Les e-mails ne sont pas un moyen de communication sécurisé, car le contenu des e-mails n’est pas chiffré par un chiffrement de bout-en-bout. ProtonMail n’est pas une exception à cette règle.

La société suisse se vente pourtant de proposer une « messagerie sécurisée » et de « sécuriser vos communications avec ProtonMail ». Derrière ces slogans marketing se cachent en réalité une sécurité à deux niveaux : les e-mails échangés avec d’autres utilisateurs de ProtonMail et les e-mails échangés avec des utilisateurs utilisant un autre fournisseur, comme GMail, Hotmail ou YahooMail.

Seuls les e-mails entre deux adresses ProtonMail sont chiffrés avec un chiffrement de bout-en-bout, en utilisant les mots de passe des utilisateurs pour réaliser ce chiffrement. Ce chiffrement est d’ailleurs appliqué uniquement au corps des e-mails, mais pas à l’objet de l’e-mail1.

Les e-mails à destination d’autres fournisseurs ne sont pas chiffrés avec un chiffrement de bout-en-bout. À la place, ProtonMail propose de remplacer le contenu de l’e-mail par un lien protégé par un mot de passe, que l’utilisateur devra choisir et devra se charger de communiquer au destinataire. Si cette option est activée par l’utilisateur2, le destinataire reçoit alors uniquement un lien, qu’il peut consulter avec son navigateur habituel et du mot de passe choisi par l’émetteur de l’e-mail.

Un bouton permet au destinataire de voir le message
Exemple d’un e-mail envoyé à un internaute n’utisant pas ProtonMail

Pour envoyer un e-mail de manière sécurisée à un utilisateur n’utilisant par ProtonMail, il faut donc posséder un autre moyen de communication sécurisé.

Pour ce qui est des e-mails reçus en provenance d’un autre fournisseur que ProtonMail, leur contenu n’est simplement pas chiffré3. Leur contenu peut donc être lu par les intermédiaires qui acheminent les messages ou par ProtonMail.

Par ailleurs, ProtonMail a accès à un certain nombre de métadonnées, que ce soit lorsque les utilisateurs se connectent aux services de ProtonMail ou lorsque les e-mails sont acheminés. Ces données techniques, notamment l’adresse IP des utilisateurs, peuvent permettre à ProtonMail d’identifier les personnes. Ces informations peuvent même être communiquées aux autorités, conformément à la réglementation suisse, pays dans lequel la société ProtonMail est basée.

Pour permettre aux utilisateurs d’utiliser ProtonMail de façon plus anonyme et éviter aux internautes de communiquer leurs adresses IP, la société met à disposition un service Onion. Cette technologie similaire aux sites Web traditionnels permet aux internautes de consulter des pages Internet avec une meilleure confidentialité, en utilisant le navigateur Tor.

En résumé :

  • Pour envoyer et recevoir des e-mails de façon sécurisée avec ProtonMail, les internautes doivent envoyer des e-mails uniquement à d’autres adresses ProtonMail, et ne pas saisir d’informations dans l’objet des e-mails.
  • Pour utiliser ProtonMail de façon plus anonyme, les internautes peuvent accéder aux services Onion de ProtonMail en utilisant le navigateur Tor.

Pour plus de sécurité et ne pas dépendre uniquement d’un mot de passe, les utilisateurs de ProtonMail peuvent aussi configurer un deuxième facteur d’authentification en utilisant une application d’authentification4.

Notes et références

  1. Seul le corps des e-mails envoyés entre deux utilisateurs de ProtonMail sont chiffrés avec un chiffrement de bout en bout : « All ProtonMail data at rest and in transit is encrypted. However, subject lines in ProtonMail are not end-to-end encrypted » (source : protonmail.com).
  2. Une option permet aux utilisateurs de ProtonMail de chiffrer le contenu des e-mails envoyés aux utilisateurs n’utilisant pas ProtonMail (source : protonmail.com)
  3. Les e-mails reçus en provenance d’autres fournisseurs ne sont pas chiffrés. Ils peuvent néanmoins être chiffrés en transit, c’est-à-dire entre les serveurs de messagerie, s’ils utilisent des certificats TLS (source : protonmail.com).
  4. Le fonctionnement des applications d’authentification est expliqué dans l’article « Les applications d’authentification pour améliorer la sécurité de vos comptes ».