Non, les e-mails ne sont pas un moyen de communication sécurisé, car le contenu des e-mails n’est pas chiffré. Les intermédiaires techniques acheminant les e-mails de l’émetteur au destinataire peuvent donc intercepter les e-mails et lire leur contenu, tout comme des attaquants qui écouteraient les communications.

« Internet est un réseau sur lequel il est quasi impossible d’obtenir des garanties sur le trajet que vont emprunter les données que l’on y envoie. Il est donc tout à fait possible qu’un attaquant se trouve sur le trajet de données transitant entre deux correspondants. »

Si vous consultez vos e-mails en utilisant un site Internet, même sécurisé par HTTPS1 comme le propose Gmail2, cela ne veut pas dire que vos e-mails sont transmis de façon sécurisée. Seules les données entre votre ordinateur et le site Internet le sont. Les e-mails peuvent être ensuite transmis au destinataire sans chiffrement.

Même chose si vous consultez vos e-mails avec un logiciel ou une application de messagerie comme Mozilla Thunderbird ou Microsoft Outlook, même si vous avez activé le chiffrement avec le protocole TLS3. Seules les données entre votre application et le serveur de votre fournisseur de messagerie sont chiffrées, mais les données peuvent être transmises au destinataire sans chiffrement.

L’ANSSI4, l’agence française de sécurité informatique, recommande de ne pas envoyer d’informations sensibles ou confidentielles par e-mail, ou de les chiffrer au préalable5 :

« toutes les données envoyées par courriel […] sont par conséquent vulnérables. Il s’agit donc de procéder à leur chiffrement systématique avant de les adresser à un correspondant. »

La CNIL6 a également affirmé a plusieurs reprises7 que les e-mails n’étaient pas un moyen de communication sécurisé et qu’ils ne pouvaient donc pas être utilisés pour transmettre des données à caractère personnel.

Certaines applications de messageries peuvent être utilisées en remplacement des e-mails, comme l’application Signal, qui offre un chiffrement de bout-en-bout des messages.

Notes et références

  1. Le fonctionnement du protocole HTTPS est expliqué dans l’article « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS » et dans la vidéo « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».
  2. Gmail propose à ses utilisateurs de consulter les e-mails par une interface Web à l’adresse https://mail.google.com.
  3. TLS pour Transport Layer Security est un protocole de communication permettant de chiffrer les données. Il est notamment utilisé par le protocole HTTPS lorsque vous visitez des sites Internet.
  4. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information (ssi.gouv.fr).
  5. Les e-mails peuvent être chiffrés en utilisant, par exemple, PGP, un système permettant de chiffrer les messages en utilisant des clés cryptographiques.
  6. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  7. La CNIL a indiqué que les e-mails n’étaient pas sécurisés à plusieurs reprises, notamment : à la société Spartoo, car la société demandait à ses clients de lui envoyer des informations personnelles par e-mail (source : CNIL, SAN-2020-0003, 28 juillet, Spartoo), voir « SPARTOO.COM sanctionné pour des manquements au RGPD » ; et au rectorat de l’académie de Normandie, car le rectorat envoyait des données à caractère personnel par e-mail (source : CNIL, SAN-2020-006, 3 septembre 2020, rectorat de l’académie de Normandie), voir « Le rectorat de l’académie de Normandie rappelée à l’ordre pour avoir divulgué des données personnelles sur des lycéens ».