Le service de messagerie électronique open source Tutanota se bat pour votre droit à la vie privée.
Tutanota est l'alternative open source sécurisée à Gmail & Co en matière de messagerie électronique, avec une attention particulière pour la confidentialité, la sécurité et la facilité d'utilisation.
Une application de messagerie open source disponible sur F-Droid
Nous sommes très heureux qu’aujourd’hui tout le monde puisse obtenir l’application Android Tutanota sur F-Droid. Publier l’application sur F-Droid était un défi, mais cela en valait vraiment la peine. À ce jour, aucun autre service de messagerie sécurisée n’a publié son application Android sur F-Droid, la plateforme numéro un pour les applications gratuites et open source.
La plupart des fournisseurs de messagerie électronique s’appuient sur le GCM de Google (désormais FCM) pour les notifications push, ce qui rend impossible une publication sur F-Droid. Si vous cherchez des applications de messagerie sur F-Droid, vous ne trouverez pas une seule application d’un service de messagerie connu, à l’exception de Tutanota, ce qui - pour être honnête - nous rend un peu fiers.
Tutanota - garantie sans Google
Avec la sortie de l’application sur F-Droid, Tutanota prouve maintenant qu’il est possible de construire un service de messagerie sécurisé qui est complètement exempt de Google, offrant aux gens une véritable alternative open source aux services tels que Gmail, Yahoo, Hushmail, GMX, Outlook, Fastmail, Posteo, Startmail, Mailbox.org et Protonmail.
L’équipe de F-Droid se félicite de l’arrivée de Tutanota dans son magasin d’applications :
“Nous sommes heureux de constater l’enthousiasme de Tutanota pour F-Droid et les logiciels libres, puisqu’ils ont réécrit leur application de A à Z pour qu’elle puisse être incluse. En outre, ils prennent des mesures spéciales pour éviter le suivi, et la sécurité semble solide avec la prise en charge du cryptage de bout en bout et de l’authentification à deux facteurs.”
Vous pouvez obtenir l’application open source Tutanota sur F-Droid ici.
Pourquoi est-il important de se libérer de Google ?
Pour se libérer de Google, il ne suffit pas de quitter Gmail. La plupart des services de messagerie électronique reposent sur des produits Google : FCM pour les notifications push, Google Captcha ou d’autres codes tiers chargés dynamiquement.
Si un client utilise des services externes tels que Google Push ou Google Captcha, il leur est toujours possible de suivre l’activité des utilisateurs et de collecter des informations personnelles. Lorsqu’un fournisseur fait confiance à un tel service pour qu’il télécharge et exécute du code de manière dynamique, cela ouvre un vecteur d’attaque pour l’injection de code malveillant. Cela peut se produire sans que le fournisseur s’en aperçoive.
Faire confiance au code d’un tiers est une menace grave pour la sécurité qui ne doit pas être sous-estimée : Si Snowden avait utilisé un service avec du code tiers, la NSA n’aurait pas eu besoin d’assigner ce service. Elle aurait simplement pu demander à Google ou à tout autre service fournissant du code pour ledit service d’injecter un bout de code qui enregistre le mot de passe de connexion lorsque la personne se connecte la fois suivante.
Google Captcha : le meilleur exemple de pourquoi il ne faut PAS utiliser Google
De nombreux services en ligne utilisent le ReCAPTCHA de Google pour empêcher les spammeurs d’entrer. Ce n’est pas seulement inutile, mais aussi dangereux : L’utilisation de Google Captcha soumet les utilisateurs à un suivi intensif et à des empreintes digitales qu’ils ne peuvent pas refuser.
Cet article explique en détail comment Google Captcha porte atteinte à la vie privée :
Il y a une bonne raison pour laquelle ReCAPTCHA utilise le domaine google.com au lieu d’un domaine spécifique à ReCAPTCHA. Cela permet à Google de recevoir tous les cookies qu’il a déjà configurés pour vous, contournant ainsi les restrictions sur la configuration des cookies tiers et permettant la corrélation du trafic avec tous les autres services de Google, que la plupart des utilisateurs utilisent. ReCAPTCHA recueille suffisamment d’informations pour anonymer de manière fiable de nombreux utilisateurs qui souhaitent simplement prouver qu’ils ne sont pas des robots. Comme JavaScript est maintenant nécessaire pour afficher un ReCAPTCHA, même un utilisateur utilisant un logiciel tel que TBB (Tor Browser Bundle) peut se retrouver à donner plus d’informations qu’il ne le souhaite, par exemple s’il a redimensionné la fenêtre de son navigateur (ce qui est déconseillé pour cette raison).
Compte tenu de tout ce suivi, l’utilisation de Google Captcha n’a jamais été une option pour Tutanota. C’est pourquoi nous avons construit notre propre captcha qui est très simple et très efficace.
Ce que Tutanota fait pour garantir une sécurité maximale
Chez Tutanota, nous veillons à ce que l’application Tutanota ne s’adresse pas à d’autres applications et ne charge ni n’exécute de code externe provenant d’autres services.
Nous utilisons le code d’autres bibliothèques open source dans Tutanota, mais celles-ci sont codées statiquement dans notre application, et nous nous assurons que ces applications ne peuvent pas charger de code. Pour protéger au maximum votre vie privée, nous avons mis en place les mesures suivantes :
- Aucune utilisation de services externes tels que Google Captcha.
- Pas d’utilisation de bibliothèques Google dans l’application Android (pas de Google Push)
- Utilisation de notre propre système de notification push
- Pas de rechargement de code externe à partir d’autres bibliothèques.
- Révision de toutes les bibliothèques open source mises en œuvre
- Utilisation d’un en-tête de politique de sécurité du contenu (CSP) strict
- Utilisation d’un filtre HTML pour l’affichage de contenu inconnu (dans les e-mails) afin d’éviter les attaques XSS.
- Par défaut, aucun contenu externe n’est chargé à partir d’autres serveurs (images et vidéos dans vos e-mails).
- Nous avons créé nos propres clients de bureau sécurisés au lieu d’autoriser le Pop/IMAP.
Le code étant publié en tant que logiciel libre, nous nous assurons qu’il n’y aura jamais de porte dérobée de cryptage dans Tutanota.
Calendrier open source
En 2019, nous avons ajouté un calendrier crypté open souce à votre fournisseur de messagerie open source. C’est une autre étape pour Tutanota pour devenir une alternative à Gmail à part entière.
Se concentrer sur la vie privée, la sécurité et la facilité d’utilisation.
Depuis ses premiers jours, Tutanota a été publié sur GitHub en tant que source ouverte, sous licence GPLv3.
Nous construisons Tutanota afin d’établir une alternative sécurisée aux services de messagerie classiques comme Gmail, GMX et Yahoo qui espionnent leurs utilisateurs. Quitter Google n’est pas facile, mais l’effort en vaut la peine : Vous reprendrez le contrôle de vos données. Lorsque vous utilisez des services tels que la boîte aux lettres entièrement cryptée de Tutanota, vos données vous appartiennent - personne d’autre ne peut y accéder.
Et, bien sûr, lorsqu’il s’agit de quitter Google, F-Droid est l’une des plateformes les plus importantes dont vous aurez besoin, car c’est le meilleur endroit pour obtenir des applications Android sans Google avec des mises à jour automatiques.
Comment nous avons mis à jour nos applications de messagerie open source pour nous débarrasser totalement de Google
Nos applications Android et iOS ont été publiées en open source dès le départ. L’application Android originale de Tutanota a été construite sur la base de Cordova, ce qui, par le passé, a rendu impossible sa publication sur F-Droid, car les serveurs de F-Droid ne pouvaient pas construire l’application.
L’impossibilité de publier notre application Android sur F-Droid a été l’une des principales raisons pour lesquelles nous avons commencé à reconstruire l’ensemble du client web Tutanota. Nous sommes des passionnés de la vie privée et de l’open source, nous utilisons nous-mêmes F-Droid. Par conséquent, notre application doit y être publiée, quel que soit l’effort à fournir.
Par conséquent, nous avons complètement reconstruit notre client de messagerie et publié le nouveau client de messagerie avec de nombreuses améliorations. Le nouveau client est beaucoup plus rapide, a un meilleur design, permet la recherche sur des données cryptées, prend en charge 2FA et la synchronisation automatique, et n’est plus basé sur Cordova.
Cette mise à jour a finalement permis de publier la toute nouvelle application Tutanota Android sur F-Droid !
Tutanota vous permet de quitter Gmail
Nous sommes très enthousiastes à propos de cette version, non seulement en raison des nouvelles fonctionnalités, mais surtout parce que la nouvelle application Android est enfin disponible sans aucun lien avec les services Google. Pour nous, cette mise à jour était très importante car elle vous permet d’utiliser une alternative de messagerie open source dont le code client est entièrement publié sur GitHub.
Nous encourageons nos utilisateurs à quitter Google- offrir une application Android sans Google est donc une exigence minimale que nous nous sommes imposée.
Nous sommes très heureux de pouvoir désormais obtenir notre propre application à partir de F-Droid, et nous vous recommandons de l’obtenir également à partir de F-Droid :)
Si vous aimez l’open source autant que nous, rejoignez-nous sur Mastodon, notre réseau social open source préféré.
Pourquoi les emails open source sont meilleurs
Le code des clients de messagerie open source peut être inspecté par la communauté de la sécurité pour s’assurer que le code est exempt de bogues et de portes dérobées. C’est important car seul l’open source permet de s’assurer que le code fait ce que le service promet : sécuriser vos e-mails.
Aidez-nous à construire le meilleur service de messagerie !
Chez Tutanota, nous sommes une équipe passionnée de défenseurs de la vie privée et de l’open source.
Nous sommes toujours à la recherche de développeurs pour rejoindre notre équipe. Nous nous engageons à assurer une croissance durable et nous investissons dans notre équipe tous les revenus générés par la vente de Tutanota. Nous voulons nous assurer que tous ceux qui rejoignent notre équipe sont aussi passionnés par la vie privée et l’open source que nous le sommes.
Avec toute l’équipe partageant notre vision d’un Internet privé et sécurisé, il est beaucoup plus facile de prioriser les étapes de développement telles que la publication de l’application Android sur F-Droid ou la construction d’un client de bureau avec chiffrement intégré.
Publié sur GitHub depuis 2014
Faire de Tutanota un service de messagerie open source était l’un des défis les plus importants pour nous. À ce jour, nous avons publié l’intégralité du code cient de Tutanota sur GitHub.
Comme la plupart des personnes actives sur GitHub sont elles-mêmes des développeurs, elles nous ont fait part de commentaires très précieux sur la manière d’améliorer Tutanota et sa sécurité.
Nous souhaitons que beaucoup plus de personnes observent notre code et le construisent localement. Nous sommes convaincus qu’il est crucial pour tout fournisseur de messagerie sécurisée que la communauté creuse profondément dans le code pour améliorer encore sa sécurité.
Après notre version open source en septembre 2014, nous avons ajouté de nombreuses améliorations à Tutanota. Nous avons implémenté la prise en charge de DANE, qui renforce considérablement la sécurité de SSL. Nous avons construit une application Android et une application iOS, et les avons également publiées en tant qu’applications de messagerie open source.
Nous aurions aimé ajouter notre application de messagerie open source sur F-Droid à ce moment-là également. Malheureusement, comme décrit ci-dessus, cela n’était pas possible à l’ époque et nous nous sommes concentrés sur l’amélioration du client de messagerie Tutanota et des fonctionnalités de l’application.
Cependant, nous savons que beaucoup de nos utilisateurs ne veulent pas utiliser Google - pour une très bonne raison - et nous avons donc mis l’application à disposition sur notre site web également.
Nous avons pu publier les apps autour de Noël 2014, et c’était un sentiment formidable de recevoir autant d’emails de remerciement à cette période de l’année ! Seulement quelques mois plus tard, nous avons ajouté une version étendue de Tutanota, dont les fonctionnalités ne cessent de croître. Cela nous permet désormais de faire fonctionner Tutanota de manière indépendante.
Nous avons ensuite publié l’application Android sur F-Droid en 2018. La seule question qui nous reste à régler est d’ouvrir également la partie serveur de Tutanota. Nous prévoyons de développer un petit serveur open source pour un usage personnel et professionnel qui peut être mis en place facilement. Comme cela nécessite beaucoup d’efforts de développement, nous ne pouvons pas donner une estimation exacte de la date de sortie de cette fonctionnalité, mais elle est définitivement sur notre liste de choses à faire.
Rejoignez notre projet de traduction
Peu après la sortie du logiciel libre, nous avons également lancé un projet de traduction pour Tutanota. À ce jour, environ 180 volontaires ont rejoint le projet et ont traduit Tutanota dans plus de 30 langues. Ce soutien est tout simplement incroyable !
Il nous montre qu’une alternative sécurisée au courrier électronique est nécessaire dans le monde entier, en particulier dans les pays où les gens n’ont pas la liberté d’expression et le droit à la vie privée. Nous ajoutons constamment des langues à Tutanota, et nous sommes heureux que tous ceux qui veulent se joindre au projet de traduction de Tutanota nous rejoignent.
Nous avons prévu de nombreuses autres fonctionnalités pour améliorer vos clients de messagerie open source. Nous sommes très heureux de tous les commentaires que nous recevons sur notre forum communautaire afin de pouvoir mieux décider des fonctionnalités à privilégier.
Bon cryptage !