Chaque jour, des millions de Français envoient leur carte d'identité, un contrat ou un relevé bancaire par email. Dossier de location, ouverture de compte, inscription à un service... Le geste prend 10 secondes. Mais envoyer un document sensible par email revient à afficher ses informations les plus privées sur une vitrine que n'importe qui peut regarder.
En 2023, plus de 210 000 cas d'usurpation d'identité ont été signalés en France. Dans la majorité des cas, tout commence par un document transmis par un canal non sécurisé.
Comment fonctionne réellement un email
Pour comprendre le risque, il faut comprendre le mécanisme. Quand vous envoyez un email avec une pièce jointe, votre message traverse plusieurs serveurs avant d'arriver à destination. Chacun de ces serveurs peut stocker une copie de votre message.
Imaginez que vous envoyez une carte postale. Chaque facteur qui la manipule peut lire ce qui est écrit dessus. L'email fonctionne de la même manière : votre document transite en clair sur des serveurs que vous ne contrôlez pas.
Même si le transport utilise parfois le protocole TLS (un tunnel chiffré entre serveurs), ce chiffrement est opportuniste : il n'est pas garanti d'un bout à l'autre, et surtout, le fichier reste stocké en clair sur chaque serveur traversé.
Les 5 risques concrets
1. L'interception en transit
Sur un réseau Wi-Fi public (café, hôtel, gare), un attaquant peut intercepter les emails non chiffrés. C'est une technique connue sous le nom de "man-in-the-middle", et elle ne nécessite pas de compétences avancées : des outils gratuits permettent de le faire en quelques clics.
2. Le stockage permanent et incontrôlé
Votre email contenant votre document est stocké dans au moins quatre endroits :
- Votre boîte d'envoi
- Le serveur de votre fournisseur email
- Le serveur du fournisseur email du destinataire
- La boîte de réception du destinataire
Même si vous supprimez l'email de votre côté, les trois autres copies existent toujours. Et les sauvegardes des serveurs conservent souvent les données pendant des mois, voire des années.
3. Le piratage de boîte mail
En 2024, des millions de comptes email français ont été compromis lors de fuites de données massives. Quand un pirate accède à une boîte mail, il récupère l'intégralité de l'historique, pièces jointes incluses. Votre carte d'identité envoyée il y a deux ans est toujours là, lisible et exploitable.
4. Le transfert accidentel
Votre destinataire peut transférer l'email à un collègue, l'imprimer, le stocker sur un disque partagé. Vous perdez tout contrôle sur la diffusion de votre document dès que vous appuyez sur "Envoyer".
5. Les fuites massives de données
Les fournisseurs email subissent régulièrement des attaques. En cas de brèche, ce sont des millions de messages et de pièces jointes qui se retrouvent dans la nature, souvent revendus sur le dark web.
Ce qu'un escroc peut faire avec vos documents
Une copie de votre pièce d'identité ou de vos documents personnels entre de mauvaises mains permet de :
- Ouvrir des comptes bancaires à votre nom et contracter des crédits à la consommation
- Souscrire des abonnements téléphoniques (jusqu'à plusieurs milliers d'euros)
- Créer de faux documents (bulletins de paie, avis d'imposition) à partir de vos informations réelles
- Déposer de fausses annonces immobilières pour encaisser des cautions
- Usurper votre identité auprès des administrations : CAF, impôts, Ameli, France Travail
Le préjudice moyen d'une usurpation d'identité en France dépasse 2 000 euros. Les démarches pour rétablir sa situation prennent en moyenne 7 mois.
"Mon destinataire est de confiance, où est le problème ?"
C'est l'argument le plus courant, et il passe à côté du vrai problème. La question n'est pas de savoir si votre destinataire est honnête. Le risque n'est pas la personne à qui vous envoyez votre document, c'est le canal que vous utilisez.
Un agent immobilier de confiance qui reçoit votre CNI par email peut très bien :
- Se faire pirater sa boîte mail six mois plus tard
- Stocker votre email sur un ordinateur partagé
- Utiliser un mot de passe faible sur sa messagerie
- Avoir ses sauvegardes compromises sans même le savoir
Votre document est une bombe à retardement : même si l'envoi se passe bien aujourd'hui, le fichier peut être compromis dans un an.
Le classement des 6 méthodes d'envoi
| Méthode | Sécurité | Le fournisseur peut lire vos fichiers ? |
|---|---|---|
| Email classique | ⭐ | Oui, tous les serveurs intermédiaires aussi |
| SMS / MMS | ⭐ | Oui, votre opérateur inclus |
| Lien cloud (Drive, Dropbox) | ⭐⭐ | Oui, et soumis au Cloud Act si serveurs US |
| WhatsApp / Telegram | ⭐⭐⭐ | Non en transit, mais les backups cloud ne sont pas chiffrés par défaut |
| Lien avec mot de passe (WeTransfer Pro) | ⭐⭐⭐ | Oui, le fichier est chiffré au repos mais pas de bout en bout |
| Chiffrement de bout en bout | ⭐⭐⭐⭐⭐ | Non, personne à part le destinataire |
SMS et MMS : encore pire que l'email
Le SMS n'est pas chiffré du tout. Votre opérateur peut lire le contenu, et les messages transitent en clair sur le réseau. Les MMS compressent vos images au point de les rendre illisibles, tout en offrant zéro protection.
Drive, Dropbox, OneDrive : pratique mais pas confidentiel
Ces services chiffrent vos fichiers au repos et en transit. Mais le fournisseur détient la clé de chiffrement. Google peut lire vos fichiers sur Drive. En théorie, ils ne le font pas. En pratique, ils y sont obligés si la justice américaine le demande (Cloud Act).
WhatsApp : chiffré, mais...
WhatsApp chiffre vos messages de bout en bout en transit. Le problème est ailleurs : les sauvegardes cloud (iCloud, Google Drive) ne sont pas chiffrées E2E par défaut, et le fichier reste sur les téléphones des deux parties.
Lien avec mot de passe : l'illusion de sécurité
Le fichier est déchiffré sur le serveur. Le fournisseur peut le lire, et un piratage du serveur expose vos fichiers en clair.
Le chiffrement de bout en bout : la seule méthode sûre
Avec le chiffrement de bout en bout (E2E), votre fichier est chiffré sur votre appareil avant d'être envoyé. Le serveur ne stocke que du bruit numérique. Même si le serveur est piraté, personne ne peut lire vos fichiers. C'est mathématique, pas contractuel.
Les bonnes pratiques si vous devez envoyer par email
Si vous n'avez pas d'autre option :
- Ajoutez un filigrane visible sur le document : date, destinataire, mention "copie — ne pas réutiliser"
- Masquez les informations non nécessaires : numéro de carte d'identité, code MRZ, lieu de naissance
- Ne mettez jamais recto et verso dans le même email pour une pièce d'identité
- Demandez au destinataire de supprimer l'email une fois le document traité
- Supprimez l'email de votre boîte d'envoi et videz la corbeille
Ces précautions réduisent le risque mais ne l'éliminent pas. Le fichier a quand même transité en clair sur plusieurs serveurs.
Que faire si vous avez déjà envoyé des documents par email
Si vous avez transmis des documents sensibles par email dans le passé :
- Supprimez les emails contenant vos documents de votre boîte d'envoi et demandez à vos destinataires de faire de même
- Videz la corbeille de votre messagerie après suppression
- Surveillez votre identité : consultez régulièrement le fichier des comptes bancaires (FICOBA) et vérifiez qu'aucun crédit n'a été contracté à votre nom
- En cas de doute, déposez une pré-plainte sur pre-plainte-en-ligne.gouv.fr et demandez un renouvellement de votre carte d'identité
Pour vos prochains envois, adoptez un canal chiffré. KeyDoc permet d'envoyer des documents dans un espace chiffré de bout en bout, gratuitement. Le document est chiffré sur votre appareil et seul votre destinataire peut le lire. Le serveur ne voit jamais votre fichier en clair.
En résumé
| Méthode | Sûr pour des documents sensibles ? | Pourquoi |
|---|---|---|
| Non | Transit en clair, stockage permanent | |
| SMS / MMS | Non | Aucun chiffrement |
| Drive / Dropbox | Non | Le fournisseur peut lire, Cloud Act |
| Partiellement | Backups non chiffrés, fichier sur les téléphones | |
| Lien avec mot de passe | Non | Le serveur peut lire le fichier |
| Chiffrement E2E | Oui | Personne ne peut lire sauf le destinataire |
Envoyer un document sensible par email est un geste quotidien qui expose des millions de Français à l'usurpation d'identité. Le problème n'est pas votre destinataire, c'est le canal. Pour protéger vos documents, deux minutes suffisent : utilisez un service de chiffrement de bout en bout.