Ça y est, l’info est tombée. Tutanota, cette messagerie sécurisée est sous le feu des projecteurs.

Tutanota est le service d’e-mails le plus sécurisé au monde, facile à utiliser et respectueux de la vie privée par conception. Créer un compte e-mail chiffré gratuitement maintenant.

Chiffrement

Comment Tutanota propose de garantir la sécurité de nos mails? Par le chiffrement bien évidemment. J’ai déjà expliqué comment fonctionne le chiffrement des mails, mais pour résumer, il faut une paire de clés, une qu’on garde bien au chaud sur notre machine, à l’abri de tout le monde, la clé privée, et l’autre, qu’on diffuse partout, la clé publique. L’utilisation de ces deux clés permet, soit de signer un message, soit de le chiffrer.

Ces deux clés sont fortement liées, mais on ne peut pas retrouver une à partir de l’autre. Elles doivent être générées en même temps. Concrètement, on peut voir le processus comme une serrure qui fonctionne avec deux clés, si elle a été verrouillée par une clé, elle devra être ouverte par l’autre clé.

Par exemple, pour chiffrer un e-mail, je vais créer une boîte dans laquelle je mets mon texte et je la verrouille avec la clé publique de la personne avec qui je veux communiquer. Ce faisant, uniquement la clé privée de cette personne pourra ouvrir la boîte et ainsi garantira que la lecture lui sera réservée1.
Bien évidemment, pour que cela fonctionne il faut que je possède la clé publique de destination, donc que j’aie une copie de toutes les clés des personnes avec qui je converse. Et pour que cela soit sécurisé, il faut que la clé privée soit privée.

Tutanota et Protonmail

Ces deux entreprises, et j’imagine tant d’autres, nous vendent une messagerie sécurisée.

La boîte de messagerie Tutanota vous permet de sécuriser facilement vos communications par e-mail. Le chiffrement automatique de bout-en-bout assure que permet ne peut espionner vos e-mails sécurisés. Nous construisons Tutanota pour protéger vos e-mails de tout personne tierce, y compris nous.

Et voici l’extrait du mail reçu lors de l’inscription au service:

Tutanota follows 4 principles to offer a privacy-friendly alternative

  1. Tutanota does not track you.
  2. Tutanota can not scan your data.
  3. Tutanota encrypts your entire mailbox, contacts & calendar.
  4. Tutanota incorporates privacy by design.

Donc, le système utilise le chiffrement des mails mais comme rien n’est demandé lors de la création du compte, j’en déduis que la paire de clé est enregistrée sur leurs serveurs. C’est ici que le bât blesse. Si votre clé n’est pas enregistrée sur votre machine uniquement, alors elle n’est pas privée. Vous avez donc un système qui fonctionne, mais avec une paire de clés publiques. Ce qui veut dire que vos mails ne sont pas sécurisés, du moins vous ne pouvez pas garantir de leur sécurité.

On fait comment alors?

Comme souvent en informatique, la solution est relativement simple. Utilisez un client mail (par exemple Thunderbird) et configurez le pour chiffrer et signer vos mails. Vous devrez générer une paire de clés, comme expliqué plus haut. Vous avez maintenant le contrôle sur vos clés, vous pouvez partager la clé publique et vous pouvez cacher la clé privée. Personne n’y ayant accès, vous avez un mail vraiment sécurisé, contrairement à ce qui est vendu par ces entreprises. La bonne nouvelle c’est que cette solution fonctionne avec tous les hébergeurs, et vous garanti que votre hébergeur ne pourra pas lire ces mails, que ce soit GMail, Microsoft, Apple, Infomaniak ou même Tutanota.

Et surtout, gardez à l’esprit que ce que ces entreprises vous disent est toujours dans le but de vous vendre un service. Arrêtez de croire que ces entreprises sont vos amies, allez voir un hébergeur local, associatif si possible, dans lequel vous avez confiance et payez-les pour vos services. Non, le numérique n’est pas gratuit. Si c’est gratuit, c’est que vous n’êtes pas le client.

Prenez du temps pour vous former, l’informatique ce n’est pas simple et c’est un des rares sujets où l’on attend de vous que vous soyez compétents sans jamais vous former.


  1. Les clés publiques doivent être échangées avant de pouvoir utiliser le chiffrement. Heureusement, la clé publique étant publique, il n’est pas nécessaire de sécuriser ce transfert, il faut uniquement s’assurer que c’est bien la bonne clé, ce qu’on peut faire aisément avec une solution comme le hachage. ↩︎