Analyse de sécurité de haut niveau de Mailfence
Mailfence est un service de messagerie sécurisée et privée qui fournit des fonctionnalités de chiffrement de bout en bout et de signature numérique. Toutes les opérations de chiffrement relatives à la clé privée et aux corps de textes des emails sont effectuées après que l’utilisateur a déverrouillé la clé privée avec la phrase secrète d’authentification correspondante qu’il est seul à connaître. Le tableau suivant apporte une vue d’ensemble de l’analyse de sécurité de haut niveau, avec le type d’information et le niveau de protection qu’elle comporte.
Analyse de sécurité de haut niveau de Mailfence :
| Type d’information | Niveau de protection |
| Source de données aléatoires lors de la création de nouvelles clés PGP | Entropie collectée via l’appareil client |
| Mot de passe chiffré lors de la transmission du navigateur au serveur Web | SSL/TLS |
| Mot de passe stocké en toute sécurité sur le serveur Web | SHA256 (répété et haché) |
| Exposition de phrase secrète d’authentification de clé privée | La vérification de la phrase secrète d’authentification pour toute crypto-activité se produit toujours côté client – et n’est jamais exposée au serveur |
| Clé privée chiffrée dans la transmission entre le navigateur et le serveur Web | Deux couches de chiffrement : 1- Avec phrase secrète d’authentification de l’utilisateur (via AES)2- TLS/SSL |
| Clé privée chiffrée stockée | Avec phrase secrète d’authentification de l’utilisateur (via AES) |
| Clé privée décryptée sur le serveur Web | Ne s’applique pas à Mailfence – parce que tous les (dé)chiffrements de clé privée se produisent côté client avec la phrase secrète d’authentification de l’utilisateur |
| Messages chiffrés de bout en bout lors de la transmission du navigateur client vers les serveurs Mailfence | Deux couches de chiffrement :
1 – SSL/TLS |
| Corps de message et pièces jointes chiffrés de bout en bout lors de la transmission entre le serveur Web et le compte de messagerie du destinataire | 1 PGP 2 STARTTLS (si pris en charge par le destinataire) |
| Corps de message et pièces jointes chiffrés de bout en bout stockés sur le serveur Web | OpenPGP |
| Corps de messages et pièces jointes chiffrés de bout en bout connus du serveur Web | Jamais – parce que toutes les opérations de chiffrement de bout en bout se produisent uniquement côté client |
| En-têtes de message chiffrés lors de la transmission du navigateur au serveur Web | SSL/TLS |
| En-têtes de message chiffrés lors de la transmission entre le serveur Web et le compte de messagerie du destinataire | STARTTLS (si pris en charge par le destinataire) |
| En-têtes de message stockés sur le serveur Web | Non chiffrés |
Analyse de vulnérabilité
Les points suivants s’appliquent aux e-mails envoyés en utilisant le chiffrement de bout en bout :
| Attaque | Niveau de Protection |
| L’attaquant écoute votre connexion Internet | Protégé |
| L’attaquant accède aux emails stockés sur le serveur | Protégé |
| L’attaquant a accès aux bases de données du serveur | Protégé |
| L’attaquant compromet le serveur web après que vous avez consulté vos emails | Protégé |
| Attaque MiTM de haut niveau – au cours de laquelle un attaquant vous envoie un faux code pour examiner toutes les opérations liées à la cryptographie | Non Protégé |
| L’attaquant a accès à votre compte | Protégé (mais les messages chiffrés de bout en bout envoyés seront visibles en texte clair) * Il est prévu d’améliorer ce point |
| L’attaquant a accès à votre ordinateur avant que vous consultiez votre courrier électronique (et peut installer des programmes tels qu’un enregistreur de frappe / un logiciel malveillant …) | Non Protégé |
N’hésitez pas à nous contacter si vous avez d’autres questions concernant l’analyse de sécurité de haut niveau de notre service.
Patrick est le co-fondateur de Mailfence. Depuis 1994, il est entrepreneur en série et investisseur dans des startups et a lancé plusieurs sociétés digitales pionnières telles que Allmansland, IP Netvertising ou Express.be. Il est un fervent partisan et défenseur du cryptage et de la confidentialité. Vous pouvez suivre @pdeschutter sur Twitter et LinkedIn.
