Votre adresse mail est votre passeport. Et il est public.

Une avocate paie 700€/an pour un service mail “chiffré et anonyme”. Elle utilise la même adresse pour LinkedIn, Doctolib, son syndic, et trois plateformes de M&A. La fuite est arrivée par Doctolib en 2024 — le service mail n’y peut rien.

Le piège habituel

• “Je suis sur Proton, je suis safe.” Confusion entre chiffrement et compartmentation.
• L’adresse mail est un identifiant public chez tous les services où elle est utilisée. Le chiffrement protège le contenu en transit, pas l’identifiant.

Modèle de menace mail

Ce qui peut être compromis

• L’adresse elle-même : leak via un service tiers → spam, phishing ciblé, SIM swap targeting
• Le contenu : si le service est compromis, mots de passe historiques, conversations
• Les métadonnées : qui parle à qui, quand, à quelle fréquence
• Le compte : si le mot de passe ou MFA est compromis → reset de tous vos comptes liés

Ce que ça permet à un attaquant

• Phishing ciblé (votre adresse + votre nom + votre employeur dans une fuite)
• Recovery flows sur d’autres services (mot de passe oublié → mail reset)
• Pivot vers d’autres comptes (Apple ID, Google, banque)
• Profilage et corrélation cross-fuites

Séparer par usage, pas par confidentialité

Email civil

• Vie civile : banque, fisc, syndic, médecin, employeur officiel
• Adresse nominative, stable, jamais changée
• Chez un opérateur EU sérieux, MFA hardware obligatoire

Email professionnel public

• Conférences, médias, LinkedIn, prises de parole publiques
• Peut être un alias de l’email civil ou un domaine pro
• Tolère un peu de spam, c’est un risque accepté

Email professionnel sensible

• M&A en cours, contentieux, négociations confidentielles
• Domaine dédié si possible
• Cloisonné dans le temps (1 dossier = 1 adresse)
• MFA hardware obligatoire, pas de récupération SMS

Email opérationnel

• Recherches, achats en ligne, services tiers, abonnements
• Alias jetable : SimpleLogin, AnonAddy, iCloud Hide My Email, DuckDuckGo Email
• Un alias par service au minimum
• Rotation tous les 6-12 mois pour les services secondaires

Les opérateurs — analyse honnête

Proton Mail

• Force : zero-knowledge, basé en Suisse, juridiction protective, audit code public, MFA hardware FIDO2
• Faiblesse : métadonnées visibles, prix élevé, dépendance écosystème
• Pour qui : profils sensibles, journalistes, dissidents

Tutanota (Tuta)

• Force : zero-knowledge, basé en Allemagne, prix plus bas
• Faiblesse : protocole non-standard, interop limitée
• Pour qui : budget contraint, écosystème allemand

Fastmail

• Force : réputation solide, support IMAP/SMTP, intégration alias domaine perso
• Faiblesse : juridiction Five Eyes, pas zero-knowledge
• Pour qui : profils business standards

Migadu

• Force : excellent rapport qualité/prix, basé en Suisse, alias illimités
• Faiblesse : pas zero-knowledge, support minimaliste
• Pour qui : geeks et profils techniques

Mailbox.org

• Force : allemand, sérieux, prix bas
• Faiblesse : ergonomie datée
• Pour qui : profils business EU privacy-conscious

Gmail / Outlook

• Force : ergonomie, écosystème, gratuité
• Faiblesse : business model basé sur les données, juridiction US
• Pour qui : usage civil bénin, jamais pour le sensible

Alias jetables — outils

• SimpleLogin (Proton) : alias illimités, forward bidirectionnel, support domaine perso
• AnonAddy / addy.io : open source, self-hostable
• iCloud Hide My Email : intégration native iOS/macOS, lié Apple ID
• DuckDuckGo Email Protection : gratuit, strip trackers

Rotation et hygiène

• Email opérationnel : rotation tous les 12-24 mois
• Alias jetable par service : suppression dès qu’un service devient inutile ou compromis
• Vérification mensuelle HIBP sur les adresses actives
• Pas de redirection en cascade

Erreurs qu’on voit tout le temps

• Une seule adresse pour tout
• Mot de passe mail réutilisé ailleurs
• MFA SMS sur l’email principal (vulnerable au SIM swap)
• Récupération via numéro de téléphone “pour ne pas être bloqué”
• Email opérationnel hébergé chez Gmail
• Domaine perso enregistré au nom civil sans WHOIS privacy

Checklist actionnable

• N1 Cartographier ses adresses mail actuelles et leur usage
• N1 Identifier l'email principal et le sécuriser (MFA hardware, mot de passe fort unique)
• N2 Mettre en place un email civil dédié si non séparé
• N2 Souscrire un service d'alias (SimpleLogin / AnonAddy / iCloud Hide My Email)
• N2 Migrer les services secondaires vers des alias
• N3 Pour les profils sensibles : email pro sensible sur domaine perso
• N3 Mettre en place la rotation 12-24 mois de l'email opérationnel
• N3 Vérification mensuelle HIBP sur les adresses actives