Adieu Gmail

Le bon vieux courriel reste l'outil de communication numérique le plus critique. Ce qui rend le vénérable courrier électronique si utile et durable sur le long terme, c'est son ouverture et sa normalisation. L'e-mail est radicalement différent des "apps" modernes qui intègrent tous les éléments de la technologie - le serveur, le client et le protocole - par un seul fournisseur monopoliste. Avec le courrier électronique, nous sommes libres de choisir le serveur (fournisseur) et le client avec n'importe quelle combinaison. Cela offre une énorme flexibilité, une confidentialité et une sécurité accrues. En effet, le fournisseur ne contrôle pas mon client et ne peut pas ajouter de portes dérobées ; il n'y a pas de monoculture de logiciels clients avec tous les risques de sécurité associés (toute faille de sécurité est mondiale). Le courrier électronique est l'un des rares éléments technologiques qui résiste bien à la censure de l'internet. Un État répressif peut facilement bloquer un site web et même forcer un magasin d'applications à supprimer une application (comme le "Smart Voting" de Navalny).




De même, un magasin d'applications peut supprimer une application pour toute autre raison bizarre. Mais il est beaucoup plus difficile de bloquer une liste de diffusion : il est facile de la redéployer et de la recréer sur un autre serveur (sans que les utilisateurs ne s'en aperçoivent). En outre, l'utilisateur peut facilement créer plusieurs identités différentes basées sur le courrier électronique (par exemple, une identité distincte pour les activités politiquement sensibles), ce qui renforce l'anonymat. Et l'anonymat est synonyme de sécurité physique dans certains pays. Il n'est pas surprenant que de nombreux services internet utilisent l'adresse électronique pour enregistrer les utilisateurs, s'authentifier, restaurer le mot de passe et à d'autres fins similaires.

Le courrier électronique ouvert, normalisé et décentralisé est l'une des technologies les plus critiques dont tout le reste dépend. Après tout, la flexibilité offerte par la technologie du courrier électronique - la liberté de choisir tous les éléments (fournisseur, client, etc.) - est tout simplement très pratique, du moins pour un utilisateur avancé (vous pouvez ajouter de nouvelles fonctionnalités en plus de celles réalisées par le fournisseur, même contre sa volonté - n'est-ce pas pratique ?) Toute la technologie du courrier électronique est construite autour de protocoles ouverts plutôt que sur une plateforme centralisée. Cela facilite la concurrence, rend le service meilleur et plus équitable et réduit les impacts possibles des monopoles malveillants (Masnick, 2019). Gmail de Google a longtemps été l'un des principaux piliers de la messagerie, sur lequel des millions de personnes comptaient chaque jour. Nous devrions féliciter Google d'avoir popularisé l'email comme technologie de base grand public parmi les masses.

J'ai commencé à utiliser Gmail il y a de nombreuses années, lorsqu'il était en version "bêta" et disponible uniquement sur invitation. À cette époque, l'ouverture et la nature sans restriction de Gmail étaient tout simplement flamboyantes. L'interface Web était légère et n'était pas vraiment encombrée de bannières hideuses, contrairement à d'autres fournisseurs de messagerie. Il y avait bien des publicités, mais elles étaient petites et discrètes. Gmail prend en charge depuis longtemps tous les protocoles de base (POP, IMAP, SMTP) qui permettent d'utiliser n'importe quel logiciel client conforme aux normes, et ce gratuitement (certains autres fournisseurs étaient plus gourmands et n'autorisaient cela que sur des plans payants). Les implémentations POP, IMAP et SMTP de Google ont été (et sont toujours !) assez idiosyncratiques, incomplètes et pas vraiment conformes aux normes, ce qui a provoqué divers problèmes (par exemple, la suppression des messages et le tri par défaut sont bizarres, j'ai toujours détesté les étiquettes de Gmail). Mais c'était supportable.

Les graves problèmes et menaces de Gmail en matière de protection de la vie privée, tels que le balayage des e-mails des utilisateurs à des fins de publicité contextuelle (jusqu'en 2017) ou l'outil d'IA qui pourrait donner accès à certaines données à des développeurs tiers. C'est presque une catastrophe qui ne peut être réparée car l'espionnage des données de l'utilisateur est au cœur du modèle économique de Google. Mais qu'importe, tant que c'est gratuit !

J'utilise et promeus depuis longtemps le cryptage PGP, qui pourrait résoudre bon nombre des problèmes de confidentialité (et de sécurité). Oui, PGP est crucial pour les particuliers et les entreprises et oui, un utilisateur motivé peut chiffrer. Gmail reste encore gratuit et relativement ouvert, alors que l'alternative consistant à déployer un serveur de messagerie privé est longue et fastidieuse (par exemple, s'assurer que les courriels provenant d'un minuscule serveur privé ne finissent pas dans les dossiers de spam des destinataires). J'avais l'habitude de payer d'une partie de ma vie privée pour bénéficier de la convivialité et de la stabilité de Gmail. Mais au fil du temps, je suis devenu de plus en plus préoccupé par la tendance claire prise par Google de rendre le courrier électronique ouvert de plus en plus difficile à utiliser en dehors de l'écosystème monopolistique de Google. Il y a des signes de la fameuse stratégie "embrasser, étendre et éteindre". L'API Gmail est riche en fonctionnalités et puissante... mais uniquement si vous avez vraiment besoin de cette complexité et si vous aimez jouer avec les règles de Google. Si vous n'aimez pas voir de publicités, par exemple, et que vous utilisez pour cela un client de messagerie IMAP standard de votre choix, vous devez en pâtir. Si vous avez besoin d'un support PGP complet sur un client mobile, jamais proposé par Google, vous n'avez pas de chance et devez utiliser une application mobile basée sur IMAP comme Android K-9 Mail, ce qui nécessite de sacrifier une partie de la convivialité.

Google a tendance à attirer ses utilisateurs par tous les moyens dans son navigateur, ses propres applications et API pour obtenir plus de données privées des utilisateurs et montrer des publicités. D'ailleurs, la convivialité de la sécurité de Google est devenue terrible. Les blocages d'accès intrusifs lorsqu'un utilisateur mobile avec un client IMAP se déplace d'une adresse IP à l'autre peuvent rendre fou n'importe qui... L'accès peut être bloqué même si l'utilisateur passe simplement à l'adresse IP suivante dans le pool IP du même fournisseur.

Je dois utiliser un VPN avec une adresse IP fixe pour éviter ces blocages stupides ! Pour garantir la sécurité de votre compte, Google ne prendra plus en charge l'utilisation d'applications ou de périphériques tiers qui vous demandent de vous connecter à votre compte Google en utilisant uniquement votre nom d'utilisateur et votre mot de passe. À la place, vous devrez vous connecter à l'aide de l'option S'identifier avec Google.

L'insistance de Google sur le mécanisme OAuth2, plutôt compliqué et lourd, pour l'accès de base aux clients de messagerie (rappelez-vous que la plupart des programmes de messagerie ne vous demandent pas de saisir votre mot de passe à chaque fois, ce qui diminue le risque de phishing) n'est compréhensible que comme un moyen de limiter tous les clients tiers incontrôlables. Oui, OAuth2 est logique pour les flux de travail complexes de délégation d'accès aux données entre plusieurs services web avec différentes combinaisons de login/mot de passe (le "Auth" signifie autorisation, pas authentification). Lorsque j'ai besoin d'accéder à mes propres courriels, je dois authentifier mon identité et accorder un accès complet. Mais le secret du client OAuth2 n'est-il pas conservé sur l'appareil tout comme la combinaison nom d'utilisateur/mot de passe ? Pourtant, limiter l'accès des utilisateurs (puissants) à leurs propres données ne donne qu'une illusion de sécurité, au détriment de la convivialité et de la compatibilité. Le passage de Google à l'autorisation OAuth2 semble indiquer que les e-mails hébergés par Gmail ne m'appartiennent plus. Mes e-mails appartiennent désormais à Google, qui se contente de m'"autoriser" (déléguer) l'accès à certaines des données sans me faire confiance. Ce n'est pas ce dont j'ai besoin pour mes communications privées. Google prétend-il avoir une "confiance zéro" dans les applications tierces ?

Peut-être ne fait-il pas confiance à ses utilisateurs (les propriétaires de leurs données), en supposant qu'ils sont tous idiots ?

Si vous pensez que vos utilisateurs sont des idiots, seuls les idiots l'utiliseront [votre service].
Linus Torvalds

Et il y a un autre effet secondaire : à mesure que Google a déployé de plus en plus de frameworks et de technologies lourdes, Gmail est devenu très lent et gonflé. Il est encombré et déroutant, surtout pour ceux qui ne l'utilisent pas assez souvent pour se souvenir de toutes ses particularités. Et il est toujours aussi peu adaptable aux besoins de l'utilisateur. Comment puis-je obtenir une police à largeur fixe pour mon message en texte brut ? Où est mon interface web HTML basique (et très rapide) préférée ? Trop, c'est trop. Je m'éloigne désormais de Gmail, et ce, non pas en raison de gros problèmes de confidentialité (ce qui est tout à fait prévisible), mais en raison de la détérioration de la convivialité et de l'incompatibilité croissante.

On dirait que les gens de Google ont oublié leur vieille devise "Don't be evil". Alors que j'ai payé Google avec l'argent de ma vie privée dans le passé pour obtenir des fonctionnalités et une facilité d'utilisation, les avantages de Gmail n'ont cessé de diminuer et ont maintenant atteint un niveau non rentable. Il existe de nombreux fournisseurs de messagerie hébergée, dont certains sont axés sur la confidentialité et la sécurité. Par exemple, Protonmail est un projet fantastique qui rend l'utilisation de PGP presque triviale, même pour les non-initiés. Mais ses inconvénients sont qu'il n'est pas standard et qu'il a une publicité trop importante, ce qui le rend assez indésirable dans certains pays autoritaires. En d'autres termes, si vous utilisez Protonmail dans certains pays, vous pouvez être suspecté ; Protonmail peut être bloqué par les autorités, et pire encore, bloqué de manière assez idiosyncratique. Certains services peuvent également refuser l'enregistrement en utilisant ce service.

Ce que j'ai finalement choisi est Migadu. Il ne s'agit pas d'un énième fournisseur d'hébergement de courrier électronique standard. Il s'agit d'un service basé sur le domaine. Une fois que vous avez obtenu votre propre nom de domaine (les domaines sont maintenant bon marché), vous pouvez créer votre propre service de messagerie pour votre domaine. C'est aussi simple que cela. Cela le rend super utile pour les entreprises, les familles, les groupes et les ONG sans gros budget. Pour un prix raisonnable, vous obtenez presque votre propre serveur de messagerie avec de nombreuses fonctions configurables (boîtes aux lettres personnalisées, alias, redirection, regexp, webmail, etc.) mais sans avoir à maintenir tout ce système complexe.

Si vous avez un site web, vous obtenez nécessairement un nom de domaine pour celui-ci. Maintenant, il est facile d'obtenir votre propre identité de courrier électronique. Il est vrai que certains fournisseurs d'hébergement hébergent également le courrier électronique. Mais si vous décidez de changer d'hébergement, cela créera un problème : vous devrez également déplacer votre messagerie et ce fait limitera fortement votre prochain choix. Le fait de disposer d'un système de messagerie totalement indépendant pour votre domaine existant permet d'éviter ce type de verrouillage de l'hébergeur et vous facilite grandement la vie. A propos, l'interface webmail standard de Migadu est élégante et très simple. Elle a l'air moderne mais légère et assez rapide.

Pas de fioritures, seulement les fonctionnalités les plus importantes. Je ne suis pas un grand fan du courrier électronique en ligne, mais je l'utilise de temps en temps. Et il y a même un support très basique pour PGP ! (Mais n'oubliez pas que le PGP basé sur le Web n'est pas une solution très sûre). J'ai trouvé la configuration du serveur de messagerie (y compris des choses plus ésotériques comme la configuration du DNS et les signatures DKIM) très facile. À mon avis, vous n'avez pas besoin d'un diplôme en informatique pour configurer votre serveur de messagerie avec toutes ses fonctionnalités. J'aime le panneau d'administration, il est minimaliste et facile à utiliser, sans effets visuels stupides et distrayants. Migadu est présenté comme un service entièrement compatible avec les normes ouvertes, sans problèmes ni limitations propriétaires. Ainsi, tout logiciel standard (à source ouverte ou fermée) a de grandes chances d'être entièrement utilisable. Cette liberté est très importante. Et ils sont également clairs et honnêtes sur les limitations et les inconvénients.

Enfin, adieu Gmail.

Commentaires

Posts les plus consultés de ce blog

Samsung gagne des milliards grâce à la puce M2 d'Apple

Comment accéder au Dark Web en toute sécurité

Interview de Nicolas Drolo du site mychromebook.fr