Q & R

Q: Qu'est-ce que SCRYPTmail? À quoi ça sert?
R: SCRYPTmail est un service de messagerie chiffrée mettant l'accent sur la sécurité et la vie privée de ses utilisateurs. Avec SCRYPTmail, vous pouvez envoyer des courriels chiffrés ainsi que tout type de document (doc, zip, mp3, etc.) y compris aux personnes ne disposant pas d'un compte SCRYPTmail.

Vous pouvez également envoyer des courriels à plusieurs personnes en même temps, elles seront automatiquement mises en copie cachée de sorte que vous ne révélez jamais les adresses de messagerie de vos contacts aux autres personnes en copie.
Par conséquent, SCRYPTmail peut prendre en charge l'ensemble de votre messagerie privée ou professionnelle lorsque la confidentialité est importante.

Q:Comment puis-je utiliser SCRYPTmail?
R:Vous pouvez utiliser SCRYPTmail sur tout équipement disposant d'un navigateur web récent comme 'Google Chrome' ou encore 'Firefox'

Q: En quoi SCRYPTmail est différent des autres services de messagerie?
R: À la différence de beaucoup d'autres services de mail du marché, SCRYPTmail offre un véritable service de chiffrement de bout en bout de sorte qu'aucune donnée ne circule en clair sur le réseau. En outre, en sécurité complémentaire, nous chiffrons également les métadonnées de vos messages de sorte que même si notre base de données venait à être compromise, un attaquant ne pourrait jamais savoir avec qui vous avez communiqué.

Q: Mon ami prétend que le chiffrement de bout en bout est moins sûr que celui effectué uniquement jusqu'au serveur, et qu'une personne pourrait modifier le code pour voler mon mot de passe.
R: Pour éviter toute modification du code par une tierce personne, nous utilisons des suites de protocole de chiffrement fort, en HTTPS noté A+ par Qualys. Nos serveurs ont une sécurité et une politique d'accès stricte, et ils sont régulièrement surveillés. Le code source est public et peut donc être audité par tout le monde, y compris le code côté serveur (backend) ainsi que le code qui permet de communiquer avec la base de données.

Le protocole de chiffrement de bout en bout est construit de telle sorte que tout le code doit être envoyé à l'ordinateur client, rendant ainsi de détecter une porte dérobée (backdoor). D’autres services de messagerie possèdent eux toutes vos données en interne et personne, à part les propriétaires de ces services, n'a la possibilité d'en auditer le code, cela peut potentiellement laisser de sérieuses vulnérabilités non découvertes. De plus, même si vous n’auditez pas le code, d’autres le font et peuvent remonter les vulnérabilités découvertes pour qu’elles soient corrigées.

Le fait de stocker vos données sans chiffrement peut permettre aux employés de ces services d’accéder à vos données; ils sont même capables d'accéder physiquement aux mots de passe des utilisateurs, parfois, sans même être détectés.

Q: J'ai déjà un compte chez XYZ.com. Pourquoi devrais-je changer?
R: C'est une question de préférence personnelle. Prenons une minute pour faire une analogie entre le choix d'un service de messagerie et l'achat d'une voiture: l'une est réputée robuste et bien construite, l'autre est rapide, une troisième est confortable, et la quatrième à des options de série comme le GPS, un lecteur de CD et des sièges en cuir.

Avec moins d'un an d'existence, SCRYPTmail est encore un service de messagerie jeune, mais déjà capable d'offrir plus de fonctionnalités que les autres services offrant du chiffrement. Nous avons établi un standard de fait que les autres doivent maintenant suivre pour maintenir le cap. Si vous aviez la possibilité d'avoir une Tesla pour le même prix, pourquoi garderiez-vous une Prius?

Q: J'utilise des services de messagerie peer-to-peer sécurisés. Pourquoi utiliserais-je SCRYPTmail?
R: La plupart du temps, les services de messagerie peer-to-peer chiffrés utilisent le protocole bitcoin. Le trafic est aussi sécurisé qu'il est volumineux. Afin de pouvoir communiquer, vous devez télécharger toutes les transactions qui ne font que grossir avec le temps, consommant de l'espace sur votre disque dur. La taille de la base de données bitcoin est actuellement de plus de 17GB. Et avec le temps cela ne fera que grossir.

Beaucoup de personnes semblent oublier le fait que leurs messages sont stockés, certes chiffrés, sur de nombreux autres ordinateurs. Ainsi, les clefs RSA utilisées dans ce système vont progressivement devenir obsolètes et faibles au regard des techniques de déchiffrement, laissant la possibilité que ces messages soient, un jour, déchiffrés par des personnes malveillantes. En utilisant un service comme SCRYPTmail, vous minimisez ce risque puisque nous ne partageons pas vos données, même chiffrées. De plus, votre boite de messagerie est chiffrée en AES-256, qui est supérieur à RSA.

Q: J'utilise mon propre serveur de messagerie pour mes communications privées.
R: Avoir son propre serveur de messagerie est cool. Vous êtes soit un expert en sécurité qui sait installer et sécuriser correctement son propre serveur, ou une personne qui, après avoir lu quelques articles, a un sentiment de protection et de sécurité. Maintenir son propre serveur peut être couteux, y compris en temps, et potentiellement dangereux.

SCRYPTmail est opéré par des personnes désignées pour surveiller la performance du serveur, installer les correctifs et mettre à jour les certificats de sécurité. Nous vous proposons de nous occuper de ces tâches et de ces responsabilités pour vous.

Q: Qu'est qu'un compte courriel jetable (disposable email)?
R: Un compte courriel jetable, en gros, implique que vous puissiez l'effacer sans risque de perdre votre compte principal. Lorsqu'on utilise d'autres services de messagerie, on se heurte souvent au problème de sites qui nécessitent de vous enregistrer avec une adresse de messagerie, sans que l'on sache si le site est légitime, si l'on va plus tard recevoir du spam, ou si le site va revendre notre adresse de messagerie. Parfois, révéler l'adresse de messagerie que vous utilisez également pour PayPal ou pour votre compte bancaire peut s'avérer dangereux et amener à des pertes financières.

Avec les comptes courriel jetables, vous êtes protégés de ces scénarios. Rendez-vous simplement dans la page des réglages (settings) de votre compte, ouvrez l'onglet des courriels jetables (disposable email), et cliquez pour en créer un. SCRYPTmail créé alors un compte de messagerie unique, et jetable, que vous pouvez utiliser sur de tels sites web pour vous enregistrer. Si, plus tard, vous réalisez que ce site web est valide, vous pourrez toujours changer votre adresse de messagerie. Sinon, vous n'aurez qu’à effacer le compte courriel jetable pour ne plus jamais entendre parler d'eux.

Q: Pourquoi votre service a cette étrange limite de nombre de messages par compte, plutôt que la limite habituelle en taille (Mb ou Gb)?
R: Lorsque nous avons commencé le développement de SCRYPTmail, nous sommes arrivés à la conclusion qu'avec du chiffrement de bout en bout, nous n'en savions finalement que très peu sur nos utilisateurs. Nous ne pouvons pas lire vos messages, les fichiers attachés ni même à qui ils appartiennent. Tous les messages sont stockés de manière chiffrée dans notre base de données, et de façon anonyme. Cela signifie qu'à chaque fois que vous vous connectez à votre boite de messagerie, le serveur envoie une liste d'objets chiffrés à votre ordinateur. Tout est déchiffré puis affiché dans un format lisible, permettant de rechercher, de trier par date, l'affichage du statut du message (ouvert ou pas).

Comme expliqué ci-devant, il nous est impossible d'envoyer uniquement une partie d'un message, ou de l'expéditeur. Cela a pour effet d'augmenter la taille de ce que vous devez télécharger pour simplement afficher le contenu de votre boite de messagerie (par ex.: si vous avez 1000 messages dans votre boite, il se pourrait que vous ayez à télécharger entre 550kb et 1Mb de données). Cela a un impact direct sur votre expérience utilisateur. Imaginez que vous ayez une boite contenant 10.000 ou 20.000 messages ? Il se pourrait que vous attendiez plusieurs minutes, cela pourrait même causer un dysfonctionnement du navigateur à cause de la taille des données à télécharger.

Q: Y aura-t-il des publicités? Allez-vous vendre mes données?
R: Certainement pas. Notre philosophie est basée sur la protection de la vie privée, ces démarches sont contraires à nos principes.

Q: Alors comment allez-vous gagner votre vie avec tout ceci?
R: Nous croyons au droit à la vie privée et à la confidentialité pour tout le monde, c'est pourquoi nous avons des comptes gratuits de base avec toutes les fonctionnalités essentielles pour protéger vos données. Nous introduirons, plus tard, des fonctionnalités étendues non essentielles, et payantes pour nos utilisateurs les souhaitant.

Q: Que pensez-vous de la vie privée sur internet?
R: Les grandes entreprises investissent beaucoup de temps et d'argent pour vous convaincre que la chose la plus importante au sujet de la vie privée, est de vous permettre de cacher aux gens autour de vous votre statut, vos messages publics ou les photos de votre profil. Ajouter ces outils permet à ces entreprises de calmer l'opinion publique sans que cela ne change quoi que ce soit dans la manière qu'elles ont de remettre vos donnes privées aux agences de marketing et autres sociétés tierces. Le plus probable c'est que si quelqu'un vous offre un service en ligne gratuitement, c'est que le produit qu'il vend c'est vous et les informations vous concernant !

Au contraire, chez SCRYPTmail, nous pensons que les deux plus importantes composantes de la vie privée sur internet devraient être:

  • Protéger vos conversations privées de toute ingérence ou espionnage par une tierce personne, fût-ce les institutions officielles, votre employeur, la surveillance de masse, etc.

  • Protéger vos données personnelles des tierces parties telles que les agences de marketing ou de publicité.

C'est ce dont tout le monde devrait se soucier. SCRYPTmail est un projet ayant pour but de créer un authentique service de messagerie en évitant les écueils habituels. Cela signifie qu'au lieu de détourner l'attention avec des fonctionnalités sans importance, nous mettons l’accent sur les véritables questions autour de la vie privée qui se posent aujourd'hui.

Q: Depuis combien de temps SCRYPTmail existe-t-il?
R: SCRYPTmail a été lancé le 18 novembre 2014.

Q: Quels sont les équipements/terminaux supportés?
R: Vous pouvez vous loguer sur SCRYPTmail depuis l'équipement que vous souhaitez. Quelques fonctionnalités sont encore indisponibles aux utilisateurs d'Apple sur iOS puisqu'il ne supporte pas le téléchargement de fichiers chiffrés. Nous supportons les tablettes, les smartphones et les ordinateurs. Tout fonctionne dans un navigateur web, mais nous prévoyons de sortir une application dédiée pour Android et pour iOS dès que possible.

Q: À qui puis-je écrire avec mon compte SCRYPTmail?
R: Vous pouvez écrire à qui vous le souhaitez, tant qu'il s'agit d'une adresse e-mail valide.

Q: Comment savoir si une personne a reçu mon message?
R: Pour l'instant, nous n'offrons pas cette fonctionnalité. Cependant, dans le futur, nous envisageons de fournir une information indiquant si votre message a bien été délivré.

Q: Comment inviter mes amis?
R: Dans votre boite de messagerie, vous pouvez cliquer sur le lien 'Invite' et indiquer l'adresse de messagerie de la personne que vous souhaitez inviter. SCRYPTmail enverra une invitation.

Q: Que puis-je utiliser comme adresse de messagerie (nom du compte)?
R: Vous pouvez utiliser toutes les combinaisons des caractères suivants: a à z, 0 à 9 le point (.) et le tiret bas (_). Les adresses courriel sont insensibles à la casse (ex: SCRYPTmail est le même utilisateur que scryptmail). La longueur du nom doit être de 3 caractères minimum.

Q: Que faire si mon nom d'utilisateur est déjà pris?
R: Les noms disponibles sont distribués sur la base du "premier arrivé, premier servi". Essayez un autre nom d'utilisateur ! Sécurité

Q: Quel est le niveau de sécurité de SCRYPTmail?
R: SCRYPTmail est plus sécurisé que les services de masse tels que Yahoo ou Gmail, et aussi plus que certains services offrant le chiffrement de bout en bout, car nous chiffrons également les pièces jointes ainsi que les expéditeurs et les destinataires des messages. Nous basons la sécurité sur le protocole PGP et avons construit le service sur des algorithmes éprouvés pour que la sécurité ne se soit pas au détriment de la vitesse et de la fiabilité pour les connexions instables. Nous travaillons continuellement à l'amélioration de la sécurité de nos protocoles pour nos clients.

Q: Et si je suis plus paranoïaque que vos utilisateurs lambda?
R: SCRYPTmail utilise le chiffrement de bout en bout par défaut. Nous utilisons notre propre certificat signé chez https://ninja.scryptmail.com qui offre les fonctionnalités HSTS et HPKP. Vos clefs stockées sur notre serveur sont chiffrées avec AES-256 et Twofish, ce qui signifie que nous utilisons une clef de chiffrement de 512 bits. De plus, il n'y a pas de point de défaillance unique puisque, si AES ou Twofish avait une faiblesse critique permettant de l'attaquer, vos clefs seraient toujours protégées. A l'avenir, nous offrirons la possibilité d'utiliser des clefs jusqu'a 4096 bits de long et nous conserverons uniquement votre clef publique sur le serveur. Il faudra alors fournir votre clef privée à chaque connexion.

Q: Pourquoi devrais-je vous faire confiance?
R: SCRYPTmail est ouvert. Quiconque le souhaitant peut en vérifier le code source, regarder comment cela fonctionne et donc prendre une décision en toute connaissance de cause.

Q: Puis-je vous aider?
R: Oui, nous accueillons avec plaisir les utilisateurs souhaitant nous aider à nous améliorer, par exemple en nous soumettant des rapports, en nous écrivant à propos des fonctionnalités que vous souhaiteriez avoir. Nous accueillons également volontiers les experts en sécurité pour auditer notre système et nous apprécions tout retour d'expérience ou d'information.
Tout cela nous aidera à dessiner le SCRYPTmail du futur. (support@scryptmail.com).

Votre compte

Q: Comment supprimer mon compte?
R: Si vous souhaitez supprimer votre compte, vous pouvez le faire depuis la page des réglages (settings). Effacer votre compte efface de manière irrévocable tous vos messages et tous vos contacts. Cette action doit être confirmée avec votre mot de passe ou une phrase secrète. Attention: il est impossible de revenir en arrière.

Q: Que se passe-t-il si je supprime mon compte?
R: Comme expliqué ci-devant, toutes vos données seront effacées de nos serveurs: tous les messages et les contacts associés à votre compte. En revanche, vos contacts auront toujours leur propre copie des messages que vous leur avez envoyé.

La suppression d'un compte est irréversible. Si vous vous enregistrez à nouveau, vous apparaitrez sous un nouvel utilisateur et vous ne récupèrerez pas l'historique de vos messages ni votre liste de contacts.

Localisation géographique

Q: J'ai entendu dire qu'un serveur hébergé en Suisse ou en Allemagne, c'est mieux, du fait des lois plus strictes protègent la vie privée dans ces pays. Où se trouvent les serveurs de SCRYPTmail?
R: Nos serveurs sont hébergés aux USA, mais nous prévoyons bientôt d'en déployer dans plusieurs autres pays.

Ce genre de questionnement est assez récurrent en ce moment. Il a été porté à notre attention que plusieurs services de messagerie construisent leur modèle économique sur le fait que leurs serveurs sont hébergés en dehors de la juridiction US, dans des pays tels que la Suisse, l'Allemagne, l'Islande, le Canada, etc., et que par conséquent cela les protège d'être bâillonné ou soumis à des injonctions des cours de justice américaine, et même de la NSA.

Nous pensons que la plupart du temps, ces services masquent, ou simplement ignorent, des faits importants et égarent leurs usagers. Nous avons compilé ci-après quelques faits afin que vous vous forgiez votre propre opinion:

Allemagne: Scandale en 2014 au sujet de la NSA écoutant la chancelière Angela Merkel. Pensez-vous toujours qu'ils n'ont pas accès aux petites entreprises sur internet ? (http://www.spiegel.de/international/germany/germany-expected-to-open-investigation-into-nsa-spying-on-merkel-a-973326.html)

Suisse: Le pays des banques, dont le modèle principal est de garder privés les avoirs de leurs clients, collabore maintenant avec le Département de la Justice Américaine pour dévoiler des informations. Peut-on s'attendre à ce que nos données dans ce pays soient plus protégées que l'argent ? (http://www.businessinsider.com/r-draft-us-deal-for-swiss-banks-in-tax-row-seeks-total-cooperation-paper-2014-10)

Canada: Au moins sont-ils honnêtes au sujet de leur coopération avec l'application de la loi.

Islande: Semblait prometteur jusqu'à il y a peu. Je suppose que tout le monde a entendu parler de l'affaire Silk Road. Leurs serveurs étaient localisés en Islande, et suite à une demande du FBI, la police islandaise leur a fait une copie de ces serveurs avant de les leur remettre secrètement. Qu'est-ce que ça donne pour la protection de votre vie privée ? (http://ia700603.us.archive.org/21/items/gov.uscourts.nysd.422824/gov.uscourts.nysd.422824.57.0.pdf) P. 9

De plus, il a été établi que le FBI n'avait pas à suivre la constitution ou les lois des USA lorsque les serveurs sont situés en dehors du sol américain (4ème amendement).

Il est parfaitement clair pour nous que la localisation de nos serveurs n'est pas pire que dans d'autres pays, et parfois même meilleure. Nous ne jetons pas de la poudre aux yeux de nos utilisateurs en leur donnant un faux sentiment de sécurité.

Si toutes vos données sont chiffrées sur votre ordinateur avant d'être envoyées, est-ce vraiment important où elles sont stockées ?

Translated by: Arno0x0x (https://twitter.com/Arno0x0x).