Messagerie email éthique : comment préserver sa vie privée (et celle de son entourage)

C’est la rentrée et c’est l’heure de faire une mise à jour des messageries emails qui valent le détour.

Commençons par établir les critères de sélection d’un service de messagerie emails valable. Après tout, il s’agit de confier sa correspondance privée avec sa famille, ses amis et ses contacts professionnels. La messagerie email est aussi le réceptacle de tous les échanges officiels, administratifs et de loisirs (factures, preuves d’achat, récépissés de l’administration, forums divers et variés…) que vous pouvez recevoir au quotidien.

Il s’agirait de ne pas de confier sa vie privée numérique à n’importe qui. Par n’importe qui, j’entends une entreprise qui se permettrait de lire vos échanges pour des prétextes d’amélioration de leur service ou d’établir des profils de leurs utilisateurs au travers du contenu de leurs emails, sans réelle transparence sur ce qui adviendra de ce qui a été collecté.

Ce qui se passe dans ma boite email reste dans ma boite email. Et ne s’éparpille pas dans les serveurs de l’entreprise X, revendu à l’entreprise Y sans mon accord.

Critère 1 : le service email respecte la vie privée de ses utilisateurs. Le fournisseur email ne lit pas les emails de ses utilisateurs. Je trouve désolant de devoir spécifier ce premier critère et pourtant, c’est nécessaire.

Critère 2 : le service email est basé dans un pays respectant la vie privée de ses citoyens. Genre pas un pays qui s’arrogerait le droit de mettre le nez dans ma vie privée parce qu’il en a envie.

Critère 3 : le service email inspire confiance par son approche et son modèle économique. Ce critère « confiance » est assez subjectif. C’est donc mon point de vue personnel qui s’exprime ici, pas une vérité immuable.

 

1. Résultats courts

Pour les plus pressés, voici les résultats à la volée.

Les service de messageries emails que je conseille

  • Tutanota
  • ProtonMail
  • Infomaniak
  • Vivaldi
  • Runbox
  • StartMail
  • Kolab Now
  • Mailfence
  • Ox.io
  • Posteo
  • Mailbox

Les services qu’on peut utiliser

  • OVH
  • Gandi
  • Yulpa
  • Net C
  • Zaclys
  • mail.be
  • riseup
  • Autistici
  • Gozmail.bzh
  • Fastmail
  • Unseen

les services à ne pas utiliser

  • Yahoo
  • YandexMail
  • OpenMailBox
  • Gmail
  • GMX
  • Outlook
  • La Poste
  • Scryptmail
  • Zoho

 

2. Résultats en details

2.1 Les services de messagerie conseillés

Ce sont des services qui respectent la vie privée de l’utilisateur et dont le pays hôte respecte lui aussi la vie privée de ses concitoyens.

Tutanota
Service basé en Suisse avec options payantes. Les emails sont chiffrés de bout en bout entre utilisateurs Tutanota. Possibilité de mettre un mot de passe aux emails envoyés en externe.

ProtonMail
Service basé en Suisse avec options payantes. Les emails sont chiffrés de bout en bout entre utilisateurs Protonmail.

Infomaniak
Hébergeur Suisse fournissant un certain nombre de services internet classiques : hébergement, nom de domaines, serveurs et pour la partie qui nous intéresse service email + calendrier + carnet de contacts.
Il faut acheter un nom de domaine et la prestation email adequat. Cela revient à une trentaine d’euros par an. C’est ma solution préférée.

Vivaldi
Service gratuit basé en Norvège et Islande. Le Vivaldi présenté ici est à mettre en lien avec le navigateur internet lancé par Jon von Tetzchner du même nom. A noter que ce service est très complet avec calendrier et carnet d’adresses. Un compte chez Vivaldi vous donnera accès à leurs forums et à un profil pour créer un blog hebergé chez eux.

Runbox
Service payant basé en Norvège. Les conditions d’utilisation sont claires et ce service est assez réputé. Je ne l’ai pas utilisé donc c’est une vision extérieure.

StartMail
Service basé aux Pays-Bas. Propose du chiffrement facilement utilisable. Par les créateurs d’Ixquick et de Startpage.

Kolab Now
Basé en Allemagne Suisse, un service payant très complet avec calendrier et suite logiciels (traitement de texte et tableur en ligne, stockage de fichiers en ligne).

Mailfence
Basé en Belgique, avec également calendrier et stockage de documents possible. la base est gratuite et possibilité de payer une somme modique pour plus d’options.

Ox.io
Le pendant email de Qwant. C’est un service encore en phase beta, hébergé en Allemagne mais très agréable à utiliser. A noter la présence de nombreux outils comme traitement de texte, tableur en ligne et stockage. Servic de base gratuit et options payantes. C’est le service que je surveille. A ce propos, avez-vous vu la dernière publicité de Qwant ? Excellent non ?

Posteo
L’email le plus écologique et éthique de la liste je pense. Basé en Allemagne. A partir de 12 euros par an.

Mailbox
Service allemand complet : email, agenda, traitement de texte et tableur en ligne, espace de stockage. Payant à partir de 12 € par an. Là aussi, un bon choix très complet.

2.2 Les services de messagerie qu’on peut utiliser

Ici se retrouvent de nombreux services qui ne remplissent pas mes critères de sélection à 100%. Souvent, c’est parce que le service réside dans un pays qui respecte de moins en moins la vie privée et l’intimité de ses citoyens. C’est le cas pour tous les services basés en France avec les nombreuses lois de surveillance type Loi de Programmation Militaire, Loi Renseignement, lois liées à l’état d’urgence, etc…

Autistici
Service militant altermondialiste gratuit basé en Italie. Le service est respectueux des utilisateurs mais de par sa nature, je le soupçonne d’être largement surveillé par divers services étatiques. C’est regrettable. L’esprit libertaire et positif est là mais dans un environnement de surveillance généralisé imposé par les Etats.

Ils se sont aperçus le 14 septembre qu’un compte admin avait compromis et sont en train de réinstaller leur infrastructure depuis.

OVH
Incontournable géant français du numérique. En achetant un nom de domaine, vous aurez droit à un boite email de 5 Go de base (sans calendrier). Il est possible de souscrire à des formules emails plus poussées et donc payantes. Je vous déconseille l’offre « e-mail pro » chez OVH qui ne synchronise avec rien et qui n’exporte pas le calendrier, ni les contacts. C’est ce que j’appelerais une offre « cul de sac », je me suis fait avoir et je ne la conseille à personne. Pour le reste des offres pro, c’est avec du Microsoft Exchange et Office. Du privateur à souhait.

OVH est soumis aux lois françaises donc à toutes les initiatives (dérives ?) sécuritaires des 10 dernières années. Je suis moyen chaud pour utiliser un service basé en France pour tout vous dire.

Gandi
Autre grand de l’internet français, Gandi propose lors de l’achat d’un nom de domaine 2 boites emails de 3 Go et il y a aussi un calendrier disponible. Ca fonctionne via le client web Sogo (pour ceux qui connaissent).

L’entreprise Gandi est également soumise aux lois sécuritaire françaises donc bof, bof.

Yulpa
Anciennement Web4all, association devenue entreprise, elle est basée en France. Cette entreprise propose les mêmes choses qu’OVH ou Gandi : noms de domaine, hébergement, produits email. Le client mail est basé sur Zimbra avec calendrier, carnet d’adresses et stockage de documents. Service payant. Soumis eux aussi aux lois française (voir OVH et Gandi).

Unseen
Service payant basé en Islande. Les conditions d’utilisation ont l’air intéressantes mais je n’ai pas testé ce service. Sur le principe, c’est bon. Sur l’usage et la pratique, je ne saurais vous dire.

Net-Courrier
Propose de nombreux services en plus de l’email : stockage de données, de photos et calendrier. C’est un service français qui héberge ses données chez Ecritel qui dispose de serveurs un peu partout dans le monde. Je dis pourquoi pas mais là aussi, soumisssion aux lois françaises.

Zaclys
C’est une association loi 1901 qui, à l’image de Framasoft, propose de nombreux services en ligne. Le service mail utilise l’interface Roundcube. A partir de 5 € par an. Belle initiative du monde associatif qui propose également de nombreux services numériques (du nuage à la française).

Mail.be
Service similaire à Mailfence, basé lui aussi en Belgique. Regroupe plusieurs services en plus de l’email : calendrier et stockage de documents. Gratuite et offres payantes.

Riseup
Service militant altermondialiste gratuit basé aux USA. Le service est respectueux des utilisateurs mais de par sa nature, je le soupçonne, comme Autistici, d’être largement surveillé par divers services étasuniens (NSA, FBI, DEA… la totale).

Gozmail.bzh
Association loi 1901 basée en Bretagne. Même philosophie que Zaclys et Framasoft. Il faut être membre de l’association pour accéder au service. A partir de 9 €.

Fastmail
Je crois que c’est visuellement et graphiquement ma suite email préférée (email, calendrier, stockage de documents). Les gars font un super boulot et leur offre payante vaut vraiment le coup pour la qualité de l’environnement graphique de ce service. Malheureusement, leurs serveurs sont basés aux USA donc soumis au Patriot Act (voir ci-dessous).

Newmanity
Un service Français qui a l’air sympathique avec l’utilisation de serveurs aux Pays-Bas. Leurs Conditions Générales d’Utilisation sont respectueuses de leurs utilisateurs. Cela semble plutôt positif dans l’ensemble.

2.3 Les services de messagerie à éviter

Certains services sont à éviter : ils lisent vos contenus en ligne et génèrent de l’argent en vous profilant. Ils peuvent également vendre ou échanger vos données personnelles à n’importe quelle entreprise sans vous le dire.

Autre raison potentielle de les éviter : leurs serveurs où sont stockés vos données peuvent être accessibles aux autorités administratives du pays par défaut sans aucun frein légal. C’est le case des USA où le Patriot Act donne le droit à la police de venir fouiller vos données numériques sans vous avertir, sans vous laisser le choix de coopérer ou de vous défendre légalement. C’est le cas des USA qui ont fait passer une loi appelée Patriot Act qui permet d’avoir accès à vos données informatiques détenues par les entreprises étasuniennes.

Les pires services cumulent tous les problèmes à la fois, Gmail pour ne citer que lui.

Gmail
Je ne présente même plus le service mail de Google. Cette compagnie vit de la publicité qui découle du profilage des utilisateurs de ses services. En clair, vous payez Gmail et le moteur de recherche Google avec vos données privées et celle des correspondants qui échangent des emails avec vous. Bref, vous mettez tout le monde dans l’embarras en utilisant Gmail.

De plus, basée aux USA, cette société est soumise au Patriot Act et la NSA. C’est donc open bar pour les autorités administratives pour lire les conversations des gens. Gênant.

GMX
Service email allemand qui collecte vos données personnelles. Même si elle laisse la possibilité de sortir du piège, c’est de base pour moi négatif.

« GMX peut demander ou collecter des informations personnelles des utilisateurs en ligne à travers diverses formes, y compris les formulaires de commande des produits et des services en ligne, et d’autres cas où les utilisateurs sont invités à fournir volontairement ces informations.
Les informations que nous recueillons sont des informations qui vous identifient personnellement, et peuvent inclure:

• votre nom
• votre sexe
• votre date de naissance
• votre pays

Vous pouvez supprimer ou modifier vos informations personnelles à tout moment dans votre compte GMX en allant dans Paramètres -> Compte -> Données personnelles. »

Yahoo
Là encore, un service médiocre quant au respect de la vie privée de ses utilisateurs. Les Conditions Générales d’Utilisation et les ratés techniques de type fuites récurrentes de Yahoo doivent vous faire fuir ce service. Sans parler de leurs changements de stratégie incessants et de leur rachat foiré de Tumblr qui l’a amené à sa perte.

Basée aux USA, soumis au Patriot Act et NSA.

Zoho
Email, suite bureautique en ligne, stockage de documents. Zoho fait tout. Et partage vos informations avec ses copains aussi…

« We may need to share your Personal Information and your data to our affiliates, resellers, service providers and business partners solely for the purpose of providing Zoho Services to you. The purposes for which we may disclose your Personal Information or data to our service providers may include, but are not limited to, data storage, database management, web analytics and payment processing. These service providers are authorized to use your Personal Information or data only as necessary to provide these services to us. »

De plus, étant une société américaine, elle est soumise au Patriot Act.

Et pour terminer, la position de leurs serveurs n’est pas divulguée pour des raisons de protection : à titre personnel, je trouve que cela manque de transparence. Je préfère souvent la transparence à l’opacité.

« Undisclosed locations. Zoho servers are located inside generic-looking, undisclosed locations that make them less likely to be a target of an attack. »

Outlook

Le service email de Microsoft, lié à Office 365 en ligne. Basé aux USA donc soumis au Patriot Act. Et puis Microsoft, le destructeur de l’informatique libre et open source.

La Poste
« Vos coordonnées postales sont susceptibles d’être utilisées à des fins de prospection commerciale par La Poste, ses filiales et ses partenaires sauf opposition de votre part en cochant la case »

Tout est résumé dans leurs conditions d’utilisation. C’est non.

Scryptmail
Aucun background sur cette entreprise, aucune réponse aux commentaires postées… On sait que c’est basé aux USA (Washington). Je déconseille vivement de l’utiliser.

YandexMail
Yandex est le Google russe. De nombreux services en lignes équivalent à Google, du profilage de ses utilisateurs et un pays dont les lois peuvent aller rapidement contre l’intérêt de ses citoyens. Je pense qu’il n’y pas de Patriot Act en Russie officiellement mais on devine plus ou moins que la démocratie, comme aux USA, ne tient qu’à un fil.

OpenMailBox
A la base une association loi 1901 fonctionnant grâce à des dons, qui par surprise cet été, c’est-à-dire sans prévenir ses utilisateurs, devient une société et restreint un certain nombre services, dont l’accès IMAP pour imposer ses options payantes. Comment dire ? Et bien, non. Tout simplement. Si je compare avec ce qu’à fait Yulpa (ex Web4All), c’est le jour et la nuit, c’est la transparence et la communication des mois en avance opposé à l’opacité au changement dans le dos des utilisateurs. Donc Openmailbox est bel et bien mort dans mon esprit. A éviter donc.

Conclusion

Voici donc un tour d’horizon du monde des webmails. Je vous laisse apporter votre pierre à l’édifice en commentaires car il y a certainement des choses à rajouter :)

Déjà 34 avis pertinents dans Messagerie email éthique : comment préserver sa vie privée (et celle de son entourage)

Pardon mais Kolab Now est basé en suisse: « We offer secure collaboration and email accounts. All data is stored exclusively in Switzerland » adress:
Kolab Systems AG, Weinmanngasse 88, 8700 Kuesnacht ZH, Switzerland.
Trade register no: CH-020.3.034.895-4. VAT no: 748 699
Vous avez oublié un excellent fournisseur de webmail, net-c. Peut-être l’offre la plus complète et la plus éthique du marché. Ue pense qu’il faudrait l’ajouter dans votre liste. Par contre, openmailbox est devenu synonyme d’arnaque.
Gandi propose 5 boites mails avec le nom de domaine.
Prendre une offre avec son nom de domaine peut être aussi une bonne étape intermédiaire pour, plus tard, héberger sois même son mail sans changer d’adresse.
Un changement de mail peut être tellement…
« Ce sont des services qui respectent la vie privée de l’utilisateur et dont le pays hôte respecte lui aussi la vie privée de ses concitoyens. »
Du coup, ça écarte les messageries françaises? <:o)
euh… oui, en gros, ce serait ça.

avec plaisir ^^

oui, je conseillerais d’éviter les messageries françaises, malheureusement.

je copie-colle un message de JCF qui a eu un souci avec le site pour commenter :
– Damien
——————————–
Bonjour,

Juste pour ajouter ma petite brique à ce (beau ticket):
De mon côté, en plus de mon compte chez Gandi (qui est ensuite rerouté sur mon serveur perso physiquement chez moi) j’ai un compte sur Mailoo.org.
Je te le conseille si tu ne connais pas (bon là ils sont contraints de ne plus accepter d’utilisateurs par manque de place) :
– mail gratuit, sans pubs et à base de logiciels libres (https://www.mailoo.org/legal.php)
– sous Roundcube (avec quelques plugins indispensables)

https://www.mailoo.org/index.php

En revanche ils ont constamment besoin d’aide :

https://www.mailoo.org/dons.php

Pour Gandi, même s’il sont assujettis à la loi Française, ils se battent quand même pour la préservation des données persos (du moins aux dernières nouvelles que j’ai pu lire. Et il me semble que le client est Roundcube (je l’utilisais au début mais je suis maintenant à 100% sur mon propre webclient)

Thunderbird est un client à installer sur votre ordinateur pour lire vos emails, quel que soit votre fournisseur email. Il est libre et open source donc largement recommandable

concernant Free, c’est comme les adresses SFR, Wanadoo ou Cegetel : hébergées en France, entre les mains de grosses boites du net, donc à éviter d’après moi

@data je découvre Disroot, ca a l’air pas mal du tout ^^ Merci pour le tuyau

Je rappell que Riseup a ouvert les vannes au FBI en décembre dernier. Ok juste pour deux comptes, mais quand même…

Disroot est très bien en tout cas.

Gozmail, tu peux avoir une boite mail 100mo pour 1€. 9€ c est l adhésion qui donne le mail et si on veut un WordPress hébergé chez eux.

Des retours d’expérience sur https://www.sud-ouest.org/ ?
C’est une association Loi 1901 qui propose une Plateforme Libre d’hébergement mail à prix libre.
Sur le papier, ça a l’air bien. Basé en France a priori (et si j’ai bien lu tout ce qui précède, ça c’est pas bien :-)
Pour comprendre:
Comment sait-on si le serveur de mail Vivaldi est respectueux de la vie privée ?
Je ne trouve nulle part les Terms of Service concernant le mail – seulement ceux concernant le site vivaldi.net et le forum…
Les remarques sur gmx avaient l’air de concerner gmx.fr et gmx.com.
J’ai donc regardé gmx.net, soumis aux lois allemandes de protection des données.
En fait, c’est assez inquiétant:
translate.googleusercontent.com/translate_c?tl=en&u=https://service.gmx.net/de/cgi/g.fcgi/products/mail/agb/privacy&usg=ALkJrhhvNgwowR7FJem70pwhIHnUTkrqzw
On peut arrêter la collection de données pour publicité ici:
account.gmx.net/ciss/communicationProfile/edit/personalizedAdvertisementChange
Concernant mon commentaire sur Vivaldi, leur Privacy Policy générale est tout de même rassurante:
vivaldi.net/privacy-policy/
Par ailleurs, je leur ai écrit pour en savoir plus concernant les mails. J’attends leur réponse.
Ox.io est en beta (donc pas d’utilisation sérieuse recommandable pour le moment). C’est une autre version de Mailbox.org (basée sur Open-Xchange), qui remplace l’abonnement annuel à 12 euros par de la publicité non ciblée. L’envoi de mails chiffrés est possible. C’est hébergé en Allemagne, un pays parmi les « 14 eyes » (« who have an agreement to collect, analyse, and share intelligence »). De ce point de vue, Vivaldi.net est plus intéressant, les serveurs étant soumis aux lois d’Islande.
J’essaie ox.io. Ca marche bien.
Sur le site (app.ox.io/appsuite), on peut créer en ligne ses clés PGP (privée et publique) pour son adresse mail ox.io. C’est très simple et ça encourage donc l’utilisateur à le faire.
Mais ça veut dire aussi que leur serveur stocke ces clés (dont la clé privée), ce qui ne paraît pas idéal pour la sécurité. Car il vaut mieux ne faire confiance à personne et créer ses propres clés sur son ordinateur.
Voici la réponse officielle concernant PGP avec ox.io / mailbox.org:
https://support-en.mailbox.org/knowledge-base/article/an-introduction-to-mailbox-org-guard
En effet, c’est sans doute un compromis acceptable pour chiffrer ses emails si on n’a pas besoin d’une sécurité absolue.
Par ailleurs, on peut toujours créer d’autres clés indépendamment.
Et si on veut utiliser leur interface web pour envoyer des mails chiffrés avec une nouvelle clé publique, on peut uploader celle-ci sur leur serveur.
Par contre, pour déchiffrer des mails (ou des documents chiffrés sur leur drive), il faut la clé privée.

NB: Ayant maintenant essayé ox.io ET mailbox.org, je confirme qu’il s’agit de la même chose, mailbox.org étant payant, ox.io étant financé par de la publicité non ciblée. Il semble aussi y avoir plus d’options avec mailbox.org (par exemple, concernant le filtrage du spam; mais aussi la création d’adresses jetables, etc.) Pour tout savoir sur mailbox.org: support-en.mailbox.org/knowledge-base/articles.

Sans surprise, ox.io est bridé par rapport aux différentes offres payantes mailbox.org. Par exemple:
– on peut partager un agenda avec une ou plusieurs personnes, mais celles-ci n’auront pas le droit de le modifier;
– le spam est réglé par défaut, sans qu’on puisse changer les réglages ni accéder au dossier spam.
Ce genre de restriction est frustrant.
Bonjour, vous dites que Tutanota est Suisse. D’après leur site ils sont basés en Allemagne.
Sur leur site on peut lire: « The Tutanota servers are located in secure data centers in Germany. All saved data are subject to the strict German privacy protection laws. Independent of that all data is end-to-end encrypted and cannot be read by the Tutao GmbH as the provider or by any third party. »
Bonjour,
Simplement pour ajouter que Tutanota, ProtonMail, et Kolab Now sont open source.
Contrairement à StartMail et Mailfence.
Bonjour,

Pour agrandir la famille :
– Neomailbox (https://www.neomailbox.com/) : basé en Suisse, respecte la vie privée de ses clients, bitcoins acceptés, stockage chiffré des e-mails, PGP coté serveur disponible. Leur code n’est pas open-source*, mais les membres de son équipe participent activement à la communauté open source « cryptographique ».
– Sub rosa/Novo ordo (https://novo-ordo.com/) : basé aux Panama, respecte la vie privée de ses clients, bitcoins acceptés, stockage chiffré des e-mails, PGP coté serveur disponible. Leur code n’est pas open-source*.
– CryptoHeaven (https://www.cryptoheaven.com/) : basé au Canada, respecte la vie privée de ses clients, stockage chiffré des e-mails (avec grosse documentation/transparence sur les méthodes utilisées). Leur client est open-source.
– Countermail (https://countermail.com/) : basé en Suède, respecte la vie privée de ses clients, possibilité de payer en bitcoins, stockage chiffré des e-mails. Leur code n’est pas open-source*.

*mais utilise des logiciels libres ou open source.

bonjour, le seul souci que j’ai est la confiance que je peux avoir dans ces acteurs, type Novo Ordo ou CryptoHeaven parce que je ne les connais pas et ne connais pas leur fiabilité, leur pérennité…
Tout à fait d’accord avec toi Damien. Tout est question de confiance. On va leur confier notre vie privée et/ou professionnelle.
J’ai d’ailleurs trouvé très pertinant que tu ai fait trois catégories pour les fournisseurs e-mails dans ton article.
Pour CryptoHeaven, la grosse transparence des procédés utilisés + les sources disponibles de leur client m’inspire plutôt confiance (même si le graphisme du site – type années 2000 – ne donne pas une image de mise à jour très fréquente).

Mais pour les trois autres, ayant des codes fermés, on ne peut se fier qu’au ressenti donné par leur site web (qu’est-ce qui nous dit que les informations clamées sont vraies ?) ou à leur réputation s’ils en ont une.
Le seul point qui peut « soulager » la confiance, ce sont les services qui chiffre le stockage des e-mails d’une manière où les admins n’ont pas accès aux e-mails et qu’on peut le vérifier :
– soit c’est le logiciel-client qui déchiffre et le fournisseur/serveur ne possède pas ta clef privée (tu ne lui as jamais fourni). Ex : Neomailbox.
– soit tu (où une personne/institution en qui tu as confiance) peux vérifier directement dans le code source qu’un admin ne peux pas avoir accès à ta clef privée (car elle-même chiffrée) ou à ta phrase de passe. Ex : Protonmail.
D’où l’énorme avantage des services libres ou open-sources.

Laisser un commentaire

indique des champs obligatoire.