Pour mieux trianguler le sujet, je devrai un peu développer sur ProtonMail : basé sur OpenPGP, ce service n’a pas de système de rotation de clés, et vise à remplacer la gestion décentralisée des clés par les serveurs de clés (qui ne servent de toute façon pas à grand-chose, car des technologies plus modernes, comme Signal et Cwtch, ont remplacé cette norme pour contacter des inconnu·es) par des technologies propriétaires sous leur contrôle, centralisées ou, si l’on considère leur intérêt pour une chaîne de blocs privée, avec un état centralisé. Le chiffrement de bout-en-bout d’OpenPGP est à la fois fragile pour un modèle de menace personnel et inutile pour un modèle de menace politique. En revanche un usage qualifié par Lain d’orthogonal, consistant à échanger et faire tourner des clés par un autre canal sécurisé (comme le monde réel) afin d’empêcher Gmail d’analyser nos emails, malgré la fragilité du chiffrement employé, peut avoir un intérêt2, mais ce n’est pas le service, de toute façon cryptographiquement fragile, que nous vend ProtonMail en nous assurant que la juridiction suisse nous protège d’ingérence légale, ce qui implique un phénomène de co-construction pluraliste (« bootstrapping process », je traduis comme je peux) de protection contre un modèle de menace étatique entre la technologie et l’État lui-même.

C’est un bon point, mais du coup, quelles alternatives pour utiliser un chiffrement de bout en bout ? J’ai aussi un compte Tutanota, et leurs pratiques commerciales sont assez proches de celles de Proton. Comme tu l’as dit, la rotation des clés par PGP est fragile