Mailfence

Logo de Mailfence

Image illustrative de l’article Mailfence

Adresse mailfence.com
Commercial Oui
Type de site Service de messagerie sécurisée
Langue allemand, anglais, espagnol, français, néerlandais, italien, russe, portugais
Inscription Requise
Siège social Bruxelles
Drapeau de la Belgique Belgique
Propriétaire ContactOffice Group
Créé par Arnaud Huret
Patrick De Schutter
Brice Le Blévennec
Lancement 12 novembre 2013
État actuel En activité

Mailfence est un service de messagerie chiffré propriétaire basé sur le standard OpenPGP qui offre le chiffrement de bout en bout et la signature numérique. Il a été lancé en par ContactOffice Group qui gère une suite collaborative en ligne pour des professionnels, universités et autres organisations depuis 1999.

Développement

[modifier | modifier le code]

En 2013, juste après les révélations concernant la surveillance mondiale en masse d’internet, les fondateurs de ContactOffice Group réalisent qu’il existe un réel besoin d’une plateforme de messagerie email qui respecte la vie privée et qui offre des mécanismes de sécurité facile à utiliser[1]. En , la société lance la version beta de son système de chiffrement de bout en bout et de signature numérique pour emails[2].

Bloqué en Russie

[modifier | modifier le code]

Le 5 mars 2020, Mailfence a rapporté le blocage de ses serveurs SMTP par les services emails basés en Russie. Il s’agit d’une réponse au refus de la société à soumettre un avis de collaboration avec le gouvernement russe, et plus spécifiquement Roskomnadzor (agence fédérale de surveillance des communications, des technologies de l'information et des communications de masse). Mailfence n’a pas répondu à la requête de céder des informations sur leurs utilisateurs, en violation de leurs conditions générales et des lois fédérales belges[3].

Fonctionnalités

[modifier | modifier le code]

Mailfence offre aussi les fonctions suivantes : calendrier, contacts, messagerie instantanée et partage de documents[4].

Courrier électronique

[modifier | modifier le code]

Le service propose POP/IMAP et Exchange ActiveSync[5] mais aussi la possibilité d'utiliser son propre nom de domaine[6]. Les utilisateurs peuvent envoyer des courriels en format texte ou en format texte enrichi, classer les messages dans des dossiers ou les catégoriser avec des tags, créer des signatures automatiques ainsi que des alias.

Les contacts supportent l’import (CSV, vCard, LDIF) et l’export vCard, CSV, PDF), la création et la modification de contacts. Les utilisateurs peuvent créer des listes de contacts et les organiser avec des tags.

Le calendrier supporte l’import et l’export vCal/iCal. Les utilisateurs peuvent partager leur calendrier avec des membres de groupe mais aussi créer des sondages afin de faciliter l’organisation de réunions.

Un espace de stockage de documents est disponible. Les utilisateurs peuvent déplacer les fichiers dans des dossiers et les classer avec des tags. Les documents peuvent être édités en ligne et accédés en WebDAV.

Les groupes permettent aux utilisateurs de partager des documents, contacts et agendas de façon sécurisée. L’administrateur du groupe gère les droits d’accès des divers membres dudit groupe et peut aussi désigner un autre membre comme co-administrateur ou administrateur principal du groupe.

Planificateur de réunions

[modifier | modifier le code]

Mailfence Polls est un planificateur de réunion sécurisé[7].

Le chat de Mailfence est basé sur le protocole Jabber/XMPP. Nommé Jabber puis XMPP (pour Extensible Messaging and Presence Protocol), ce protocole open-source sert la messagerie instantanée[8].

Clients Web

[modifier | modifier le code]

L'interface Web vient avec un client IMAP, POP3, CalDAV et WebDAV intégré. Les utilisateurs peuvent ajouter des comptes externes et les gérer de manière centralisée dans l'interface Web[9],[10].

Gestion des utilisateurs

[modifier | modifier le code]

Les propriétaires de compte peuvent créer et gérer des comptes d'utilisateurs à l'aide de la console d'administration[11].

Localisation des serveurs

[modifier | modifier le code]

Étant donné que les serveurs de Mailfence sont situés en Belgique[12],[13], Mailfence est légalement hors juridiction américaine. Mailfence n’est donc pas sujet aux obligations de silence et NSL américains. Selon la loi belge, toute demande de surveillance nationale ou internationale doit passer par un tribunal belge[14],[15].

Sécurité et protection

[modifier | modifier le code]

En plus des fonctionnalités conventionnelles de sécurité (SPF[16], DKIM, TFA[17], protection anti-spam, blacklisting), Mailfence offre les fonctions suivantes :

Sécurisation des échanges

[modifier | modifier le code]

L’utilisation de la TLS garantie un échange de clé éphémère pour crypter le trafic entre les utilisateurs et les serveurs de Mailfence. Les standards HSTS, MTA-STS and DANE sont également utilisés.

Le chiffrement de bout en bout

[modifier | modifier le code]

Le service utilise une implémentation open-source de OpenPGP (RFC-4880)[18]. Les clés privées sont générées dans le navigateur, chiffrées (via AES-256) avec la phrase secrète de l’utilisateur et ensuite stockées sur le serveur[19],[20]. Le serveur n’a jamais connaissance de la phrase secrète de l’utilisateur[21],[22],[23].

Les signatures numériques

[modifier | modifier le code]

Le service donne le choix entre « signer » et « signer et chiffrer » un email avec ou sans annexes[24].

Trousseau de clés numériques intégrés

[modifier | modifier le code]

Le service fournit un serveur de clés intégré pour clés PGP[25] et ne requiert pas de module/extension tiers.

Interopérabilité OpenPGP complète

[modifier | modifier le code]

Les utilisateurs peuvent communiquer avec n’importe quel service compatible OpenPGP[26].

Warrant Canary et rapport de transparence

[modifier | modifier le code]

Le service maintient à jour un rapport de transparence et “Warrant Canary”[27].

Notes et références

[modifier | modifier le code]
  1. (en) Ditsa Keren, « Mailfence, a new secure email that fights to reclaim internet privacy », sur vpnmentor (consulté le )
  2. « https://blog.mailfence.com/beta-launch-of-the-first-pure-end-to-end-encryption-service-that-gives-you-full-control/ » [archive du ] (consulté le )
  3. (en) « Mailfence email servers blocked in Russia »
  4. (en) John Leonard, « Escape from Yahoo: Nine encrypted email alternatives » (consulté le )
  5. (en) Vegard Skjefstad, « Secure and Private E-mail: A Provider Overview. » (consulté le )
  6. (en) « Privacytools.io is a socially motivated website that provides information for protecting your data security and privacy. » [archive du ] (consulté le )
  7. « Présentation de Mailfence Polls : un planificateur de réunion simple et sécurisé »
  8. « Mailfence Jabber Chat : utilisez un chat sécurisé »
  9. (en) « Encrypt email with Gmail and Outlook.com or any other provider »
  10. (en) « POP3 vs IMAP vs Exchange ActiveSync. What’s the difference? »
  11. (en) « Manage your users with the Mailfence admin console »
  12. (en) « The Mailfence SSL/TLS Certificate » [archive du ] (consulté le )
  13. (en) « MailFence, le mail protégé » (consulté le )
  14. (en) « Mailfence privacy policy » [archive du ] (consulté le )
  15. (en) « Mailfence » (consulté le )
  16. « Mailfence now implements SPF (Sender Policy Framework) » [archive du ] (consulté le )
  17. (en) Josh Davis, « Two Factor Auth (2FA) » [archive du ] (consulté le )
  18. (en) Elijah Sparrow, « OpenTechFund/secure-email » (consulté le )
  19. (en) « Mailfence end-to-end encryption and digital signatures » [archive du ] (consulté le )
  20. (en) « The 3 Most Secure & Encrypted Email Providers Online » (consulté le )
  21. (en) « SSL Report: mailfence.com » (consulté le )
  22. (en) « MTA-STS validator » (consulté le )
  23. (en) « DANE SMTP Validator » (consulté le )
  24. (en) Mike Thomas, « A (mostly) In Depth Review of Mailfence » (consulté le )
  25. (en) Dominik Schürmann, « OpenPGP Email encryption. For all operating systems. Standing the test of time. » (consulté le )
  26. (en) « Encrypted email service providers », v (consulté le )
  27. « Rapport de transparence et “Warrant Canary” »

Liens externes

[modifier | modifier le code]