Chères clientes, chers clients,
chers visiteurs,

nous avons une remarque relative à la transparence pour vous : nous avons actualisé notre page de dons. Sur cette page, nous publions quelles organisations nous avons soutenues financièrement l’année précédente (2016).

Pour nous, il est important de nous engager dans la société et d’agir en tant qu’entreprise responsable.
C’est pour cela que nous soutenons des organisations que nous avons sélectionnées dans les domaines de la protection du climat et de l’environnement, de la politique relative à Internet, de la liberté d’expression ou encore de l’aide aux réfugiés.

L’année dernière, nous avons donné au total 29.600,00 €, dont 28.002,00 € de dons volontaires par l’entreprise Posteo. Les 1.598,00 € proviennent des crédits restants offerts par les clients. #more#

En comparaison avec l’année d’avant, nous avons pu augmenter nos dons de 5.250 € pour 2016.

Les destinataires des dons Posteo étaient, comme l’année précédente, notamment Reporters sans frontières, l’aide aux réfugiés de l’ONU (UNO-Flüchtlingshilfe), la Fédération pour l’Environnement et la Protection de la Nature Allemagne (BUND) ou encore Netzpolitik.org.

S’ajoute maintenant à cela le projet de protection du climat de la Croix-Rouge allemande dans la zone amazonienne : là-bas, 1,3 millions de personnes sont gravement menacées par l’augmentation des catastrophes naturelles liée au changement climatique. Dans le cadre de ce projet, des maisons résistantes sont construites sur des plate-formes surélevées. De plus, des couvertures et des kits d’hygiène sont distribués et un service sanitaire est mis en place. Ce projet contribue durablement à la subsistance des personnes concernées par le changement climatique.

De plus, nous soutenons depuis 2016 le Centre Européen pour les Droits Constitutionnels et les Droits de l’Homme (ECCHR). L’objectif des avocats du ECCHR est d’engager des procédures judiciaires contre des acteurs étatiques et non-étatiques pour des atteintes graves aux droits de l’Homme. L’ECCHR a été fondé en 2007, notamment par l’avocat des droits de l’Homme Wolfgang Kaleck qui représente en Allemagne le lanceur d’alerte Edward Snowden.

Posteo fonctionne de façon durable et indépendante : notre service est financé uniquement par les paiements des boîtes mail par nos clients. Chez Posteo, il n’y a ni investisseurs, ni annonceurs.
C’est pourquoi vous êtes ceux qui nous permettent de nous engager – et qui font ainsi la différence. Nous vous remercions pour cela.

Vous trouverez tous les bénéficiaires des dons Posteo sur notre page Qui soutenons-nous ?.

Bien cordialement,
l’équipe Posteo

Chers clientes et clients Posteo,

on nous a souvent demandé s’il était possible d’augmenter d’un cran la sécurité des boîtes mail Posteo, ceci sans connaissances informatiques particulières. Une des possibilités est d’utiliser l’authentification à deux facteurs que nous vous proposons déjà depuis quelque temps.

Il s’agit d’une protection supplémentaire simple mais efficace contre les attaques extérieures : au moment de la connexion à la messagerie en ligne, un code à usage unique est demandé, en plus du mot de passe personnel. L’authentification à deux facteurs empêche le vol de compte : si des criminels ou les services secrets parvenaient à mettre la main sur vos données de connexion (nom d’utilisateur et mot de passe), ils ne pourraient pas accéder aux paramètres de votre compte, changer votre mot de passe et vous enfermer dehors. L’accès à vos paramètres de compte et de sécurité par des tiers est ainsi bloqué efficacement. #more#

Nous avons constaté que, souvent, les personnes ne disposant pas de connaissances informatiques avancées n’osent pas activer l’authentification à deux facteurs. Cependant, il est important que tous puissent bénéficier d’une sécurité en ligne optimale : c’est pourquoi nous publions aujourd’hui une vidéo dans laquelle notre rédacteur Tim Vüllers vous montre pas à pas comment installer cet élément de sécurité supplémentaire. Il explique également les principes de fonctionnement de ce procédé et montre comment il l’utilise au quotidien. De plus, il donne une astuce de sécurité supplémentaire dans la vidéo : si vous n’utilisez pas Posteo avec des clients de messagerie externes (comme Outlook ou Thunderbird), vous pouvez bloquer l’accès à ce genre de programmes. Ainsi, l’authentification à deux facteurs protège également vos e-mails de tout accès non autorisé.

Nous allons publier à l’avenir plus de vidéos d’aide. Nos vidéos sont accessibles à tous grâce aux sous-titres. De plus, des versions allemande et française sont disponibles.

L’authentification à deux facteurs n’occasionne aucun coût supplémentaire et vous pouvez utiliser ce procédé avec de nombreux appareils (ordinateur, smartphone, tablette, Yubikey).
D’ailleurs, notre service client continue à vous fournir une aide personnalisée en cas de questions ou de problème concernant l’authentification à deux facteurs. Vous trouverez également des instructions d’installation pas à pas dans la rubrique d’aide de Posteo.

Bien cordialement,
l’équipe Posteo

Actualisé le 3 juillet 2017 à 17:00 :

Des entreprises leader dans le secteur de la sécurité considèrent maintenant que Petya (aussi connu sous le nom “Petrwrap” ou “NotPetya”) visait une destruction des données. Apparemment, Petya s’est fait passer pour un logiciel de rançon mais n’avait pas pour objectif final d’extorquer de l’argent. Les analyses des entreprises de sécurité informatique Kaspersky et Comae Technologies ont montré que le logiciel de rançon ne chiffre pas les données des systèmes affectés mais les efface. Il semble que Petya écrase les données de manière irréversible, rendant ainsi leur restauration impossible.
Depuis le début, le paiement d’une rançon ou la prise de contact avec les agresseurs par les personnes concernées par l’attaque auraient été inutiles.(Vous pouvez également vous référer aux recommandations des autorités.)

Nous avions immédiatement fermé l’adresse Posteo en rapport avec cette attaque avant que la vague ne se propage. Les agresseurs n’ont pas remplaçé l’adresse bloquée par une autre adresse.

27 juin 2017 à 18:30 :

Informations sur le logiciel de rançon (ransomware) PetrWrap/Petya: la boîte mail concernée était déjà bloquée depuis ce midi

Ce midi, nous avons appris que des arnaqueurs utilisant un logiciel de rançon (ransomware) indiquent actuellement une adresse Posteo comme contact.
Notre équipe anti-abus a tout de suite effectué une vérification puis immédiatement bloqué cette boîte mail. Nous ne tolérons aucun usage frauduleux de notre plateforme : le blocage immédiat des boîtes mail utilisées à des fins malveillantes est un procédé couramment utilisé par les fournisseurs d’accès dans ce genre de cas.

Au cours de l’après-midi, il s’est avéré que le logiciel de rançon “PetrWrap/Petya” se propageait rapidement, notamment en Ukraine.

Voici ce que nous pouvons d’ores et déjà dire sur “PetrWrap/Petya” :
- Dès midi, les arnaqueurs ne pouvaient plus accéder à la boîte mail ou envoyer des e-mails.
- Il n’est plus possible d’envoyer d’e-mails à la boîte mail concernée

Nous sommes en contact avec le bureau fédéral de la sécurité informatique (Bundesamt für Sicherheit in der Informationstechnik).

Qu’est-ce qu’un logiciel de rançon (ransomware) ?
L’expression “logiciel de rançon” (ransomware) désigne des logiciels malveillants qui s’installent sur un appareil via un clic sur des liens ou des pièces jointes contaminés. Cela survient surtout quand l’appareil est mal protégé, par exemple quand des logiciels qui y sont installés n’ont pas été actualisés depuis longtemps. Le logiciel malveillant empêche l’accès aux données et systèmes et l’utilisateur concerné est incité à payer une rançon pour retrouver l’accès à ses données. Cependant, le paiement permet rarement de retrouver l’accès aux données.

Bien cordialement,
l’équipe Posteo

Chères utilisatrices, chers utilisateurs de Mailvelope,

nous adressons cet avertissement de sécurité à tous ceux qui utilisent l’extension de chiffrement Mailvelope dans Firefox.

Nous avons fait effectuer un audit de sécurité actuel de Mailvelope. Ce dernier a permis de détecter une faille critique dans l’interaction entre le navigateur Firefox et Mailvelope. Dans certaines circonstances, l’architecture de sécurité de Firefox permet aux agresseurs d’accéder à la clé privée de l’utilisateur par le biais d’extensions compromises. Pour cette raison, nous demandons à tous les utilisateurs de Mailvelope dans Firefox de lire attentivement les recommandations de sécurité ci-dessous.

Les utilisateurs de Mailvelope chez tous les autres fournisseurs de messagerie (comme Gmail, Yahoo etc.) sont également concernés.

L’architecture de Firefox n’isole pas suffisamment les extensions les unes des autres. Cela est connu depuis des années. Or, le fait que même les clés privées d’un utilisateur de Mailvelope peuvent être compromises lors d’ une attaque ciblée n’avait pas encore été prouvé. Les ingénieurs de sécurité de Cure53 que nous avons mandatés ont pu le démontrer. Auparavant, cure53 a déjà audité Mailvelope dans Chrome : mandatés par nous, les ingénieurs ont maintenant pour la première fois examiné l’extension dans son interaction avec Firefox. Dans leur rapport d’enquête, ils concluent que Firefox ne constitue actuellement pas un environnement approprié pour Mailvelope. Ils déclarent :

« En conclusion, l’équipe de Cure53 ne peut recommander l’utilisation de Mailvelope dans Firefox en bonne conscience. »

Faille présente jusqu’en novembre 2017

Après l’audit de sécurité, nous en avons informé le développeur de Mailvelope, Thomas Oberndörfer. Il ne peut cependant pas réparer la faille puisque elle est causée par l’architecture de Firefox. Depuis quelque temps, une nouvelle architecture de Firefox est développée. Mozilla prévoit d’achever les travaux d’ici novembre 2017 avec la sortie de Firefox 57. Thomas Oberndörfer travaille également sur une version de Mailvelope adaptée à l’architecture améliorée de Firefox. Nous le remercions pour son travail de développement.

Jusqu’à ce que Mozilla ait adapté l’architecture, les recommandations de sécurité suivantes s’appliquent :

1ère option : en attendant, utilisez un autre logiciel : vous pouvez soit utiliser Mailvelope dans un autre navigateur, soit utiliser PGP avec un client de messagerie local. Dans notre rubrique d’aide, vous trouverez plusieurs articles sur ce sujet.

2ème option : sinon, un profil Firefox réservé à Mailvelope minimise le risque de façon transitoire. Dans notre rubrique d’aide, nous avons publié des instructions pas-à-pas pour créer des profils dans Firefox : instructions pour Mac instructions pour Windows. Les utilisateurs de Mailvelope ayant un autre fournisseur de messagerie peuvent également suivre ces instructions. Veillez à respecter absolument les recommandations de sécurité suivantes afin de minimiser le risque d’une attaque efficace :

• n’installez aucune autre extension dans le nouveau profil du navigateur.
• Utilisez le profil de Firefox pour votre communication chiffrée avec Mailvelope uniquement : n’ouvrez que la messagerie en ligne de votre fournisseur de messagerie et n’ouvrez jamais d’autres sites internet dans ce profil.
• Choisissez également le mot de passe le plus sûr possible pour votre clé PGP.
• Veillez à ne pas installer d’autres extensions par inadvertance (notamment par hameçonnage) qui pourraient vous attaquer.

Compte tenu des problèmes dans l’architecture de Firefox, nous vous conseillons ce qui suit :

• réduisez au minimum l’utilisation d’extensions dans votre navigateur Firefox jusqu’à ce que Mozilla ait modifié son architecture.
• En créant un compte d’utilisateur supplémentaire et séparé dans votre système d’exploitation pour votre communication chiffrée de bout en bout, vous vous protégez encore mieux des attaquants potentiels.

Pour des raisons de transparence, voici les recommandations du rapport d’enquête de Cure53 :

« On peut recommander deux méthodes aux utilisateurs qui se fient à Mailvelope pour le cryptage de données très sensibles. Premièrement, ils peuvent utiliser Mailvelope dans un profil de navigateur dans lequel Mailvelope est la seule et unique extension installée sans autres extensions. Deuxièmement, ils devraient recourir à d’autres logiciels, par exemple Thunderbird avec Enigmail. »

« Il est actuellement recommandé à tout utilisateur de Mailvelope sous Firefox d’exporter ses paramètres Mailvelope, de supprimer Mailvelope de Firefox et d’importer les paramètres Mailvelope dans Mailvelope installé au préalable dans Google Chrome. Sinon, Mailvelope peut être utilisé dans un profil de navigateur séparé, à condition qu’aucune autre extension soit installée pour minimiser le risque de vol de clés. »

Les ingénieurs de sécurité mandatés par Posteo ont trouvé la faille

Au quotidien, nos clients utilisent différents appareils, navigateurs et extensions dans leurs environnements locaux. La sécurité de la communication de nos clients est très importante pour nous. C’est pourquoi nous faisons régulièrement examiner des composants standard externes, à la recherche de failles. Nous travaillons, entre autres, avec les experts de sécurité informatique de Cure53 qui ont trouvé la faille dans Mailvelope sous Firefox.

Le docteur Mario Heiderich (Cure53) explique :

« Le problème se trouve actuellement dans l’architecture. Pour cela, il n’y a pas de solution facile. Mozilla le sait, mais doit aussi maîtriser le grand écart difficile entre les changements radicaux et les décisions pondérées qui semblent souvent lentes. Mais on va dans la bonne direction, ce qui est tout à fait positif pour un logiciel complexe.»

Thomas Oberndörfer (Mailvelope) dit :

« Bien entendu, Mailvelope dépend de la sécurité de la plateforme de navigateur sous-jacente. Les failles dans le système d’extensions de Firefox sont connues depuis un moment. Il est d’autant plus appréciable que Mozilla fasse maintenant des ajustements. Les audits de sécurité comme celui qu’a effectué Posteo sont pour nous un indicateur important pour savoir comment améliorer Mailvelope. »

Le rapport d’enquête sera publié après la réparation de la faille

Il est prévu que Mozilla répare seulement la faille décrite ci-dessus en novembre 2017. C’est pour cela que, par mesure de sécurité, nous ne publierons le rapport d’enquête à une date ultérieure. Le rapport décrit précisément une attaque qui pourrait fonctionner. Le rapport est déjà à disposition de Mailvelope ainsi que de l’office fédéral allemand pour la sécurité en matière de technologies de l’information (le « BSI »).

L’audit de sécurité a également démontré des résultats positifs pour Mailvelope que nous voudrions mentionner ici : on a vérifié si les fournisseurs de messagerie avec lesquels Mailvelope est utilisé pourraient accéder à la clé privée des utilisateurs de Mailvelope enregistrée dans le navigateur. Cela n’était pas le cas. Toutes les autres tentatives des ingénieurs de sécurité d’accéder aux clés privées enregistrées dans Mailvelope en tant que fournisseurs de sites internet ou en tant qu’attaquants de type « Homme du milieu » n’ont également pas abouti.

La faille montre que l’open source augmente la sécurité

Pour des raisons de sécurité, nous prenons en charge uniquement des composants open source ayant un code transparent, comme l’extension de chiffrement Mailvelope. Selon nous, un code transparent est essentiel pour la sécurité et le contrôle démocratique sur Internet : des experts indépendants peuvent à tout moment identifier des failles ou des portes dérobées grâce à une analyse du code, comme dans le cas actuel. Ainsi, on n’est plus obligé de se fier aux déclarations de sécurité d’un fournisseur ou d’un développeur. Avec les audits de sécurité que nous mandatons, nous souhaitons contribuer à augmenter la sécurité des composants open source courants et du véritable chiffrement de bout en bout.

Meilleures salutations,
l’équipe Posteo

Chers clients,
chers visiteurs,

la nouvelle commissaire chargée de la protection des données de Berlin, Maja Smoltczyk, a présenté Posteo dans son rapport annuel de 2015 et l’a évoqué comme exemple positif de protection des données.
Cette référence très positive à notre service nous réjouit. Pour cette raison, nous vous la copions ci-dessous pour que vous en profitiez aussi :

« Posteo (posteo.de) est un fournisseur de messagerie en ligne possédant les fontions habituelles de ces services. Contrairement à d’autres boîtes mail, son utilisation est payante, ce qui permet de renoncer à toutes les données d’identification et à l’analyse du comportement de l’utilisateur ainsi que du contenu des e-mails. Cela commence par le fait que les utilisateurs utilisent un pseudonyme lors de la création de leur boîte mail : mis à part l’adresse e-mail souhaité et un mot de passe, aucune donnée obligatoire n’est exigée du client. Même le versement du crédit prépayé peut se dérouler de façon entièrement anonyme, en espèces. Si l’on opte pour une procédure de paiement impliquant de divulguer des données, le lien avec la boîte mail du client établi via un code de paiement est effacé directement après l’arrivée du paiement. En plus de la mise en place réussie de tous les moyens de chiffrement à l’acheminement lors de l’envoi et la réception des e-mails, ainsi que lors de l’accès à l’interface en ligne, un chiffrement de bout en bout avec PGP ou S/MIME est pris en charge. Une des particularités de Posteo est la fonction de chiffrement du contenu de la boîte mail et du carnet d’adresses : même les e-mails entrants parvenant non chiffrés peuvent être chiffrés en toute simplicité. Le déchiffrement se déroule seulement au moment même où chaque e-mail est consulté. L’utilisation de cette fonction nécessite un mot de passe sûr et assez long. » (p.51)

« Posteo démontre que la protection des données est un argument de vente efficace. » (S.53)

Vous trouverez le rapport complet (en allemand) de la commissaire chargée de la protection des données de Berlin sur le site datenschutz-berlin.de.

Bien cordialement
L’équipe Posteo