Pourquoi utiliser Disroot ?
Disroot est une fondation basée à Amsterdam et à but non lucratif qui a décidé de créer une plateforme réunissant plusieurs projets open source afin de proposer un service complet à l'image des géants du Web, mais sans être sous leur contrôle. L'un d'entre eux, un service de mails censé être respectueux de la vie privée et sécurisé, est celui qui nous intéresse aujourd'hui.
La prise en main
Première chose à laquelle faire attention si l'on souhaite choisir d'utiliser Disroot, le moment de la semaine où l'on souhaite s'inscrire. En effet, l'inscription est purement et simplement suspendue le weekend. Une fois que vous avez réussi à accéder à la page, il s'agira de remplir quelques informations et de répondre assez longuement à une question, en anglais de préférence, afin que le service puisse vérifier qu'un être humain est bien derrière l'écran. Votre compte ne sera pas immédiatement créé après toutes ces étapes, il faudra attendre une validation qui peut prendre jusqu'à deux jours (un jour dans notre cas) avant de pouvoir enfin profiter de votre nouvelle adresse mail en .disroot.org, votre seul choix pour le moment vu que les demandes de domaine personnalisé ont été désactivées.
La boite de réception est classique et épurée, toutes les options de base sont présentes comme une liste de contacts à créer ou à importer, la possibilité de créer de nouveaux dossiers... Concernant les mails en eux-mêmes, vous aurez l'option de les écrire en texte brut ou d'utiliser le HTML pour un peu plus de mise en page. Et si vous préférez utiliser un client de messagerie externe plutôt que leur application web, Disroot possède toutes les ressources pour vous aider à ce sujet.
Envoi et réception de mails sécurisés
Disroot ne possède pas de chiffrement de bout en bout directement inclus. Il sera à la charge de l'expéditeur et du destinataire de gérer leurs clés PGP eux-mêmes. Pour tout de même faciliter le processus, le service permet d'ajouter les clés publiques que l'on vous envoie afin de pouvoir les réutiliser facilement grâce à une option présente lors de l'écriture de mails. Cependant, ça nécessite de n'utiliser que l'option texte brut. Vous pouvez également générer des clés privées et publiques pour votre compte directement sur la plateforme, sans avoir à télécharger une extension.
Le reste du temps, Disroot utilise les classiques SSL/TLS pour les communications de service à service et d'utilisateur à service. À noter que l'organisation a eu quelques soucis avec Microsoft dans le passé, qui bloquait les mails provenant de leur service. L'affaire est résolue, mais nous ne sommes pas à l'abri qu'un problème du genre fasse son apparition à nouveau dans le futur.
Sécurité et vie privée
Disroot a l'avantage de ne pas demander des informations trop privées, comme un numéro de téléphone ou une adresse postale. Cependant, il en récupère quand même quelques-unes, comme l'adresse IP et l'user agent pour les logs qui sont supprimés au bout de 24h. Si vous souhaitez faire un don à l'organisation, vos informations de paiement seront également conservées. La fondation promet ne pas regarder les informations qu'elle possède sur ses utilisateurs et de ne pas créer de « profil » à partir d'elles.
Leurs serveurs sont aux Pays-Bas et sont chiffrés. Cependant, à moins d'utiliser votre propre solution de chiffrement pour vos mails, ceux-ci sont stockés non chiffrés sur leurs serveurs. L'organisation a indiqué travailler sur une solution de chiffrement de la boite de réception, nommée Lacre. Certaines pratiques de sécurité ne sont cependant pas au point, comme la possibilité de définir des questions et réponses secrètes pour récupérer son mot de passe. Même s'il est possible de les traiter comme un second mot de passe, en utilisant des caractères aléatoires comme réponses, leur présence reste un point assez inquiétant pour faire réfléchir à deux fois à l'utilisation du service.