» Solutions » Communication Chiffrée » Notre avis sur Hushmail

Notre avis sur Hushmail

  • Pypo 

Hushmail est un fournisseur d’e-mail sécurisé appartenant à la compagnie Hush Communications Ltd, basé à Vancouver au Canada et elle-même, filiale de Hush Communications Corporation, une entreprise basée au Delaware, États-Unis. Cette plateforme de courrier électronique a été lancée en 1999 et depuis lors, est devenu un service populaire pour les consommateurs qui cherchent à envoyer des courriels chiffrés sécurisés.

Hushmail possède des caractéristiques uniques qui pourraient en faire un service de messagerie électronique idéal pour vos besoins. Mais Hushmail présente aussi quelques spécificités moins attrayantes. Nous allons examiner les avantages et les inconvénients de ce système qui existe depuis longtemps pour vous aider à décider s’il a le potentiel d’être votre prochain service de messagerie électronique véritablement privé et anonyme.

Capture d'écran de la page d'accueil du Site Web de Hushmail
Site Web de Hushmail

Nous le verrons en détail plus loin, bien que Hushmail ait une bonne réputation pour fournir des fonctionnalités de courriel sécurisé, le fait d’être basé au Canada est loin d’être idéal. En effet, le pays fait partie d’une alliance historique de cinq pays anglophones, appelée les “5 Yeux” et a de nombreuses lois qui portent atteinte à la vie privée des gens, y compris le projet de loi C-11 qui oblige les FAI à effectuer une conservation obligatoire de leurs données.

Qui plus est, ses liens avec sa société mère basée aux États-Unis soulèvent également des questions sur la possibilité que des mandats et des ordonnances de non divulgation soient utilisés pour extraire des données de ses serveurs internationaux vers les États-Unis.

De plus, Hushmail est une application propriétaire à source fermée, ce qui signifie que même si le chiffrement PGP qu’il utilise pour assurer la sécurité des courriels a été vérifié, le logiciel de Hushmail ne l’a pas été. Selon leur modèle de menace, ces facteurs pourront dissuader certaines personnes d’utiliser le service.

NomHushmail
Pays Canada
Stockage10 GB
ChiffrementOui
@perso.comOui (offre professionnelle)
Prix 4 €/Mo
Offre GratuitEssai gratuit 14 jours
Site WebHushmail.com

Selon le niveau de confidentialité que vos recherchez et vos besoins spécifiques, Hushmail pourrait bien être votre prochain Webmail. Voyons cela plus en détails.

Vue d’ensemble

Disons les choses clairement, comparé à de nombreux autres fournisseurs d’e-mail, Hushmail est un peu chiche en termes de fonctionnalités. Si vous migrez depuis Google, l’absence d’un Agenda, de stockage pour vos fichiers (via Drive) ou de feuilles de calcul pourra être un choc. Cependant, si vous n’avez besoin que de services de messagerie sécurisés, Hushmail pourrait suffire.

Notez que vous trouverez dans la version Premium quelques fonctionnalités bien pensées qui ne pourront, cependant, peut être pas vous faire oublier tout le reste :

  • 10 Go de stockage
  • Nombre d’alias illimité
  • Support IMAP et POP
  • Importation de contacts via CSV
  • Dossier Spam/Junk
  • Chiffrement OpenPGP traité sur leurs serveurs, plutôt qu’en Javascript dans le client
  • Authentification en deux étapes 2FA (SMS, email ou application)
  • Formulaires sécurisés
  • Compatibilité iPhone

Nous examinerons ces avantages plus en détail plus bas. En particulier, nous parlerons de la façon dont Hushmail implémente OpenPGP dans ses serveurs, car c’est une arme à double tranchant pour la sécurité de vos messages.

La société Hushmail

Lancé en 1999, Hushmail est un produit de Hush Communications, Ltd, une entreprise canadienne. Hush Communications, Ltd. est à son tour une filiale de Hush Communications Corporation, qui est basée aux États-Unis.

Bien que l’entreprise mette l’accent sur la sécurité qu’elle offre pour vos messages électroniques, elle insiste également sur le fait qu’elle se conforme aux mandats canadiens demandant les données des utilisateurs, qu’ils émanent du gouvernement canadien comme du gouvernement américain.

Les États-Unis et le Canada sont tous deux des membres fondateurs de l’organisation de renseignement Five Eyes. Les deux pays mènent des opérations de renseignement à grande échelle et on sait qu’ils espionnent leurs citoyens respectifs et partagent ces données, ce qui leur permet de contourner les restrictions nationales en matière d’espionnage. Ils peuvent forcer les entreprises locales à les aider à espionner les utilisateurs, et ils le font, et ils peuvent recourir à des ordonnances de bâillon pour empêcher ces entreprises d’informer les cibles qu’elles espionnent.

La difficulté de protéger la vie privée des utilisateurs fait en sorte que la plupart des services de courrier électronique sécurisés se trouvent à l’extérieur des États-Unis et du Canada. On peut en dire autant des fournisseurs de VPN au Canada, qui sont également touchés par ces lois.

Spécifications techniques

Hushmail utilise des algorithmes et des protocoles de chiffrement standard pour protéger vos messages. Ceux-ci comprennent :

  • OpenPGP
  • TLS/SSL (Transport Layer Security / Secure Socket Layer)
  • PFS (Perfect Forward Secrecy)
  • HSTS (HTTP Strict Transport Security)

Nous détaillons leur emploi un peu plus bas. Le service prend également en charge les protocoles POP, IMAP et SMTP pour la synchronisation avec d’autres services de messagerie et clients tiers.

De plus, leurs comptes professionnels spécialisés doivent répondre aux normes de chaque industrie comme :

  • Hushmail pour les métiers de la santé : conformité à la HIPAA
  • Hushmail pour les juristes : supporte le secret professionnel de l’avocat

Tests pratiques

Nous avons basé cet examen de Hushmail sur le Webmail dans le navigateur ainsi qu’un compte d’essai gratuit. Si vous décidez que Hushmail est pour vous, il sera facile de passer à l’un des nombreux forfaits payants qu’ils proposent.

S’inscrire

Obtenir un compte Hushmail individuel se résume à aller sur leur site web, cliquer sur “For Personal Use” en haut de l’écran puis sur le bouton gris “Start free 14-day trial” comme montré sur l’écran ci-dessous.

Capture d'écran démarrage processus de création d'un compte gratuit sur Hushmail
Démarrer l’inscription à Hushmail

Ensuite, vous allez devoir configurer votre compte e-mail gratuit. Cependant, vous verrez plus bas, il faut entrer un e-mail et un numéro de téléphone pour s’inscrire et obtenir le code d’activation par SMS. Ceci est extrêmement invasif. Une fois le code SMS saisi, vous avez accès à votre compte e-mail.

Les utilisateurs gratuits obtiennent 25 Mo de stockage sur l’adresse e-mail unique qu’ils ont configurée.

La mise à niveau vers un abonnement Premium permet aux utilisateurs de disposer d’un nombre illimité d’alias, de pseudonymes et d’adresses e-mail temporaires. De plus, les utilisateurs obtiennent 10 Go de stockage de données. La version Premium permet également aux abonnés de configurer deux formulaires Web sécurisés à l’aide de son générateur de formulaires par glisser-déposer.

Contrairement à de nombreux fournisseurs de messagerie électronique sécurisée moins chers sur le marché, vous n’obtenez pas d’extras sympas tels qu’un calendrier, du stockage pour vos documents et fichiers, un webchat, un gestionnaire de tâches, de notes, des feuilles de calcul, etc.

Cependant, vous obtenez une section de contacts très importante qui est accessible depuis le menu hamburger en haut à droite de l’interface web. Et, contrairement à certains fournisseurs de messagerie électronique, il est extrêmement facile de voir comment vous importez vos contacts de votre compte de messagerie précédent via le format CSV (vCard n’est pas disponible).

Capture d'écran d'importation des Contacts dans Hushmail
Importation de Contacts Hushmail

Nous aimons aussi que les utilisateurs gratuits bénéficient automatiquement d’un essai gratuit de 14 jours de la version Premium, ce qui est ce que nous avons utilisé pour tester ce fournisseur de messagerie dans cette revue.

Le plus gros inconvénient du service gratuit est peut-être que les comptes qui restent inactifs pendant plus de trois semaines sont automatiquement supprimés. Cela est forcément frustrant si vous partez en voyage pendant une longue période et que vous revenez pour découvrir que votre compte est fermé et que vous avez perdu/manqué des e-mails importants que vous attendiez.

Bien sûr, la réponse simple à ce problème est de souscrire un abonnement. Mais nous verrons plus bas, que compte tenu des problèmes de confidentialité constatés et d’un prix relativement élevé, nous recommandons généralement d’autres alternatives.

Il faut dire que l’inscription à Hushmail ne nous a pas mis dans de bonnes dispositions, dès le départ, vis à vis de ce service. Pour obtenir votre compte Hushmail “sécurisé”, vous devez leur donner votre adresse e-mail actuelle. C’est ennuyeux en soi, car cela donne une première information personnelle à Hushmail. Or nous nous tournons vers ce type de service pour bénéficier d’un certain anonymat. Cela a donc mal commencé entre nous.

Capture d'écran de l'Étape 1 de l'inscription à Hushmail
Étape 1 de l’inscription à Hushmail

Puis est arrivé le deuxième effet Kiss Cool : vous devez aussi leur donner un numéro de téléphone, pour activer votre compte. C’est la condition d’inscription la plus anti-privée qu’il vous sera permis de rencontrer.

Capture d'écran de l'étape 2 de l'inscription à Husmail où il requiert  un numéro de téléphone pour s'inscrire !
Hushmail requiert un numéro de téléphone pour s’inscrire !

Bien que vous puissiez toujours créer une adresse e-mail pour le processus d’inscription, l’utilisation d’un faux numéro de téléphone n’est généralement pas une option. Et avec un numéro de téléphone, vous pouvez obtenir un grand nombre d’informations sur une personne simplement en faisant une recherche inversée sur une douzaine de sites Web.

Capture d'écran processus création d'un compte gratuit sur Hushmail
Création d’un compte gratuit sur Hushmail

Une fois notre inscription validée à l’aide du code sms reçu, notre compte était créé et il a fallu nous rendre sur la page de connexion.

Capture écran de connexion Hushmail
Page de connexion Hushmail

L’interface

Messagerie

Avec sa configuration à 2 volets, l’interface de messagerie Hushmail nous fait un peu voyager dans le temps, malheureusement pas dans le futur.

Capture d'écran de la Messagerie Hushmail
Messagerie Boite de Réception Hushmail

Nous la qualifions clairement de dépassée, car l’interface ne propose pas de glisser-déposer comme on en trouve avec des services tels que ProtonMail. Ici, vous cochez la case à gauche d’un ou plusieurs messages, puis vous sélectionnez ce que vous voulez faire à ce message (Marquer comme lu, Déplacer, Supprimer, peu importe).

Nous avons en outre, constaté des temps d’exécution et d’affichage anormalement longs.

Notez aussi que le client affiche des boutons pour Bureau ou Mobile en bas du panneau à droite. Sélectionnez Mobile pour voir le client Hushmail dans une interface conçue pour les petits écrans.

Cette vue mobile est pratique et devrait fonctionner sur n’importe quel appareil Android ou iOS, mais ne constitue pas une application séparée, uniquement un affichage différent de la page du navigateur.

Une véritable application mobile, comme l’application iOS que Hushmail propose également, ne fonctionnera que sur certains appareils, les iPhone en l’occurence. En revanche, elle sera plus sûre qu’une page web réactive, même si vous utilisez un navigateur sécurisé.

Envoi et réception de messages

Vous n’aurez pas de problème pour composer un message en Hushmail. C’est du plus grand classique et ressemble à n’importe quel autre client de messagerie. Les options dont vous avez besoin apparaissent toutes dans la fenêtre de composition.

Capture d'écran de composition d'un Message avec Hushmail
Composer un Message avec Hushmail

En raison de son manque de fonctionnalités, on peut dire qu’il n’y a pas beaucoup de courbe d’apprentissage avec ce fournisseur de messagerie. A moins, bien sûr, que vous ne soyez pas familier avec la manipulation des clés PGP. Vous devrez alors soit faire vos propres recherches, soit utiliser le centre d’aide (FAQ) très utile de Hushmail.

Il y a cependant à l’écran, deux options que l’on ne rencontre pas habituellement chez les autres fournisseurs. Il s’agit du bouton “Form Builder” et du lien “Attach secure web form”. Ils vous permettent de créer des formulaires sécurisés et de joindre soit vos formulaires personnalisés, soit certains des formulaires pré-construits fournis avec Hushmail.

Envoyer des messages à des utilisateurs Hushmail

L’envoi de messages est également simple. En plus de cliquer sur le bouton Envoyer, la seule chose dont vous devez tenir compte est de savoir s’il faut ou non envoyer ce message chiffré.

Par défaut, les messages envoyés à un autre utilisateur Hushmail seront automatiquement envoyés chiffrés.

Envoyer des messages à des utilisateurs externes

Pour un utilisateur non-Hushmail, en revanche, vous pouvez cocher ou décocher la case “Encrypted” (chiffré) pour envoyer chiffré ou non chiffré. Si vous envoyez le message chiffré, Hushmail envoie au destinataire un lien vers une page web sécurisée où il pourra lire le message.

En cliquant, en regard de la case de chiffrement, sur le lien “How does the encryption work?” (comment fonctionne le chiffrement), vous serez redirigé vers une page qui vous explique (en anglais) comment tout cela fonctionne.

Pour envoyer un e-mail à un utilisateur non-Hushmail via PGP, le destinataire devra télécharger sa clé publique sur les serveurs de Hushmail. Il y a un guide pour faire cela dans la FAQ.

Réception des messages

La réception des messages ne nécessite aucune action particulière de votre part. Hushmail déchiffre automatiquement tous les messages chiffrés que vous recevez des autres utilisateurs Hushmail, ce qui rend le chiffrement transparent pour vous.

Si vous prévoyez d’utiliser Hushmail souvent, vous voudrez probablement désactiver l’option de notification par email. Avec cette option active (ce qui est le cas par défaut), chaque fois que vous recevrez un message dans Hushmail, vous recevrez aussi une notification dans votre “autre adresse e-mail” – celle que vous avez été obligé de leur fournir lors de votre inscription à Hushmail…

Au cours de cette revue de Hushmail, nous avons eçu des douzaines de ces notifications, encombrant l’autre adresse email. Si vous ne voulez pas que cela vous arrive, voici comment désactiver cette option :

  1. En haut à droite de la fenêtre Hushmail, cliquez sur l’icône Options (trois lignes horizontales dans une boîte)
  2. Sélectionnez Préférences dans le menu qui apparaît
  3. Dans l’onglet “About you” dans les Préférences, allez en bas de la page et désactivez l’option de notification par email
Capture d'écran pour désactiver les notifications
Désactiver les Notifications dans Hushmail

IMAP et POP sont aussi disponibles pour se synchroniser entre les appareils, et ils sont disponibles à la fois pour iOS et Android. Des guides sont également fournis pour l’utilisation de ces fonctions utiles.

Pour ceux qui le souhaitent, IMAP peut être utilisé pour configurer Hushmail afin qu’il fonctionne avec un client autonome tel que Microsoft Outlook, Apple Mail ou Mozilla Thunderbird. Et, cela améliorera la sécurité de la plate-forme par rapport à l’utilisation du système de Webmail basé sur un navigateur (et ses vulnérabilités JavaScript inhérentes).

Rechercher des messages

La fonction de recherche Hushmail est simple et efficace. Tapez le mot ou l’expression que vous recherchez et la fonction Recherche trouvera tous les messages qui le contiennent, que ce soit dans l’en-tête, le corps ou tout autre champ du message.

Notez que la fonction de recherche scrute le dossier courant, et non toute la structure du dossier.

Calendrier et Contacts

Calendrier

Comme mentionné ci-dessus, Hushmail ne fournit ni un calendrier, ni de capacité de stockage de fichiers. C’est, pour nous, un gros manque en termes de fonctionnalités attendues pour ce type de service. La plupart des autres services de courrier électronique sécurisé, tels que Mailfence, Posteo, fournissent une ou les deux fonctionnalités, et facturent aussi des frais mensuels moins élevés au démarrage.

Tutanota et ProtonMail proposent un Agenda dans leur offre gratuite.

Contacts

Hushmail vous offre un système de contacts traditionnel avec un formulaire de saisie et ses 12 champs en plus du nom du contact, qui ne laisse la place à aucune fantaisie graphique.

En revanche, la page qui liste les Contacts présente la particularité d’afficher beaucoup d’informations sur chaque contact, au lieu d’une simple liste de noms et d’adresses e-mail. Vous pouvez très bien choisir les informations dont vous avez besoin sur un contact particulier directement sur cette page, au lieu d’avoir à ouvrir le contact pour le trouver.

Il faudrait tester l’intérêt de cette présentation avec une page comportant beaucoup de contacts, mais la boîte de recherche sur la page devrait régler ce problème.

Comme vu plus haut, Hushmail peut aussi importer des contacts d’autres services en utilisant le format CSV.

Préférences de Hushmail

Nous vous avons précédemment montré la section Préférences de Hushmail quand il nous a fallu désactiver les notifications par email. Mais il y aurait beaucoup de choses à décrire ici, que nous allons nous épargner de faire tout en vous révélant la longue liste des onglets inclus dans les Préférences :

  • A propos de vous
  • Lecture
  • Composition
  • Réponse automatique
  • Alias de courriel
  • Spam
  • Sécurité
  • Facturation

De notre point de vue, la fonctionnalité des réponses automatiques en cas d’absence place prioritairement Hushmail sur le terrain des outils à destination des entreprises. Nous parlerons plus tard des capacités de Hushmail pour les professionnels.

Capture d'écran des préférences de Hushmail
Préférences Hushmail

Applications Hushmail

Hushmail propose une unique application. Elle est mobile et sur iOS. Elle a été lancée en juillet 2016, mais ne semble pas avoir rencontré un énorme succès, avec seulement 20 commentaires jusqu’à présent.

L’application obtient le score de 3,5/5 avec des critiques constructives mais pour certaines pas très positives. Mais bon, avec si peu de critiques postées, cela ne veut pas nécessairement dire grand chose. Elle semble être entièrement fonctionnelle, et sans doute valoir la peine d’être essayée si vous utilisez à la fois Hushmail et un iPhone. Ce que nous n’avons pas fait pour être honnête.

La bonne nouvelle tient dans le support POP, SMTP et IMAP, qui vous permettra de travailler avec votre messagerie Hushmail en utilisant de nombreux clients de messagerie tiers. Cela vous permet d’utiliser votre compte Hushmail avec une véritable application client au lieu de passer par une page web, quel que soit l’ordinateur ou le périphérique mobile que vous utilisez.

Hushmail fournit des instructions pour gérer votre compte Hushmail en utilisant des applications tierces sur cette page.

Hushmail est-il vraiment sécurisé ?

Maintenant que nous avons vu à quoi ressemble Hushmail, parlons spécifiquement de la sécurité et de la confidentialité qu’il offre. Nous allons commencer par la politique de journalisation de Hushmail.

Politique de Protection des Données et de Confidentialité

À la suite de la perte de Microsoft dans l’affaire Microsoft Corp. contre les États-Unis, la Cour suprême des États-Unis a conclu que les sociétés américaines ont le devoir d’extraire des données de leurs serveurs internationaux lorsqu’elles reçoivent un mandat des autorités américaines. Pour Hushmail, qui est une filiale d’une entreprise américaine, cela soulève tout naturellement des préoccupations en matière de protection de la vie privée.

Ces préoccupations s’ajoutent au fait que Hushmail est basée au Canada, qui est connu pour coopérer avec les autres pays du groupe des “cinq yeux” pour effectuer la surveillance. Cela remet largement en question la protection de la vie privée que vous pourriez obtenir en utilisant Hushmail, surtout si l’on tient compte de la nature fermée de la plateforme.

De plus, afin d’ouvrir un compte Hushmail, vous devez accepter un certain traitement de vos données personnelles. La société informe également les utilisateurs qu’ils se conformeront aux autorités s’ils reçoivent un mandat légitime pour le faire.

Pour être tout à fait juste, il nous faut vous dire que Hushmail fait un bon travail en indiquant quelles informations il enregistre, quand il le fait, et ce qui arrive aux données après leur enregistrement. Malheureusement, il y a certaines choses dans sa politique que vous n’aimerez probablement pas.

La collecte de données personnelles de Hushmail est détaillée dans sa politique de confidentialité et comme nous l’avons vu, les problèmes commencent lorsque vous créez un compte avec l’enregistrement de votre adresse IP, votre numéro de téléphone et votre adresse e-mail :

"Dans le cadre du processus de création de compte, votre adresse IP sera enregistrée. Nous pouvons vous demander de fournir d'autres informations, comme un numéro de téléphone, également. Nous utilisons ces renseignements pour analyser les tendances du marché, recueillir des renseignements démographiques généraux et pour prévenir l'abus de nos services. Nous ne partagerons pas ces informations avec des tiers".

En outre, l’entreprise avertit les utilisateurs que s’ils décident d’acheter un abonnement, les données suivantes seront nécessaires pour le traitement :

"Le Nom, le compte que vous mettez à niveau, le domaine que vous souhaitez utiliser pour votre courrier électronique, une autre adresse électronique, votre adresse de facturation et les informations relatives à votre carte de crédit. De plus, nous enregistrerons l'adresse IP à partir de laquelle le paiement est effectué. Lorsque nous traiterons votre transaction de paiement, ces informations seront transmises à notre processeur de paiement. Nous utilisons des services tiers conformes à la norme PCI pour traiter votre transaction de paiement. Lorsque nous traitons votre paiement, nous partageons votre adresse IP, votre ville, votre pays et votre code postal avec un service anti-fraude tiers afin de déterminer la probabilité que l'achat soit une transaction frauduleuse. Nous ne stockons pas votre numéro de carte de crédit sur nos serveurs".

De plus, Hushmail vous explique qu’il collectera des données au fur et à mesure que vous vous connecterez et utiliserez son service :

"Les informations que nous enregistrons peuvent inclure votre adresse IP, votre type de navigateur, la langue du navigateur, la date et l'heure de l'action, les noms d'utilisateur du compte, les adresses e-mail de l'expéditeur et du destinataire, les noms de fichiers des pièces jointes, les sujets des e-mails, les URL dans le corps des e-mails non chiffrés, et toute autre information que nous jugeons nécessaire d'enregistrer dans le but de maintenir le système et de prévenir les abus".

Comme vous pouvez le lire, la société recueille et conserve toutes les métadonnées des courriels, probablement pour pouvoir se conformer aux mandats et aux demandes des autorités si on lui en présente.

En ce qui concerne le chiffrement OpenPGP fourni par le service, Hushmail nous dit :

Veuillez noter que nous pouvons être amenés à stocker une phrase de passe pour un compte identifié dans une ordonnance exécutoire en Colombie-Britannique, Canada.

En raison de la façon dont le système de chiffrement Hushmail est construit, il est possible que la société puisse voir et enregistrer la phrase de passe d’un compte. En d’autres termes, le gouvernement canadien peut leur ordonner d’enregistrer des informations pouvant être utilisées pour lire vos messages chiffrés.

Partage de vos données avec le gouvernement et ordonnances de bâillon

Comme la plupart des services de courriel sécurisé, Hushmail répondra à une ordonnance exécutoire de remise d’information au gouvernement local (dans leur cas, le gouvernement de la Colombie-Britannique, Canada). Mais des entreprises comme Tutanota ou ProtonMail enregistrent le moins d’informations possible, ce qui signifie qu’elles n’ont pas grand-chose à remettre en réponse à un ordre. Elles n’ont également aucun moyen de déchiffrer vos messages, contacts, fichiers, etc. chiffrés, stockés dans leurs systèmes. Cela signifie que même s’ils sont forcés de remettre vos données, personne ne pourra les lire.

Hushmail fait un enregistrement complet des activités des utilisateurs et de leurs informations personnelles et retourne toutes ces informations quand on le lui demande. Et dans certains cas, Hushmail a la capacité de déchiffrer des messages chiffrés, des contacts et d’autres données, et de fournir ces informations en texte clair au gouvernement également.

Est-ce que Hushmail vous avertira s’ils sont contraints de remettre vos données à des autorités ? Pas du tout. Voilà ce qu’ils disent :

Comme ces requêtes stipulent généralement que nous ne sommes pas autorisés à divulguer l'existence de la requête à un utilisateur, nous ne divulguerons à aucun utilisateur l'existence, ou l'inexistence, de toute commande que nous aurions reçue.

Au moins, les employés de Hushmail ne liront pas votre courrier, n’est-ce pas ? Peut-être, peut-être pas. Lisez ces deux passages de la politique :

Lorsqu'il y a des circonstances urgentes, par exemple lorsque la sécurité ou le bien-être d'une ou plusieurs personnes est en danger imminent, et que nous croyons de bonne foi que la divulgation des renseignements personnels et des données de compte est raisonnablement nécessaire pour se protéger contre un tel préjudice, nous divulguerons les dossiers. Cela peut inclure, sans s'y limiter, le bien-être d'un enfant ou un acte de terrorisme.

Et aussi :

Nous nous conformons au projet de loi canadien C-22 tel qu'il a été promulgué au Canada. " Loi concernant la déclaration obligatoire de la pornographie juvénile sur Internet par les personnes qui fournissent un service Internet ". Cela signifie que si nous apprenons qu'un utilisateur utilise le service Chut pour la transmission ou le stockage de pornographie juvénile sur Internet, nous sommes tenus de le signaler aux autorités compétentes et de conserver les dossiers dans le compte de l'utilisateur. À la suite de cet avis, nous pourrions recevoir une ordonnance exécutoire en Colombie-Britannique, au Canada, exigeant la divulgation de renseignements personnels ou de données de compte.

Ces déclarations donnent ad minima la possibilité aux employés de Hushmail de regarder dans votre compte pour s’assurer que l’entreprise se conforme à ces exigences.

Donc, y a-t-il des preuves que Hushmail ait transmis des données aux autorités ?

Rapport de transparence

Pour commencer, Hushmail ne fournit pas de rapport de transparence, et n’a pas de “mandat canari“, comme tant de ses concurrents. Cela signifie qu’il est impossible pour les consommateurs de connaître le nombre de demandes de données qu’il reçoit et auxquelles le service se conforme. Cependant, avec seulement quelques recherches, il est possible de trouver des preuves que Hushmail transmet des informations aux autorités canadiennes.

En 2007, Hushmail a remis 12 CD contenant des courriels relatifs à trois comptes Hushmail. Selon les sources de l’affaire, Hushmail a fourni des versions en texte clair de courriels chiffrés auxquels il n’aurait pas dû pouvoir accéder en raison du chiffrement de bout en bout. Ces données ont été transmises aux autorités fédérales américaines, à la suite d’une ordonnance du tribunal obtenue par le biais du traité d’assistance mutuelle entre les États-Unis et le Canada (FVEY). L’affaire est extrêmement préoccupante et jette de sérieux doutes sur le service et la possibilité qu’il ait une porte dérobée.

À la suite de cette affaire, le directeur technique de Hushmail a également admis que les services de renseignements étaient en mesure de pénétrer dans les courriels chiffrés de comptes ciblés grâce à des vulnérabilités dans l’application de navigation Javascript.

Pour être juste sur Hushmail, c’est un problème pour tout chiffrement basé sur un navigateur qui est exécuté avec Javascript. Pour cette raison, toute personne qui souhaite envoyer et recevoir des emails chiffrés par PGP en toute sécurité sans la possibilité d’une attaque de type “homme du milieu” qui peut forcer les clés de chiffrement compromises sur les navigateurs de l’expéditeur et du destinataire, devra opter pour l’utilisation d’un service d’e-mail avec un client dédié. Hushmail peut aussi être utilisé de cette façon…. si vous lui faites confiance.

Cependant, le fait d’admettre franchement que cette faille javascript est en réalité exploitée sur les utilisateurs de Hushmail va bien plus loin que de simplement dire que c’est possible en théorie, et cela nous rappelle brutalement qu’il est très difficile de faire confiance aux services américains qui prétendent assurer un service de confidentialité.

Comme Hushmail enregistre beaucoup d’informations sur vous, et dans certains cas peut même déchiffrer vos messages lorsque le gouvernement le demande, c’est l’un des services de messagerie les moins sûrs que nous avons examinés jusque là.

Mais est-ce que Hushmail est assez sécurisé pour vos besoins ? Cela dépendra bien sûr de votre modèle de menace. Et Hushmail vous apporte une aide réelle dans ce domaine. Car un des avantages de ce service, c’est qu’il publie plusieurs articles sur la façon dont il assure la sécurité de votre compte. Leur article “How Hushmail Can Protect You” aborde leur sécurité du point de vue d’un profane, tandis que leur analyse de sécurité entre dans une discussion technique plus détaillée. L’examen de ces documents devrait rapidement révéler si Hushmail est protégé contre les menaces qui vous concernent.

Pour finir, nous avons surtout détesté le fait de devoir fournir un numéro de téléphone au moment de l’abonnement pour recevoir un code de vérification par SMS. Devoir fournir une adresse email et un numéro de téléphone est trop envahissant pour nous.

Quel est le niveau de sécurité de Hushmail ?

Hushmail implémente le chiffrement pour l’envoi et le stockage des e-mails sur ses serveurs. Et, tout courriel envoyé en clair est stocké en clair sur les serveurs de Hushmail. Ce qui signifie qu’ils pourraient être compromis si l’entreprise reçoit un mandat. Ce n’est pas très sérieux pour une entreprise de confidentialité, car il n’y a absolument aucune raison pour que Hushmail ne puisse pas chiffrer tous les e-mails qui sont au repos, y compris ceux qui ont été envoyés en clair.

Lorsque les utilisateurs envoient des e-mails en utilisant Hushmail, leur adresse IP réelle est effacée de l’en-tête et est remplacée par une adresse IP appartenant à Hushmail. Ceci est point positif pour la sécurité car le destinataire ne verra jamais l’adresse IP réelle de l’expéditeur. Cependant, il est à noter que Hushmail enregistre toujours votre adresse IP lorsque vous vous connectez à ses services. Ainsi, les données sont enregistrées et pourraient parvenir aux autorités à une date ultérieure.

Bien que Hushmail utilise un logiciel propriétaire à source fermée, il implémente les standards OpenPGP entièrement audités pour le chiffrement des e-mails. Hushmail s’assure que le corps principal et les pièces jointes contenues dans les e-mails sont protégés. Le chiffrement OpenPGP est disponible via le service de webmail de Hushmail et dans son application iPhone. Il est également disponible lors de l’accès à Hushmail en IMAP ou POP3.

L’entreprise met également en œuvre le chiffrement TLS/SSL (Transport Layer Security) pour toutes les données qui sont communiquées en transmission vers ses serveurs. Cette sécurité devrait permettre d’empêcher les attaques de type “Homme du Milieu” d’avoir lieu.

Comme c’est le cas avec Tutanota, Hushmail possède une fonctionnalité qui permet d’envoyer des e-mails chiffrés à des utilisateurs qui n’ont pas Hushmail (ou un autre compte e-mail compatible PGP). Lors de l’envoi d’un e-mail chiffré à un utilisateur non Hushmail, l’e-mail chiffré est stocké sur les serveurs Hushmail et le destinataire reçoit un lien pour accéder à cet e-mail qui peut être déchiffré via un système de questions-réponses dont le destinataire doit connaître la réponse.

Ce système est généralement considéré comme sûr. Cependant, cela signifie que vous devez faire confiance à Hushmail, ce qui pourrait laisser certains utilisateurs perplexes. Vous devrez faire ce jugement vous-même en fonction de votre modèle de menace.

Pour se connecter à un compte, hushmail suggère aux utilisateurs d’entrer une phrase de passe. La société précise que ces phrases de passe ne sont jamais stockées sur ses serveurs. Au lieu de cela, elles sont transformées en une valeur hachée à partir de laquelle la phrase de passe ne peut jamais être dérivée.

Si les utilisateurs le souhaitent, ils peuvent également configurer une authentification à deux facteurs sur leur compte. Cela leur permet de recevoir un code via un compte e-mail secondaire, via SMS, ou en utilisant une application d’authentification comme Authy. Hushmail fournit une autre mesure de sécurité en verrouillant les comptes si trop de tentatives d’accès à un compte sont faites dans un court laps de temps. Cela protège les comptes contre les tentatives de force brute.

Dans l’ensemble, la sécurité et le chiffrement du service Hushmail semblent être bons. Bien qu’il soit vrai que nous avons vu des implémentations encore meilleures qui incluent le Perfect Forward Secrecy et d’autres mesures de sécurité telles que HSTS, CAA, CSP, MTA-STS et X-XSS.

Quel est le degré de confidentialité de Hushmail ?

De notre point de vue, il est difficile de prétendre que votre compte Hushmail est privé. Voici nos raisons :

  1. Les États-Unis et le Canada sont les membres fondateurs de l’organisation internationale de renseignements Five Eyes. Cela signifie, entre autres, qu’ils partagent des renseignements sur leurs citoyens respectifs.
  2. À la suite d’une décision de la Cour suprême des États-Unis et d’une loi appelée CLOUD Act, dans la plupart des cas, des entreprises comme Hushmail sont tenues de fournir des données sur les utilisateurs aux autorités américaines, même lorsque ces données résident sur des serveurs situés dans un autre pays.
  3. La plupart du code informatique qui gère votre compte Hushmail est propriétaire. Cela signifie qu’il n’y a aucun moyen pour les personnes extérieures de voir si vos données sont vraiment protégées dans le système Hushmail.
  4. Le chiffrement OpenPGP de Hushmail est implémenté sur leurs serveurs, plutôt que dans votre logiciel client. Cela signifie que vous devez faire confiance à Hushmail pour l’implémenter correctement, sans enregistrer les données sous forme non chiffrée ou la phrase de passe utilisée pour chiffrer vos données.

Note : A ce stade, habituellement, nous recommanderions d’utiliser un bon service VPN qui sécurise et chiffre les données qui circulent entre votre appareil et les serveurs de Hushmail. Le VPN dissimulera votre véritable adresse IP, ce qui rendra votre identification beaucoup plus difficile pour un fouineur. Bien qu’il soit prudent d’utiliser un bon service VPN avec Hushmail, avec toutes les autres informations que la société enregistre sur vos activités, ainsi que l’enregistrement de votre téléphone, cacher votre adresse IP par un VPN pourrait se révéler insuffisant.

Hushmail Entreprise

Nous avons déjà vu que Hushmail possède certaines fonctionnalités orientées métier, comme les réponses automatiques. Mais le vrai bonus, ce sont ses formulaires sécurisés.

Formulaires Sécurisés Hushmail
Formulaires Sécurisés Hushmail

L’une des fonctionnalités qui permet à Hushmail de se démarquer de la foule des autres services de courrier électronique est “Hush Secure Forms”. Comme son nom l’indique, il s’agit d’une fonctionnalité permettant de créer des formulaires web sécurisés depuis Hushmail.

Bien que cela soit un peu déconcertant au début, quelques exemples de formulaires que vous pouvez créer nous ont aider à mieux comprendre leur finalité.

Voici quelques exemples de modèles de formulaires que vous pouvez remplir et utiliser :

  • Pour un contact sécurisé : vos clients et prospects peuvent utiliser ce formulaire pour initier une conversation sécurisée avec vous
  • Pour un transfert de fichiers sécurisé : un formulaire que vous pouvez utiliser pour recevoir des documents confidentiels et autres fichiers de vos clients.
  • Pour sonder l’expérience client : après un rendez-vous, envoyez ce sondage à vos clients pour savoir ce qui s’est bien passé et comment ils pensent que vous pouvez vous améliorer.
  • Pour prendre rendez-vous chez un praticien : vous pouvez créer un lien vers ce formulaire à partir de votre site Web, des réseaux sociaux et de la signature de votre courriel. Vos clients peuvent utiliser le formulaire pour demander un rendez-vous avec vous.

Support Client

Hushmail fournit un support par e-mail et par téléphone en plus d’une base documentaire sous forme de FAQ. Le support téléphonique est assuré du lundi au vendredi, de 9h à 17h, heure Pacifique et n’est disponible que pour les abonnés Premium.

Pour l’assistance par e-mail, malheureusement, il ne se fait pas à l’aide d’un système de tickets. Après l’envoi d’un e-mail, vous devrez être patient et attendre une réponse de la part du support.

Nous avons glané sur le Web des commentaires mitigés de la part d’utilisateurs. A mettre sans doute sur le compte de l’absence de support téléphonique pour les personnes qui font un essai gratuit du service.

Pour notre part, en plus des FAQ fournies avec moult guides et articles, que nous avons trouvé bien rédigés et très utiles, nous avons testé le support par e-mail et avons reçu la réponse à notre question en moins d’une journée. Néanmoins, vu le prix élevé de son service (comparé à la concurrence), il est dommage que Hushmail n’ait pas de fonction de chat en direct sur son site web.

Ils publient également des mises à jour sur l’état du service et d’autres informations sur leur compte Twitter : @hushmail.

Tarifs et forfaits

Hushmail offre un essai gratuit qui permet aux utilisateurs de se faire une idée de son service sans avoir à dépenser un centime. Les utilisateurs obtiennent gratuitement 15 Mo de stockage et une adresse e-mail @hushmail.com comme nous vous l’avons montré dans cette revue.

La version Premium, qui correspond en réalité à la version de base, standard, du service, coûte 49,98 $ (45 euros) par année soit 3,75 €/Mois et permet aux utilisateurs d’utiliser un nombre illimité d’alias et 10 Go de stockage. Le service est également doté d’une fonction de formulaires sécurisés.

Capture d'écran des Tarifs de Hushmail.com
Tarifs Hushmail.com

Notez cependant, que même avec Hushmail Premium, vous êtes tenus aux noms de domaine fournis par Hushmail. Si vous voulez utiliser un nom de domaine personnalisé, vous devrez souscrire a une de leurs offres professionnelles.

Et c’est là que la tarification du Hushmail se complique un peu, en raison des différentes options qu’ils proposent.

Les offres professionnelles

Ce qui est déroutant, c’est que pour déterminer combien il vous en coûterait, il vous faut d’abord sélectionner la catégorie professionnelle pour laquelle vous recherchez les prix.

Pour ce faire, vous devrez vous rendre sur cette page et sélectionner votre catégorie dans la barre de navigation supérieure : petites entreprises, métiers de la santé, cabinets d’avocats, organismes à but non lucratif ou juste entreprises.

Capture d'écran des Tarifs Professionnels Hushmail
Tarifs Professionnels Hushmail
Est-ce que Hushmail est le meilleur service de messagerie sécurisée pour vous ?

Comme toujours, la réponse à cette question sera conditionnée par votre modèle de menace et vos besoins spécifiques. Mais voici quelques facteurs à considérer :

  • Juridiction : l’entreprise qui gère Hushmail est basée au Canada, mais est une filiale d’une entreprise américaine. Dans au moins un cas, Hushmail a fourni des données aux États-Unis, apparemment en déchiffrant des messages soi-disant sécurisés à la demande du gouvernement.
  • Support PGP : utilise une version vérifiée d’OpenPGP.
  • Fonctionnalité d’importation : peut importer des contacts au format CSV.
  • Applications de messagerie : un client Web et l’application iOS.
  • Chiffrement : les courriels et les pièces jointes sont chiffrés en transit. Les messages qui n’ont pas le chiffrement OpenPGP optionnel sont stockés non chiffrés sur les serveurs Hushmail. Comme le chiffrement OpenPGP est appliqué sur le serveur, il est possible pour Hushmail d’enregistrer votre phrase de passe, leur donnant accès à vos messages supposés sécurisés.
  • Fonctionnalités : offre quelques fonctionnalités uniques pour certains types d’entreprises.
  • Code Open Source : Hushmail n’est pas Open Source.

Alternatives à Hushmail

Si vous n’avez besoin d’aucune des fonctionnalités spéciales de Hushmail, notamment ses formulaires sécurisés, il existe plusieurs services de messagerie électronique sécurisés qui sont fonctionnellement plus riches, plus sûrs, plus anonymes, plus privés et moins chers. Voici cinq autres options :

Et certains de ces fournisseurs de messagerie électronique offrent même des comptes gratuits jusqu’à une certaine limite de stockage.

Notre revue des alternatives à Gmail, Hotmail, Outlook ou Yahoo aborde également ces options et d’autres encore.

Conclusion

Dans l’ensemble, nous avons trouvé ce fournisseur de messagerie facile à utiliser et facile à synchroniser entre les appareils. Et, bien qu’il puisse être considéré comme une bonne option pour les débutants, en termes de facilité d’utilisation, il peut être considéré comme coûteux par rapport à d’autres fournisseurs de messagerie électronique plus réputés.

Son manque de fonctionnalités comme un calendrier et le stockage de fichiers, qui sont standard sur la plupart des concurrents, pourra également rebuter de nombreux consommateurs, compte tenu de ce qui est disponible avec Mailfence, Posteo et de nombreux autres fournisseurs.

Hushmail offre cependant des caractéristiques uniques pour les entreprises comme pour les cabinets de médecins et d’avocats. Et il semble être sécurisé contre de nombreux types d’attaques.

Malheureusement, en raison du chiffrement OpenPGP qui est fait sur leurs serveurs au lieu du client, Hushmail a la capacité d’enregistrer votre phrase de passe, leur donnant la possibilité de déchiffrer vos messages. Et, ils ont au moins une fois déchiffré les messages des utilisateurs et fourni des copies en texte clair des courriels aux autorités. Ce qui est extrêmement préoccupant et rend vos messages beaucoup moins privés que sur d’autres services qui n’ont pas la capacité de les déchiffrer à votre place. Ils peuvent également être tenus par la loi de ne pas divulguer ces violations de la vie privée aux utilisateurs.

A bien des égards, Hushmail est similaire à Fastmail, un service de messagerie électronique en Australie qui n’est pas non plus aussi privé ou sécurisé que d’autres options.

Autrement dit, si cela ne vous dérange pas que les employés de Hushmail, ainsi que les gouvernements des États-Unis et du Canada, lisent vos messages chiffrés, et de payer un prix élevé pour les fonctions qu’ils offrent, Hushmail pourrait fonctionner pour vous.

Plus sérieusement, le fait que ce fournisseur de courriel soit établi au Canada et que sa société mère soit américaine laisse trop de points d’interrogation quant à la protection de votre vie privée et de votre sécurité. Et, comme il est possible d’obtenir un meilleur compte de courriel anonyme pour la moitié de ce prix, nous vous recommandons de regarder ailleurs pour trouver un autre service.

Cet article vous a t-il été utile ?

Pypo

Nous avons créé ce site Web pour vous fournir des informations honnêtes, utiles et à jour sur les solutions existantes de confidentialité et de sécurité en ligne. Les guides et outils présents vous aideront à contrecarrer les plans de toutes les entreprises et entités gouvernementales qui pillent vos données personnelles et foulent votre vie privée. Nous suivre sur Mastodon