Non, les e-mails ne sont pas un moyen de communication sécurisé, car le contenu des e-mails n'est pas chiffré. Les e-mails peuvent être lus par votre fournisseur ou par les autres intermédiaires qui acheminent vos messages.

Si vous consultez vos e-mails en utilisant un site Internet (WebMail), même sécurisé par HTTPS1 comme le propose GMail2 par exemple, cela ne veut pas dire que vos e-mails sont transmis de façon sécurisée. Seules les données entre votre ordinateur et le site Internet le sont. Les e-mails peuvent être ensuite transmis sans chiffrement entre les intermédiaires.

Même chose si vous consultez vos e-mails avec un logiciel ou une application de messagerie comme Mozilla Thunderbird ou Microsoft Outlook, même si vous avez activé le chiffrement avec le protocole TLS3. Seules les données entre votre application et le serveur de votre fournisseur de messagerie sont chiffrées, mais les données peuvent être transmises sans chiffrement ensuite.

La CNIL4 s'est déjà prononcée sur ce point dans sa délibération contre la société Spartoo5 ou celle contre le rectorat de l'académie de Normandie6, et a réaffirmé que les e-mails n'étaient pas un moyen de communication sécurisé, car ils pouvaient être interceptés et lus par des tiers.

Si vous souhaitez échanger des e-mails de façon confidentielle, vous devez chiffrer le contenu de vos messages en utilisant, par exemple, PGP7. Vous pouvez aussi utiliser une application utilisant un chiffrement de bout-en-bout comme Signal8.

Notes et références

  1. Le fonctionnement du protocole HTTPS est expliqué dans l'article « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS » et dans la vidéo « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».
  2. GMail propose à ses utilisateurs de consulter les e-mails par une interface Web à l'adresse https://mail.google.com.
  3. TLS pour Transport Layer Security est un protocole de communication permettant de chiffrer les données. Il est notamment utilisé par le protocole HTTPS lorsque vous visitez des sites Internet.
  4. CNIL : Commission Nationale de l'Informatique et des Libertés.
  5. La société Spartoo a été sanctionnée par la CNIL pour avoir, entre autres, demandé à ses clients de lui envoyer des informations personnelles par e-mail (source).
  6. Le rectorat de l'académie de Normandie a été rappelé à l'ordre par la CNIL pour avoir, entre autres, envoyé des données personnelles par e-mail (source).
  7. PGP est un logiciel permettant de chiffrer des messages en utilisant des clés cryptographiques.
  8. Signal est une application utilisant un chiffrement de bout-en-bout, comme nous l'avons expliqué dans l'article « Pourquoi nous devrions tous utiliser l'application sécurisée Signal et arrêter d'utiliser WhatsApp, Telegram, Facebook Messenger et les SMS ».