Email is interoperable, meaning that Gmail accounts can communicate with Yahoo accounts which can communicate with ProtonMail accounts and so on. Unfortunately, that also means that if you email someone who uses an email service with poor privacy protections (like Gmail), your messages may be subject to its privacy policies, regardless of what email service you use.

All major email providers will give some level of protection against eavesdropping or tampering of their users’ emails, but most do not provide the maximum privacy and security available. We believe that everyone deserves email privacy and security, and that means ensuring that no one else has access to your emails.

What is end-to-end encrypted email?

When you send an email, your message is routed from server to server until it reaches your recipient’s inbox. All major email providers use TLS (Transport Layer Security), which provides an encrypted route for your email as it is sent between servers. This keeps your message private while it is in transit.

However, with TLS encryption, your emails are decrypted once they reach your email provider’s server rather than upon reaching your recipient’s device. This gives email providers that only use TLS access to all the messages stored on their servers.

By comparison, end-to-end encrypted email is inaccessible to anyone but the intended recipient, making it much more secure. End-to-end encrypted email is encrypted at the source (your device) and only decrypted once it reaches its endpoint (the recipient’s device).

As only the two ends of the conversation are able to access and read end-to-end encrypted email messages, your email provider, ISPs, and government bodies are unable to access the information enclosed.

However, end-to-end email encryption only works if both people are using the same E2EE email service, such as ProtonMail. If you email someone who uses an email service that only uses TLS (such as Gmail), your messages will be subject to its privacy policies and accessible by that email provider, even if you email them from a ProtonMail account.

To navigate these privacy issues, we use both end-to-end encryption and zero-access encryption to protect your emails. You can also use our ‘Encrypt for Outside’ function to send end-to-end encrypted messages to users who do not have an E2EE email service  —  these messages are password protected and expire after 28 days.

Why should email providers use end-to-end encryption?

Although TLS allows email services to securely transport your emails, there are considerable privacy and security risks involved if your emails are not end-to-end encrypted. Emails that are not sent using end-to-end encryption can be decrypted by the email provider.

Vulnerability to attack

As most email providers hold all of your messages on their servers, any hacker that is able to penetrate those servers will also have access to all of your information and the information of everyone else whose emails are stored on that server. 

The most recent and perhaps most serious breach of this kind is the Microsoft Exchange hack, though there is a long history of email server hacks, with victims including Yahoo, Sony, and even the NSA.

Data privacy

Email providers such as Google are known for gathering huge amounts of data on their users. Although Google stopped scanning emails for advertising purposes back in 2017, Gmail’s bots can still access your emails’ content for other purposes, such as applying labels to your emails and communicating with other Google apps. When users install ‘add-ons’ to their Gmail account, they are also sometimes unknowingly giving up their entire inbox to be read by third-party developers.

Perhaps more worryingly, data that is stored unencrypted on an email provider’s server can be seized during legal proceedings or investigations. Depending on the data protection laws that your home country has in place, there can be low thresholds to making these types of data requests. Once a data request is made, email providers often have no choice but to comply.

Essentially, whether by brute force or legal compliance, if your email provider does not store your emails with end-to-end encryption, you cannot control who can access your information.

Protect your privacy online

At ProtonMail, we’re creating trusted ways for people to stay in control of their information at all times. We believe that everyone deserves privacy online and that the internet should serve the interests of all people rather than selling your data to the highest bidder.

Online privacy is much more than encrypted email, but it’s a good place to start. You can sign up for a free secure ProtonMail account here. With a ProtonMail account, you can also send private emails to non-ProtonMail accounts using our Encrypt for Outside option. For further privacy online, we also have a free secure VPN that protects your internet browsing activity.

All of ProtonMail’s user data is stored exclusively in European countries with strong privacy protections, such as Switzerland. This means that unlike other email providers, ProtonMail does not fall under the jurisdiction of intrusive anti-privacy laws and cannot be coerced into working with the NSA.

End-to-end email encryption FAQ

How does end-to-end encrypted email work?

End-to-end email encryption (E2EE) works by using a set of keys to encrypt the email before it is sent and decrypt the message upon receipt. One key is a ‘public key’ that is used to encrypt emails that are sent to you, and the other key is a ‘private key’ that is only known to you (or your device).

The public key encrypts email messages in such a way that they are only able to be decrypted by the intended recipient, with the corresponding private key. As long as the private key is kept private, your emails remain secure.

For an in-depth guide to how E2EE works, you can read the ProtonMail guide to end-to-end encryption.

What is zero-access encryption?

When someone emails your ProtonMail account from an email provider that does not use end-to-end encryption, we will immediately encrypt that email upon receiving it using your public encryption key. Once it has been encrypted with your public key, you become the only person that is able to decrypt that email on our servers. This is called zero-access encryption, and it ensures that your information remains safe, even if the ProtonMail servers were somehow breached.

How can I use end-to-end encryption for my emails?

The simplest way to ensure the emails you send are end-to-end encrypted is to use ProtonMail, as we offer end-to-end encryption as standard, combined with zero-access encryption to keep your emails as private and secure as possible.

E2EE only works if those you are emailing are also using end-to-end encryption to protect their emails. If you use ProtonMail to send an email to an email account that does not use end-to-end email encryption, their email provider will be able to see those messages. So it’s best if both parties are using ProtonMail.

At ProtonMail, we have zero access to user data, so any emails you send using your ProtonMail account are inaccessible to us, and we are unable to hand over your data to any third parties. In addition, we use open source cryptographic libraries, which helps ensure that the encryption algorithms we use are vetted and do not have any known security vulnerabilities.

Can end-to-end encrypted emails be hacked?

While emails with end-to-end encryption are much more secure than emails that are sent via TLS, it cannot be said that any email is “unhackable”. The best way to protect your end-to-end encrypted emails is to ensure you use a strong, unique password for your ProtonMail account. 

If you repeat your password across services, it is possible that a security breach on one of those other services will result in your password being leaked. Using a strong and unique password for each of your accounts and devices means that even if one password is leaked, the rest of your accounts online remain secure. End-to-end email encryption works best when combined with other internet privacy protections such as using a VPN to protect your internet browsing activity and ensuring two-factor authentication is enabled whenever possible, in addition to using strong passwords.

Feel free to share your feedback and questions with us via our official social media channels on Twitter and Reddit. Note that while blog comments also remain open, questions and feedback will not be responded to individually. Where relevant, we will incorporate the most frequently asked questions or comments into a blog update.

C’est un variant du virus informatique Ryuk qui a infecté le système informatique de Fraikin l’avant-veille du long week-end de l’Ascension. « Une attaque courante et ordinaire depuis 2020, année où les cyberattaques contre les entreprises françaises ont quintuplé, rapporte Benoît Baudier, DSI de Fraikin. Entré depuis internet par un PC, le virus a infecté notre réseau informatique et bloqué les accès aux fichiers systèmes, au répertoire client et aux données de gestion commerciale, de maintenance et d’exploitation de la flotte. Une rançon était réclamée en échange de la transmission d’un anti-virus. Ne voulant pas payer, nous avons été obligés de recourir à une gestion manuelle lourde pour éviter un arrêt de l’entreprise pour une réfection du système qui aurait provoqué une chute de nos activités commerciales », relate ce responsable.

L’accès aux applications mobiles étant bloqué, les données des conducteurs et des véhicules ont dû être récupérées manuellement.Sauvés par la sauvegarde

Informé par son hébergeur IBM et conseillé par son prestataire en cybersécurité, le loueur a réagi très vite. « En 24 heures, nous avons détecté le point d’entrée, isolé les serveurs infectés et identifié le virus, poursuit Benoît Baudier. Nous avons alors mis à jour les antivirus et utilisé la sauvegarde de la veille de l’attaque pour rétablir les opérations administratives de gestion de la flotte cliente, des conducteurs, des paies, ainsi que les opérations commerciales. Nous avons réussi à rétablir l’accès aux données des applications essentielles durant les trois jours du week-end, détaille ce DSI. Nous avons alors déployé le plan de continuité d’activité (PCA) que nous avions mis en place et les collaborateurs ont pris en charge la gestion manuelle de la maintenance de la flotte. Nous avons alerté la CNIL et l’Agence nationale des systèmes informatiques. Nous avons aussi prévenu nos sous-traitants et nos clients, avec qui nous travaillons en interaction, pour les rassurer ».

Conseil en cybersécurité et mobilisation du personnel

Dès le matin du lundi 17 mai, Fraikin avait éliminé le virus sans avoir payé la rançon et tout en n’ayant perdu qu’une journée de facturation. Cependant, le loueur poursuivait encore fin mai le rétablissement des activités non prioritaires laissées en suspens. Et il n’avait pas encore calculé le coût total de cette attaque qu’il transmettrait à son assureur. La crise passée, Benoît Baudier faisait le compte des actions entreprises. « D’avoir pu disposer d’un conseil externe en cybersécurité est une bonne pratique pour toute entreprise car cela nous a permis de limiter la perturbation à trois jours, constate-t-il. Et la mobilisation des collaborateurs du service informatique, de l’ensemble des salariés et du comex a été remarquable. Cela a renforcé la cohésion sociale et la solidarité au sein de l’entreprise. »

La rapidité d’intervention de la DSI de Fraikin et sa gestion de crise ont permis de relancer l’activité en trois jours.

PARTAGER SUR

Michel Grinand

©TOBIAS SCHWARZ / AFP

"L'utopie hydrogène"

Dans le cadre du plan de relance, de nombreux Etats membres de l'Union européenne ont l'intention de consacrer une partie des fonds pour les énergies renouvelables. Samuel Furfari revient sur les investissements liés à l'hydrogène et sur ses conséquences pour le marché de l'énergie.

Ce 30 avril, les États membres de l’UE ont communiqué à la Commission européenne les détails relatifs aux dépenses des montants prévus dans le cadre de leurs plans de relance, montants que les prochaines générations devront rembourser. Nombre d’entre eux consacreront une grande partie de la manne au développement d’un hydrogène ‘cannibale’ (parce que dévoreur de moyens financiers et autres comme nous le verrons plus loin) baptisé hydrogène vert, sur base d’électrolyse à partir d’électricité d’origine renouvelable. Cette solution miracle présentée initialement par l’Allemagne en juin 2020 a été reprise par la Commission un mois plus tard, comme un passage obligé vers la décarbonation du système énergétique européen. La chose est assez surprenante, car les chercheurs du JRC, Centre Commun de Recherche de cette même Commission, ont travaillé sur ce sujet depuis 1969 sans jamais trouver un moyen de rendre cette production de la molécule, économique et d’une utilisation sûre. Dans un livre intitulé « L’utopie hydrogène », je présente les nombreuses recherches auxquelles j’ai été associé et qui furent menées avec rigueur et intelligence et pour lesquelles, à chaque étape, il fallait se rendre compte que la voie en question était sans avenir.

La raison en est simple : ce n’est pas parce qu’un professeur de chimie a réalisé en classe l’électrolyse de l’eau et produit quelques centimètres cubes d’hydrogène que l’opération a un sens économique et industriel. La production industrielle d’hydrogène est actuellement de 115 millions de tonnes par an, l’hydrogène étant une molécule de base de l’industrie chimique, notamment pour la fabrication des engrais ou pour éviter la pollution des produits pétroliers utilisés dans le transport. Mais cet hydrogène n’est pas produit comme dans la démonstration du professeur de chimie. A part quelques usages spécifiques, il provient de gaz naturel. A nouveau, la raison en est simple : les lois de la chimie montrent qu’il faut 6,9 fois plus d’énergie pour produire la même quantité, si on utilise l’électrolyse de l’eau plutôt que le gaz naturel. Aucun plan de relance ne changera cette donnée de base qui fait en sorte que la production industrielle d’hydrogène par électrolyse de l’eau est un non-sens économique. Certes, une énième directive européenne pourrait contourner le non-sens à l’aide d’une taxe carbone. J’ai calculé que dans des hypothèses extrêmement optimistes et seulement en 2050 il faudrait encore taxer à 100 € la tonne de CO2. Mais dans ce cas, toute la production d’hydrogène partirait à l’étranger, comme ce fut le cas hélas pour l’aluminium. L’Arabie saoudite qui entend devenir un leader mondial de la pétrochimie s’en réjouirait.

Mais il y a une autre raison qui aurait dû éveiller les esprits des décideurs européens et nationaux s’ils ne s’étaient laissé endoctriner par des lobbies. Pour qu’il soit réellement ‘vert’ l’hydrogène doit être produit à partir d’énergies renouvelables. Or pour nos politiciens, ceci est synonyme d’énergie éolienne et d’énergie solaire. Mais après avoir dépensé plus de mille milliards d’euros, ces deux énergies ne représentent aujourd’hui que 2,5 % de la consommation d’énergie primaire de l’UE. Pour la production d’électricité, elles représentent ensemble 17 % en moyenne dans l’UE et 8 % en France. Or le but poursuivi par l’UE depuis 2001 est de contraindre la production d’électricité à partir de ces énergies et la chose est renforcée dans le Plan vert de décarbonation. Puisqu’on n’est pas parvenu à faire mieux qu’un cinquième de la production d’électricité verte en 20 ans, comment peut-on espérer arriver à 100 % en 2050 si on y ajoute la contrainte de production d’hydrogène…

Le mouvement écologiste a bien compris le piège et parle de cannibalisation de l’hydrogène. L’électricité verte ne peut être utilisée qu’une fois, soit pour alimenter le réseau électrique (et diminuer la production nucléaire honnie de ceux-ci), soit pour produire de l’hydrogène et remplacer les produits pétroliers tout aussi détestés. Il s’agit donc bel et bien d’une cannibalisation de l’électricité verte par l’hydrogène vert. Les citoyens qui ne veulent plus d’intrusion visuelle par des éoliennes doivent s’attendre à en voir beaucoup plus ; pour produire de l’électricité verte mise sur le réseau et celles qui sont supplémentaires pour produire de l’hydrogène vert.

Un argument des lobbyistes de l’éolien est que la production d’hydrogène vert est une forme de stockage de l’excès d’électricité lorsque le vent souffle et que la demande en électricité est faible. J’ai montré dans mon livre « L’utopie hydrogène » que cet argument ne tient pas, car il est confronté à l’accumulation de deux phénomènes incontournables. Premièrement, le stockage d’un excès d’électricité fatale en électricité utile par l’intermédiaire d’hydrogène a un rendement limité à 27 %. Deuxièmement dans l’UE les éoliennes ne produisent que 24 % de l’énergie électrique qu’elles pourraient produire en fonctionnement continu à pleine puissance (facteur de charge). La combinaison de ces deux effets ― sur lesquels les politiciens et les lobbyistes n’ont aucune influence ― conduit à multiplier par dix le nombre d’éoliennes pour arriver au résultat. Avec un facteur de charge de 13 % pour le solaire, la situation est bien pire.

Le cannibale hydrogène ne vivra donc pas au-delà des subventions publiques. L’hydrogène vert est une aberration plus grande que celles des biocarburants qui a dû être abandonnée. Les contraintes de la chimie et de la physique sont incontournables.

Enfin, il m’apparait éthiquement insupportable que l’Allemagne s’évertue à cannibaliser l’électricité au Maroc pour aux fins de son idéologie verte puisque c’est là qu’elle souhaite produire de l’hydrogène aux acclamations de certains. Un Allemand consomme en moyenne 6 017 kWh d’électricité alors qu’un Marocain en consomme 904 kWh et le Sénégalais un peu plus au sud en consomme 230 kWh. L’hydrogène vert du riche Allemand cannibalise l’électricité des pauvres Africains. Et la Commission européenne approuve l’initiative puisqu’elle prône cette solution dans sa stratégie hydrogène. Décidément, la planète est plus importante que les Africains. A moins que ce ne soient les lobbies.

Le dernier ouvrage de Samuel Furfari est « Énergie. Tout va changer demain ? Analyser le passé, comprendre l’avenir »