title: Chiffrer ses emails
slug: chiffrer-emails
date: 2015-05-08
chapo: Je vous encourage à faire de même si vous avez un hébergeur sur le territoire français

> For years we’ve trusted the postman to deliver our mail without reading it. Why should this be different for email? Soverin is the honest email service that doesn’t sell your data. 
>
> <cite>*[Soverin](https://soverin.net/)*</cite>

L’autre option est de ne pas laisser le postier être en capacité de lire ses correspondances. Et c’est plus facile qu’il n’y parait. J’utilise [Keybase](https://keybase.io/) associé à [GPGTools](https://gpgtools.org/) dans Mail.app qui sont tous les deux plutôt faciles d’accès et me permettent ces pratiques :

* *J’envoie tous mes emails en les signant.* Cela permet aux bénéficiaires d’être assurés qu’ils ont reçu un email de la personne gérant le site `larlet.fr` (vérification via keybase).
* *Je réponds à tous les emails signés en les chiffrant.* Cela permet aux correspondants d’être assurés que le mail reçu ne peut être lu qu’avec leur clé et qu’il n’a pas été altéré pendant le transport.

**Je vous encourage à faire de même si vous avez un hébergeur sur le territoire français** (ou [canadien](https://fr.news.yahoo.com/canada-va-exercer-contr%C3%B4le-in%C3%A9dit-dinternet-201155588.html) ([cache](/david/cache/210f5f4a05fb468f800948e8bedfaded/)) ou plein d’autres, Fastmail semble [ne pas être affecté par la loi Australienne](http://blog.fastmail.com/2015/04/09/fastmail-is-not-required-to-implement-the-australian-metadata-retention-laws/) ([cache](/david/cache/47f4ac7a2cad3de1bb17685c610a77fc/)) à ce sujet).

Il existe des outils alternatifs comme [Telegram](https://telegram.org/), [Tutanota](https://tutanota.com/) ou [PEPS](http://www.mlstate.com/products.html) que je n’ai pas eu le temps de tester. Pour aller plus loin vous pouvez même explorer [Vault](https://hashicorp.com/blog/vault.html) ([cache](/david/cache/1ae2574ae3188b2349f7f04e6053d2c8/)).

Il y a tout de même des inconvénients :

* *L’impossibilité de lire vos échanges chiffrés passés* si vous perdez votre clé.
* *Les problèmes techniques qu’il peut y avoir* de votre côté ou de celui de votre interlocuteur pour déchiffrer les messages (mauvaise clé utilisée, mauvais plugins installés, etc).
* *Les personnes qui ne comprennent pas la signature attachée* et tente de l’ouvrir comme une pièce jointe (véridique).
* *Les vieux geeks aigris* :

> These are deep structural problems. GPG isn’t the thing that’s going to take us to ubiquitous end to end encryption, and if it were, it’d be kind of a shame to finally get there with 1990’s cryptography. If there’s any good news, it’s that GPG’s minimal install base means we aren’t locked in to this madness, and can start fresh with a different design philosophy. When we do, let’s use GPG as a warning for our new experiments, and remember that “innovation is saying ‘no’ to 1000 things.”
>
> <cite>*[GPG And Me](http://www.thoughtcrime.org/blog/gpg-and-me/)* ([cache](/david/cache/505bc33094882e995c2b00ecd971b738/))</cite>