Plus qu'un moyen de contact, un numéro de mobile est aussi souvent utilisé pour le 2FA/MFA sur des sites divers et variés. Changer de numéro c'est donc prendre le risque de ne plus pouvoir se connecter à certaines plateformes, à moins d'être organisé. Et justement, j'ai fait cet exercice.
Après avoir analysé mon Keepass, mes mails, mes SMS, je me suis consisté une liste de 77 organismes / plateformes pour lesquelles j'ai du déclarer mon nouveau numéro. Oui, 77. La procédure pour chaque site est plus ou moins laborieuse :
Dans le meilleur des cas, je me connecte, change mon numéro, et voilà.
Dans de nombreux cas, je dois utiliser mon ancien numéro pour me connecter, puis à nouveau pour pouvoir le changer. C'est déjà assez long.
Dans le cas le plus défavorable, le site me demande en plus de changer mon mot de passe, en plus du reste. C'est infernal.
Bilan ? Si vous changez de numéro de mobile, conservez l'ancien à minima un mois, et prévoyez plusieurs demi journées avec une bonne quantité de café et une sacré playlist métal.
Attention, cet article purement subjectif sera agrémenté d'une touche de "c'était mieux avant".
Mon profil : bientôt quarantenaire, j'ai commencé le gaming dans les années 90 sous DOS, j'ai connu la transition de la 2D vers la 3D, les LAN party, l'avènement du dématérialisé, la disparition des supports physiques. Je suis un pur gamer solo et le multijoueurs en ligne ne m'intéresse pas du tout. Autant dire qu'en 2024 je fais partie de la minorité de joueurs qui ne rapporte pas d'argent aux éditeurs.
Il y a quelques mois j'annonçais m'être totalement débarassé de Windows - pour des raisons pragmatiques - et j'étais prêt à sacrifier mes jeux vidéo si nécessaire. Or j'ai été très agréablement surpris grâce à Steam et Proton.
Oui, le titre de cet article est digne d'un blog de 2007 tenu par un ado qui vient de découvrir "GNU/Linux" et qui pense qu'il va changer le monde en incitant les gens à quitter Windows, ce qui ~ en vrai ~ était un peu mon cas à l'époque. La vie étant un éternel recommencement, je suis actuellement dans une phase d'éloignement de Windows pour des raisons plus pragmatiques.
Voilà maintenant un peu plus de 10 ans que je gère mon propre serveur de messagerie Postfix (avec un bref passage par OpenSMTPD) mais je me pose de plus en plus la question de passer sur une offre managée qui me permettrait de ne plus avoir à m'en soucier, tout en conservant mon nom de domaine personnalisé.
Un choix facile aurait été Office365 mais l'hébergeur ne supporte plus les custom domains pour les particuliers. J'ai aussi écarté GMail car je n'aime pas l'UI et à cause de la tendance de Google à vouloir toujours afficher des informations (nom, avatar) sur vos interlocuteurs et à les ajouter en ami dans Hangouts.
Je ne connais pas tous les fournisseurs d'adresses e-mail de la planète mais il me restait OVH et Protonmail dans ma liste. Le premier est intéressant mais se base sur Microsoft Exchange + owa (Outlook Web Access) dont l'interface est très lourde et peu intuitive à mon sens. J'ai donc tenté ma chance avec Protonmail.
Une communication axée sur la sécurité
Protonmail met en avant le 100% chiffrement et l'importance accordée à la vie privée de l'utilisateur. En réalité ce n'est pas aussi simple puisque comme nous le verrons plus tard cela se fait au détriment des protocoles standards (pas d'IMAP par exemple). De plus les e-mails sont faits pour circuler, on en envoie et on en reçoit avec le monde entier, et 80% de vos interlocuteurs utilisent Office 365 ou GMail :) Donc peu importe à quel point Protonmail est sécurisé, à partir du moment où un message sort à l'extérieur il ne pourra plus être considéré comme sûr et vos métadonnées traîneront à un endroit où à un autre.
Un bon point en revanche est que l'inscription à Protonmail ne nécessite pas de coordonnées personnelles, pas plus que de carte bleue, du moins pour la période d'essai.
Une offre pas claire
Protonmail est gratuit mais pour avoir un domaine personnalisé, il faut payer. Voici ce qu'affiche la page "pricing" de ce fournisseur :
Diantre ! €10 par mois alors qu'il n'y a que le mail qui m'intéresse (le packaging comprend plein d'autres services), c'est beaucoup trop cher ! Mais heureusement il y a un twist (merci Etenil pour l'info) puisqu'en cliquant sur "View Mail plans" on obtient d'autres tarifs :
Il y a donc un plan "Mail Plus" au tarif intermédiaire un peu plus abordable mais celui-ci n'est pas mis en avant, c'est dommage car beaucoup de clients potentiels risquent de passer leur chemin. J'ai souscrit à ce service avec 30 jours d'essai gratuit.
Une souscription et une UI bien pensés
Comme dit précédemment, l'inscription ne demande pas de carte bleue ni même de coordonnées, vous devez juste choisir un identifiant principal (en @protonmail.ch ou @proton.me) et un mot de passe, ce qui est un bon point car on ne risque pas de se retrouver avec un prélèvement quand on oublie de résilier à la fin de la période d'essai.
L'ajout d'un custom domain est déconcertant de simplicité, ainsi que la mise en place de DKIM, SPF et DMARC au niveau de vos entrées DNS. Le seul point négatif est l'absence de double authentification, c'est à dire combiner votre mot de passe sur le webmail avec une validation sur une appli générique (Microsoft ou Google authenticator, par exemple) ou en recevant un code par SMS.
Le webmail de Protonmail est plutôt intuitif et peu gourmand en ressources, il est très réactif, beaucoup plus que Outlook. Il supporte également plusieurs thèmes dont certains sombres ce que j'apprécie particulièrement.
Un système fermé
L'accès doit se faire par le webmail ou par l'application mobile iOs ou Android. Oubliez les protocoles standards tels que IMAP, Activesync, CardDav, CalDav... aucun n'est supporté. Loin d'être une question de mauvaise volonté, il semble que ce soit plutôt la nécessité de conserver le chiffrement de bout en bout qui est à l'origine de ce manque.
Pour palier à ça, Protonmail met à disposition Mail Bridge ~ une application à exécuter en local et qui spawne un serveur IMAP relié à votre compte Protonmail ~ mais l'interfaçage n'est pas parfait. Ainsi les dossiers ne sont pas supportés et certains mails que je voulais copier depuis mon ancien compte ne passent pas car "dépassant les 30MB" même si le plus gros ne faisait "que" 19 MB. Ce bridge est donc un jouet que je ne m'imagine pas utiliser tous les jours.
Cette absence de support propre de protocoles standards peut poser des soucis en terme de sauvegardes (il faut s'en remettre à la plateforme) ou de flexibilité car on imagine qu'à la vue des problèmes rencontrés sur le Mail Bridge on ne pourra pas sortir facilement de Protonmail pour migrer ailleurs.
Concernant le stockage cloud il n'existe pas de client pour Linux, il faudra donc passer par le navigateur web. En revanche le VPN supporte wireguard mais je n'ai pas testé, pas plus que le calendrier ou le gestionnaire de mots de passe.
Conclusion
La promesse de Protonmail est tenue et la sécurité n'est pas qu'un argument marketing car des efforts sont faits pour limiter la collecte de données sur l'utilisateur et assurer le chiffrement de bout en bout (il manque juste le 2FA). Néanmoins il est important d'être conscient du risque d'enfermement et de dépendance à la plateforme.
Je choisis pour le moment de donner une chance à Protonmail et vais conserver ma subscription au moins pour quelques temps, tout en ayant conscience des limitations et des risques.