La plupart d'entre nous utilisons le courrier électronique tous les jours sans nous demander qui d'autre pourrait lire nos messages. Les sites d'évaluation commerciaux notent souvent les fournisseurs de messagerie en fonction de leurs fonctionnalités et de leurs tarifs, mais ils négligent l'essentiel : l'architecture technique de la protection Vie privée. Projet communautaire Critiques Open Source, géré par les utilisateurs de GitHub, aborde le sujet sous un angle différent : il évalue les fournisseurs sur la base de faits vérifiables, et non de promesses marketing.
Dans cet article, je résume leurs conclusions et j'y ajoute mes propres commentaires.
Comment évaluer la confidentialité des e-mails
Pour bien comprendre cette comparaison, il est essentiel de faire la distinction entre intimité architecturale a une vie privée fondée sur la politique. La confidentialité architecturale signifie que le fournisseur traite techniquement vos e-mails ne peut pas lire — les données sont chiffrées côté client avant même d'être envoyées au serveur. Une confidentialité fondée sur une politique signifie que le fournisseur ne peut pas lire vos e-mails peut, mais il assure que ce n'est pas le cas.
Comparaison Source ouverte Les évaluations notent les fournisseurs selon six critères : la transparence du code source, les audits de sécurité indépendants, la vérifiabilité de l'architecture de chiffrement, la transparence de l'organisation, la mise en œuvre technique de la protection des métadonnées et le comportement passé face aux demandes judiciaires.
Les quatre niveaux de confidentialité des e-mails
Catégorie 1 : Véritable « zero-access » — serveur dédié
La seule façon d'obtenir un chiffrement « zéro accès » entièrement vérifiable est d'exploiter son propre serveur de messagerie. Des outils tels que Mailcow, Mail-in-a-Box ou la combinaison Postfix/Dovecot sont entièrement open source et permettent de contrôler l'ensemble de la pile, du chiffrement à l'infrastructure physique en passant par la journalisation.
L'inconvénient, c'est qu'un contrôle total implique une responsabilité totale. Auto-hébergement nécessite des connaissances techniques, un entretien régulier et la gestion de la délivrabilité des e-mails. Pour la plupart des utilisateurs lambda, ce n'est pas une option réaliste.
Classe 2 : Accès zéro sécurisé — faire confiance, mais vérifier
Cette catégorie regroupe trois fournisseurs qui affirment ne pas pouvoir lire le contenu de vos e-mails. Ils exigent toutefois que vous ayez confiance dans le fait que le code client transmis à votre navigateur n'a pas été compromis.
Tutanota (classement : 2e place) propose un code client et serveur entièrement open source, chiffrement de bout en bout pour le courrier, les contacts et les calendriers, ainsi que son propre système de cryptage. Il opère sous la juridiction allemande, fait l'objet d'audits publics et a un historique de fonctionnement propre, sans controverse majeure. Selon les comparaisons, il s'agit de l'hébergeur le plus puissant du monde. E2EE choix.
Proton Mail (classement : 3e place) propose des applications client partiellement open source, mais le code serveur reste propriétaire. Il offre une architecture cryptographique robuste et relève de la juridiction suisse. Un incident survenu en 2021 soulève toutefois des questions de confiance : sur la base d'une décision judiciaire, le service a enregistré et transmis l'adresse IP d'un militant pour le climat, alors qu'il affirmait auparavant ne pas enregistrer les adresses IP.
AtomicMail (classement : 4e place) est un fournisseur relativement récent proposant une architecture « zero-access » (AES-256, ECIES). Le code est propriétaire ; seul un livre blanc sur la sécurité est disponible. Son histoire récente et sa transparence limitée exigent une plus grande confiance de la part des utilisateurs.
Catégorie 3 : Fournisseurs traditionnels prenant en charge PGP
Par défaut, ces fournisseurs peuvent lire vos e-mails, mais ils offrent une prise en charge solide du chiffrement PGP/S-MIME. La confidentialité dépend ici de l'activité de l'utilisateur.
Boîte aux lettres.org (5e place) est un fournisseur allemand jouissant d'une bonne réputation et offrant une prise en charge solide de PGP. Sans PGP actif, les e-mails sont stockés en clair. Posteo (6e place) se distingue par la prise en charge de l'inscription anonyme, l'acceptation des paiements en espèces par courrier et la suppression des adresses IP lorsque cela est possible. Il ne prend délibérément pas en charge les domaines personnalisés. Kolab Now (7e place) est un fournisseur suisse s'appuyant sur une pile de logiciels collaboratifs open source, avec prise en charge de PGP et d'autres fonctionnalités bureautiques.
Catégorie 4 : Messagerie grand public — aucune confidentialité
Cette catégorie comprend les services qui, d'après cette comparaison, ne devraient pas être considérés comme des fournisseurs de messagerie électronique privés.
Gmail (8e place) est un service propriétaire qui collecte un grand nombre de métadonnées et analyse le contenu. Le chiffrement côté client n'est disponible que pour les éditions Enterprise Google Espace de travail. Fastmail (9e place) offre une excellente expérience utilisateur et une implémentation IMAP/SMTP, mais pas de chiffrement de bout en bout (E2EE) — et relève de la juridiction australienne (membre de l'alliance Five Eyes). HEY (10e place) met l'accent sur des processus innovants plutôt que sur la confidentialité et ne propose aucun cryptage.
Tableau récapitulatif
| Lieu | Prestataire | Source ouverte | Audits | Inscription anonyme | Accès zéro | E2EE |
|---|---|---|---|---|---|---|
| 1 | Auto-hébergé | Oui | Propre | — | Oui | Oui |
| 2 | Tutanota | Entièrement | Oui | Oui | Trempé | Oui |
| 3 | Proton Courrier | En partie | Oui | Oui | Trempé | Oui |
| 4 | AtomicMail | Non | Limité | Oui | Trempé | Oui |
| 5 | Boîte aux lettres.org | En partie | Non | Non | Non | PGP |
| 6 | Posteo | En partie | Non | Oui | Non | PGP |
| 7 | Kolab Now | Oui | Non | Non | Non | PGP |
| 8 | Gmail | Non | Non | Non | Non | Non |
| 9 | Fastmail | Non | Non | Non | Non | Non |
| 10 | HEY | Non | Non | Non | Non | Non |
Ce qu'il faut retenir
Si vous tenez à la confidentialité de vos e-mails, la leçon à retenir est simple : il ne suffit pas de se fier aux promesses, c’est l’architecture qui compte. L’auto-hébergement reste la seule solution entièrement vérifiable. Parmi les services hébergés, Tutanota s’en sort le mieux grâce à son code entièrement ouvert et à son historique irréprochable. Proton Mail est techniquement solide, mais l’incident impliquant un militant pour le climat montre que même Juridiction suisse a ses limites.
Pour les utilisateurs qui ne veulent pas ou ne peuvent pas passer à un fournisseur spécialisé, l'étape la plus simple pour améliorer votre configuration est la suivante Cryptage PGP avec des services comme Mailbox.org ou Posteo. Les services classiques tels que Gmail, Fastmail et HEY ne sont tout simplement pas conçus dans le respect de la vie privée.
Source de la comparaison : Les meilleurs fournisseurs de messagerie privée sélectionnés par les utilisateurs de GitHub — Avis sur les logiciels libres
Čeština
English
Deutsch
Español
Français