Si vous échangez des e-mails avec d'autres personnes, en utilisant les fournisseurs de messagerie habituels (La Poste, GMail, Outlook, Free, Orange, SFR, etc.), les échanges ne sont pas sécurisés, en effet leur contenu est lisible par le fournisseur du destinataire et de l'expéditeur, ainsi que par les intermédiaires. Ceux-ci enregistrent également l'adresse IP utilisée pour envoyer ou consulter un message. Cela permet ensuite de contacter votre opérateur Internet pour obtenir votre identité.

Pour communiquer de manière sécurisée et anonyme, il est possible d'utiliser un service d'email chiffré, comme ProtonMail par exemple. Ce service, basé en Suisse, permet de chiffrer les messages entre les personnes utilisant ProtonMail, et aussi de donner une durée d'expiration à ces messages : après cette durée le contenu du message ne sera plus lisible.

Quels risques ? Quelle menace ?

Il faut garder en tête que ProtonMail, et les autres fournisseurs de mail, comme Tutanota, sont soumis à la loi de leur pays, et s'y plient régulièrement. Ainsi ils peuvent enregistrer l'adresse IP utilisée pour envoyer et lire les messages, ou même être contraints à par la justice à faire en sorte que vos messages ne soient plus chiffrés :

• Protonmail a livré à la police des informations sur des militants climat de YouthForClimate
• Un tribunal allemand oblige le fournisseur de messagerie chiffrée Tutanota à installer une porte dérobée pour permettre aux enquêteurs de lire des courriels

C'est pour cela qu'il est important de connaître les limitations de ces services, et se protéger. On peut imaginer limiter les risques en changeant d'adresse et de fournisseur tous les six mois par exemple, en prenant soin de supprimer l'ancienne adresse.

Il faut aussi garder en tête que les méta-données (adresse de l'expéditeur et du destinataire, date et heure du message, sujet) sont souvent plus faciles à obtenir par des attaquants, une attention particulière doit être donnée à choisir un nom d'utilisateur qui ne permette pas de faire le lien avec son identité réelle (par exemple ne pas créer une adresse lolo01@proton.me si on s'appelle Laurent et qu'on habite dans l'Ain…).

Pour les informations très risquées, il est conseillé d'empiler les couches de sécurité, par exemple :

• envoyer un fichier ZIP ou PDF protégé par mot de passe (préalablement échangé en dehors des e-mails) ;
• transmettre dans le message un lien qui utilise un service de message chiffré avec un mot de passe et une expiration automatique au bout de quelques jours par exemple. Voir notre guide : Partager des informations de manière sécurisée et éphémère avec PrivateBin

Dans tous les cas, il est conseillé de supprimer ses messages le plus vite possible, dès qu'on n'en a plus l'utilité, et de ne rien garder en archives. Il est conseillé aussi de ne rien imprimer, ni enregistrer sur son disque dur.

Protéger son identité

Si votre fournisseur d'e-mail cafte votre adresse IP, alors il sera difficile de vous identifier si vous utilisez Tor. Ce réseau permet de cacher votre adresse IP au fournisseur d'e-mail.

Pour que sa protection soit la plus efficace, il est capital de ne jamais se connecter au service d'e-mail sans passer par Tor, et évidemment de ne pas divulguer d'informations pouvant vous identifier vous, ou vos correspondants, dans les e-mails. Donc ne pas écrire "Salut Jean-Miche, on se voit demain ?" dans un message :)

Quel fournisseur ?

Nous avons choisi de présenter ici le fournisseur ProtonMail, car il est relativement simple de s'y créer un compte sans fournir de données personnelles. Mais il existe d'autres fournisseurs sur ce créneau, vous en trouverez quelques uns sur le site PrivacyGuides.

Comment créer un un compte sur ProtonMail avec le navigateur Tor ?

Installer le navigateur Tor (ou "Tor Browser" en anglais)

Attention : il est particulièrement important de ne jamais se connecter au service d'e-mail sans utiliser Tor, au risque de dévoiler votre adresse IP et permettre ainsi de faire le lien avec votre identité.

Tor est un réseau, basé sur des logiciels libres, qui permet de cacher son adresse IP sur Internet, utilisé dans les dictatures pour contourner les blocages de sites. Le plus simple pour se connecter au réseau Tor est d'utiliser le navigateur Tor. Celui-ci permet de se connecter au réseau, mais aussi de brouiller les pistes, par exemple en utilisant une taille de fenêtre différente pour ne pas indiquer quel taille d'écran vous avez.

• Télécharger le navigateur Tor pour Windows, macOS ou Linux
• Installer le navigateur Tor sur Android
• Pour iOS (iPhone/iPad), il faut utiliser le navigateur Onion

Tous ces logiciels sont libres : leur code source est ouvert et lisible par tout le monde, et issu de contributeurs du monde entier.

Suivez les instructions de l'installation, puis lancez le navigateur Tor. Lors de la première ouverture, le navigateur va vous proposer d'activer le réseau Tor, cochez bien la case Toujours se connecter automatiquement, puis cliquez sur le bouton Se connecter

Le navigateur se connecte ensuite au réseau. Cela devrait prendre moins de 30 secondes.

Créer un compte ProtonMail

Attention : utilisez toujours le navigateur Tor pour accéder à ProtonMail, n'installez pas l'application ProtonMail sur votre téléphone pour accéder à vos mails, celle-ci ne protège pas votre identité.

Une fois connecté à Tor, une page d'accueil s'affiche avec un champ de recherche. Cliquez sur le champ de la barre d'adresse et tapez l'adresse proton.me/fr

À cette étape (ou un peu après), il est possible que le navigateur vous demande d'activer les sites en Onions. Ce sont simplement des adresses accessibles uniquement via le réseau Tor. Il est recommandé d'activer cette option. Si une fenêtre s'ouvre après avoir activé l'option, la fermer sans rien faire.

Si le navigateur Tor vous propose de passer en anglais, il est conseillé de le faire si vous maîtrisez l'anglais. Sinon, répondez non. Le reste de ce document suit l'interface en français.

Sur le site de ProtonMail, cliquez sur le bouton Créer un compte gratuit. Sur l'écran suivant, choisir l'offre Proton Free.

Là, dans le formulaire, choisissez un pseudo (qui ne puisse pas être relié à votre identité réelle), puis un mot de passe. Nous conseillons un mot de passe d'au moins 12 caractères. Pour simplifier les choses, il est possible de composer son mot de passe de 4 mots choisis au hasard dans le dictionnaire, par exemple : cheval couture stylo manger.

Valider le formulaire. ProtonMail vous demandera de valider la création du compte avec une adresse e-mail ou un numéro de téléphone.

Attention : ne PAS indiquer ici son adresse e-mail existante ou son numéro de téléphone !

Utilisez pour cela une adresse e-mail jetable, par exemple chez le service YopMail.com. Pour cela ouvrez un nouvel onglet dans le navigateur Tor (par exemple en utilisant les touches du clavier Ctrl et T en même temps), et tapez l'adresse yopmail.com. Sur la page d'accueil de YopMail, cliquez sur le bouton Générer une adresse au hasard.

Sur la page suivante, cliquez sur le bouton Copier dans le presse-papier.

Ne fermez pas cet onglet, revenez au formulaire d'inscription ProtonMail, et collez l'adresse qui vient de vous être indiquée (clic droit sur le champ de formulaire, puis cliquer sur Coller).

Cliquez sur le bouton pour valider la vérification. ProtonMail vous indique qu'un message a été envoyé à l'adresse YopMail avec un code de vérification.

Retournez sur l'onglet de YopMail et cliquez sur le bouton Vérifier les mails.

Cliquez dans la colonne de gauche sur le message envoyé par ProtonMail. Le code apparaîtra dans la colonne de droite. Copiez ce code dans le presse-papier, ou notez-le. Revenez dans l'onglet de ProtonMail et indiquez ici le code reçu.

ProtonMail vous demande ensuite de choisir un nom d'affichage. Encore une fois, soyez prudents sur ce choix pour ne pas révéler votre identité.

Il est ensuite demandé de fournir un numéro de téléphone ou une adresse e-mail permettant de récupérer l'accès à vos messages si vous perdez votre mot de passe. Il est conseillé ici de cliquer sur Plus tard et de ne fournir aucune autre information. Pas de panique, vous pourrez ensuite utiliser une autre méthode pour récupérer l'accès en cas de perte de mot de passe.

Il ne vous reste plus qu'à cliquer sur le bouton Proton Mail pour accéder à votre nouvelle boîte mail.

Créer une phrase de récupération

Si vous souhaitez pouvoir retrouver l'accès à votre boîte mail en cas de perte de mot de passe, vous pouvez créer une phrase de récupération. Pour cela cliquez sur l'icône en haut à droite et sur Créer une phrase de récupération.

ProtonMail vous demande ensuite de confirmer avec votre mot de passe, et affiche ensuite 12 mots anglais choisis au hasard. Vous pouvez noter ces 12 mots, par exemple dans les marges d'un livre de votre bibliothèque, ou sur un papier caché dans votre frigo, ou dans un coussin… Ayez de l'imagination :-) L'important étant de conserver les 12 mots dans l'ordre.

Désactiver les journaux de connexion

Par défaut, ProtonMail enregistre la date, l'heure et le nom du navigateur utilisé pour vous connecter. C'est un élément qui peut être utilisé en cas d'attaque.

Vous pouvez désactiver cela dans le menu Paramètres, option Sécurité et vie privée, décochez l'option Activer les journaux d'authentification.

Envoyer un message qui s'auto-détruit

Il est conseillé d'envoyer un message qui s'auto-détruit la plupart du temps. Pour cela quand on va dans le formulaire de Nouveau message (1), il faut cliquer sur les 3 petits points en bas du message (2), puis cliquer sur l'option Délai d'expiration.

Ensuite il faut indiquer la durée de validité du message en jours et en heures. Si vous envoyez ce message à quelqu'un qui n'utilise pas ProtonMail, il faut alors cocher la case J'envoie ce message à une personne qui n'utilise pas Proton Mail. Un mot de passe vous sera demandé, que vous devrez partager avec votre contact (autrement que par les mails !), car il lui sera demandé pour lire le contenu du mail.

Supprimer automatiquement les messages reçus après un délai

Pour le moment ProtonMail ne supprime pas automatiquement les messages qui sont dans la corbeille ou dans les spams, il faut donc penser à aller les supprimer manuellement.

Cependant il est possible de le configurer pour mettre une expiration sur tous les messages reçus et envoyés. Pour cela il faut aller dans les Paramètres, option Filtres, cliquer sur le bouton Nouveau filtre Sieve. Dans le champ "Nom du filtre" indiquer "Nettoyage automatique". Dans le texte du filtre, effacer ce qui est présent, et recopier les lignes suivantes :

require "vnd.proton.expire"; 
# Expirer tous les messages après 60 jours
expire "day" "60";

Ce filtre expire automatiquement tous les messages reçus et envoyés au bout de 60 jours (2 mois), quel que soit leur dossier, même s'ils ne sont pas dans la corbeille. Vous pouvez modifier la durée en remplaçant 60 par le nombre de jours désirés.

Attention : les messages expirés ne seront plus lisibles ! Le but ici est de limiter les risques d'exposition de données si vous oubliez de supprimer des messages.

Autres ressources

• Vidéo : explication du fonctionnement du navigateur Tor
• Le très complet Guide d'autodéfense numérique (régulièrement mis à jour)
• Guide de sécurité RiseUp
• NextInpact : ProtonMail : prise en main et ergonomie d'un webmail chiffré « accessible »

Contribuer au financement des outils

Nous recommandons de contribuer au financement des outils utilisés pour protéger notre vie privée, notamment le réseau Tor, par exemple en faisant un don à l'association Nos Oignons qui héberge des serveurs du réseau en France.

Note : cette page est placée sous licence Creative Commons BY-SA, n'hésitez pas à la partager en mentionnant la source :-)