Comment communiquer en privé à l'ère de la police numérique

Vos meilleures options pour garder vos messages et courriels privés et sécurisés

Même les non-espions ont besoin d'intimité. Parlons de comment. Photo gracieuseté de Pixabay.

Introduction: une conversation simple

Disons que vous êtes assis dans votre salon de votre appartement londonien et que vous discutez avec un cher ami. Vous êtes en train de discuter d’un sujet personnel et peut-être même un peu effrayant: votre médecin a remarqué un phénomène inhabituel sur votre peau et souhaite effectuer une biopsie pour dépister le cancer. Votre ami est à vos côtés, à l'écoute, pendant que vous êtes émue par le fait que la simple mention du mot cancer vous rend fâché, triste, inquiet et nerveux. Vous décrivez comment un diagnostic de cancer peut avoir une incidence sur votre carrière, votre potentiel de revenus, votre vie sociale, votre relation avec vos proches et plus encore.

Avez-vous, assis dans votre salon, le droit à une conversation privée? Bien sûr, vous le faites. Avez-vous des inquiétudes quant à savoir si votre conversation sur une affaire privée et personnelle est entendue par d'autres et éventuellement utilisée contre vous? Bien sûr que non: c’est une conversation privée dans un cadre privé.

Mais disons maintenant que vous avez la même conversation avec le même ami pendant que vous êtes assis dans le même salon à Londres. Seulement maintenant, imaginons que votre amie soit assise dans son salon à Mumbai, où elle habite. En raison de la distance, disons que vous avez une conversation à longue distance via un appel téléphonique, une application de chat vidéo ou des messages texte.

Avez-vous, en utilisant cette technologie, le même droit à une conversation privée? Bien sûr, vous le faites. Craignez-vous que votre conversation sur une affaire privée et personnelle soit entendue par d'autres et éventuellement utilisée contre vous? Malheureusement… la réponse à cette question n’est pas aussi claire dans le monde extrêmement interconnecté d’aujourd’hui.

Les experts en confidentialité et en sécurité vous conseillent - et à juste titre - de réfléchir à ce que vous souhaitez communiquer avant de communiquer, puis de choisir les meilleurs outils pour rendre cette communication aussi sûre et privée que vous le souhaitez. ce soit. Nous allons discuter de la manière de mettre en œuvre cette approche, alors intervenons directement.

Les trois canaris

Certains d’entre vous pensent peut-être: «Pourquoi tout le monde s’agite-t-il, brah? Je suis cool avec l'envoi de messages texte ou SMS; Je n’ai aucun problème à bavarder avec mes potes via Facebook, Twitter et d’autres plateformes de médias sociaux; Slack est parfait pour discuter en direct avec mes collègues. et je crois toujours en l'utilisation de la messagerie à l'ancienne, la technologie vieille de plus de 50 ans qui ne me laisse jamais tomber! ”

J'ai compris. Toutes les options de messagerie que je viens de mentionner sont facilement disponibles et faciles à utiliser. Malheureusement, ils sont également considérés comme peu sûrs pour des raisons importantes que je qualifierai de «Trois Canaries»:

  1. Toute la technologie est piratable. Oui, les réseaux de cellules aussi.
  2. Vos données personnelles sont fiables, peu d’entreprises, le cas échéant.
  3. Vous pouvez ordonner à chaque entreprise de divulguer les données qu’elle a conservées à votre sujet aux autorités policières et / ou gouvernementales.

Pour des statistiques révélatrices, consultez les informations sur la transparence - toutes liées ci-dessous - d'Amazon, Facebook, Twitter, Snapchat, Microsoft, Apple et Google. Si vous analysez ces données, vous remarquerez trois tendances: premièrement, le nombre de demandes de vos données personnelles émanant du gouvernement et des forces de l'ordre augmente chaque année; deuxièmement, les entreprises de technologie se conforment à ces demandes la plupart du temps; Troisièmement, les États-Unis - ce phare de la liberté! - émet plus de demandes de données utilisateur que tous les autres pays. Par une quantité énorme.

Soupir.

Les outils numériques à la rescousse

Ne crains rien, citoyen! Il y a toujours des outils disponibles pour nous aider à atteindre nos objectifs légaux, et cette situation n'est pas différente. Dans notre cas, pour atténuer ou éliminer les Trois Canaries, nous ne devrions utiliser que des solutions de messagerie sécurisées offrant un cryptage de bout en bout (ou «E2EE» si vous préférez avoir l’air fantaisie).

E2EE, utilisé le plus souvent avec des systèmes de messagerie sécurisés, est une méthode de communication cryptée dans laquelle seuls les utilisateurs qui communiquent, à savoir l'expéditeur et les destinataires, peuvent lire les messages. Lorsque les utilisateurs emploient E2EE, les fournisseurs de services Internet, les entreprises de téléphonie mobile, les gouvernements oppressifs, les enquêteurs privés, les agences d'espionnage ou même les sociétés fournissant le service E2EE ne peuvent pas afficher le contenu de vos messages cryptés.

Pour comprendre pourquoi E2EE est si important, revenons à votre salon et discutez de votre santé avec votre cher ami. Voyons maintenant cette même conversation à travers l’optique des Trois Canaries:

  1. Toute la technologie est piratable. Si les serveurs situés le long du chemin de transit de vos messages E2EE sont piratés et que vos messages sont interceptés, vous êtes toujours en sécurité: tous vos messages sont toujours cryptés et, par conséquent, impossibles à voir de près.
  2. Peu de sociétés peuvent faire confiance à vos données personnelles. Si vous utilisez la technologie E2EE lors de l'envoi de vos messages, même les sociétés hébergeant cette technologie ne peuvent pas lire vos messages. Par conséquent, ces entreprises n’auront pas accès à vos informations personnelles, au-delà de l’adresse e-mail ou du numéro de téléphone que vous avez éventuellement fournis lors de votre inscription.
  3. Chaque entreprise peut être tenue de divulguer des données. Si la plus puissante agence de renseignement de la planète - la CIA - assignait à comparaître le fournisseur de votre service de messagerie E2EE et le forçait à remettre vos messages, vous seriez toujours en sécurité. C’est parce que le fournisseur ne pourrait transmettre que des messages chiffrés. Et, jusqu'en 2017, nous avons la preuve que la CIA ne peut pas déchiffrer le cryptage des messages qui utilisent E2EE.

Maintenant, nous allons quelque part. Nous reprenons une partie de la vie privée qui a été retirée de notre contrôle. Dans cet esprit, examinons les meilleures options disponibles pour la messagerie sécurisée et la messagerie électronique.

Remarque: dans presque tous les cas, je soulignerai la version iOS de chaque solution. La raison en est que l’iOS d’Apple est - de loin - plus sûr que Microsoft ou l’Android de Google. Ces résultats ont été confirmés par d'autres. À plusieurs reprises. Et encore Et encore

Vous pourriez ne pas aimer cela, mais eux les faits, kiddo. Et si nous voulons mettre l’accent sur les communications sécurisées, nous devons également prendre en compte l’ensemble du système d’exploitation, et pas seulement les applications qui y sont exécutées.

Photo par Dayne Topkin sur Unsplash

Messagerie sécurisée

Pour nos besoins, je définirai un message comme «une note ou une image transmise numériquement par un moyen autre que le courrier électronique». Pour qu'un service de messagerie soit considéré comme sécurisé, il doit démontrer, à tout le moins, que:

  • il crypte à la fois vos messages et vos pièces jointes
  • il utilise les principales normes de cryptage et active ce cryptage par défaut
  • il crypte toutes les méta-données (toutes les autres données intégrées dans votre message et dans sa transmission)
  • il est financé indépendamment
  • il ne collecte jamais de données client
  • il a récemment été audité (ou vérifié par un code) par des tiers

BONUS si le logiciel est 100% open source et offre des messages auto-destructifs.

Après avoir examiné la liste ci-dessus et comparé ces besoins à une comparaison de tous les services de messagerie disponibles sur le marché, il n’ya, semble-t-il, que trois choix concrets pour choisir les services de messagerie les plus sûrs. Signal est largement considéré comme le meilleur, alors que Threema et Wire sont également considérés comme excellents.

Le logo du signal.

Signal

Signal est le premier choix de messagerie sécurisée pour la plupart des professionnels de la sécurité et pour les sites Web technologiques populaires comme le magazine Wired. Il est facile à utiliser, très sécurisé et - contrairement à la plupart des autres options de messagerie -, il a été conçu pour être une plate-forme complète, pas seulement une application. En fait, la technologie de Signal, également connue sous le nom de Signal Protocol, a été adoptée par WhatsApp. Elle est donc devenue le standard de facto pour la majorité des messages sécurisés envoyés sur la planète. C’est des milliards de messages sécurisés envoyés chaque jour - assez incroyable. Ce qui est également étonnant, c’est que Signal apporte leur E2EE à vos messages, appels téléphoniques et - obtenez ceci - à votre chat vidéo. Ouaip! Tant que toutes les parties utilisent Signal, l'application protégera littéralement tout ce que vous communiquez avec E2EE.

Je ne dis jamais cela - littéralement, jamais - mais pour commencer à utiliser Signal, vous devriez lire la politique de confidentialité de la société. Je sais, je sais: on dirait que je vous demande de piquer vos yeux avec un couteau à beurre, mais croyez-moi. Il ne contient que quelques paragraphes et il vaut la peine d’être lu car il est agréable de voir une entreprise soucieuse de votre vie privée.

Mise en place

Téléchargez l'application pour iOS (évitez d'utiliser les versions de bureau, consultez la section ci-dessous) et lancez-la.

Lors du premier lancement, Signal vous demande de fournir un numéro de téléphone comme indiqué ci-dessous, à gauche. Entrez un numéro de téléphone valide que vous avez et rappelez-vous: cela ne doit pas obligatoirement être et ne devrait probablement pas être votre numéro de téléphone portable actuel (pour plus d'informations, reportez-vous à la rubrique «Avertissements» ci-dessous). Lorsque vous cliquez sur «Enregistrer», Signal envoie un code de confirmation au numéro de téléphone que vous avez fourni. Entrez le code à six chiffres qu’ils ont envoyé par SMS à l’écran, à droite, puis cliquez sur «Soumettre».

Processus de configuration et de vérification de Signal. Toutes les captures d'écran de l'auteur.

Vous allez maintenant créer un nom de profil et un avatar. Vous pouvez choisir de vous identifier ou non facilement avec ce profil. Lorsque vous avez choisi votre nom de profil et votre avatar, appuyez sur «Enregistrer». Votre nom de profil et votre photo seront visibles pour tout nouveau contact ajouté. Pensez à utiliser quelque chose de familier pour eux, afin qu’ils vous reconnaissent. Inversement, envisagez d'utiliser quelque chose de générique et de mystérieux si vous préférez moins reconnaître les noms ou les visages. Dans mon cas, j'ai choisi d'utiliser mes initiales et la photo d'un chat qui peut être ou non le même chat que celui que j'ai sauvé ou n'a pas sauvé alors qu'elle n'avait qu'un jour. #Softie

Soyez aussi spécifique ou aussi général que vous le souhaitez ici.

Utiliser le signal

Lorsque vous arrivez à la fenêtre principale de l'application Signal, vous souhaiterez probablement appuyer sur la nouvelle icône de message familière dans le coin supérieur droit de la fenêtre active. Dans ce cas, Signal vous demandera d’avoir accès à votre liste de contacts. Vous n’avez pas besoin de fournir cette information si vous ne vous sentez pas à l’aise: c’est seulement une commodité. Au lieu de cela, vous pouvez toujours rechercher si les personnes que vous essayez d'envoyer un message sont déjà sur Signal en entrant leurs numéros de téléphone. Cela signifie bien sûr que vous aurez besoin de connaître leurs numéros de téléphone. Inversement, vous pouvez choisir de faire confiance à la société qui affirme ne pas stocker les informations de votre contact sur ses serveurs. À gauche, ci-dessous, figure l'apparence de Signal (sur iOS) si vous avez fourni l'accès à vos contacts. À droite, ci-dessous, voici à quoi ressemblera l'application si vous ne donnez PAS cet accès.

Vous pouvez choisir de fournir à Signal votre liste de contacts (à gauche) ou non (à droite).

Une fois que vous êtes configuré, Signal fonctionne comme la plupart des autres applications de messagerie. Vous pouvez donc facilement envoyer une note, inclure une pièce jointe, enregistrer un fichier audio ou lancer un appel téléphonique ou vidéo. La mise en page est simple et intuitive. En cas de confusion, voici une infographie rapide (sur l’application iOS de Signal) pour vous aider à démarrer:

Signal dispose d'un ensemble de pages d'aide bien stockées et faciles à lire pour ses fonctionnalités de base. Par conséquent, pendant que vous passez un peu de temps à apprendre les bases, je me concentrerai plutôt sur quelques-unes de ses fonctionnalités de sécurité plus approfondies que vous devez implémenter: sécurité numéros et messages qui disparaissent.

Élément de sécurité n ° 1: numéros de sécurité

Cliquez ici pour la documentation de Signal sur les numéros de sécurité.

Sur iOS, lorsque j'ouvre une nouvelle fenêtre de message avec mon charmant et faux ami Carter, je peux toucher son avatar comme indiqué ci-dessous, à gauche. Vous remarquerez qu'il est écrit «Appuyez ici pour les paramètres». Lorsque je le fais, je vois une variété de paramètres et d’outils que Signal rend disponibles pour chaque utilisateur. Commençons par appuyer sur «Voir le numéro de sécurité» au centre de la case bleue. Le contenu de cet écran est visible à droite.

La fonction de numéro de sécurité de Signal: à savoir.Image de Signal sur Android, gracieuseté de Signal.

Le numéro de sécurité est une fonction de signal qui vous permet, à vous et à vos partenaires de communication, de confirmer que votre conversation entre eux est sécurisée. Pour ceux qui ont des besoins extrêmes en matière de confidentialité / sécurité, prenez le temps d’ouvrir ce paramètre et confirmez, avec le destinataire souhaité, que vos numéros correspondent. Alternativement, vous pouvez choisir de scanner les codes QR carrés les uns des autres en appuyant sur le bouton «Tap to Scan» comme indiqué et de les vérifier en personne.

The Intercept contient un excellent article sur cette fonctionnalité et explique pourquoi elle est essentielle.

Par la suite, si votre partenaire de communication reçoit un nouveau téléphone et doit réinstaller Signal, vous serez averti à l'écran que les numéros de sécurité de cette personne ont changé. Cela ne signifie pas que vous ne communiquez plus avec le même individu. Mais il se peut que cela vaut la peine de le confirmer avec toutes les méthodes sécurisées que vous et votre partenaire avez à votre disposition.

Dispositif de sécurité n ° 2: messages disparaissant

Cliquez ici pour obtenir des instructions sur l’activation de la disparition de messages sur iOS.

Signal propose également des messages en voie de disparition, un outil qui peut aider à réduire ou à éliminer la capture de vos conversations sécurisées. Les messages qui disparaissent sont activés utilisateur par utilisateur et peuvent être configurés pour expirer entre cinq secondes et une semaine. Pour les affaires «top secret», envisagez une période plus courte; pour ceux qui sont «moyennement secrets», considérons un temps légèrement plus long. Utilisez votre meilleur jugement et, dans la mesure du possible, acceptez au préalable vos directives avec ceux avec qui vous communiquez.

Sur iOS, l’accès aux messages en cours de disparition est activé utilisateur par utilisateur, dans le même menu de paramètres où vous trouverez votre numéro de sécurité, comme indiqué ici:

Mises en garde

Signal n’est pas parfait, mais aucune application, plate-forme ou technologie ne l’est. Voici quelques points à considérer pour ceux d'entre vous qui choisiront d'utiliser Signal.

  • Ne communiquez pas votre numéro de téléphone actuel à Signal. Signal nécessite seulement que vous fournissiez un numéro de téléphone pour utiliser son service, pas votre numéro de téléphone. Procurez-vous un numéro secondaire valide qui ne correspond pas à votre numéro de téléphone cellulaire actuel et attribuez-le à Signal. Si vous ne savez pas comment obtenir un deuxième numéro gratuit, lisez mon article sur la «classification».
  • Vous n’avez pas à donner à Signal l’accès à votre carnet d’adresses. Signal demandera cette permission, mais ce n’est qu’une commodité. Au lieu de cela, vous pouvez toujours rechercher si les personnes que vous essayez d'envoyer un message sont déjà sur Signal en entrant leurs numéros de téléphone.
  • Si vous supprimez Signal, supprimez tout. Si vous supprimez l'application, vous recevrez cet avertissement (sur iOS). C’est un bon avertissement: n'oubliez pas de supprimer tout ce que vous ou Signal pourriez avoir stocké dans le nuage concernant son application.
Supprimer TOUT, pas seulement l'application.
  • Utilisez uniquement les versions mobiles de l'application Signal. Bien que Signal crée des versions de son logiciel pour MacOS, Windows et Linux, ne l’utilisez pas. Bien que Signal ait bien corrigé (ou corrigé) les failles de sécurité survenues sous MacOS, Windows et Linux, la vérité est que votre ordinateur de poche - votre téléphone portable - constitue de toute façon un meilleur choix en matière de sécurité que votre ordinateur de bureau.
  • Utilisez uniquement Signal sur un seul appareil. Le but de la sécurité des communications est compromis si vous continuez d’ajouter des périphériques supplémentaires à votre famille Signal. Ne pas. Gardez toutes vos communications sécurisées sur un seul appareil: celui que vous gardez toujours dans votre poche.

Runner-Ups pour la messagerie sécurisée: Wire & Threema

Wire & Threema: deux excellentes solutions alternatives

Câble

Certaines personnes et sites de comparaison classent Wire comme étant plus sécurisé que Signal. D’autres, comme ce type ici, pensent que c’est une alternative assez solide:

Je comprends certainement la curiosité à propos de Wire: il est facile à utiliser, ne nécessite pas de numéro de téléphone pour l’utiliser, et est régulièrement contrôlé par des professionnels de la sécurité externes. En fait, la société se targue d’être «le logiciel de collaboration et de communication le plus largement audité sur le marché et audité par le public» (leur devis, pas le mien).

J'aime Wire parce qu’il offre quelque chose que Signal n’a pas: un écran de sécurité.

Si l'application Wire est ouverte mais qu'elle n'est pas utilisée, elle se verrouille pour empêcher les regards indiscrets. Cela signifie que si je passe de Wire à une navigation sur le Web, puis que je reviens à Wire, je ne pourrai PAS voir toutes mes discussions en cours. À la place, un défi - illustré ci-dessous - sera débloqué pour déverrouiller Wire à l'aide du mot de passe qu'il m'a demandé de créer lors de la configuration ou à l'aide de Touch ID / Face ID. Fonctionnalité très intelligente. Cela empêche toute personne de saisir mon téléphone et d'avoir un accès immédiat à tous mes messages non cryptés.

L’écran de sécurité de Wire empêche les yeux indésirables de voir vos messages.

Threema

Threema offre plusieurs des mêmes fonctionnalités que Signal et Wire, mais trois choses le distinguent de la foule:

  • Tout d'abord, il vous permet d'activer l'authentification à deux facteurs pour mieux protéger votre compte.
  • Deuxièmement, il n’est pas nécessaire que vous utilisiez un numéro de téléphone pour vous inscrire.
  • Troisièmement, c’est une application que vous devez réellement payer.

Vous vous demandez peut-être pourquoi je vous dirais que le fait de devoir payer pour une application (au prix actuel de 2,99 USD) est un avantage. Une bonne technologie n’est pas libre de construire. Par conséquent, les développeurs doivent trouver des fonds auprès de quelqu'un. Ce quelqu'un est généralement une autre société. Dans ce cas, toutefois, le public paie de l’argent directement aux développeurs, ce qui évite à leur société mère - Threema GmbH - d’être redevable à une autre société ou à un gouvernement pour son financement. Cette indépendance est importante et vaut à 100% l’argent que vous allez payer.

La version la plus sûre et la plus ancienne du courrier électronique. Photo de Samuel Zeller sur Unsplash.

Email sécurisé

Il existe une technologie que nous continuons tous d’utiliser et qui n’a pas évolué depuis les années 1960: la messagerie électronique. Le courrier électronique est né avant Internet, ce qui en fait presque cinquante ans. C’est un statut technologique sérieux pour les personnes âgées. Malgré la disponibilité de nouvelles technologies de messagerie (SMS, médias sociaux, Slack et chat vidéo), le courrier électronique n’est pas seulement solide, il est également en plein essor. En 2018, 281 milliards de courriers électroniques ont été envoyés en moyenne… par jour, et ce nombre devrait atteindre 333 milliards d’ici 2022.

Ce qui est choquant avec le courrier électronique, c’est que la plupart d’entre nous en dépendons toujours, comme il a été conçu à l’origine, ce qui n’est rien de moins que miraculeux. Cependant, cela est également très discutable, car le courrier électronique n’est ni sûr ni privé en ce qui concerne la communication de sujets sensibles.

Le courrier électronique crée - puis laisse derrière lui - une piste de navigation à la ligne numérique très reconnaissable qui peut vous ramener à vous. Pour cette raison, même si vous utilisez une solution de messagerie sécurisée, vous devez toujours supposer que votre objet, votre adresse IP, le tampon date / heure de votre e-mail et votre adresse e-mail réelle peuvent être consultés par ceux qui cherchent à contrôler numériquement toi. Ces données sont appelées métadonnées: ce sont les données qui révèlent des informations sur vous et sur votre communication, mais ce n’est pas la communication en question.

«En tant qu’analyste, je préférerais consulter les métadonnées plutôt que le contenu, car c’est plus rapide, plus facile et cela ne ment pas.» - Edward Snowden

Compte tenu de cela, existe-t-il vraiment quelque chose comme «courrier électronique sécurisé»?

Je pense que oui, mais cela demande un peu plus d’efforts et n’est pas plus sûr que ce que propose Signal.

Pour être considéré comme sécurisé (ou «plus sécurisé»), un service de courrier électronique doit démontrer - à tout le moins - qu'il:

  • crypte à la fois vos messages et vos pièces jointes.
  • permet ou autorise l'utilisation de PGP, également appelé «Pretty Good Privacy»
  • utilise le cryptage de bout en bout par défaut
  • est financée indépendamment ou financée par le client
  • a été audité par une société tierce respectée
  • ne collecte jamais les données des clients
  • utilise des serveurs qui ne sont PAS situés aux États-Unis ou dans un pays membre de l'accord 5, 19 ou 14 yeux
  • permet deux ou plusieurs facteurs d'authentification

BONUS si le logiciel est 100% open source et offre des messages auto-destructifs.

Après avoir examiné la liste ci-dessus et comparé ces besoins à une comparaison de tous les services de messagerie disponibles sur le marché, parfois deux fois, il n’ya que trois choix principaux. ProtonMail est largement considéré comme le meilleur, alors que EasyCrypt.co offre une alternative intéressante.

Bonjour ProtonMail…

ProtonMail

ProtonMail figure parmi les fournisseurs de messagerie les plus sécurisés au monde pour de nombreuses raisons. C’est assez simple pour que tout le monde puisse l’utiliser; la plate-forme a été conçue par des scientifiques du CERN et du MIT; leurs serveurs sont situés en Suisse dans un coffre-fort sécurisé qui est enterré à un kilomètre sous le roc (vous ne pouvez pas inventer ce genre de choses); ils ont été audités par des professionnels de la sécurité tiers. Mieux encore, ProtonMail offre un niveau 100% gratuit. Vous n'avez donc aucune excuse pour ne pas vous inscrire et essayer.

Plus important encore, tous les messages envoyés d'un compte ProtonMail à un autre sont cryptés avec PGP. PGP, ou «Pretty Good Privacy» (je sais, le nom est hystérique) est un protocole de sécurité vieux de plusieurs décennies et extrêmement respecté pour l'envoi d'e-mails sécurisés et cryptés. La version la plus intéressante de PGP dans la version de ProtonMail est que tout se passe dans les coulisses, par défaut, sans travail ni configuration supplémentaire de votre part.

Par conséquent, l’un des moyens les plus simples, les moins chers et les plus sûrs que vous et vos contacts sensibles puissiez s’envoyer des e-mails consiste pour vous tous à disposer de comptes sur ProtonMail et à n’envoyer que des e-mails via ce système.

Le mettre en pp

L'installation est simple: il suffit de télécharger l'application ProtonMail pour iOS et de suivre les instructions pour créer et configurer le service. Vous serez dirigé à travers une série de fenêtres pour créer votre compte. Pour ceux qui ont les besoins les plus pressants, choisissez l’option «Sécurité extrême».

À noter: aucun numéro de téléphone ou adresse e-mail n'est requis pour configurer votre compte. Pour plus de commodité, vous pouvez choisir de fournir à ProtonMail une adresse électronique de récupération si vous êtes le genre de personne qui oublie votre mot de passe de connexion. Si vous êtes un dénonciateur, un informateur, un espion ou un citoyen sous un régime brutalement répressif, n'utilisez PAS une adresse électronique de récupération. Au lieu de cela, rappelez-vous simplement votre mot de passe, OK?

Faire. NE PAS. Perdre. Votre. Mot de passe.Certaines des fenêtres d’installation de ProtonMail.

Utiliser ProtonMail

Une fois connecté, ProtonMail est aussi facile à naviguer et à utiliser que n’importe quel autre service de messagerie Web. Savoir utiliser Gmail ou Outlook? Vous saurez alors intuitivement comment utiliser ProtonMail. Un bouton de navigation reconnaissable se trouve en haut à gauche de la fenêtre de l’application. Cela vous permet de naviguer dans les dossiers de votre compte ProtonMail, ainsi que dans l’ensemble des préférences de l’application.

La navigation dans les dossiers et les paramètres de ProtonMail est un jeu d'enfant.

Vous remarquerez que j'ai mis en surbrillance le contrôle "Paramètres". C’est parce que la toute première chose à faire est de protéger l’application ProtonMain avec un code PIN de sécurité. Touchez Paramètres -> Activer la protection par code PIN. Vous serez invité à saisir un mot de passe numérique deux fois: une fois pour le définir et une seconde fois pour le confirmer. La définition de ce code PIN verrouille l'application ProtonMail si vous passez à une autre application de votre iPhone, y compris l'affichage du bureau.

C’est similaire à ce que l’application de messagerie sécurisée Wire fournit par défaut et c’est une mesure simple et protectrice à prendre. Cela garantit que personne ne peut attraper votre téléphone et voir le contenu de votre ProtonMail sans connaître également votre code PIN. Cette étape est tellement importante que j’ai créé une vidéo pour vous. Pour ceux qui y prêtent attention, vous verrez que j’ai défini mon code PIN sur «8675309», de sorte que la seule autre personne - dans le monde entier - qui ait jamais su que mon mot de passe soit, évidemment, Jenny.

Fonction de sécurité n ° 1: Expiration des messages

Par défaut, les messages ProtonMail n’expirent pas. Mais ProtonMail vous donne le pouvoir de définir un délai d'expiration pour tout message électronique! C’est comme «Mission impossible»: prétendez que vous êtes l’agent Ethan Hunt et procurez-vous des messages autodestructeurs! Si vous choisissez d'utiliser cet outil étonnant, vous pouvez choisir un délai d'expiration compris entre une heure et 29 jours, 23 heures. Pour les messages les plus sécurisés, choisissez une courte période.

Pour accéder à cette fonctionnalité, ouvrez un nouveau message. Ensuite, cliquez sur l'icône du sablier, comme indiqué ci-dessous à gauche. En utilisant les deux champs déroulants au bas de votre nouveau message, choisissez le nombre d'heures et de minutes avant que votre email ne disparaisse pour toujours, puis cliquez sur la flèche comme indiqué ci-dessous, au centre. Une fois votre date d'expiration définie, l'icône du sablier changera pour inclure une coche, comme indiqué ci-dessous, à droite. Vous pouvez maintenant ajouter une adresse électronique, une ligne d'objet et le corps de votre courrier électronique.

Lorsque vous êtes prêt à envoyer, cliquez sur l'icône de l'avion en haut à droite.

Fonction de sécurité n ° 2: Courriels cryptés protégés par mot de passe

J'ai mentionné précédemment que ProtonMail, par défaut, active le chiffrement pour tous les courriels envoyés entre tous les comptes ProtonMail. Mais que se passe-t-il si la personne que vous souhaitez envoyer par courrier électronique n’est pas un utilisateur de ProtonMail? Bonne nouvelle: ProtonMail vous permet également de chiffrer les messages adressés à toute personne extérieure au système ProtonMail. Cette fonctionnalité est facile à utiliser, incroyablement intelligente et intégrée au système.

Pour commencer, ouvrez une nouvelle fenêtre de message et cliquez sur l’icône de cadenas comme indiqué ci-dessous (à gauche). Lorsque vous le faites, une invite (ci-dessous, centre) vous sera demandée, vous demandant de fournir puis de confirmer un mot de passe de cryptage / décryptage pour votre courrier électronique. ProtonMail vous permet d'inclure un indice pour ce mot de passe lorsque votre notification est livrée! Avant d’envoyer votre courrier électronique, vérifiez qu’il est protégé par un mot de passe en cherchant la coche sur l’icône du cadenas, comme indiqué ci-dessous, à droite.

Voici comment ProtonMail met en oeuvre cette fonctionnalité de sécurité astucieuse: les destinataires n’appartenant pas à ProtonMail ne reçoivent pas votre courrier électronique; Au lieu de cela, ils reçoivent un lien pour afficher votre courrier électronique sur les serveurs de ProtonMail. Cet email reste crypté pour quiconque ne possède pas le mot de passe. C’est pourquoi il est important de ne partager le mot de passe avec le contact souhaité que par le biais d’une méthode autre que la messagerie électronique: appel téléphonique, SMS, fax, miméographe ou, si vous êtes très vieux: signal de fumée. Il suffit de ne pas envoyer un mot de passe par courriel à quelqu'un qui utilise le courrier électronique, OK?

Envoi d'un email protégé par mot de passe dans ProtonMail.

Recevoir un email protégé par mot de passe d'un utilisateur ProtonMail vaut également la peine d'être partagé. Les utilisateurs autres que ProtonMail reçoivent une alerte leur indiquant qu'ils ont un message sécurisé. Cet email contient l'indicateur de mot de passe que vous vous êtes rappelé d'inclure, comme indiqué dans l'encadré rouge ci-dessous (à gauche). En cliquant sur le bouton bleu «Afficher le message sécurisé», une fenêtre de navigateur s’invite qui invite l’utilisateur à saisir le mot de passe de déchiffrement au-dessous (au centre). Une fois que le mot de passe correct a été entré, votre email est affiché comme indiqué ci-dessous (à droite). Notez que tous les messages sécurisés, par défaut, expirent après 28 jours, comme indiqué dans la zone jaune.

Recevoir un message sécurisé d'un utilisateur ProtonMail.

Mises en garde

ProtonMail est une application de messagerie fantastique, mais des améliorations sont toujours possibles. Voici quelques choses que j'aimerais voir mises en œuvre:

  • Aucune mesure de protection de visualisation activée par défaut. ProtonMail doit activer la protection par code PIN par défaut au lieu de le laisser comme une préférence pour les utilisateurs à rechercher et à utiliser. Par défaut, une fois connecté à votre compte ProtonMail sur l’application iOS, vous êtes connecté pour toujours. Pour un service de courrier électronique qui se targue d'être sécurisé, il s'agit d'un oubli qui peut et doit être corrigé.
  • Métadonnées. Quel que soit le niveau de sécurité de ProtonMail, il ne peut pas empêcher vos métadonnées d’être visualisées par ceux qui cherchent à vous suivre de manière numérique. Les communications entre deux utilisateurs de ProtonMail sont peut-être un peu plus sécurisées, mais tous les courriers électroniques cryptés que vous envoyez en dehors du système auront des métadonnées toujours exposées.

Runner-Up pour Secure Email: EasyCrypt

Une excellente solution émergente pour sécuriser le courrier électronique à tous les niveaux

J'ai mentionné précédemment que les métadonnées de nos courriels sont toujours disponibles pour les personnes qui souhaitent nous suivre numériquement. Seulement, j’ai gardé un petit secret pour la fin: il y a une société qui semble avoir trouvé le moyen de chiffrer chaque partie de vos courriels, même - ils prétendent! - vos métadonnées. Cette société est EasyCrypt. Easycrypt a réussi à créer une solution de messagerie qui soit:

  • Gratuit, en beta test
  • Utilise E2EE
  • Partiellement open-source
  • Passé un audit de sécurité récent
  • Fonctionne avec vos adresses e-mail actuelles
  • Empêche des services comme Gmail et d'autres de lire votre courrier électronique

EasyCrypt réalise ce miracle, car il ne s’agit PAS d’un service de messagerie électronique et ne vous fournit pas d’adresse électronique. Il s’agit plutôt d’un service qui crypte votre messagerie Web déjà existante, permettant ainsi aux utilisateurs d’envoyer des courriers E2EE en utilisant un type de PGP service de messagerie existant.

Actuellement, le service est encore en phase de test bêta, de sorte que toutes les fonctionnalités ne sont pas encore prêtes pour prime time - y compris le cryptage de métadonnées -, mais ce qu’elles construisent est suffisamment fascinant et créatif pour avoir attiré mon attention. En version bêta, je peux tester le fonctionnement des fonctions d’envoi et de réception via ma propre adresse Gmail. Les essais initiaux sont extrêmement prometteurs.

Une fois que vous avez ouvert un compte Infocrypt, celui-ci vous demandera l’autorisation de gérer votre courrier électronique de choix. J'utilise une adresse Gmail et les images ci-dessous illustrent ce processus d'autorisation. Comme vous pouvez le constater, Gmail indique clairement qu'Infocrypt n'a pas encore été vérifié par Google. J'espère que cela changera bientôt, mais je ne vais pas retenir mon souffle: Google utilise l'IA pour analyser chaque courrier électronique pour chaque utilisateur afin de collecter des données. Toute entreprise qui espère empêcher cette collecte de données risque de ne pas être vérifiée.

Tout service cherchant à interagir avec Gmail verra ces avertissements. Dans ce cas, cela pourrait valoir la peine pour votre sécurité.

Une fois que vous avez connecté votre compte de messagerie (Gmail, Outlook, Yahoo, etc.) à Infocrypt, vous ne vous connectez plus à votre portail de messagerie Web. Au lieu de cela, vous vous connectez à Infocrypt et celui-ci devient le portail de votre messagerie déjà établie. Cela se voit dans l'image (en bas à gauche). Il existe tous les mêmes dossiers et messages électroniques que je verrais si je me connectais à Gmail. Cependant, tous les courriers électroniques cryptés que j'envoie (et comme vous pouvez le constater, j'en ai envoyé un à Infocrypt) sont étiquetés en vert pour permettre de l'identifier.

Je n'ai rien fait pour que cela se produise: il suffit d'envoyer un courrier électronique aux employés d'InfoCrypt pour que celui-ci soit automatiquement crypté dans les coulisses.

La magie est la suivante: lorsque j’ouvre le même courrier électronique via mon portail Web Gmail normal, je ne parviens pas à lire ce message, présenté ci-dessous à droite. Google non plus. Personne non plus. C’est une affaire énorme. Je ne devais pas m'inscrire pour une nouvelle adresse e-mail, je n'avais pas à comprendre comment utiliser PGP et je n'avais pas à perdre de temps. Je viens de me connecter à mon adresse email déjà ancienne via un autre portail.

La magie.

À gauche, mon compte Gmail, tel qu’il apparaît dans Infocrypt. Mon message crypté peut être vu. A droite, à quoi ressemble ce message dans Gmail: illisible!

EasyCrypt fournit un ensemble pratique de pages d’aide facilitant l’apprentissage de leur solution créative.

Un post-scriptum important

Les outils numériques changent fréquemment en réponse à l'érosion constante de la vie privée, ainsi qu'à la nature en constante évolution de la technologie. Il est préférable de sauvegarder un ou plusieurs sites Web qui s’emploieront à maintenir à jour leurs directives et recommandations.

Pour moi, l’un des meilleurs est le projet de surveillance et d’autodéfense de The Electronic Frontier Foundation ou EFF. Depuis près de trente ans, l'EFF est à l'avant-garde de la sécurité numérique, de la confidentialité des utilisateurs et de la liberté d'expression - une éternité dans le monde de la technologie. Leur guide pour une communication en toute sécurité est mis à jour régulièrement et est une lecture indispensable pour ceux qui cherchent à rester en avance sur leur temps. Idem pour PrivacyTools.io.