7 services d’Email anonyme et offshore à connaître

De nombreuses personnes pensaient que leur compte Gmail était sécurisé et permettait de rester Anonyme. Mais il a été démontré que les gouvernements peuvent avoir accès à vos emails, en adressant une demande à n’importe quel service d’Emails dans le monde !

Les révélations sur la NSA ont donné un élan aux services d’email sécurisés, encryptés, et anonymes.

Plusieurs de ces services ont vu le jour très récemment, et d’autres comme Lavabit (utilisé pendant 5 ans par Edward Snowden) ou SilentCircle ont fermé volontairement pour éviter  d’avoir à se soumettre aux autorités Américaines.

La guerre de l’Anonymat est en marche, et elle n’est pas prête de s’arrêter !

La question est de savoir quelles solutions peut-on utiliser ?

La vraie solution est de NE PAS envoyer d’email, ce qui ne laisse aucune trace chez vous ou chez le destinataire. Mais de façon pragmatique, l’email est un outil indispensable, et il y a des services payants ou gratuits –  souvent offshore – qui vous permettent d’envoyer des emails encryptés, de façon anonyme et sécurisée.

Les vrais geeks préfèrent s’orienter vers des solutions GnuPG etOpenPGP, mais vous n’êtes sans doute pas prêt à mettre en place ce genre de solutions, alors voici plusieurs options qui vous garantissent un très bon niveau de sécurité et de confidentialité : en clair, ces services vous permettent d’écrire de façon privée et anonyme !

AnonymousSpeech

anonymousspeech

Ce service existe depuis 1996, les serveurs sont basés au Panama. L’abonnement est de 79.95€ par an et offre 250 Mo d’espace.

AnonymousSpeech fait ici figure de grand-père, la réputation du site est très forte, le service est très sécurisé. Le login pour se connecter est différent de votre email (recommandé) ce qui limite le risque de se voir hacker son compte. Les emails sont toujours affichés par défaut au format Texte, et vous recevez un Warning si vous souhaitez afficher le format HTML. Votre IP est anonymisée dans le header des emails.

L’interface est par contre à revoir complètement : il n’est pas possible d’afficher le site sur smartphone, il faut rafraîchir la page pour savoir si il y a de nouveaux messages, … tout est très archaïque.

Les downtime – liés apparemment aux changement de serveurs – sont assez fréquents : environ 1 fois par mois, et parfois cela dure plusieurs jours !

Nous avons aussi remarqué que les IP sont parfois bloquées par les anti-spam, et le support de AnonymousSpeech ne gère vraiment pas ce problème.

Ce service est recommandé si vous cherchez la sécurité absolue, vous pouvez le tester en version gratuite pendant 30 jours.

Cryptoheaven

cryptheaven

CryptoHeaven s’annonce comme “l’email le plus sécurisé au monde“. Il propose une solution “no-knowledge”, ce qui signifie que l’utilisateur possède ses propres clés, qui ne sont pas stockées sur les serveurs. Si vous perdez votre clé RSA, nous ne pourrez plus jamais accéder à vos emails !

Les serveurs sont basé à Toronto, Canada, et la société est basée en Dominique (à ne pas confondre avec la République Dominicaine).

Posteo.de

posteo

Posteo existe depuis 2009, les serveurs sont basés en Allemagne et l’abonnement coûte 12€ par an pour 2 Go d’espace.

L’interface repose sur une version modifiée de RoundCube. Votre email principal utilise le domain Posteo.de, vous pouvez ensuite créer des Alias avec Posteo.eu, Posteo.net, Posteo.ch etc… Votre IP est anonymisée dans le header des emails.

La perspective d’utiliser un service en Allemagne n’est au départ pas très attrayante : il y a des accords d’échange d’information entre la France et l’Allemagne.

Mais les dirigeants de Posteo ont prouvé leur détermination en 2014, suite à une visite de la Police dans leurs locaux et leur refus transmettre des données.

Cet article du Guardian explique en détail leur aventure :

Protect your email the German way

Sunday 24 August 2014

After seeing off the police, Berlin email provider Posteo wants to expand user security and anonymity

Last summer, German secure email provider Posteo faced a do-or-die moment: give in to police threats to seize its servers or fight back in court. Investigators in the state of Bavaria had contacted the Berlin-based startup because they wanted the identity of a Posteo account holder who was thought to be using the service for illicit purposes. But Patrik and Sabrina Löhr, the husband-and-wife team who run the swiftly growing email provider, told police time and again that they simply couldn’t comply: Posteo is an anonymous email provider; it doesn’t store any data on its customers’ identities.

« We went around in circles with the authorities, » Patrik Löhr says. « But when we looked at their search warrant, we saw that it didn’t, in fact, give them permission to search our whole office. They were only allowed to receive a list of our bank transactions – which they already had gotten from the bank. » Löhr filed a suit against police officials, accusing them of intimidation. That move, the media attention it generated, and a stated commitment to transparency made all the more relevant in the wake of the Edward Snowden leaks, has helped Posteo become one of Germany‘s fastest growing email providers with a business model of fee-driven, privacy-oriented email services.

The immediate effect of Posteo’s tangle with the German authorities was the pressure it put on global telecoms giant Deutsche Telekom. Just days after Posteo released Germany’s first transparency report on government requests for information, Telekom dashed out its own paper detailing the extent of its cooperation with police and intelligence officials. The revelations were eye-opening. In 2013 alone, Telekom gave authorities in Germany nearly as much data on its customers as AT&T and Verizon had furnished that same year to US law enforcement.

This resulted in Germans ditching American email providers in Posteo’s favour. « We went from 10,000 subscribers before the Snowden leaks a year ago to 70,000 today, » Löhr says.

The site is currently only offered in German, though an English-language version is expected to be rolled out this autumn. It’s not free: a 2GB account starts at €12 a year. But in exchange for that, Posteo promises users a private email experience. In fact, privacy is the company’s unique selling point. Löhr says it doesn’t deploy users’ emails or contacts lists to serve up ads. It neither saves users’ IP addresses nor tracks them as they click around the web. He says the company also deletes bank and card details immediately after it has processed payments. It even gives users the option of mailing or hand-delivering to the company’s Berlin office payments in cash – around 20% of the service’s customers have paid the annual fee in this way.

« We don’t want the data from our customers, » Löhr says. « We don’t want their names, their addresses, their dates of birth. And because we don’t have this data, we can’t lose it or be compelled to give it away. » He wants users to feel that Posteo is diametrically opposed to large, faceless email providers, that it adheres to an ethical standard that has become all the more topical since the NSA leaks last summer. But there’s also the company’s commitment to providing a personal touch. Löhr describes a situation – not unlike the early days of the internet, when people used local dial-up providers – in which « customers knock on our door and walk into our office to open an account ».

But as friendly as the service claims to be, Posteo does resemble mainline email providers in a few key ways. For example, users’ email is stored unencrypted on Posteo’s servers in Frankfurt. The company states in its data protection policy that it has the ability to read any mail stored on its servers, much like its competitors. But it is working on a solution that will give users the option of encrypting their mailboxes using an open-source system based on two-way encryption. Once this is rolled out, Posteo would not be able to read its users’ mail. Posteo users can already encrypt their contacts lists this way. But there are drawbacks: users who forget their passwords are essentially locked out of their accounts. Once that happens, no one, not even Posteo’s support team, can unencrypt the data. And here’s another trade-off: encrypting mailbox content renders email searches impossible, thus disabling a key feature that many of us rely on daily.

While the company has had issues with reliability – on 15 June its site was offline for six hours after its server lost power– it defends its record on security. Indeed, the company has been a global leader in rolling out secure technologies. Last May, it became the world’s first email provider to adopt DNS-based Authentication of Named Entities (Dane) on its servers. Dane makes it very difficult, if not impossible, for hackers or governments to launch man-in-the-middle « fishing » attacks on web browsers. According to the NSA documents leaked by Edward Snowden, Britain’s GCHQ, for example, has launched such man-in-the-middle attacks using fake LinkedIn pages. « We protect your metadata with encryption and Dane, » Löhr says. « But we are also encouraging our users to encrypt their email message with PGP. »

PGP is a robust global encryption standard, but installing the software and registering for the requisite public encryption key can be a daunting process. Posteo’s solution? It is opening a retail space in September, and will charge a flat fee for walk-in encryption tech support. It’s a move that, for the Löhrs, is the next logical step in building a business around respect for its users’ privacy. « We see it as part of our mission to help people understand encryption, » Löhr says. « It’s one of our business goals. »

Vous pouvez payer par Paypal, ce qui peut être un problème d’anonymat, mais Posteo gère parfaitement ce problème : le paragraphe 4.1 de leurs CGU explique que le lien entre Paypal et votre compte est supprimé dès que votre compte est crédité. La seule trace reste donc votre paiement Paypal, sans pouvoir le lier à votre compte Email.

4.1 Voraussetzung für die Nutzung von Posteo ist die Entrichtung des zu zahlenden monatlichen Entgelts nach der Registrierung. Die Zahlung erfolgt bei Überweisung und Paypal jeweils für 12 Monate im Voraus. Bei Barzahlung per Brief akzeptieren wir nur Scheine, deshalb müssen dort 15 Monate im Voraus bezahlt werden. Bei vorzeitiger Kündigung des Vertragsverhältnisses durch einen der Vertragspartner kann zuviel bezahltes Entgelt zurückerstattet werden. Der Kunde kann maximal 120 EUR Guthaben aufladen.

A noter aussi que Posteo est maintenant disponible en version anglaise.

Côté sécurité : le login se fait avec votre email principal, il est donc recommandé de créer un compte avec un Username anonyme, puis de créer des Alias pour communiquer. Comme ça, personne ne connaîtra votre login Posteo.

Au final, Posteo nous semble une option très sérieuse, qui permet de garantir votre anonymat, même si vous payez avec Paypal !

Protonmail.ch

protonmail

ProtonMail existe depuis 2013, les serveurs sont basés en Suisse.

Une équipe de jeunes chercheurs est à l’origine de ce nouveau projet qui semble très prometteur. Mais le choix de vouloir utiliser Paypal est sans doute une erreur.

En Juillet 2014, Paypal bloque le compte de Protonmail en utilisant comme pretexte qu’ils ne savent pas si le service de Prontomail est légal ou pas en Suisse !

Le site est accessible à tous, en mode gratuit ou donation.

Startmail

startmail

StartMail existe depuis 2013, les serveurs sont basés au Pays-Bas. L’abonnement est de 49.95€ par an

StartMail a été lancé par Startpage/ixquick dont la réputation n’est plus à faire.

La « mission » de StartMail est de garantir la confidentialité de ses membres en leur permettant de communiquer de façon privée, sans être espionnés par les gouvernements.

Après une version beta sur Invitation, StartMail est enfin accessible à tous en version payante. Dépêchez-vous si vous souhaitez pouvoir choisir votre username.

Tutanota

tutanota

Tutanota existe depuis 2011, les serveurs sont basés au Allemagne. Le service est gratuit.

C’est le service idéal pour les paranoïaques de la confidentialité : si le destinataire de votre email n’a pas un compte Tutanota, il reçoit juste une notification de votre message, et doit se connecter au site de Tutanota pour pouvoir le consulter avec le mot de passe que vous communiquez séparément.

Vous pouvez aussi décider de supprimer ou d’auto-détruire des messages envoyés !

Tutonota ne veut pas concurrencer les services d’emails encryptés, mais se veut comme un complément, pour assurer la plus grande confidentialité de vos communications.

Unseen.is

unseen

Unseen.is existe depuis 2012, les serveurs sont basés en Islande. Le service de base est gratuit.

Unseen propose un service complet de Chat et Email sécurisés. Le webmail repose sur un version modifié de RoundCube. Votre IP est anonymisée dans le header des emails.

Vous pouvez créer un compte gratuitement, ou décider de prendre un abonnement à vie pour 79$

Cette solution est très attrayante, mais on souhaiterait pouvoir utiliser un autre nom de domaine : « Unseen » suggère trop facilement « j’ai quelque-chose à cacher », ce qui devient anti-marketing.

Nous avons demandé au support si ils prévoient de proposer des noms de domaine alias, nous attendons la réponse.

 A propos des autres services d’Email Anonymes

Il existe d’autres services sur le marché, nous ne les avons pas sélectionnés ici pour les raisons suivantes:

  • Le service est trop récent ou ne bénéficie pas d’une réputation suffisante : Mailpriva.com, Mysecurezone.com, Yubimail.com
  • Leur approche est trop commerciale, donc douteuse : Mysecurezone.com fait de la pub sur Google
  • Leurs domaines tombent en spam trop souvent : CounterMail, Neomailbox, Safe-Mail.net, S-mail.com, Vmail.me
  • L’utilisation est trop complexe : CryptoHeaven, Coutnermail
  • Les CGU et Privacy Policy ne sont pas claires/satisfaisantes sur les logs : Mailbox.org, MyKolab, Runbox, Swissmail.org
  • Les serveurs sont aux Etats-Unis ou en France : Cotse.net, RiseUp.net, Openmailbox, Shazzlemail, Vmail.me
  • La réputation est mauvaise : BitMessage.ch est utilisé par Al Qaeda, Hushmail et Safe-mail coopèrent avec la NSA
  • Le service n’est pas disponible en anglais : Aikq.de
  • Le nom est trop suggestif :  4securemail.com, KeptPrivate.com, MaskMe, Safe-Mail.net, Securenym.net, Unspyable.com
  • Le nom ou la mission nous semble trop « révolutionnaire » :  Autistici.org, Novo-ordo.com

Pour en savoir plus sur ces services et pourquoi les utiliser, vous pouvez aussi consulter notre article : Créez un compte email anonyme encrypté