Cette histoire rappelle que seuls les messages chiffrés de bout en bout ne peuvent véritablement être à l’abri d’une surveillance.
Le fournisseur de services de messagerie allemand Tutanota a été contraint par décision de justice d’intégrer une backdoor dans ses serveurs, afin que la police judiciaire de la Rhénanie-du-Nord–Westphalie (LKA Nordrhein-Westfalen) puisse espionner la boîte de réception d’un maître chanteur présumé. Tutanota a fait appel de la décision de justice, mais comme l’appel n’est pas suspensif, il est quand même obligé de développer cette backdoor avant la fin de l’année.
Comment une telle backdoor est-elle possible alors que Tutanota se targue d’être « le service d’e-mails le plus sécurisé du monde », en proposant notamment des e-mails chiffrés de bout en bout ? L’explication est simple. La backdoor n’inspecte que les nouveaux messages entrants non chiffrés. En effet, le chiffrement de bout en bout ne fonctionne qu’entre utilisateurs Tutanota. Les messages reçus d’un émetteur externe sont visibles pour le prestataire qui va ensuite les chiffrer avec la clé publique de l’utilisateur. Ce même trou dans la raquette existe également chez ProtonMail, le principal concurrent de Tutanota sur le marché des e-mails sécurisés.