Email

Sommaire

  1. Introduction
  2. Créer une adresse mail jetableSites
    1. Extension Navigateur internet
  3. Messagerie unifiée
  4. Fournisseurs d’e-mails libres
  5. Fournisseurs d’e-mails sécurisés [http://www2.korben.info/wp-content/uploads/wiki.korben.images/a/ab/Warning_icon.png] Attention: Il faut bien comprendre que par « sécurisé » ces fournisseurs de mails ne le sont qu’en fonction de qui ou de quoi vous cherchez à vous protéger. Autant la protection est adaptée pour vous protéger d’un(e) petit(e) menaçant(e), autant si vous êtes « poursuivi par la CIA » aucun de ces mails ne sera réellement adapté. Réalisez que lorsque vous envoyez un e-mail, même en texte brut, de nombreuses informations peuvent filtrer: [http://wiki.korben.info/adresse_ip Adresse IP], [http://wiki.korben.info/changer_son_adresse_mac Adresse MAC], [http://wiki.korben.info/cookies Cookies], [http://wiki.korben.info/no_javascript_no_flash_etc#flash Cookies Flash], [http://www.protegersonimage.com/vie-privee-les-super-cookies-super-voraces-debarquent/ Super Cookies], [http://wiki.korben.info/no_javascript_no_flash_etc Informations Javascript], [http://wiki.korben.info/vpn#ce_que_le_vpn_ne_fait_pas fuites DNS] (même au travers d’un [http://wiki.korben.info/vpn VPN]) etc. Ne croyez jamais que vous êtes totalement protégé, il y aura toujours une technologie que vous ne connaissez pas. De plus, vos données sont hébergés sur des serveurs sur lesquels vous n’avez aucun contrôle. Préférez donc [http://wiki.korben.info/email#creer_son_propre_serveur_e-mail créer votre serveur mail] sur le principe de [http://wiki.korben.info/fournisseur_d’acces_et_hebergement_internet_libres#auto_hebergement l’auto-hébergement]. 
  6. Quick and dirty
  7. Relever et télécharger ses mails
    1. Logiciels pour e-mails
  8. Créer son propre serveur e-mail
  9. Sécuriser votre accès mail
    1. POP3S (POP3 OVER SSL)
    2. IMAPS (IMAP OVER SSL)
    3. SMTPS
    4. APOP
    5. Gmail
  10. Envoyer des mails anonymes
  11. Chiffrer un mail
  12. Dissimuler un mail
  13. Divers
  14. À Venir

***

Introduction

Il existe 3 principaux protocoles à connaitre:

  • POP: Le compte POP (Post Office Protocole) ou POP 3, permet de « télécharger » les messages qui se trouvent sur le serveur vers votre ordinateur. C’est le mode le plus simple et le plus courant d’utilisation d’une messagerie. Attention : les messages seront alors supprimés du serveur. Dans certains cas, votre logiciel de messagerie permet de laisser une copie des messages sur le serveur (contactez le support de votre logiciel, ou consultez un moteur de recherche à ce sujet). Source: Gandi.net.
  • IMAP: Internet Message Access Protocol (IMAP) 1 est un protocole qui permet de récupérer les courriers électroniques sur des serveurs de messagerie. Son but est donc similaire à POP3, l’autre principal protocole de relève du courrier. Mais contrairement à ce dernier, il a été conçu pour permettre de laisser les messages sur le serveur.
  • SMTP: Le Simple Mail Transfer Protocol (littéralement « Protocole simple de transfert de courrier »), généralement abrégé SMTP, est un protocole de communication utilisé pour transférer le courrier électronique (courriel) vers les serveurs de messagerie électronique.

2 autres protocoles, bien que secondaires, sont aussi utiles à connaitre:

  • XMPP Extensible Messaging and Presence Protocol est un protocole de messagerie instantanée pouvant être utilisé pour les Emails.
  • AMQP un protocole intergiciel | Article.

Remarque préliminaire : l’exemple belge le montre (NB : le quotidien bruxellois Le Soir a sucré l’article cité, mais le site Mecanopolis a heureusement conservé l’information), les réglementations qui se préparent en Europe visent à abolir le secret de la correspondance privée ainsi que la notion de secret professionnel, pourtant garantis par toutes les constitutions européennes à l’exception notable de la constitution française. Une étape ultérieure à craindre est le retour de l’interdiction pure et simple de la cryptographie. Si tel était le cas, il faudra privilégier la stéganographie, plus discrète. On peut déjà noter que les solutions de téléphonie chiffrée récemment apparues sont strictement réservées aux « représentants de l’autorité »c’est-à-dire à ceux qui imposent au citoyen ordinaire une surveillance à laquelle ils se soustraient par la même occasion : vous et moi ne pourrons jamais téléphoner secrètement ; ceux qui nous surveillent le pourront. Les organisations criminelles et terroristes aussi, bien entendu (se procurer des armes n’a jamais été un problème pour elles, il en sera évidemment de même pour les équipements prohibés de cryptophonie).
Concrètement, cela signifie que votre fournisseur d’accès sera tenu d’archiver vos courriels pour une durée déterminée et de les tenir à la disposition des autorités judiciaires et policières. Il faut noter que les FAI s’inquiètent à juste titre des charges liées à cette obligation. Ils pourraient ainsi être amenés à développer des techniques avancées de surveillance, non pas pour mieux vous espionner mais pour se conformer à la loi à moindres coûts. Par exemple en passant votre navigation au crible pour n’archiver que ce qui est susceptible d’intéresser les autorités (mots-clefs, sites sensibles, détection des comportements de furtivité tels que la cryptographie et l’anonymat, etc.) : une forme de complicité objective dont il conviendra de se méfier.
D’où une première précaution élémentaire à prendre : ne pas utiliser les serveurs POPIMAPet surtout SMTP de votre FAI. Si vous utilisez une adresse de type « web mail » n’appartenant pas à votre FAI, en mode http (ou, mieux, https), pas de problème : votre FAI ne pourra pas archiver votre correspondance (à moins de tamiser la totalité de votre navigation, ce qui entraînerait des surcoûts probablement intolérables).
D’autres liens en parlent: Presence-pc.
Si en revanche vous accédez à votre courriel par un client email (Thunderbird, Outlook etc.) à travers des serveurs POP, IMAP et SMTP, attention :

Dans la suite, il est expliqué comment se protéger de l’espionnage par son FAI, mais cet espionnage sera toujours possible pour celui qui stocke, reçoit et envoie vos courriels. Sa propension à le faire dépendra de sa moralité et des lois de son pays s’il les respecte. Il est conseillé d’éviter de stocker ses courriels dans son pays , car leur accès sera facilité pour les autorités, dans des pays mafieux, ou dans des pays où la protection de la vie privée est faible, comme les EU.

  • Pour éviter d’être espionné par votre FAI, évitez son service de courriel et préférez-lui un service tiers (Gmail, Yahoo, Hotmail, Eumx etc.).

Ces noms sont ceux de service de courriels tiers. Ce ne sont pas forcément des noms de service auxquels on peut faire confiance. Par exemple Gmail et Yahoo participent à la censure en Chine, et ont une partie de leurs serveurs aux EU, pays qui respecte peu la vie privée.
De plus, cela vous permettra de changer de FAI sans perdre votre accès à vos mail, et tous vos mails non sauvegardés.

  • Oubliez le SMTP « maison » de votre FAI (par exemple smtp.orange.fr, relay.belgacom.net etc.), utilisez celui d’un service tiers (smtp.gmail.com, smtp.mail.yahoo.fr, ssl.eumx.net etc.) en mode TLS/SSL (ce que ne permettent généralement pas les smtp des FAI) ou, mieux encore, souscrivez à un service spécialisé comme outbound.mailhop.org pour quelques euros par an. Avantage collatéral : si vous vous déplacez avec votre PC et changez de connexion, vous ne devrez plus changer de smtp (celui de votre FAI est en effet inaccessible à travers toute connexion tierce). En tout état de cause choisissez des serveurs POP, IMAP et SMTP situés hors de votre pays. Le web ignore les frontières, les États les vénèrent.

Et bien entendu, répétons-le, chiffrez, chiffrez, chiffrez, même ce qui n’est pas confidentiel.Créez votre clef PGP et partagez-la. Ne pas chiffrer ses courriels, c’est exactement la même chose que déposer une photocopie de tout son courrier postal au commissariat de police avant le de le jeter -sous enveloppe transparente et ouverte- dans la boîte aux lettres.
À moins d’administrer vous-même votre propre serveur de courriel, sachez que TOUTE votre correspondance non chiffrée est archivée en clair par votre prestataire, qu’il s’agisse de votre fournisseur d’accès ou d’un service tiers, et vous ne savez pas quel usage il en fait. Si ce service vous est offert par une entreprise qui exploite également un moteur de recherche (Gmail, Yahoo, Hotmail), la tentation est évidemment grande d’analyser vos échanges pour mieux cibler la publicité, unique source de financement de ces entreprises. La centralisation de dizaines de millions de comptes de courriel dans les archives d’une même entreprise peut aussi constituer une aubaine extraordinairement alléchante pour les services gouvernementaux, qui disposent d’outils puissants d’analyse croisée (associant courriel, réseaux sociaux, téléphone, géolocalisation etc.) leur permettant de faire un portrait extrêmement détaillé de votre personnalité et de votre réseau de relations. Alors enfonçons le clou : chiffrez !
La difficulté, bien entendu, est que la plupart de vos correspondants n’ont pas (encore) de clef de chiffrement : vous ne pouvez donc chiffrer que rarement, et ce qu’on vous envoie est le plus souvent en clair. Deux choses à faire pour que cela change : (1) faites du prosélytisme en rappelant à tous combien il est imprudent de ne pas chiffrer, (2) chiffrez quand même, mais de manière symétrique c’est-à-dire avec une clef unique de chiffrement et de déchiffrement, en transmettant la clef à vos destinataires par un autre canal (la clef étant dans ce cas à usage unique, en tout cas à n’utiliser que deux ou trois fois au maximum). Un service permettant cela est LockBin.
D’accord, c’est un peu embêtant pour vous et surtout pour vos correspondants qui ne disposent pas forcément du savoir-faire et des outils nécessaires. Lorsque surviendront les premières manifestations de la disparition du secret des correspondances privées et les dommages collatéraux qui en découlent, on verra probablement les comportements changer : le chiffrement deviendra la norme.
Ajoutez à votre signature une mention interdisant explicitement toute divulgation à un tiers sans votre autorisation expresse, sous peine de poursuites. À défaut de pouvoir les chiffrer, signez systématiquement (au sens cryptographique du mot, c’est-à-dire numériquement) vos messages. Ils seront alors authentifiés et horodatés de manière incontestable. Aucune copie ne pourra vous être imputée sans être accompagnée de votre signature et de votre autorisation de divulgation (en d’autres termes, vous pourrez nier la paternité de tout écrit non signé et non autorisé par vous à la divulgation). Certes, dans la plupart des cas le destinataire ne saura pas quoi faire de votre signature attachée ; mais en cas de problème sérieux vous pourrez la faire valoir devant un tribunal compétent. N’oubliez pas que « nul ne peut invoquer sa propre turpitude », c’est-à-dire utiliser contre vous un écrit dont vous n’aviez pas autorisé la divulgation.

Exemple de signature type :

Ces recommandations peuvent sembler paranoïaques aujourd’hui, mais vous verrez bientôt qu’elles s’imposeront (se souvenir des mésaventures de Jérôme Bourreau-Guggenheim, viré de TF1 pour un courriel privé qui a déplu à sa hiérarchie qui n’aurait jamais dû en avoir connaissance).

Le site Demainlemail.com et les liens externes de celui ci sont une bonne source pour trouver des fournisseurs d’e-mails et de solutions pour e-mails.

Créer une adresse mail jetableSites

  • SpamGourmet | Article
  • 10minutemail
  • Kasmail
  • YopMail : E-mail jetable, anonyme et gratuit
    • Idéal pour être utilisé comme boîte à spams
    • Pas besoin de s’inscrire
    • Adresse créée automatiquement: Vous pouvez donner une adresse en @yopmail.com à vos correspondants sans être allé sur le site avant pour la créer!
    • Sans mot de passe
    • Mails conservés 8 jours
    • Chaque adresse dispose d’un alias
    • Dispose de domaines alternatifs (idéal si un site bloque les @yopmail.com)
    • Attention : Envoi de mails possible uniquement d’une adresse YopMail à une autre adresse YopMail
    • Pas besoin de disposer d’une adresse mail fixe. Yopmail stocke les mails jetables sur ses serveurs.
  • Mail Jetable
    • Création temporaire d’adresses mails (pas de mot passe, pas besoin de s’inscrire, accès https, …) utilisant le service AppEngine de Google. (Code Source libre)
  • Get2Mail.fr (utilisable sans activer Javascript).
  • Get One mail
  • Slopsbox
    • Adresse créée automatiquement à la réception d’un mail
  • Hushmail
  • Otherinbox
  • @MAIL.RU
  • Jetable.org Pourquoi chercher plus loin? On saisit une adresse mail, on sélectionne le temps de validité et c’est fini. Il suffit ensuite d’indiquer l’adresse affichée comme adresse de messagerie.
  • 0-Mail.com 0-mail.com est totalement gratuit.
    • Vous voulez éviter de vous faire polluer votre boîte aux lettres par du spam ? Ne fournissez plus votre adresse E-mail aux prestataires vous semblant douteux.
    • 0-mail.com vous fournit gratuitement une adresse temporaire… Un formulaire à remplir ? Un code à récupérer, n’hésitez plus utilisez notre site !
    • Pour utiliser 0-mail.com, rien de plus simple :
      • Fournissez une adresse mail quelconque par exemple : nimportequoi@0-mail.com
      • Puis pour consulter la boite, indiquez cette adresse dans le champ « adresse e-mail » (juste au-dessus de cette présentation).
    • PS : Les boîtes aux lettres étant lisibles par tous, ne prenez pas une adresse E-mail trop générique.
  • Tempomail : E-mail jetable, anonyme et gratuit
    • Durée de validité de l’adresse jetable paramétrable entre 4 jours et 1 mois

*Extension Navigateur internet

Extension Navigateur internet

  • GetJetableMail est une extension pour Firefox qui intègre le service jetable.org. Une fois installée, un clic droit dans un formulaire permet d’ajouter une adresse jetable rapidement.
  • Tempomail : Extension Firefox de Tempomail.
    • Durée de validité de l’adresse jetable paramétrable entre 4 jours et 1 mois
  • Plugin Yopmail pour Firefox et Opera (Widget).

Messagerie unifiée

Le concept de Messagerie unifiée permet de réunir E-mail, boite vocale, téléphonie, réception/envoi de sms, de fax, etc au sein d’un même et unique service.

Fournisseurs d’e-mails libres

Certains fournisseurs proposent des adresses e-mails libres (tournant sur des serveurs libres, type Linux entre autres). D’autres fournisseurs proposent même des prix « libres » (vous proposez votre prix selon vos moyens):

  • OpenMailBox Service mail uniquement basé sur des logiciels libres.
  • Mailoo Simple service mail. Permet un accès POPs et IMAPs.
  • Sud-Ouest Association proposant un service mail.
  • APINC Association proposant un service mail.
  • Legtux.

Pour créer son propre mail libre, voir la section Créer son propre serveur e-mail.

Fournisseurs d’e-mails sécurisés

 Attention: Il faut bien comprendre que par « sécurisé » ces fournisseurs de mails ne le sont qu’en fonction de qui ou de quoi vous cherchez à vous protéger. Autant la protection est adaptée pour vous protéger d’un(e) petit(e) menaçant(e), autant si vous êtes « poursuivi par la CIA » aucun de ces mails ne sera réellement adapté. Réalisez que lorsque vous envoyez un e-mail, même en texte brut, de nombreuses informations peuvent filtrer: Adresse IPAdresse MAC,CookiesCookies FlashSuper CookiesInformations Javascriptfuites DNS (même au travers d’un VPN) etc. Ne croyez jamais que vous êtes totalement protégé, il y aura toujours une technologie que vous ne connaissez pas. De plus, vos données sont hébergés sur des serveurs sur lesquels vous n’avez aucun contrôle. Préférez donc créer votre serveur mail sur le principe de l’auto-hébergement.

  • Safe-mail: Service sécurisé en SSL. Inscription ultra rapide (login + mot de passe et rien de plus). Nombreux services internes (Chat sécurisé etc), Symphony logiciel téléchargeable (non obligatoire) pour Windows. Possibilité d’utiliser l’interface sans script (Javascript etc) ni icônes (léger et sécurisé). Le service fonctionne sans cookies (au 28 Octobre 2012). Il est aussi possible d’envoyer un mail directement sans se connecter à sa boite avec QuickMail. Inconvénient: Boite mail gratuite minuscule (3 Mo), il faut payer pour augmenter sa taille. Création d’emails automatique sur Safe-mail. Utilisez des extensions pour protéger votre surf telles que NoScriptBetter PrivacyGhostery etc, et paramétrez les pour une sécurité maximale. Consultez aussi l’article Navigateur à toute épreuve.
  • S-mail.
  • ZixMailEncryption.
  • NeoMailBox.
  • MuteMail.
  • vmail.me.
  • Libres ou proches du libre:
    • Web4All fournisseur français de webmail associatif. Permet un accès IMAP/IMAPs, un accès POP/POPs et un accès SMTP/SMTPs.
    • Toonux propose aussi un service de mail chiffré ainsi qu’un VPN. Le service a été créé par Bluetouff un blogueur reconnu dans le milieu du libre.
    • A/I est né il y a plus de 10 ans, quand des individus et des collectifs travaillant autour de la technologie, de l’anonymat, des cyber-droits et de l’activisme politique se sont rencontrés. Notre but principal est de fournir à une large base des outils de communication libres et gratuits, et ainsi de proposer une alternative aux modes de communication commerciaux. Nous voudrions amener à la conscience des gens le besoin de protéger leur vie privée et d’échapper au pillage des données perpétré par les gouvernements et les entreprises. Nous fournissons plusieurs services gratuits, libres et respectueux de la vie privée, à savoir:
  • Privacybox.
  • Awxnx.de.
  • Anonbox vous fournit gratuitement une adresse électronique gratuite à usage unique.

Quick and dirty

  • Safe-mail: Service sécurisé en SSL. Inscription ultra rapide (login + mot de passe et rien de plus). Nombreux services internes (Chat sécurisé etc), Symphony logiciel téléchargeable (non obligatoire) pour Windows. Possibilité d’utiliser l’interface sans script (Javascript etc) ni icônes (léger et sécurisé). Le service fonctionne sans cookies (au 28 Octobre 2012). Il est aussi possible d’envoyer un mail directement sans se connecter à sa boite avec QuickMail. Inconvénient: Boite mail gratuite minuscule (3 Mo), il faut payer pour augmenter sa taille. Création d’emails automatique sur Safe-mail. Utilisez des extensions pour protéger votre surf telles que NoScriptBetter PrivacyGhostery etc, et paramétrez les pour une sécurité maximale. Consultez aussi l’article Navigateur à toute épreuve.
  • Tor Mail est un service libre de mail. Il est logiquement accessible en ayant téléchargéTOR mais le lien présent passe par le service Onion.to qui permet d’accéder au mail sans avoir TOR.Possibilité d’utiliser l’interface sans script (Javascript etc) ni icônes (léger et sécurisé).

Relever et télécharger ses mails

  • FreePOPs est un programme libre facilement extensible, qui vous permet d’avoir accès aux ressources les plus variées à travers le protocole POP3. Il est utilisé principalement pour télécharger vos mails depuis les webmails les plus connus, mais il peut etre utilisé pour agréger des flux RSS et bien plus. Par ce biais, vous pourrez recevoir tous vos messages dans votre client de messagerie préféré. FreePOPs est un Logiciel Libre!
  • YPops!: Yahoo a depuis 2002 désactivé l’accès libre à son service POP3, obligeant ainsi les utilisateurs à se servir de son interface Web pour accéder à son courrier. C’est donc pour contrer cette restriction qu’a été crée YPOPs (YahooPOPs).
  • Popman Portable est un logiciel libre qui vous permet de relever vos mails et offrent bien d’autres fonctionnalités | Article (fr).
  • Liste Mail & News de logiciels libres sur Framasoft.

Logiciels pour e-mails

  • Thunderbird et ses forks:
    • TrustedBird, un fork de Thunderbird, créé par la gendarmerie nationale française, un peu dans la même logique que BitBox sorte de Firefox dans une machine virtuelle créé par le gouvernement allemand. Prudence dans les 2 cas, rien ne dit qu’il n’y a pas de discrète backdoor mise dedans par le gouvernement, même si le logiciel est libre, les binaires ne peuvent pas être constamment auditées…
    • Postbox Express.
  • Pour sécuriser la gestion de votre boite mail notamment avec Thunderbird, voyez la section Extensions de l’article Chiffrement et Stéganographie.
  • Voyez aussi cette liste d’autres clients de messagerie sur Wikipédia.

Créer son propre serveur e-mail

Sécuriser votre accès mail

Pour sécuriser la gestion de votre boite mail notamment avec Thunderbird, voyez la section Extensions de l’article Chiffrement et Stéganographie.
Quelques conseils basiques de sécurité:

  • Veillez à toujours vous connecter avec une connection sécurisée lors du téléchargement de vos mails. Prenez POP3S au lieu de POP3, SMTPS au lieu de SMTP.
  • Téléchargez constamment vos mails vers votre PC et effacez immédiatement du serveur de mail vos emails. De cette façon, si votre serveur de mail est hacké/cracké, vous diminuez les chances que l’on puisse fouiller dans vos emails.
  • Changez régulièrement de mot de passe ET prenez un mot de passe doté de chiffres, de lettres et de caractères spéciaux (@, #, *, etc).

POP3S (POP3 OVER SSL)

IMAPS (IMAP OVER SSL)

SMTPS

APOP

Qu’est-ce que APOP ?
L’APOP (Authenticated Post Office Protocol) est un schéma d’authentification opérant par-dessus le protocole POP standard. Il est conçu pour protéger ou crypter le mot de passe de l’utilisateur lorsque celui-ci est envoyé sur le réseau.
POP étant un protocole texte sur une connexion telnet, si vous vous authentifiez en utilisant la méthode USER/PASS (login/mot de passe), votre mot de passe circule en clair sur le réseau. Vous pouvez donc utiliser la commande APOP (facultative et donc pas toujours supportée par le serveur).
Voir aussi dans la page mode d’emploi en cliquant sur la démo (1ere caméra) de création de compte, on en parle brièvement.
APOP n’est pas supporté par tous les fournisseurs d’accès (FAI) car antinomique avec user/pass.
ATTENTION : Ce n’est pas du mail sécurisé ! Cela vise seulement à crypter et décrypter le mot de passe et le nom de l’utilisateur au moment de la connection sur le compte distant (cela évite de se faire pirater trop facilement par sniffage).
Source: Outclock.org.

Gmail

Attention: Il est TOTALEMENT déconseillé d’utiliser Gmail qui est un service de Google! Vos mails seront gardés pour TOUJOURS et vos libertés individuelles ne sont pas du tout respectées! Gmail est donc STRUCTURELLEMENT un service non sécurisé aussi bien pour vous que pour vos correspondants!

  • Activez l’option HTTPS sur Gmail :
  • Connectez-vous à Gmail.
  • Cliquez sur « Paramètres » (en haut d’une page Gmail).
  • En regard de « Connexion au navigateur », sélectionnez l’option « Toujours utiliser le protocole https ».
  • Cliquez sur « Enregistrer les modifications ».
  • Rechargez Gmail.
  • Veuillez noter que, lorsque l’option « Toujours utiliser le protocole https » est activée, vous ne pourrez plus accéder à Gmail par le protocole HTTP ; iGoogle n’affichera plus les en-têtes des derniers courriels reçus. En outre, il est possible que Gmail soit légèrement ralenti. Si vous avez confiance dans la sécurité de votre réseau, vous pouvez désactiver cette fonctionnalité à tout moment.

Envoyer des mails anonymes

Chiffrer un mail

Dissimuler un mail

NB : le certificat utilisé par spammimic n’est pas digne de confiance (« spammimic.com utilise un certificat de sécurité invalide. Le certificat n’est pas sûr car il est auto-signé. Le certificat n’est valide que pour localhost.localdomain. (Code d’erreur : sec_error_untrusted_issuer) ».

Divers

À Venir

  • Signer un email électroniquement

(Enigmail)

  • Email et accusés de réception

 

>>> Source : http://wiki.korben.info/email