Protection de vos courriels grâce à une politique stricte en matière de sécurité du contenu

La politique de sécurité du contenu de Tuta vise à prévenir les attaques XSS. Car la sécurité ne se limite pas au cryptage d'un maximum de données.

Padlock symbolizing encryption of data.

Chez Tuta Mail, nous donnons la priorité à votre sécurité et à votre vie privée et nous construisons un service qui a la confiance de millions de personnes à travers le monde. Pour atteindre la meilleure sécurité de sa catégorie, nous utilisons une CSP (Content Security Policy) stricte, un nettoyeur HTML pour afficher le contenu inconnu dans les courriels afin de prévenir les attaques XSS (cross-site-scripting), et nous bloquons le chargement de contenu externe par défaut. Mais qu'est-ce que cela signifie exactement pour vous ?


Le courrier électronique, moyen de communication moderne dont personne ne peut se passer, est très pratique car il nous permet de contacter rapidement n’importe qui dans le monde pour entamer une conversation. Toutefois, la commodité du courrier électronique s’accompagne de la menace imminente de cyberattaques, en particulier d’attaques de type “cross-site-scripting” (XSS), qui peuvent compromettre la sécurité de votre boîte de réception et de vos informations personnelles. Ces attaques sont assez courantes contre les services de courrier électronique traditionnels en raison de la façon dont le courrier électronique est conçu. Chez Tuta, votre sécurité est une priorité absolue, et nous avons pris des mesures pour protéger tous les utilisateurs de Tuta Mail contre de telles menaces. Grâce à la mise en œuvre d’une politique de sécurité du contenu (CSP) stricte et d’un assainisseur HTML, nous nous assurons que votre boîte aux lettres est protégée contre les attaques malveillantes.

Qu’est-ce que la CSP et pourquoi est-elle nécessaire ?

La politique de sécurité du contenu (CSP) est une norme de sécurité qui aide à prévenir les attaques malveillantes telles que les scripts intersites (XSS) et les attaques par injection de données. La PSC spécifie clairement quelles sources de contenu sont autorisées à être chargées lorsque vous ouvrez un courrier électronique dans le client web. Notre mise en œuvre du CSP joue un rôle crucial en garantissant que seul un contenu fiable est affiché dans votre boîte aux lettres, ce qui réduit le risque d’exécution de codes malveillants. L’une des principales caractéristiques de l’implémentation du CSP de Tuta Mail est son assainisseur HTML, qui agit comme un mécanisme de défense robuste contre le contenu potentiellement nuisible intégré dans les courriels. Cet assainisseur vérifie les courriels entrants à la recherche de tout code ou script suspect et les supprime avant qu’ils ne constituent une menace pour l’appareil ou les données de l’utilisateur.

Blocage du contenu externe

En outre, Tuta Mail bloque le contenu externe tel que les images et les vidéos qui peuvent également contenir du code malveillant ou des pixels à des fins de suivi. Cela signifie également que tout contenu potentiellement risqué inclus dans les courriels, comme les images ou les scripts hébergés à distance, est bloqué par défaut, ce qui réduit considérablement la probabilité d’attaques XSS. Mais que se passe-t-il si vous recevez du contenu légitime d’expéditeurs de confiance ? Tuta Mail vous permet bien sûr de charger manuellement du contenu externe - si vous faites confiance à l’expéditeur. Cela peut se faire facilement par un simple clic dans l’email, et la décision peut également être mémorisée pour les futurs emails. Cette information est stockée dans la mémoire cache du navigateur, de sorte que tant que la mémoire cache n’est pas vidée, le contenu externe des courriels de confiance sera automatiquement chargé à l’avenir. Cette approche intuitive vous permet de prendre des décisions éclairées sur le contenu avec lequel vous choisissez d’interagir, sans compromettre la sécurité.

Screenshot of a Tuta email that blocks external content asking whether you want to "Show" the images, "Always trust sender" or "Always block sender." Capture d’écran d’un courriel Tuta qui bloque le contenu externe et qui vous demande si vous souhaitez “Afficher” les images, “Toujours faire confiance à l’expéditeur” ou “Toujours bloquer l’expéditeur”.

Pas de suivi

Il est évident que Tuta ne vous suit pas lorsque vous utilisez vos courriels, calendriers ou contacts privés. En outre, nous ne bloquons pas seulement le chargement de contenu externe dans les courriels pour des raisons de sécurité, mais aussi pour empêcher toute forme de traçage. Lorsque vous recevez des images ou des vidéos par courrier électronique, celles-ci contiennent souvent des pixels, provenant par exemple d’agences de marketing. Il est essentiel de bloquer ce contenu, car le courrier électronique est l’outil favori des publicitaires qui tentent de vous suivre et de repérer vos habitudes en ligne sur plusieurs plateformes.

Les spécialistes du marketing adorent les courriels, car ils peuvent y inclure des pixels de suivi en intégrant du contenu externe que vous devez charger à partir de serveurs tiers. Grâce à ces pixels, ils peuvent savoir si vous avez ouvert un courriel, quand vous l’avez fait, si vous avez cliqué sur un lien inclus dans le courriel, etc.

Si un client de messagerie charge par défaut du contenu externe tel que des images ou des vidéos, sans demander le consentement de l’utilisateur, ces pixels de suivi sont chargés en même temps que les autres données. C’est une autre raison pour laquelle Tuta Mail bloque le chargement de contenu externe.

La sécurité avant tout

Depuis le lancement de Tutanota en 2014, le premier service de courrier électronique crypté de bout en bout, nous avons mis l’accent sur la sécurité.

Notre sécurité robuste comprend de nombreuses mesures :

Avec toutes ces mesures, nous nous assurons que Tuta Mail est le fournisseur d’email le plus sûr. Lorsqu’il s’agit de protéger votre boîte de réception des attaques malveillantes, Tuta Mail est le meilleur choix, et des millions de personnes lui font déjà confiance. Grâce à son engagement inébranlable à mettre en œuvre des mesures de sécurité de pointe, les utilisateurs peuvent être assurés que leurs courriels sont protégés contre les attaques XSS et autres cyber-menaces.

Vous trouverez plus d’informations sur nos normes de sécurité élevées sur notre page consacrée à la sécurité.