E-mails sécurisés conçus pour vous

Tuta : Le service e-mail le plus sécurisé, et le plus facile d'utilisation.

Des courriels sécurisés au bout du doigt

Chiffrement intégral, pas de suivi, open source- de nombreux facteurs font de Tuta le fournisseur de messagerie électronique le plus sûr au monde. Découvrez en détail les caractéristiques de sécurité de Tuta et apprenez comment ses différentes mesures de sécurité protègent vos données sensibles.

Sécurité et vie privée vont de pair

Lorsque vous évaluez la sécurité et la confidentialité d'un service en ligne, posez-vous toujours les questions suivantes :

  1. Qui paie ? Les utilisateurs ou les annonceurs ? Si la réponse est "les annonceurs", le service ne pourra jamais offrir une solution réellement sûre et privée. Sa priorité absolue est l'intérêt des annonceurs en les aidant à identifier des publics cibles sur la base des données des utilisateurs et à leur diffuser des publicités. La protection de la vie privée des utilisateurs est toujours reléguée au second plan dans un tel modèle d'entreprise.

  2. Qui contrôle la pile technologique ? Il s'agit d'une question très technique mais d'une importance cruciale. Si un service utilise des technologies tierces telles que Dovecot, Roundcube, Google reCaptcha ou Google Push, vous savez à coup sûr que la sécurité et la protection de la vie privée ne sont pas au cœur de ses priorités, car le fournisseur divulgue sciemment des informations à d'autres, sans en avertir les utilisateurs. C'est une autre raison pour laquelle vous devriez choisir un service qui est open source et qui ne repose pas sur des intégrations avec des logiciels fermés.

  3. Quelles sont les données cryptées de bout en bout (E2E) ? De nombreux fournisseurs affirment que leur service fournit un courrier électronique sécurisé et que les données stockées chez eux sont "cryptées". Ce qui rend cette question si importante, c'est Comment les données sont-elles cryptées? Car ce n'est que lorsque les données sont cryptées de bout en bout qu'elles sont réellement inaccessibles au service en ligne ainsi qu'à d'autres tiers. Ce n'est qu'à ce moment-là que le service peut être considéré comme offrant un courriel sécurisé. C'est pourquoi il ne suffit pas de "crypter" les données, celles-ci doivent être chiffrées de bout en bout.

Contrôle de la pile logicielle

De nombreux services de courrier électronique, même ceux qui sont sécurisés, utilisent des technologies tierces comme Dovecot, Roundcube et d'autres pour construire leurs propres produits. Chaque fois qu'un service dit sécurisé utilise des applications tierces, il devient plus difficile de le sécuriser. La raison en est simple : Chaque service inclus dans le code exécute du code. La sécurité d'un service ne peut être meilleure que celle de ses dépendances. Chaque dépendance à un code tiers doit être maintenue et les mises à jour de sécurité doivent être appliquées immédiatement. En outre, chaque service tiers peut potentiellement suivre les utilisateurs, envoyer des données à ses propres serveurs, etc. C'est pourquoi, chez Tuta, nous n'utilisons que du code open source que nous avons nous-mêmes validé avant de l'utiliser. De cette façon, nous nous assurons que les outils open source que Tuta utilise sont sûrs : Nous effectuons régulièrement des contrôles de sécurité de ces outils ainsi que de nos propres clients, par exemple lorsque nous avons sorti nos clients de bureau de la version bêta.

Bien sûr, chez Tuta, nous ne pouvons pas non plus réinventer la roue. Mais nous avons construit l'ensemble de nos clients - web, Android, iOS, et tous les clients de bureau - par nos propres moyens. De plus, nous mettons l'accent sur la sécurité dans l'ensemble de notre processus de développement. Tous les développeurs partagent le même ADN : la confidentialité et la sécurité avant tout.

L'une des principales différences de Tuta est que nous construisons nous-mêmes toutes les parties majeures de Tuta, même en dehors de la fonctionnalité principale des emails, comme notre captcha, notre service de notification push sur Android et plus encore.

Seule une source ouverte - de nos propres clients et des logiciels dont dépend Tuta - permet à des personnes averties d'auditer le code et de vérifier que Tuta fait ce que nous promettons : sécuriser au maximum vos emails privés.

Vérifiez ici pourquoi nous recommandons de choisir nos clients de bureau sécurisés pour Linux, Windows et macOS et pourquoi il est si important que nous ayons construit notre propre captcha open source ainsi qu'une alternative à Google Push sur Android.

Sécurité

Nous suivons le concept de "sécurité d'abord".

Lorsque vous offrez un service de courrier électronique sécurisé, les gens croient que votre sécurité est à l'épreuve des balles. Pour nous, cela signifie qu'il ne peut jamais y avoir de compromis en matière de sécurité. La sécurité doit être intégrée dans le code de manière à ce que vous puissiez facilement y ajouter la convivialité, et non l'inverse.

Ce concept de "sécurité d'abord" a conduit à plusieurs décisions de développement qui garantissent aujourd'hui la sécurité de haut niveau de Tuta :

  • Nous n'utilisons pas PGP, mais une implémentation légèrement différente (initialement basée sur AES 256 et RSA 2048), qui nous permet de crypter beaucoup plus de données (lignes d'objet) ainsi que de crypter toutes les autres fonctionnalités que nous ajoutons à Tuta telles que les contacts et les calendriers - qui sont toutes cryptées à 100 %. Nous avons remplacé RSA par ECDH (x25519) Kyber-1024 pour offrir une cryptographie à sécurité quantique à tou·te·s les utilisateurs·trices de Tuta. Dans le futur, nous prévoyons de garantir également la confidentialité persistante.

  • Nous ne cherchons pas dans vos données sur le serveur parce qu'elles y sont cryptées. Au lieu de cela, Tuta construit un index de recherche crypté, qui est stocké localement sur votre appareil ou dans votre navigateur. Cela vous permet de rechercher dans l'ensemble de vos emails (expéditeur, destinataire, objet, corps, pièce jointe) localement tout en protégeant votre vie privée.

  • Nous n'offrons pas IMAP car cela ne fonctionnerait que si nous envoyions des données décryptées à votre appareil. A la place, nous avons développé nos propres clients de bureau open source, qui stockent vos données cryptées. Les clients de bureau sont également signés afin que tout le monde puisse vérifier que le client exécute exactement le même code que celui publié sur GitHub.

Lorsque vous créez une adresse email sécurisée avec Tuta, vous pouvez être sûr que vos données sont conservées en toute sécurité.

Chiffrement de bout en bout

Boîte aux lettres, calendrier, contacts cryptés.

Dès le départ, Tuta s'est assuré que le plus grand nombre de données possible soit crypté de bout en bout (E2E). Tuta a été le premier fournisseur de messagerie électronique chiffrée de bout en bout au monde et, à ce jour, c'est le service de messagerie qui chiffre le plus de données.

Tuta chiffre toutes les données par défaut : Email, calendriers, contacts. Le chiffrement de bout en bout fourni par Tuta garantit que vos données sont sécurisées et privées, même si elles tombent entre de mauvaises mains.

Les serveurs de Tuta ne stockent que les données chiffrées. Et, la clé de déchiffrement n'est disponible que pour l'utilisateur. Cela garantit que même si votre connexion Internet était interceptée ou dans le cas extrêmement improbable où quelqu'un piraterait nos serveurs, vos données resteraient sécurisées.

Grâce à son chiffrement intégré, Tuta rend la sécurité facilement accessible aux utilisateurs privés et aux entreprises dans le monde entier. Pour déchiffrer vos données, il vous suffit de vous connecter à votre adresse e-mail sécurisée avec votre mot de passe, c'est tout. Vous pouvez facilement vous connecter via un navigateur web, via les applications Tuta pour Android et iOS, ou via les clients de bureau Tuta pour Windows, macOS et Linux.

Comment envoyer un email sécurisé à n'importe qui.

Tuta vous permet d'envoyer des emails sécurisés (cryptés E2E) à n'importe qui avec un mot de passe partagé. Cela signifie que le message est crypté sur l'appareil de l'expéditeur et ne peut être décrypté que par l'appareil du destinataire. Vous pouvez facilement échanger des conversations ou des fichiers sensibles en ligne, en sachant que toutes les données envoyées via Tuta sont cryptées de bout en bout en toute sécurité. Vous pouvez facilement envoyer des e-mails cryptés à des destinataires externes en définissant un mot de passe. Le mot de passe est valable pour tous les emails que vous échangez avec cette personne, il n'est pas nécessaire de définir un nouveau mot de passe pour chaque email comme c'est le cas avec d'autres fournisseurs sécurisés.

Calendrier à zéro connaissance.

Tuta est livré avec un calendrier crypté de bout en bout qui vous permet de planifier et de stocker tous vos rendez-vous en toute confidentialité. Notre calendrier est une réalisation exceptionnelle car non seulement toutes les données sont cryptées, mais les rappels sont également cryptés E2E. Même l'heure à laquelle une notification est envoyée à l'utilisateur est masquée par nos serveurs, de sorte que nous restons dans l'ignorance de tous les rendez-vous de nos utilisateurs.

Chiffrage TLS

Sécurisation du protocole email

Lorsque vous envoyez des emails avec Tuta, vous avez clairement choisi l'option la plus sécurisée car Tuta permet de crypter automatiquement les emails de bout en bout.

Cependant, il peut arriver que vous souhaitiez envoyer et recevoir des emails non cryptés vers et depuis des contacts qui n'utilisent pas Tuta, lorsque le partage d'un mot de passe avec eux serait peu pratique. Il est beaucoup plus difficile de sécuriser ces courriels car, dans ce cas, le fournisseur de messagerie ne peut crypter que la transmission, et non les données elles-mêmes. En outre, d'autres services sont impliqués, comme le fournisseur de messagerie du destinataire, qui doivent s'assurer que la transmission est sécurisée.

Pour sécuriser au mieux les courriels non cryptés, nous adhérons aux normes les plus strictes du protocole de messagerie SMTP.

Tuta prend en charge MTA-STS. Cette norme devrait déjà être prise en charge par tous les services de courrier électronique, car elle est au courrier électronique ce que le protocole HTTPS strict est à un site web : Il applique le cryptage de transport (TLS) chaque fois que TLS est possible.

Tuta prend également en charge SPF, DKIM et DMARC. Ces trois protocoles sont nécessaires pour renforcer l'infrastructure contre l'intrusion de courriels de phishing et de spam.

Tuta utilise une CSP (Content Security Policy) stricte, un nettoyeur HTML pour afficher le contenu inconnu (dans les courriels) afin de prévenir les attaques XSS, et, par défaut, ne charge pas de contenu externe à partir d'autres serveurs (images et vidéos dans les courriels). L'utilisateur peut choisir d'afficher le contenu externe d'un simple clic ou d'un tapotement, s'il fait confiance à l'expéditeur.

Vérifiez ici le score de Tuta sur Securityheaders.io.

Authentification sécurisée

Tuta ne transmet jamais votre mot de passe au serveur.

Lorsque vous vous connectez à votre boîte aux lettres sécurisée, Tuta hache et sale votre mot de passe avant de transmettre le hachage à nos serveurs. Il est impossible de déduire le mot de passe réel de ce hachage, de sorte que personne ne peut connaître votre mot de passe, pas même nous à Tuta. Pour protéger votre mot de passe, nous utilisons Argon2 et SHA256.

Tuta fournit également une authentification à deux facteurs (2FA) pour ajouter une couche supplémentaire de sécurité. Pour sécuriser vos identifiants de connexion, vous pouvez utiliser TOTP ou U2F. Nous recommandons d'utiliser U2F avec un dispositif de sécurité, car il s'agit de la forme la plus sûre d'authentification à deux facteurs. Cela garantit que seul l'utilisateur·rice autorisé·e peut accéder à son compte.

Consultez notre guide de sécurité en ligne sur la façon de protéger vos courriels contre les pirates.

Architecture à connaissance nulle

Tuta utilise une architecture à zéro connaissance, ce qui signifie que les données de l'utilisateur ne sont jamais stockées en texte clair sur les serveurs de Tuta. Les serveurs de Tuta ne stockent que les données chiffrées, et la clé de déchiffrement n'est disponible que pour l'utilisateur. Cela garantit que même si les serveurs de Tuta sont piratés, les données restent sécurisées.

Conforme au RGPD

Le règlement européen GDPR exige aux entreprises que les courriels contenant des données sensibles des citoyens de l'UE soient sécurisées.

Les entreprises sont tenues de protéger les données personnelles, même lorsqu'elles sont en transit. Gagnez du temps et de l'argent en sauvegardant tous vos emails professionnels cryptés sur les serveurs sécurisés de Tuta. Avec Tuta, il n'est pas nécessaire d'utiliser une extension ou un logiciel de cryptage compliqué en plus d'une ancienne solution de messagerie d'entreprise gonflée qui convenait aux entreprises il y a dix ans.

Le cryptage des emails garantit la conformité au GDPR, et le Danemark a été le premier pays de l'UE à déclarer officiellement que les entreprises doivent protéger les données personnelles sensibles dans les emails avec un cryptage de bout en bout adéquat en raison du GDPR. Tuta offre la solution de messagerie électronique la plus sécurisée pour les entreprises avec une conformité au GDPR.

Tuta suit les principes de minimisation des données et de protection de la vie privée dès la conception.

Nous sommes responsables de la protection de vos données personnelles, et nous prenons cette responsabilité sérieusement. C'est pourquoi :

  • Tuta est basé sur les principes de "minimisation des données" et de "protection de la vie privée dès la conception".

  • Toutes les données des utilisateurs sont stockées dans Tuta sous forme cryptée de bout en bout (à l'exception des métadonnées telles que les adresses électroniques des expéditeurs et des destinataires des courriels, car ces informations sont nécessaires au protocole de messagerie pour livrer le courriel à la bonne adresse).

  • Nous avons mis en place des mesures techniques et organisationnelles qui protègent vos données au maximum.

  • Tuta vous permet de placer un formulaire de contact crypté - Secure Connect - sur votre site Web afin que les personnes intéressées par votre entreprise puissent facilement entrer en contact avec vous de manière cryptée E2E.

  • Tuta fournit un accord de traitement des commandes avec des garanties de protection des données juridiquement contraignantes pour vous aider à démontrer votre conformité avec le GDPR.

Veuillez lire notre déclaration de confidentialité pour plus de détails.

Notre cryptage intégré et le fait que nous vous permettons d'envoyer un email crypté à n'importe quel destinataire dans le monde font de Tuta une solution parfaite lorsque vous recherchez le meilleur email sécurisé pour votre entreprise . Tuta vous aide à envoyer facilement des données personnelles sensibles cryptées de bout en bout, garantissant ainsi la conformité de votre entreprise au GDPR.

Lisez notre blog pour découvrir comment Tuta peut aider votre entreprise à atteindre la conformité GDPR.

Confidentialité "Made in Germany"

L'Allemagne a l'une des lois les plus strictes en matière de protection des données.

Les réglementations en matière de confidentialité des données dans l'Union européenne (UE) sont parmi les plus strictes au monde. Parmi tous les États membres européens, l'Allemagne a l'une des politiques les plus solides : la loi fédérale sur la protection des données (Bundesdatenschutzgesetz). La base du règlement général sur la protection des données (RGPD) de l'UE a été conçu en grande partie sur la loi fédérale allemande sur la protection des données.

Cette loi protège les utilisateur·rice·s de services internet. Elle confie à l'utilisateur·rice la responsabilité de décider ce qu'il convient de faire de ses données : Les entreprises (=nous) ne sont pas autorisées à collecter des informations personnelles sans l'autorisation explicite d'une personne (=vous) (par exemple, le nom, la date de naissance, l'adresse IP).

En plus, en Allemagne, il n'existe aucune loi qui pourrait nous obliger à nous soumettre à un ordre de bâillon ou à mettre en œuvre une porte dérobée.

Vous pouvez trouver tous les détails sur les lois allemandes sur la protection des données sur notre blog et dans notre rapport de transparence.

Données stockées en Allemagne

Tuta stocke toutes les données chiffrées dans des centres de données hautement sécurisés en Allemagne.

Toutes les données de Tuta sont stockées chiffrées de bout en bout sur nos propres serveurs dans des centres de données certifiés ISO 27001 en Allemagne.

Personne n'a accès à nos serveurs, à l'exception de nos administrateurs permanents, qui doivent se soumettre à une authentification à multi-facteurs d'y accéder. Tous les systèmes de production sont surveillés 24 heures sur 24, 7 jours sur 7, afin de détecter tout accès non autorisé et toute activité extraordinaire.

Service de messagerie anonyme : Pas de suivi, pas de publicité

Tuta est un service d'email anonyme qui ne vous suit pas.

Notre modèle d'entreprise est différent de la plupart des services d'email : En raison du cryptage, nous ne pouvons pas scanner vos emails. Nous ne vous suivons pas à la trace. Nous n'envoyons pas de publicités ciblées dans votre boîte aux lettres. Cela signifie que vos données ne sont pas utilisées à d'autres fins que la fourniture de services de courrier électronique et de calendrier. Cela garantit que vos données ne sont jamais partagées avec des annonceurs tiers ou d'autres entités, ce qui pourrait endommager votre vie privée.

Par défaut, Tuta n'enregistre pas les adresses IP lorsque vous vous connectez ou lorsque vous envoyez un courrier électronique. Lors de l'enregistrement, vous n'avez pas besoin de fournir de données personnelles (par exemple, aucun numéro de téléphone n'est requis), même si vous vous enregistrez via le navigateur Tor. Tuta supprime l'adresse IP trouvée aux en-têtes des courriels envoyés, de sorte que votre localisation reste inconnue. Malgré toutes ces protections, peut-être vous souhaitiez garder votre adresse IP cachée, même auprès de nous, et c'est pourquoi nous n'ajouterons jamais un VPN ou un navigateur à notre offre. Proposer un VPN n'a en particulier aucun sens, car si nous le faisions, en tant que fournisseur de courrier électronique, nous serions toujours en mesure de connaître l'adresse IP d'origine des utilisateurs s'ils se connectent via ce VPN. Pour des raisons de confidentialité, il est préférable de séparer ces services.

Fonctionnalités améliorées quant à la vie privée

Tuta est un service de courrier électronique conçu dans le respect de la vie privée.

Les entreprises adorent le courrier électronique pour leurs campagnes de marketing. En effet, par défaut, le courrier électronique ne respecte pas votre vie privée. Lorsque vous recevez une lettre d'information marketing, l'e-mail charge généralement du contenu externe (par exemple des images, des vidéos). Dans ce cas, vous êtes suivi : Adresse IP, navigateur que vous utilisez, et d'autres informations sont transmises à l'expéditeur.

Tuta offre un service de messagerie qui protège automatiquement contre ces méthodes de suivi :

  • Tuta bloque les images par défaut. Aucun contenu externe n'est chargé lorsque vous ouvrez un e-mail, sauf si vous l'autorisez activement.

  • Tuta supprime toutes les informations d'en-tête (adresse IP) des e-mails envoyés afin de protéger votre vie privée.

  • Tuta vous avertit lorsque l'expéditeur technique diffère de l'expéditeur d'origine. La falsification de l'expéditeur est une méthode typique utilisée dans les attaques de phishing. Sur notre blog, vous trouverez d'autres conseils sur la manière d'éviter le email phishing.

Contrôler et clore les sessions à distance

Vérifiez si quelqu'un a accédé à votre boîte aux lettres cryptée Tuta.

Tuta vous permet de vérifier les sessions actives et fermées en tant que fonction opt-in. Cela vous permet de vérifier que personne d'autre que vous ne s'est connecté à votre compte. Les sessions fermées sont automatiquement supprimées au bout d'une semaine. La gestion des sessions de Tuta vous permet également de fermer des sessions à distance. Si vous perdez votre téléphone portable et que vous êtes toujours connecté à l'application Tuta, vous pouvez fermer cette session à partir de n'importe quel autre appareil. En fermant la session à distance, vous vous assurez que personne ne peut accéder à vos emails sécurisés sur le téléphone perdu.

Les adresses IP des sessions ouvertes et fermées sont toujours stockées de manière cryptée et automatiquement supprimées après une semaine. En raison du cryptage, vous êtes le seul à pouvoir accéder à ces informations. Chez Tuta, nous n'avons absolument aucun accès à ces informations.

Engagé en faveur de l'open source

Courriels libres et open source pour tous.

Tuta met l'accent sur la sécurité et la protection de la vie privée. Pour nous, l'open source est essentiel pour atteindre ces deux objectifs. Nous avons publié le client web de Tuta, les clients de bureau de Tuta ainsi que les applications Android et iOS en tant que logiciel libre sur GitHub.

De cette façon, tout le monde peut vérifier le code et s'assurer qu'il n'y a pas de bogues ou de vulnérabilités de sécurité dans la base de code. En tant que logiciel libre, les problèmes potentiels peuvent être détectés et corrigés beaucoup plus rapidement que dans le cas d'applications à source fermée.