Non, les e-mails ne sont pas un moyen de communication sécurisé, car la confidentialité des données n’est pas garantie.

Lorsqu’un e-mail est envoyé, son contenu n’est pas chiffré. Il est transmis en clair au destinataire. Les fournisseurs de messagerie et les intermédiaires techniques acheminant les messages peuvent donc intercepter les e-mails et lire leur contenu, tout comme des éventuels attaquants qui écouteraient les communications.

« Internet est un réseau sur lequel il est quasi impossible d’obtenir des garanties sur le trajet que vont emprunter les données que l’on y envoie. Il est donc tout à fait possible qu’un attaquant se trouve sur le trajet de données transitant entre deux correspondants. »

Les e-mails ne devraient, par conséquent, pas être utilisés pour transmettre des données personnelles, confidentielles ou sensibles.

Certains fournisseurs de messagerie proposent à leurs clients d’envoyer des e-mails ou de consulter leurs e-mails via un site Internet sécurisé par HTTPS[2] (comme Gmail[3]), ou en activant le protocole TLS de leur logiciel de messagerie (comme Mozilla Thunderbird ou Microsoft Outlook). Ce chiffrement s’applique cependant uniquement entre l’appareil de l’utilisateur et le fournisseur de messagerie. Les e-mails peuvent être ensuite transmis au destinataire sans chiffrement.

De même, certains fournisseurs de messagerie s’accordent pour échanger les e-mails de leurs clients avec un chiffrement. Il s’agit cependant uniquement d’un chiffrement partiel, appelé chiffrement en transit, mais les fournisseurs de messagerie ainsi que les éventuelles autorités gardent la capacité de consulter le contenu des messages.

Ces chiffrements partiels ne font que diminuer les risques, mais ne permettent pas d’assurer la confidentialité ni l’intégrité des messages. Pour assurer la confidentialité des e-mails, leur contenu doit être chiffré.

« toutes les données envoyées par courriel […] sont par conséquent vulnérables. Il s’agit donc de procéder à leur chiffrement systématique avant de les adresser à un correspondant. »

Le chiffrement peut être réalisé avec des logiciels spécialisés comme PGP[4]. Certaines applications de messagerie peuvent aussi être utilisées en remplacement des e-mails, comme l’application Signal, qui offre un chiffrement de bout-en-bout des messages.

Notes et références

  1. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information (ssi.gouv.fr).
  2. Le fonctionnement du protocole HTTPS est expliqué dans l’article « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS » et dans la vidéo « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».
  3. Gmail propose à ses utilisateurs de consulter les e-mails par une interface Web à l’adresse https://mail.google.com.
  4. Les e-mails peuvent être chiffrés en utilisant, par exemple, PGP, un système permettant de chiffrer les messages en utilisant des clés cryptographiques.