiffrées même après leur téléchargement et si elles sont transférées à une autre personne, cette personne ne pourra pas les consulter. Plutôt bien pensé.
Cependant, si cette fonctionnalité est bien supérieure au mode confidentiel de Google, elle n'est pas exempte de défauts. Si le destinataire possède également un compte Microsoft, il peut lire le message directement dans sa boite mail, sans manipulation supplémentaire. En revanche, les utilisateurs d'un autre service de messagerie recevront à la place un lien pour consulter le mail. Problème : Microsoft envoie le code pour déchiffrer la communication sur cette même adresse. Si le compte mail du destinataire a été compromis, la protection offerte par le chiffrement est donc caduque et facilement contournée. Enfin, Microsoft s'occupe entièrement de la gestion et du stockage des clés de chiffrement, ce qui permet à l'entreprise d'y accéder.
Votre messagerie est une cible, et voici pourquoi
Google, Microsoft, des cibles privilégiées : DDoS, phishing
En plus de faire partie des services de messagerie les plus utilisés, les comptes Microsoft et Google ont autre chose en commun : ils peuvent être utilisés pour se connecter à de nombreuses applications, tierces ou non. Des utilisations polyvalentes qui en font des cibles privilégiées pour le phishing. Obtenir l'accès à l'un de ces comptes ouvre aux hackers un sésame d'informations avec des authentifications potentielles sur LinkedIn, Evernote, Slack, Trello… Il n'est donc pas rare qu'en utilisant ces services, l'adresse mail se retrouve continuellement ciblée par des spams et des mails malveillants.
Des entreprises soumises à la surveillance de masse
L'affaire Snowden a révélé comment Microsoft et Google travaillaient étroitement avec les agences gouvernementales américaines. Microsoft, par exemple, a permis à la NSA de contourner le chiffrement que l'entreprise avait elle-même mis en place. Ces entreprises sont basées aux États-Unis et sont donc soumises aux demandes de ces agences, lesquelles partagent parfois leurs informations avec d'autres agences dans le monde entier. Autrement dit, si vous avez besoin que vos données personnelles restent loin des yeux du gouvernement, Outlook et Gmail ne sont probablement pas la meilleure solution.
Proton Mail, l'alternative de confiance
Pas de collecte à des fins marketing
Proton Mail est un service de messagerie sécurisée dit "freemium" : il est possible d'avoir un compte gratuit avec limitations ou de payer pour débloquer toutes les fonctionnalités. Ainsi, l'entreprise se finance en toute transparence grâce aux abonnements, sans avoir à vendre de données. De toute manière, elle n'y a pas accès : Proton Mail utilise une architecture "zéro accès", où le chiffrement est réalisé du côté de l'utilisateur, et ne peut être contourné par l'entreprise elle-même.
Un vrai chiffrement des messages
Proton Mail propose un chiffrement de bout en bout de tous les messages et, comme dit précédemment, zéro accès, ce qui signifie que l'entreprise elle-même ne peut pas déchiffrer et lire le contenu des messages présents sur votre boite mail. Petite précision à noter : l'objet du mail et les adresses mail des destinataires/expéditeurs sont chiffrées, mais pas de bout en bout. Le chiffrement a lieu sur votre appareil et les mails sont donc chiffrés lorsqu'ils arrivent sur les serveurs de l'entreprise, ce qui garantit que seuls vous et vos destinataires peuvent les lire. Si vos destinataires utilisent aussi Proton Mail, encore mieux : tous les mails sont chiffrés de bout en bout par défaut. Sinon, Proton Mail accepte l'utilisation de clés PGP, générées automatiquement lorsque l'on crée un compte sur la plateforme, ou d'un mot de passe pour le chiffrement des communications. Notons aussi la possibilité d'ajouter la clé publique de l'un de ses contacts qui n'utilise pas Proton.
La protection suisse
Contrairement aux géants du secteur, Proton Mail n'est pas basé aux États-Unis. L'entreprise a choisi la Suisse, pays réputé pour ses lois strictes en matière de vie privée. La Suisse se trouve effectivement en dehors des juridictions européennes et américaines. Les agences de renseignement américaines ou européennes devront donc formuler leur demande aux autorités suisses, particulièrement portées sur la protection de la vie privée.
Proton a décidé de prolonger ses offres Black Friday jusqu'à la fin de l'année avec des abonnements à -33% ou -40%.
- storage1 Go de stockage
- securityChiffrement natif par défaut
- alternate_emailPas de domaine personnalisé
- smartphoneApplications iOS, Android
- push_pinJurisdiction Suisse