SimpleLogin 2.0: recevoir et envoyer des mails de manière anonyme. Protéger nos boites mails.

Posté par  . Édité par Florent Zara, palm123 et bobble bubble. Modéré par Florent Zara. Licence CC By‑SA.
Étiquettes :
55
29
nov.
2021
Sécurité

SimpleLogin est à la fois un service d’alias de courriels et une plate‑forme totalement libre (sous licence MIT) que l’on peut auto‑héberger. Il a été présenté en version bêta début 2020 ici-même.

Simple Login Logo

Depuis, le service a ajouté de nouvelles fonctionnalités et est devenu le référent parmi les services de masquage d’adresse mail. Avec l’arrivée de Hide My Email d’Apple, Masked Email d’1Password, Firefox Relay de Mozilla, le besoin de cacher notre adresse mail (ou notre identité numérique) est devenu populaire.

SimpleLogin est un service de masquage d’adresse mail: il permet de créer rapidement un « alias d’e-mail » qui cache notre vraie boîte mail. Les mails envoyés à un alias sont redirigés à notre boîte mail. On peut répondre à un mail comme d’habitude: la réponse sera envoyée de notre alias et notre vraie boîte mail reste cachée. Nous pouvons aussi envoyer des mails à un contact à partir d’un alias: un alias est donc comme une adresse mail « normale ».

Créé en France, 100% open source, disponible sur tous les plates-formes, SimpleLogin est considéré par les experts en vie privée comme la solution la plus avancée aujourd’hui. Il vient aussi de recevoir le prix du « meilleur projet Open Source » lors de l’Open Source Experience organisé à Paris début novembre 2021.

Quelques nouvelles fonctionnalités notables dans SimpleLogin  :

  • Vous pouvez ajouter vos propres noms de domaines dans SimpleLogin. Vous pouvez aussi utiliser SimpleLogin comme une solution pour gérer des mails « business ».
  • Si vous n’avez pas de nom de domaine, vous pouvez en réclamer des sous-domaines de SimpleLogin.
  • L'encryption PGP est maintenant prise en charge. Pratique si votre boîte mail supporte PGP (ProtonMail, GPGTools, Thunderbird, Mailvelope, etc).
  • Intégration avec https://haveibeenpwned.com qui nous alerte si un de nos alias est apparu dans une fuite de données.
  • L’amélioration d’extension navigateur (Chrome/Brave, Firefox, Edge) et des apps iOS, Android.

Disponible en version gratuite (jusqu’à 15 alias) ou Premium ($30/an), SimpleLogin vise à développer les services similaires pour numéros de téléphone et cartes bancaires.

Aller plus loin

  • # Service qui me manquait !

    Posté par  . Évalué à 8.

    J'auto-héberge mes mails depuis plusieurs année, mais j'ai de moins en moins de temps a consacrer à l'administration de mon serveur. Ce qui me bloquait le plus était que je m'était habituer a avoir des alias pour tous les sites que j'utilise, sans restriction.
    Les offres actuelles étant limité en nombre je ne pouvais me permettre de me séparer de mon hébergement maison. Mais là ça me donne clairement envie !

    • [^] # Re: Service qui me manquait !

      Posté par  . Évalué à 3.

      Pour info, Fastmail propose des alias illimités (ou aussi des catch all) avec ton nom de domaine. Et en plus le service est vraiment super.

  • # Très bien

    Posté par  . Évalué à 10. Dernière modification le 29 novembre 2021 à 12:04.

    Je trouve le site très bien fait.
    Les fonctionnalités sont là et cela reste intuitif.

    J'aime bien la possibilité d'utiliser SimpleLogin et d'auto-heberger le service.
    La doc est parfaite, il manque juste la partie django qui est en cours.
    Très bien!

    Le lien du dépot: https://github.com/simple-login/app

  • # Utilisateur convaincu

    Posté par  . Évalué à 8.

    J'utilise le service depuis quelques années sur un domaine en catch-all et le plus gros problème que je rencontre, c'est que quand je forge un mail à la volée quand on me demande un mail de contact, les gens comprennent que je l'invente et donc le refusent.

    • [^] # Re: Utilisateur convaincu

      Posté par  . Évalué à 3.

      Crées-en plusieurs à l'avance et imprime-les sur papier cartonné sous forme de cartes de visite, ça crédibilisera tes alias :-)

    • [^] # Re: Utilisateur convaincu

      Posté par  . Évalué à 7.

      J'ai aussi un domaine en catch-all et je donne presque toujours un mail de type <nom de l'entité à qui je m'adresse>@mondomaine. Mon interlocuteur est évidemment toujours surpris et assez souvent me fait répéter, mais je n'ai jamais essuyé de refus.

      • [^] # Re: Utilisateur convaincu

        Posté par  . Évalué à 6.

        Face à la surprise (et une fois même à la colère), j'explique calmement que l'adresse bizarre donnée retombe dans ma vrai boite mais qu'ainsi si je reçois du spam ou des emails malicieux sur l'adresse donnée je saurais que ça vient de chez mon interlocuteur.
        La pression change de direction et la personne me demande juste ensuite si je peux épeler.

        Le seul refus que j'ai essuyé était celui de Free Mobile qui m'interdisait une adresse email de la forme alias@prenom.nom.tld, mais je viens de voir que le site avait été renouvelé avec ce bug en moins.

      • [^] # Re: Utilisateur convaincu

        Posté par  (site web personnel) . Évalué à 7.

        Je fais exactement la même chose.

        En général c'est soit de l'étonnement, soit "non votre adresse mail pas la nôtre ?", mais au final jamais de refus. Plutôt des remarques du style : "C'est malin" ou "Je ne savais pas qu'on pouvait faire cela".

        • [^] # Re: Utilisateur convaincu

          Posté par  (site web personnel) . Évalué à 5.

          Le pire que j'ai eu, après remplissage d'un formulaire en ligne dans lequel j'ai fourni une adresse mail forgée à partir du nom de domaine de l'entreprise à laquelle il était destiné, c'est un appel téléphonique d'un employé de ladite entreprise pour me faire part de sa surprise à la vue de l'adresse mail en question. Je lui ai fourni quelques explications sur le pourquoi du comment, qui ont dû le satisfaire puisque, encore à ce jours, je reçois leurs courriers à cette adresse…

          Cyberdépendance, cyberharcèlement, pédocriminalité… : Zelbinium, pour que les smartphones soient la solution, pas le problème !

        • [^] # Re: Utilisateur convaincu

          Posté par  (site web personnel) . Évalué à 3.

          Je pratique systématiquement de mettre le nom de la société @ mon nom de domaine.

          J'ai eu droit à la surprise et la confusion chez les interlocuteurs au téléphone.

          C'est incroyable le nombre de personnes qui ne comprennent pas la différence entre ce qui est avant ou après le @.

          Mon discours standard est de leur signifier que ça me permet de savoir d'où vient le spam si ils revendent mon adresse, se font trouer leur base de donnée ou si leur département marketing s'essuient les fesses avec le RGPD.

          La seule société qui n'autorise pas ça était aliexpress qui bloquait leur nom de société devant le @, j'ai mis un diminutif au final…

          C'est d'ailleurs bien malheureux qu'on puisse pas faire de même avec un numéro de téléphone mobile…

          • [^] # Re: Utilisateur convaincu

            Posté par  . Évalué à 3.

            J'ai eu droit à la surprise et la confusion chez les interlocuteurs au téléphone.

            Mettez from.nomdesociété @ mondomaine, le from est auto-explicatif, ou devrait l'être.

  • # Interview de Son Nguyen Kim

    Posté par  . Évalué à 6.

    Entretien avec Son Nguyen Kim réalisé en direct du salon Open Source Experience le 9 novembre 2021 au cours de l'émission Libre à vous ! de l'April diffusée en direct.

    Toutes les informations concernant cette émission


    Transcription de l'entretien

  • # Visibilité des mails

    Posté par  . Évalué à 3.

    Bonjour,

    Désolé pour cette question, je n'ai pas trouvé la réponse dans la FAQ du site… Et peut être qu'elle n'est pas pertinente (je ne connais pas bien le mécanisme d’aléas)
    Je suis très intéressé par le service que je trouve génial sur le principe (a voir après dans la pratique si la facilité est là).
    Néanmoins, j'aimerais savoir si lors du "transfert" du mail, (de l'alias a la 'vraie' adresse) les serveurs de simplelogin sont mis en œuvre, pour être plus explicite, est ce qu'il 'voient' le contenu des emails échangés… Et surtout, si ils "exploite" le contenu?
    Je ne compte pas auto héberger le service (a voir tout de même si il serais possible de le faire simplement, sur un Rasp par example) et du coup cette question me semble d'importance.

    Merci d'avance :)

    P.-S. Utilisant Keepass, un "plug in" pour aider a la création d'un compte 'lambda' serait probablement aussi intéressant.

    • [^] # Re: Visibilité des mails

      Posté par  (site web personnel, Mastodon) . Évalué à 3.

      Je ne suis pas spécialiste, je découvre mais je peux répondre que :

      1. Oui, ils voient les emails qui transitent par leur serveur.

      2. Ils disent ne pas exploiter. J’espère que c’est le cas mais ça semble dans la philosophie du projet de ne pas le faire ;-)

      J’essaie de prendre un compte payant mais je dois fournir une adresse email auprès de leur fournisseur de paiement. Étonnant non ?

      Mes livres CC By-SA : https://ploum.net/livres.html

      • [^] # Re: Visibilité des mails

        Posté par  (site web personnel) . Évalué à 2. Dernière modification le 30 novembre 2021 à 18:05.

        J’essaie de prendre un compte payant mais je dois fournir une adresse email auprès de leur fournisseur de paiement. Étonnant non ?

        Ben créé un alias poubelle chez-eux ailleurs, que tu leur fourniras ;)

        « Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »

    • [^] # Re: Visibilité des mails

      Posté par  (site web personnel) . Évalué à 0.

      Plusieurs choses.

      Oui, tous les serveurs déclarés en MX (et normalement le A/AAAA si il n'y en a pas) d'un nom de domaine sont susceptibles de lire le contenu de ton mail en plus de ceux qui écoutent le lien physique (comme la NSA avec les câbles sous-marins).

      Pour ce qui est des mails, c'est sympa de vouloir s'auto-héberger, mais il faut qu'un de tes serveurs déclarés soit en mesure de récupérer tes mails h24/365j/an.

      Perso, j'ai un serveur dédié chez hetzner et je m'étais posé la question d'abandonner le service gratuit ovh avec un nom de domaine pour migrer sur mon serveur, surtout depuis l'augmentation des tarifs récente…

      La grande difficulté est que tu as besoin d'un serveur esclave qui transmette les messages au premier (et que tu puisses consulter les messages dessus si le premier est en carafe).

      J'ai cherché et je n'ai pas trouvé un service qui puisse me relayer les mails en question, j'avais envisagé de souscrire à un serveur pas cher chez vpscheap. Leur outil anti-fraude m'a bloqué et ces clowns ont pas voulu me louer un serveur, qu'ils aillent se faire foutre.

      Une autre solution idéale pour moi était de mettre en place un raspberry orienté stockage comme serveur secondaire (et sauvegarde) sur l'adresse IP fixe du domicile et utiliser le serveur dédié en principal.

      La flambée des composants électroniques a probablement mis en sommeil ce projet jusqu'à 2023, j'ai pas envie de payer 3 fois le prix du matériel.

      Vient ensuite les problèmes sur l'envoi des messages, dans le vrai monde de la messagerie, tu peux oublier d'envoyer des courriels à partir d'une adresse ip privée/résidentielle.

      Par exemple google me fout en spam systématiquement au premier mail, même à partir de mon serveur dédié qui envoie zéro spam.

      Beaucoup trop de fournisseur de mail te jettes par défaut, encore plus si tu viens d'un domaine/adresse pas connu ou adresse résidentielle.

      Un ancien employeur s'amusait à envoyer des messages à la con toutes les X minutes pour contourner les blocages miséricâble chez qui il travaillait à l'époque…

      Surtout qu'en général quand le problème va se poser, ça sera sur le mail urgent que tu dois envoyer de ton téléphone tactile sans accès à un clavier et un terminal ssh à des centaines de kilomètres…

  • # Alias avec des sous-adresses mail

    Posté par  . Évalué à 7. Dernière modification le 03 décembre 2021 à 21:40.

    Bonjour à tous,

    J'ai découvert hier, grâce à un message d'un collègue, un moyen simple d'utiliser des alias de mon adresse mail : les sous-adresses.

    La technique est simple, il suffit de rajouter le caractère "+" suivi de l'alias, à la partie gauche de l'adresse mail.

    Ex : jean.dupond@mail.com peut être décliné en jean.dupond+gafam@mail.com, jean.dupond+impots@mail.com, jean.dupond+ebay@mail.com etc….

    Cela ne rend pas tous les services de SimpleLogin, mais cela permet déjà de créer des alias pour filtrer/classer les mails entrants.

    Il s'agit d'un standard Internet proposé dans la RFC 5233.

    Pour pouvoir l'utiliser, il vous suffit de vérifier que votre fournisseur d'adresse mail accepte ce standard (probable) et aussi que le service en ligne auquel vous voulez fournir cette adresse étendue accepte le caractère "+" dans une adresse mail (pas sûr à 100%).

    • [^] # Re: Alias avec des sous-adresses mail

      Posté par  . Évalué à 4.

      Il s'agit d'un standard Internet proposé dans la RFC 5233.

      cela dit, en pratique, la majorité des formulaires en ligne refusent les adresses avec un '+'.

      • [^] # Re: Alias avec des sous-adresses mail

        Posté par  . Évalué à 2.

        Ça ne correspond pas à mon expérience personnelle : rare sont les formulaires d'entreprises/administrations qui les refusent… et ça s'améliore avec le temps…
        Toutefois, le plus embêtant c'est que quand tu as fourni une adresse mail aaa+bbb@foo.bar et qu'elle est vendue à une entreprise peu scrupuleuse, qu'est ce qui l'empêche de spammer directement sur sur aaa@foo.bar ? rien.
        Donc, c'est bien pour le tri dans sa BAL (je l’utilise pour ça et ça fait le job), mais c'est nul comme anti-spam :)

        • [^] # Re: Alias avec des sous-adresses mail

          Posté par  . Évalué à 2.

          Ça ne correspond pas à mon expérience personnelle : rare sont les formulaires d'entreprises/administrations qui les refusent… et ça s'améliore avec le temps…

          Ou se dégrade dans le temps : j'utilisais jusqu'au mois dernier une adresse étiquetée en «+caf» pour mes correspondances avec la… CAF, pour laquelle j'ai dû créer un alias (en «_caf») suite à leur modification du processus d'identification (passage d'un identifiant numérique au mél) puisqu'un stagiaire en développement a, semble-t'il, décrété qu'une adresse mail devait se valider suivant un pattern du genre «[-a-z0-9._]+@([-a-z0-9]+.)+[a-z]+» (en pseudo-PCRE…).

          Toutefois, le plus embêtant c'est que quand tu as fourni une adresse mail aaa+bbb@foo.bar et qu'elle est vendue à une entreprise peu scrupuleuse, qu'est ce qui l'empêche de spammer directement sur sur aaa@foo.bar ? rien.

          Rien en effet, et c'est indétectable. Par contre lorsque l'on voit passer des courriels en bbb@foo.bar, on détecte tout de suite qui a revendu sa base client, se l'est fait piratée (expérience personnelle avec je ne sais plus quel site marchand) ou a un bug dans son SI (là aussi expérience personnelle : le + étant une alternative au %20 pour représenter l'espace dans les URL, un traitement quelque par dans le SI avait «rétabli» l'espace avant de l'utiliser pour l'envoi des courriels en supprimant ce qui précédait l'espace ; le bug avait été rapidement corrigé lorsque je l'avais signalé, logique : ça ne touchait que la partie publipostage de leur SI, la partie authentification et notamment l'envoi du courriel de confirmation de l'adresse n'ayant pas cette lacune).

        • [^] # Re: Alias avec des sous-adresses mail

          Posté par  (site web personnel) . Évalué à 4.

          La question n'est pas de savoir si ils vont accepter ce système de commentaire dans l'adresse de courriel.

          En fournissant ce +xyz, la personne qui détient ton adresse est en mesure de détecter et supprimer cet élément de l'adresse.

          Quand tu fournis une adresse marquée ainsi c'est que tu ne fais pas confiance au destinataire, à partir de là, aucune raison d'utiliser ce standard.

          Il me semble qu'à la base c'était conçu pour le classement à partir de la boîte de réception dans un sous-dossier.

          Ce que tu veux est bel et bien fournir au destinataire un alias@example.com pour pouvoir le confondre si il vend ton adresse, se fait trouer sa base de donnée ou s'essuie les fesses avec le RGPD…

    • [^] # Re: Alias avec des sous-adresses mail

      Posté par  (Mastodon) . Évalué à 3.

      C'est peu utile car ton adresse reste connu…en supprimant le suffixe. Moi comme j'utilise mon domaine, j'utilise des alias mais avec des mots.

      Mon adresse principale est du type prénom@mondomaine.tld

      Toutes les adresses commençant par site/app/compte/adm renvoient vers mon adresse principale. Mon compte linuxfr est chez sitelinuxfr@mondomaine.tld, mon compte pour une appli web ou mobile est app@mondomaine.tld, mon compte pour une administration commence par adm, etc.

      Jami: beabb2b063da0a2f0a2acaddcd9cc1421245d5de

  • # Erreur

    Posté par  . Évalué à 1.

    Pseudonyme, pas anonyme !
    Après on va encore être emmerdé par les politiques :(

  • # Pratique problematique si elle se généralisait

    Posté par  (site web personnel) . Évalué à 1.

    Si tous les clients d'un fournisseur d'énergie historique (par exemple en France EDF)adoptait votre pratique, EDF aurait tout un tas d'edf@simplelogin.fr.
    Or, les adresses mails doivent être uniques dans un serveur de mails.

    En théorie, les écrans bleux sont rare. En pratique, les utilisateurs appellent rarement le support pour dire : Bonjour.

  • # Je vais tester

    Posté par  (site web personnel) . Évalué à 1.

    Depuis pas mal d'années, je gère tous les services que j'utilise avec des alias (service@mondomaine.com vers monadresse@privee.com) mais j'ai assez envie de tester SimpleLogin car linterface de gestion semble très sympa.

    F

    "Il n'y a de richesse que d'hommes" (J. Bodin) - Trésorier de l'association GUTenberg (https://www.gutenberg-asso.fr/)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.