Tuta Mail : une décennie de confidentialité

Depuis son apparition il y a dix ans, Tuta Mail (précédemment Tutanota) a radicalement changé la manière dont les individus perçoivent et utilisent les services de messagerie électronique. Né d’une petite équipe dévouée à la cause de la vie privée, ce service a évolué pour devenir un pilier de la communication sécurisée, mettant un point d’honneur à protéger les données personnelles contre les regards indiscrets.

Innovations marquantes et engagement pour la sécurité

Ce dixième anniversaire est marqué par une avancée significative : l’introduction de la cryptographie résistante aux futures technologies quantiques, une première mondiale pour un service de courrier électronique. Cette initiative témoigne de l’engagement inébranlable de Tuta Mail à sécuriser les communications de ses utilisateurs contre toute forme de surveillance.

Parallèlement, l’annonce d’un projet de loi allemand reconnaissant le droit au chiffrement comme un pilier de la sécurité en ligne promet de renforcer la position de Tuta Mail en tant que leader de la confidentialité. En exigeant des services de boite mail sécurisée et d’autres applications avec un chiffrement de bout en bout, ce projet de loi pourrait transformer le paysage numérique en faveur des droits des citoyens à la vie privée.

Entre polémique et défense de la confidentialité

Récemment, l’entreprise s’est retrouvée au cœur d’une controverse suite à des allégations de Cameron Ortis, un ex-officier du renseignement canadien, qui prétendait que Tutanota était utilisé par des agences de renseignement pour surveiller des activités illicites. En réponse, Tuta a catégoriquement rejeté ces accusations, affirmant sa totale indépendance et l’inexistence de toute porte dérobée dans son système de chiffrement, soulignant ainsi son absence de liens avec l’alliance de renseignement des 5 yeux.

La plateforme maintient une politique de transparence en rendant public son code source et en publiant régulièrement des rapports de transparence, une démarche qui vise à renforcer la confiance des utilisateurs dans les mesures de sécurité adoptées pour la protection de leurs communications. Malgré ces assurances, les répercussions de ces allégations pourraient se traduire par une érosion de la confiance des utilisateurs et potentiellement, un exode vers d’autres services comme ProtonMail, notamment en France où Tutanota est déjà perçu avec scepticisme en raison de son utilisation pour des inscriptions considérées comme jetables par de nombreux services en ligne.

Pour conclure

En s’éloignant des pratiques publicitaires ciblées invasives, Tuta Mail incarne une alternative éthique dans un écosystème en ligne souvent critiqué pour son manque de respect de la vie privée.

Que masque un VPN ?

Qu’est-ce qu’un VPN cache en ligne ? C’est une question assez souvent posée et dans ce domaine, les réponses sont parfois assez vagues. En réalité, un réseau privé virtuel permet surtout de dissimuler le plus important, la vie privée d’un internaute à quiconque voudrait jeter un regard indiscret voir inquisiteur. Cet article reprend en détail ce qu’un réseau privé virtuel masque vraiment.

Qu’est-ce qu’un VPN ?

Le sigle VPN est l’abréviation de Virtuel Private Network. La traduction exacte en français est Réseau Privé Virtuel (RPV pour les canadiens). Il s’agit d’un dispositif permettant d’établir une connexion sécurisée à travers un tunnel qui chiffre les informations personnelles de son utilisateur. En plus d’empêcher des tiers de scanner les paquets de données, la connexion de l’internaute transite par un serveur qui sert d’intermédiaire. L’adresse IP d’origine sera masquée et remplacée.

Un VPN se présente sous la forme d’une application compatible pour Windows, macOS, iOS, Android, Linux, AppleTV, etc qui s’active et/ou se désactive en fonction des besoins de son utilisateur. Idéalement un internaute devrait toujours être connecté sous réseau privé virtuel.

Votre adresse IP est masquée

Sans VPN, tous les sites Internet qu’un internaute visite peuvent suivre l’adresse IP, ce qui permet d’identifier facilement et de localiser précisément sa position. Sous VPN, ces sites voient uniquement l’adresse IP du serveur, communément nommé proxy VPN. Pour les trackers du site, le visiteur est simplement considéré comme un anonyme.

L’emplacement géographique

Les adresses IP peuvent être utilisées pour suivre une position et l’endroit d’où un internaute se connecte. Comme évoqué dans le point précédant, les fournisseurs de VPN disposent de serveurs dans le monde entier, ce qui permet de cacher sa position et de prétendre accéder à Internet depuis un autre pays. Par exemple, si un utilisateur est physiquement en France et qu’il se connecte à un serveur en Allemagne, une adresse IP allemande lui sera attribuée à la place.

Les internautes ou les voyageurs dans les pays à forte censure peuvent avoir accès à des contenus censurés lorsqu’ils modifient leur véritable localisation avec un VPN. Et pour ceux qui sont sur des réseaux Wi-Fi qui bloquent l’accès à certains sites, un VPN contourne cette restriction.

L’activité en ligne

Sous RPV, les fournisseurs d’accès à Internet (FAI) ne sont plus en mesure de suivre les habitudes de navigation puisque le processus de chiffrement brouille toutes les informations relatives à l’activité en ligne de l’abonné. Les signaux émis transitent de manière illisible dans les 2 sens. (le terme crypté est inexact)

Le chiffrement est l’action d’encoder une information afin que seul le destinataire prévu puisse le comprendre. Une application de cryptographie convertit un message en une séquence totalement indéchiffrable. Même si un tiers s’en empare, il ne sera pas en mesure d’accéder aux données.

Le meilleur VPN proposera toujours l’AES-256 car il est pratiquement impossible à déchiffrer. En effet, cet ensemble de processus utilise des clés de 256 bits qui génèrent plus de combinaisons que le matériel informatique actuel ne peut calculer en des temps raisonnables. On parle de milliers d’années de calcul.

Attention ! Si l’utilisateur est connecté à un service comme Google ou Microsoft, celui-ci peut toujours suivre le comportement d’un abonné connecté via son compte. Pour ce qui est de l’adresse IP, en fonction de la localité du serveur VPN que l’internaute aura choisi, le GAFA supposera simplement que l’internaute navigue depuis un autre endroit. (et encore, ce n’est pas sur)

Les données personnelles

Le fameux gars à capuche embusqué et connecté au Wi-Fi du Starcafé…

Ironie mise à part et bien que trop exploité en terme d’argument commercial, cette information, concernant les données personnelles, est vraie. Initialement, c’étaient les entreprises qui y avaient recours et on comprend aisément pourquoi. Si l’on retrouve cette information concernant les VPN destinés aux particuliers, c’est en grande partie, à cause, des Wi-Fi mis à disposition un peu partout dans des lieux de passage très fréquentés.

En anglais, le terme utilisé est « man in the middle », plus simplement un tiers. C’est le mec improbable qui se pointe en soirée et que personne n’a invité, ni ne connaît. Les Wi-Fi publics ne sont pas sûrs, un mot de passe pour y accéder n’est pas une garantie de sécurité puisque que c’est uniquement l’accès qui est initialement verrouillé.

Bien qu’encore peu répertorié en France, la pratique qui consiste à dérober des paquets de données via un Wi-Fi public est assez répandue aux US. En règle générale, ce sont des Script Kiddies qui se livrent à ces activités de piratage. Un Script Kiddie ou « gamin à script », est, bien souvent, un adolescent qui utilise des codes de hack dénichés sur Internet et qui s’en sert avec l’intention de récupérer des informations confidentielles monnayables sur Internet.
Les réseaux privés virtuels même les VPN gratuits protègent contre cette possibilité mais pas les antivirus.

Pour conclure, un VPN masque vraiment vos activités en ligne dès lors que vous n’êtes pas connecté et identifié à un service tel que Facebook, Gmail, Amazon, ect.

Quelle alternative à Zoom ?

Dans un contexte où la communication à distance s’est imposé, la recherche d’alternatives fiables et sécurisées à des plateformes comme Zoom s’impose avec acuité. Zoom, malgré sa popularité et sa facilité d’utilisation, a soulevé de nombreuses préoccupations en matière de confidentialité et de sécurité. En effet, cette application est un véritable fléau pour ses utilisateurs. Existe t’il une alternative à Zoom ? Cet article vise à éclairer les choix disponibles, en mettant l’accent sur des solutions qui respectent la vie privée des utilisateurs tout en offrant une expérience de communication fluide et accessible. Nous plongeons dans l’univers des alternatives à Zoom, en examinant leurs avantages, leurs inconvénients, et en quoi elles se distinguent dans le paysage actuel des outils de communication en ligne.

C’est quoi le problème avec Zoom ?

Zoom a toujours présenté des failles tant au niveau de la sécurité de son application que dans la façon dont la société traite les données personnelles de ses utilisateurs. En effet, la simple acceptation des conditions générales d’utilisation suffit pour permettre à Zoom d’avoir accès et de stocker l’intégralité de ce qui transite par la plate-forme et bien plus encore. Il a également été démontré que l’application était capable d’échanger des données avec des tiers tels.

Il faut reconnaître à Zoom que sa politique de confidentialité est assez claire. Ils récupèrent tout (à lire ici en français). La quantité de prestataires tiers qui ont accès aux données est également assez importante.

En ce qui concerne les problèmes liés à la sécurité, Zoom souffre malheureusement d’un grand nombre de failles. La plus importante n’est pas récente et avait déjà été signalée en juillet 2019. Il existe une porte dérobée permettant à des personnes mal intentionnées de s’introduire dans le système des utilisateurs Mac et de prendre le contrôle des webcams et micros à l’insu des internautes. À ce jour, il est raisonnable de considérer que zoom n’est ni plus ni moins qu’un logiciel malveillant. En France, l’utilisation de Zoom est fortement déconseillée.

Quelles Alternatives à Zoom ?

Afin de clarifier les choses, sachez, que le meilleur VPN du monde ne pourra pas sécuriser votre compte Zoom. Il est donc inutile de se penser protégé.

Jitsi Meet

Jitsi Meet se distingue comme une solution de vidéoconférence gratuite et open source, offrant une alternative notable aux plateformes conventionnelles. Sa caractéristique la plus remarquable est la possibilité de démarrer des appels vidéo directement dans le navigateur, sans nécessité d’installation préalable.

Jitsi Meet prend en charge le chiffrement de bout en bout pour les appels de groupe jusqu’à 50 participants, garantissant ainsi une sécurité renforcée pour les communications. Malgré sa facilité d’utilisation et sa flexibilité, il est à noter que depuis août 2023, pour héberger une conférence, l’utilisateur doit se connecter via un compte Gmail, Facebook ou GitHub, une mesure mise en place en réponse à des abus de la plateforme.

Jami

Jami se présente comme une plateforme de chat vidéo distribuée, libre et open source, qui utilise la technologie peer-to-peer pour éliminer le besoin de serveurs centralisés. Cette approche garantit un haut niveau de confidentialité, car aucun renseignement personnel n’est requis pour créer un compte.

Jami supporte le chiffrement de bout en bout pour des essaims de chat en groupe avec un nombre illimité de participants, offrant ainsi une flexibilité et une sécurité considérables. Toutefois, la qualité vidéo peut varier en fonction de la connexion internet des participants. Pour ceux préoccupés par la confidentialité, l’utilisation d’un VPN est recommandée pour masquer l’adresse IP lors des connexions peer-to-peer.

Signal

Signal est reconnu pour son application de messagerie sécurisée chiffrée open source, mais il propose également des fonctionnalités de chat en groupe avec un chiffrement de bout en bout pour jusqu’à 40 participants.

La qualité vidéo sur Signal n’est certes pas la meilleure, mais elle est suffisante pour des communications efficaces. Signal maintient un niveau minimal de métadonnées, renforçant ainsi la confidentialité des utilisateurs. Récemment, Signal a introduit la possibilité d’utiliser des noms d’utilisateur pour la découverte de contacts, permettant ainsi une plus grande anonymité par rapport à l’obligation précédente de partager son numéro de téléphone réel.

Nextcloud Talk

Nextcloud Talk fait partie de la suite Nextcloud Hub, offrant des fonctionnalités de chat et d’appel vidéo au sein d’une plateforme open source destinée à l’auto-hébergement. Bien que le logiciel Nextcloud Hub soit gratuit, sa mise en place sur un matériel propre ou loué demande certaines compétences techniques.

Nextcloud Talk n’est pas chiffré de bout en bout par défaut, mais cela ne représente un problème que si vous n’hébergez pas vous-même le serveur. La plateforme supporte la vidéo HD et permet une intégration étroite avec d’autres applications de la suite Nextcloud, offrant ainsi une solution complète pour les organisations cherchant à contrôler leurs données.

Zoom s’améliore t’il avec le temps ?

Pour tenter de pallier aux nombreux reproches légitimes qui leur ont été faits, Zoom a annoncé l’amélioration de son système de sécurité par le biais de nouvelles fonctionnalités. Les utilisateurs peuvent désormais grâce à la fonction Security se débarrasser d’un indésirable ou encore avoir le contrôle sur le nombre de personnes autorisées à suivre et animer la conférence. Les identifiants sont également masqués.

Comment sécuriser Zoom ?

Si vous utilisez Zoom parce que votre travail l’exige ou parceque socialement cela représenterait un trop gros changement voici quelques mesures simples visant à limiter les dégâts.

• Si possible, n’installez pas Zoom sur vos appareils personnels. Si votre entreprise vous a fourni un ordinateur, utilisez l’application uniquement sur celui-ci.

• Sachez qu’il possible d’exécuter Zoom dans votre navigateur sans télécharger et installer l’application. Bien que votre navigateur puisse voir toutes les informations que vous lui fournissez volontairement, c’est peu en comparaison de ce que les applications peuvent extraire sur les appareils mobiles.

• Si vous avez un compte Facebook, ne vous connectez jamais à Zoom quand vous y êtes connecté.

• Si vous utilisez l’application Zoom, utilisez un arrière-plan virtuel. Parce que vous travaillez à domicile, la vidéoconférence signifie que vous laissez vos collègues entrer dans votre espace privé. Zoom permet d’utiliser un arrière-plan virtuel.

• Désactivez les fonctions de sauvegarde automatique et de suivi de l’attention du chat. La fonction d’enregistrement automatique du chat enregistrera toutes les discussions en réunion. Vous pouvez la désactiver dans les paramètres de votre compte Zoom.

• Pour éviter les trolls et garder vos réunions effectives, ne partagez jamais votre identifiant de réunion ou votre lien dans un forum public. Il existe également plusieurs paramètres que vous devez activer.

Ces actions ne résoudront pas les problèmes de confidentialité de Zoom, mais elles vous rendront beaucoup moins vulnérable.
En conclusion, en terme d’alternative réellement valable à l’application Zoom, Jitsi est actuellement notre seule recommandation.

Les changements et impact pour la vie privée des utilisateurs

X a introduit des modifications concernant la collecte de données biométriques et l’historique professionnel des abonnés le 29 septembre 2023. Bien que présentées comme une amélioration de l’expérience utilisateur, ces changements ont soulevé des préoccupations.

Cette nouvelle politique pourrait potentiellement violer le droit à la vie privée de millions de personnes. La collecte accrue de données sensibles, sans une transparence claire, pose des questions légitimes sur la sécurité et la confidentialité de ces informations. Comment ces données seront-elles utilisées et/ou partagées ?

« Sérieusement, que deviennent mes données ? » – © 2023 X Corp.

Que contient la nouvelle politique de si dérangeant ?

D’après la nouvelle politique de confidentialité de X, voici comment les données sont utilisées et partagées :

• Avec les prestataires de services : X peut partager vos informations avec ses prestataires de services qui exécutent des fonctions et fournissent des services en son nom. Cela inclut les fournisseurs de services de paiement, les hébergeurs de blogs et wikis, ceux qui aident X à comprendre l’utilisation de ses services, et ceux qui fournissent des services de détection de fraude.

• Avec les annonceurs : Les annonceurs peuvent obtenir des informations de votre engagement avec leurs publicités sur la plate-forme et même, en dehors. Par exemple, si vous cliquez sur un lien externe ou une publicité sur X, l’annonceur ou l’opérateur du site web pourrait déduire d’où vous venez, ainsi que d’autres informations associées à la publicité sur laquelle vous avez cliqué.

• Contenu et intégrations de tiers : X partage et/ou divulgue vos informations avec votre consentement ou à votre direction. Par exemple, lorsque vous autorisez une application tierce à accéder à votre compte ou lorsque vous demandez à X de partager vos commentaires avec une entreprise. X travaille également avec des partenaires tiers pour afficher leur contenu vidéo sur X ou pour permettre le partage entre plateformes.

• Via leurs API : X utilise des technologies comme les API pour rendre les informations publiques de X disponibles pour des sites web, des applications, et d’autres. Ces informations sont généralement disponibles en quantités limitées gratuitement, et des frais de licence sont facturés pour un accès à grande échelle. X a des conditions standards qui régissent comment cette information peut être utilisée.

Il y a de quoi régaler tous les courtiers en données de la planète avec de telles dispositions ! Pour en savoir plus, vous pouvez consulter la nouvelle politique de X directement.

Le double jeu de X : certification et publicités

X navigue habilement sur deux eaux économiques. D’une part, il monétise un statut certifié, probablement moyennant des frais, permettant à certains utilisateurs ou entités de se démarquer par des badges ou des fonctionnalités exclusives. D’autre part, la plateforme tire une grande partie de ses revenus de la publicité.

Les annonceurs paient non seulement pour afficher leurs contenus, mais bénéficient également d’un accès privilégié aux données des utilisateurs, enrichissant ainsi leurs stratégies de ciblage. Cette dualité, bien que lucrative pour X, pose la question de la transparence et de la protection des données des utilisateurs.

Ce double modèle économique est courant pour de nombreuses plateformes en ligne, car il leur permet de maximiser leurs revenus tout en offrant des services gratuits à la majorité de leurs utilisateurs.

Pour conclure

La nouvelle politique de confidentialité de X fait couler pas mal d’encre. Si beaucoup regardent du côté de Threads, la nouvelle alternative de Meta, sachez qu’elle n’est pas disponible en France pour des raisons de non-conformité en matière de confidentialité des données.

Bien que certains VPN gratuits permettent de contourner les restrictions géographiques, ils ne garantissent pas une protection contre la collecte de données par des plateformes comme X.