Ce guide vous donne une vue d’ensemble de l’analyse de sécurité Mailfence.
Aucun fournisseur de messagerie électronique ne peut garantir la sécurité et la confidentialité à 100 %. Chaque service présente des inconvénients et il est important d’en être conscient avant d’en choisir un.
Le tableau suivant fournit une analyse de sécurité de haut niveau de notre service de courrier électronique en ce qui concerne le type d’informations et le niveau de protection qu’il détient.
| Type d’information | Niveau de protection |
| Source de données aléatoires lors de la création de nouvelles clés PGP | Entropie collectée par le dispositif client |
| Mot de passe crypté lors de la transmission entre le navigateur et le serveur web | SSL/TLS |
| Mot de passe stocké en toute sécurité sur le serveur web | SHA256 (itéré et haché) |
| Exposition de la phrase de passe de la clé privée | La vérification de la phrase d’authentification pour toutes les activités cryptographiques a toujours lieu du côté du client et n’est jamais exposée au serveur. |
| Clé privée cryptée lors de la transmission entre le navigateur et le serveur web | Chiffrement à deux niveaux : 1- Avec phrase d’authentification de l’utilisateur (via AES) 2- TLS/SSL |
| Clé privée cryptée en mémoire | Avec phrase d’authentification de l’utilisateur (via AES) |
| Clé privée décryptée sur le serveur web | Ne s’applique pas à Mailfence – étant donné que le chiffrement de la clé privée s’effectue côté client avec la phrase d’authentification de l’utilisateur. |
| Messages cryptés de bout en bout lors de la transmission entre le navigateur du client et les serveurs Mailfence | Deux couches de cryptage : 1 – OpenPGP 2 – SSL/TLS |
| Cryptage de bout en bout du corps du message et des pièces jointes lors de la transmission entre le serveur web et le compte de messagerie du destinataire. | 1 – OpenPGP 2 – STARTTLS (si supporté par le destinataire) |
| Le corps du message et les pièces jointes sont cryptés de bout en bout et stockés sur le serveur web. | OpenPGP |
| Corps et pièces jointes des messages cryptés de bout en bout connus du serveur web | Non (à l’exception des envois et des brouillons) – les opérations cryptographiques de bout en bout ont lieu du côté du client. |
| Les en-têtes des messages sont cryptés lors de la transmission entre le navigateur et le serveur web. | SSL/TLS |
| Les en-têtes des messages sont cryptés lors de la transmission entre le serveur web et le compte de messagerie du destinataire. | STARTTLS (si supporté par le destinataire) |
| En-têtes de messages stockés sur le serveur web | Non crypté |
Analyse de la vulnérabilité
Les points suivants s’appliquent aux courriels envoyés en utilisant le cryptage de bout en bout:
| Attaque | Niveau de protection |
| L’attaquant écoute votre connexion Internet | Protégé |
| L’attaquant accède au courrier électronique stocké sur le serveur. | Protégé |
| L’attaquant accède aux bases de données du serveur | Protégé |
| Un attaquant compromet le serveur web après que vous ayez accédé à votre courrier électronique | Protégé |
| Attaque MiTM de haut niveau : un adversaire vous envoie un faux code pour toutes les opérations cryptographiques à vérifier. | Non protégé |
| L’attaquant a accès à votre compte | Protégé (mais les messages cryptés de bout en bout envoyés seront visibles en texte clair) |
| L’attaquant a accès à votre ordinateur avant que vous n’accédiez à votre courrier électronique (et peut installer des programmes tels que des enregistreurs de frappe/malwares…). | Non protégé |
En cas de doute ou de question, n’hésitez pas à nous contacter via support@mailfence.com.