Pourquoi vous ne devriez pas faire confiance à votre fournisseur de messagerie

Le Studio Clubic
Par Le Studio Clubic, sponsorisé par Proton
Publié le 20 décembre 2022 à 16h00
proton mail

Les emails sont une composante essentielle de notre vie numérique. Pourtant, tous les services de messagerie ne se valent pas. Vente de données à des fins marketing, chiffrement discutable, spams, phishing, les géants du secteur sont loin d'être irréprochables.

Malgré des avancées en matière de protection de la vie privée et le développement de nouvelles fonctionnalités riches, tout est loin d'être parfait dans le monde des services de messagerie. Les deux principaux acteurs du secteur, Gmail et Outlook, se rendent coupables de pratiques pas toujours idéales pour la sécurité de leurs utilisateurs. On vous explique.

Voir l'offre de Proton Mail

Ce que votre fournisseur de messagerie ne vous dit pas

La collecte de données dans Gmail à des fins marketing

Depuis 2017, Google affirme ne plus scanner les mails de ses utilisateurs pour récupérer des données à des fins de publicité ciblée. Cela ne signifie pas pour autant que les communications sont à l'abri des yeux indiscrets du géant du web : des scans automatiques des mails continuent d'avoir lieu. Et les données récoltées sont tout de même bien utiles pour Google (horadatage, fréquence d'utilisation, destinataires courants…), qui promet alors de meilleures intégrations à son écosystème, comme des ajouts automatiques sur Agenda ou Maps.

De plus, lorsque Google a détaillé en 2021 les données qui étaient collectées par son application Gmail sur iPhone, il a été découvert que l'entreprise partageait aux annonceurs la localisation approximative des utilisateurs, leur identifiant utilisateur et des données sur les publicités qu'ils avaient vues en ligne. Même si les mails ne sont plus scannés à cette fin, les données que Google récupère ne sont donc pas totalement à l'abri des annonceurs.

google data

Des apps tierces au détriment de la sécurité

Si Google avait décidé d'arrêter de scanner les mails pour revendre des données marketing à des tiers, l'entreprise n'a cependant pas empêché les développeurs d'add-ons et applications mobiles de le faire. En 2018, le Wall Street Journal a dévoilé que ces add-ons et applications avaient accès au contenu des boites mail des utilisateurs et que dans certains cas, ils permettaient à leurs employés de les lire pour améliorer leurs services. Certains vendaient même les informations à d'autres sociétés. Pour se défendre, Google a affirmé que les applications qui avaient accès à ces données devaient le préciser aux utilisateurs. Mais la plupart le font dans des politiques de confidentialité qui, avouons-le, sont rarement lues dans leur entièreté.

Des promesses de chiffrement douteuses

Les failles du mode confidentiel de Gmail

Pour répondre aux inquiétudes de ses utilisateurs, Google a introduit un "mode confidentiel" à Gmail. Lorsqu'un message "confidentiel" est envoyé, plusieurs options supplémentaires (expiration, révocation de l'accès) sont disponibles pour protéger sa copie ou son transfert accidentel. Aussi, un code secret peut être demandé pour valider l'identité du destinataire.

Cependant, ce mode présente plusieurs défauts. Pour profiter de la fonctionnalité de code secret, vous devez fournir le numéro de téléphone de votre contact à Google. En plus de récupérer des données, l'entreprise sait donc parfaitement avec qui vous communiquez. Par ailleurs, les mails ne sont pas chiffrés de bout en bout, ce qui signifie que si besoin, l'entreprise pourrait tout à fait avoir accès à leur contenu, d'autant que les messages n'expirent pas réellement. Ajoutons que le code secretest généré par… Google et non choisi l'expéditeur.

Contrairement aux apparences, ce mode confidentiel n'améliore pas la confidentialité des utilisateurs. Il ne sert qu'à prévenir des erreurs humaines qui pourraient conduire à un partage accidentel d'une communication privée.

Les failles du chiffrement d'Outlook.com

De son côté, Outlook propose un système de chiffrement des mails, à condition d'être abonné au service. Microsoft donne le choix entre deux options : chiffrer ou chiffrer et désactiver le transfert. Dans le deuxième cas, les pièces jointes Microsoft Office restent chiffrées même après leur téléchargement et si elles sont transférées à une autre personne, cette personne ne pourra pas les consulter. Plutôt bien pensé.

Cependant, si cette fonctionnalité est bien supérieure au mode confidentiel de Google, elle n'est pas exempte de défauts. Si le destinataire possède également un compte Microsoft, il peut lire le message directement dans sa boite mail, sans manipulation supplémentaire. En revanche, les utilisateurs d'un autre service de messagerie recevront à la place un lien pour consulter le mail. Problème : Microsoft envoie le code pour déchiffrer la communication sur cette même adresse. Si le compte mail du destinataire a été compromis, la protection offerte par le chiffrement est donc caduque et facilement contournée. Enfin, Microsoft s'occupe entièrement de la gestion et du stockage des clés de chiffrement, ce qui permet à l'entreprise d'y accéder.

Voir l'offre de Proton Mail

Votre messagerie est une cible, et voici pourquoi

Google, Microsoft, des cibles privilégiées : DDoS, phishing

En plus de faire partie des services de messagerie les plus utilisés, les comptes Microsoft et Google ont autre chose en commun : ils peuvent être utilisés pour se connecter à de nombreuses applications, tierces ou non. Des utilisations polyvalentes qui en font des cibles privilégiées pour le phishing. Obtenir l'accès à l'un de ces comptes ouvre aux hackers un sésame d'informations avec des authentifications potentielles sur LinkedIn, Evernote, Slack, Trello… Il n'est donc pas rare qu'en utilisant ces services, l'adresse mail se retrouve continuellement ciblée par des spams et des mails malveillants.

Des entreprises soumises à la surveillance de masse

L'affaire Snowden a révélé comment Microsoft et Google travaillaient étroitement avec les agences gouvernementales américaines. Microsoft, par exemple, a permis à la NSA de contourner le chiffrement que l'entreprise avait elle-même mis en place. Ces entreprises sont basées aux États-Unis et sont donc soumises aux demandes de ces agences, lesquelles partagent parfois leurs informations avec d'autres agences dans le monde entier. Autrement dit, si vous avez besoin que vos données personnelles restent loin des yeux du gouvernement, Outlook et Gmail ne sont probablement pas la meilleure solution.

Proton Mail, l'alternative de confiance

Pas de collecte à des fins marketing

Proton Mail est un service de messagerie sécurisée dit "freemium" : il est possible d'avoir un compte gratuit avec limitations ou de payer pour débloquer toutes les fonctionnalités. Ainsi, l'entreprise se finance en toute transparence grâce aux abonnements, sans avoir à vendre de données. De toute manière, elle n'y a pas accès : Proton Mail utilise une architecture "zéro accès", où le chiffrement est réalisé du côté de l'utilisateur, et ne peut être contourné par l'entreprise elle-même.

Un vrai chiffrement des messages

Proton Mail propose un chiffrement de bout en bout de tous les messages et, comme dit précédemment, zéro accès, ce qui signifie que l'entreprise elle-même ne peut pas déchiffrer et lire le contenu des messages présents sur votre boite mail. Petite précision à noter : l'objet du mail et les adresses mail des destinataires/expéditeurs sont chiffrées, mais pas de bout en bout. Le chiffrement a lieu sur votre appareil et les mails sont donc chiffrés lorsqu'ils arrivent sur les serveurs de l'entreprise, ce qui garantit que seuls vous et vos destinataires peuvent les lire. Si vos destinataires utilisent aussi Proton Mail, encore mieux : tous les mails sont chiffrés de bout en bout par défaut. Sinon, Proton Mail accepte l'utilisation de clés PGP, générées automatiquement lorsque l'on crée un compte sur la plateforme, ou d'un mot de passe pour le chiffrement des communications. Notons aussi la possibilité d'ajouter la clé publique de l'un de ses contacts qui n'utilise pas Proton.

La protection suisse

Contrairement aux géants du secteur, Proton Mail n'est pas basé aux États-Unis. L'entreprise a choisi la Suisse, pays réputé pour ses lois strictes en matière de vie privée. La Suisse se trouve effectivement en dehors des juridictions européennes et américaines. Les agences de renseignement américaines ou européennes devront donc formuler leur demande aux autorités suisses, particulièrement portées sur la protection de la vie privée.

Proton a décidé de prolonger ses offres Black Friday jusqu'à la fin de l'année avec des abonnements à -33% ou -40%.

Voir l'offre de Proton Mail
Proton Mail
  • storage1 Go de stockage
  • securityChiffrement natif par défaut
  • alternate_emailPas de domaine personnalisé
  • smartphoneApplications iOS, Android
  • push_pinJurisdiction Suisse
9.1 / 10
Télécharger
Lire le test
Par Le Studio Clubic
X

Le Studio Clubic est le créateur de contenus originaux pour les partenaires de Clubic. Derrière Le Studio Clubic se cache une équipe experte dans le brand content et le content to commerce, qui propose des contenus de qualité pour connecter nos annonceurs avec nos lecteurs.

Articles de Le Studio Clubic
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Article proposé et conçu par Clubic en partenariat avec Proton. Lire la charte de confiance.
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (6)
Joeee

« Si Google avait décidé d’arrêter de scanner les mails pour revendre des données marketing à des tiers »
=> on peut dire que cela que l’on veut. Google avait affirmer qu’il ne géolocaliser pas lorsque le GPS n’était pas actif mais ils ont avoué après par la suite avec preuve qu’il le faisait avant tout pour améliorer l’expérience utilisateur sur GMap.

Bref en terme de RGPD, pas certain qu’ils le soient…

superjoy

Spam, pub ciblées, revente de données permettant de recevoir des mails inattendus, c’est juste génial!! C’est le meilleur moyen de vivre pleinement l’expérience du web 2.0. On devient connu à travers le monde, on est contacté par de parfaits inconnus qui s’intéressent à nous, on nous propose des produits atypiques, et tout ça, sans dépenser un rond!!
Oubliez l’anonymat et devenez un bien mondial!!

Donc pour moi, proton, c’est NON!!

Joeee

@superjoy , pourquoi parles-tu de pub ciblées en ce qui concerne Pronton ?

Le ciblage est avant tout les GAFAM qui peuvent utiliser de nombreux services que tu utilises sans le savoir. Je pense notamment à Google avec ses nombreux services tel que :

  • Gmail
  • Google Search
  • Gmap (même si tu désactives le GPS, Google continuait à géololocaliser, il y a une news la dessus et Google l’a admis et « a promis » de ne ne plus le faire)
  • Google Auto
  • Google Home avec son enceinte
  • Chromecast
  • Chrome
    Et j’en passe … normalement on devrait être payé bien cher pour les utiliser bien

Pour Microsoft avec la connexion obligatoire avec son Windows (pour M. Tout le monde), …

mais Pronton, c’est juste un service de boite mail qui chiffre les messages…

Après pour ma part, je ne trouve cela très pertinent le chiffrement parce que la plus part des personnes ne sont pas sous Proton, donc l’intérêt tombe à l’eau. L’utilisation d’une clef PGP est trop contraignante pour les boites mail autre Proton pour le destinataire.

superjoy

Je pense que tu n’as pas remarqué que cet « article » est en fait publicité de… Proton! quand c’est marqué « article sponsorisé », ça sous-entend activité marketing.
Et visiblement le second degré ne semble pas être ton fort…

Joeee

@superjoy en effet il s’agit d’une pub sur un service pour en faire la promotion contre petite compensation financière pour l’équipe Clubic mais bon …
après le second degré n’est pas toujours facile à déceler par l’écrit et le smiley m’aurait aider à pouvoir l’identifier :wink:

LeChien

Ancien utilisateur de Google Apps for your domain, j’ai vu la solution évoluer et changer de nom au gré des brainstorming de marketeux.
J’y offrais environ 30 cptes à divers proches et collègues.
C’était gratuit et, bien qu’il s’agissait d’un domaine personnalisé, personne n’ignorait que c’était la machine Google.

Il y a quelques temps, Google a donné un ultimatum pour sa worksuite : tous les legacy allaient devoir passer à la caisse pour continuer à bénéficier du service mail.

J’ai fait les comptes (parce que hors de question d’arrêter d’offrir ce service) et la tarification Google allait me coûter un rein.
J’ai comparé avec la suite mail d’infomaniak (Suisse aussi) et c’était déjà bcp plus raisonnable : j’ai donc lancé les préparatifs de migration.

Entre temps, Google a annoncé qu’il continuerait à offrir le service aux particuliers.
J’ai fait un opt-in histoire d’être moins pressé pour migrer… Et puis une fois tout le monde à bord j’ai définitivement éjecté Google.

Aucun regret si ce n’est le coût, mais nous ne sommes plus le produit.

Sur le même sujet
Chiffrement zéro accès : tout ce que vous devez savoir
Confidentialité : Gmail vs Outlook vs Proton Mail
Marre de Gmail ? Voilà pourquoi et comment migrer vers Proton
Oui, vous êtes pistés par email, alors voilà comment vous protéger
Pourquoi vous ne devriez pas faire confiance à votre fournisseur de messagerie
Facebook
X