Nouvelles de Tuta

Explication des récentes attaques DDoS et de la raison pour laquelle nous ne faisons pas appel à des tiers pour atténuer les effets de ces attaques.

La protection contre les attaques DDoS fait partie intégrante de nos pratiques d'ingénierie et nous concevons nos systèmes de manière à minimiser les surfaces d'attaque.

Tuta was attacked by multiple DDoS attacks.

Chez Tuta, nous construisons une alternative aux offres des grandes entreprises technologiques qui privilégie la protection de la vie privée, afin que chacun puisse protéger ses données en ligne en envoyant des courriels cryptés et en partageant des événements cryptés avec Tuta Mail et Tuta Calendar. Cela place notre service au premier rang des préoccupations de toutes sortes d'adversaires. En conséquence, Tuta fait régulièrement l'objet d'attaques DDoS. Alors que la plupart du temps, nous pouvons repousser ces attaques sans que vous vous en rendiez compte, les adversaires ont changé leurs vecteurs d'attaque au début du mois de décembre, ce qui a entraîné plusieurs temps d'arrêt au cours de la première semaine de décembre. Nous avons maintenant considérablement amélioré nos méthodes de protection contre les attaques DDoS et nos systèmes sont capables de repousser ces attaques. Nous aimerions maintenant expliquer ce qui s'est passé et comment nous avons atténué les attaques.

Pourquoi devons-nous atténuer les attaques nous-mêmes ?

Bien que nous coopérions avec des partenaires pour limiter les attaques axées sur la bande passante, comme les attaques par réflexion à grande échelle, nous le faisons de manière à garder le contrôle total des données de nos utilisateurs. C’est différent - et beaucoup plus respectueux de la vie privée - que ce que font la plupart de nos concurrents:

Il est beaucoup plus facile d’atténuer les attaques DDoS si nous laissons des tiers décrypter et inspecter notre trafic sur leurs serveurs dans ce que l’on appelle un centre d’épuration. Par ailleurs, certains de nos concurrents introduisent le trafic décrypté dans des appareils tiers à source fermée (boîtes noires). Mais ces deux méthodes impliquent de perdre le contrôle des données des clients.

Pour Tuta, ce n’est pas une option : Vous nous faites confiance pour garder vos données confidentielles - et c’est pourquoi nous devons repousser les attaques DDoS sans l’aide d’appareils tiers. Il s’agit de données très sensibles comme les adresses IP et les jetons d’accès, qui permettraient à un tiers d’usurper l’identité d’un utilisateur et même de supprimer ses données. Cela permettrait également à la tierce partie de suivre les affectations des adresses IP aux identifiants des utilisateurs - en d’autres termes : les tierces parties sauraient quelle adresse IP appartient à quelle adresse électronique.

C’est pourquoi, chez Tuta, nous donnons la priorité à la protection de votre vie privée en toutes circonstances, et l’utilisation d’appareils tiers n’est pas possible.

Ce qui s’est passé

Chez Tuta, nous atténuons nous-mêmes les attaques DDoS afin de protéger au mieux les données de nos utilisateurs. Mais ce haut niveau de confidentialité et de sécurité a un coût. Nous devons atténuer les attaques DDoS par nos propres moyens et consacrer une grande partie de notre temps d’ingénieur à la mise en œuvre de mesures d’atténuation des attaques DDoS. Nous sommes très souvent attaqués et, en général, nos utilisateurs ne remarquent pas que nous avons été attaqués car nous atténuons presque toutes les attaques sans aucun temps d’arrêt.

Il en a été autrement au début du mois de décembre. Au total, nous avons subi un temps d’arrêt de 2,5 heures réparties sur cinq jours. Le temps d’arrêt le plus long a été de 80 minutes. Nous sommes sincèrement désolés de ce désagrément. Nous comprenons que ce n’est pas acceptable et c’est pourquoi, pendant ces cinq jours, nous nous sommes concentrés non seulement sur l’atténuation des attaques, mais aussi sur l’amélioration de nos mesures d’atténuation.

Nous avons découvert qu’un bogue avait été introduit il y a deux semaines. C’est à cause de ce bogue que les mesures d’atténuation automatisées ne fonctionnaient pas aussi bien qu’avant et il a été corrigé immédiatement. Nous avons également considérablement amélioré deux autres mesures d’atténuation contre les attaques DDoS provenant de réseaux de zombies à grande échelle. Nous avons fait en sorte de détecter et de bloquer ces réseaux de zombies en quelques secondes. En fait, nous n’avons même pas remarqué les dernières vagues d’attaques sur nos propres serveurs, car les mesures d’atténuation ont si bien fonctionné que même la charge du serveur est restée tout à fait normale. Cela signifie également que vous, nos utilisateurs, n’avez pas remarqué ces attaques non plus. C’est ainsi que les choses doivent se passer, et nous sommes très heureux de cette réussite !

Avec toutes ces améliorations, nous avons maintenant de très bonnes mesures en place et bloquons tous les types d’attaques, de la réflexion volumétrique aux attaques de réseaux de zombies distribués.

Cela signifie-t-il que Tuta n’est plus vulnérable aux attaques DDoS ? Malheureusement, la réponse est non. Nous voulons être tout à fait honnêtes : Nous faisons beaucoup d’efforts non seulement pour construire le service de messagerie et de calendrier le plus sécurisé avec un cryptage à sécurité quantique, mais nous investissons également beaucoup dans le maintien d’une architecture à zéro connaissance et dans la propriété de l’ensemble de notre pile technologique. C’est en gardant le contrôle total de nos serveurs, de notre infrastructure et des logiciels que nous utilisons que nous pouvons le mieux protéger vos données et votre vie privée, y compris votre adresse IP. Comme nous l’avons expliqué, cela rend les choses plus difficiles pour nous, mais la protection des données est bien meilleure pour vous. Bien que nos systèmes soient aujourd’hui capables de repousser toutes sortes d’attaques, il est toujours possible qu’un attaquant trouve de nouveaux vecteurs d’attaque à l’avenir.

Mais même si c’est le cas, nous savons que nous sommes capables d’améliorer nos mesures d’atténuation rapidement et de manière adéquate.

Un grand merci à la communauté

Chez Tuta, nous sommes très reconnaissants à notre excellente équipe qui s’occupe d’atténuer ces attaques DDoS. Et nous sommes encore plus reconnaissants envers notre excellente communauté qui nous soutient et le dit même sur Reddit.

Comme toujours, nous devons le dire : Nous ne serions pas là sans vous et votre soutien représente beaucoup pour nous ! Combiné à votre soutien, nous en sortirons encore plus forts qu’avant ! 💪💪💪

❤️ Merci beaucoup, beaucoup ! Si vous voulez nous montrer un peu d’amour en ces temps difficiles, n’hésitez pas à faire un don ou à mettre à jour votre compte. ❤️

Même si quelqu’un ne veut pas que vous utilisiez une messagerie sécurisée et privée, nous continuerons à nous battre pour votre droit à la vie privée.

Tuta Team Tuta Team L’équipe de Tuta vous remercie pour votre soutien en ces temps difficiles.

Nous souhaitons également répondre aux questions les plus fréquentes qui nous sont posées par le biais des médias sociaux et des courriels :

Mes données sont-elles sécurisées ?

Oui, toutes les données de Tuta sont cryptées de manière sécurisée et ne peuvent être consultées par personne, pas même par nous.

Qu’est-il arrivé à mes courriels pendant le DDoS ?

Les courriels reçus pendant les attaques DDoS ont été mis en file d’attente et délivrés plus tard.

Quelqu’un a-t-il piraté Tuta ?

Non, les attaquants n’ont jamais piraté les serveurs de Tuta ni accédé aux données stockées sur nos serveurs. Aucune donnée n’a été violée.

Dois-je changer mon mot de passe ?

Non, il n’est pas nécessaire de changer de mot de passe. Tuta stocke les hachages des mots de passe. Il est impossible de dériver le mot de passe réel à partir de ce hachage. Ainsi, personne ne peut connaître votre mot de passe, pas même nous à Tuta. Pour protéger votre mot de passe, nous utilisons Argon2.

Disponibilité hors ligne

Tuta Mail et Tuta Calendar sont accessibles hors ligne si vous êtes sur l’un de nos plans payants dans les applications mobiles Tuta sur Android et iOS ainsi que dans les clients de bureau pour Linux, Windows et macOS. Nous prévoyons également d’activer l’accès en écriture lorsque vous êtes hors ligne afin que vous puissiez rédiger des messages à envoyer plus tard lorsque vous n’avez pas accès à Internet. Alors que nous sommes en train de planifier notre feuille de route pour 2025, nous allons certainement faire de l’accès en écriture hors ligne une priorité.

Illustration of a phone with Tuta logo on its screen, next to the phone is an enlarged shield with a check mark in it symbolizing the high level of security due to Tuta's encryption.