FAQ

Comment pouvons-nous vous aider ?
Table des matières
Sécurité et confidentialité• Quels algorithmes de chiffrement sont utilisés par Tuta ?• Est-ce que Tuta enregistre les adresses IP ou puis-je utiliser ma boîte de réception chiffrée anonymement ?• Comment mes e-mails sont-ils chiffrés avec Tuta ?• Mon carnet d'adresses est-il chiffré dans Tuta ?• Où s'opère le processus de chiffrement ?• Comment puis-je voir les en-têtes dans ma boite mail chiffrée ?• Supprimez-vous ou recyclez-vous les comptes inactifs et adresses e-mail ?• Où mes clés sont-elles générées et comment ma clé privée est-elle sécurisée ?• Pourquoi le chargement automatique des images est-il bloqué dans Tuta ?• Un de mes e-mails a un message indiquant que l'authentification e-mail est manquante ou a échoué. Quelle est sa signification ?• Un de mes e-mails est affiché avec un avertissement d'hameçonnage. Quelle est sa signification ?• Où sont situés les serveurs de Tuta ?• Puis-je désactiver des sessions à distance (gestion de sessions) ?• Qu'est-ce qui est chiffré et que pouvez-vous lire ?• Comment alerter d'une faille ou d'une vulnérabilité de sécurité que j'ai découvert dans Tuta ?
Votre mot de passe Tuta• Déverrouillez l'application Tuta avec un code PIN ou la biométrie (empreinte digitale, Face ID)• Comment choisir un bon mot de passe ?• Quand je me déconnecte de Tuta, le navigateur ou l'application se reconnecte toujours. Que puis-je faire pour l'arrêter?• Comment fonctionne le générateur de phrases de passe ?• Quelle fonction de hachage est utilisée pour le mot de passe ?• Tuta sécurise ma clé privée avec mon mot de passe. Pouvez-vous accéder à mon mot de passe ?• Mon mot de passe a été volé. Que devrais-je faire maintenant ?• Où puis-je voir mon code de récupération ?

Sécurité et confidentialité

Quels algorithmes de chiffrement sont utilisés par Tuta ?

Pour le chiffrement des e-mails entre utilisateurs de Tuta, nous utilisons une méthode standard et hybride consistant en un algorithme symétrique et asymétrique. Nous utilisons AES avec une longueur de 256 bits et RSA en 2048 bits. Les e-mails envoyés à des destinataires extérieurs sont chiffrés symétriquement avec AES 256 bits.

Est-ce que Tuta enregistre les adresses IP ou puis-je utiliser ma boîte de réception chiffrée anonymement ?

Nous n'enregistrons pas les adresses IP lorsque vous vous connectez ou envoyez un mail. Les adresses IP des mails envoyés et reçus sont également retirées afin que votre localisation ne puisse pas être déterminée.

Nous ne conservons les adresses IP des comptes individuels que dans le cas d'un acte criminel tel qu'un meurtre, pornographie pédophile, vol, menaces à la bombe ou de chantage, et seulement suite à une décision de justice valide provenant d'un juge en Allemagne. Pour plus de détails sur les droits concernant la protection des données en Allemagne, consultez notre blog.

Lisez également notre blog pour comprendre comment Tuta parvient à assurer la fourniture d'un service de mail anonyme. Pour s'enregistrer, vous n'avez pas besoin de fournir de données personnelles (par exemple, aucun numéro de téléphone n'est requis). Nous accepterons bientôt les paiements de nos offres Premium en Bitcoins.

Comment mes e-mails sont-ils chiffrés avec Tuta ?

Le système chiffre automatiquement tous les e-mails stockés dans Tuta. Les e-mails entre utilisateurs Tuta sont automatiquement chiffrés de bout-en-bout, ceux avec les utilisateurs externes peuvent être sécurisés à l'aide d'un mot de passe. Ici nous expliquons les différences entre un e-mail confidentiel(chiffré de bout-en-bout) et non confidentiel.

Indépendamment du chiffrement de bout-en-bout, le transport entre le client et les serveurs Tuta est sécurisé avec TLS pour maximiser la sécurité.

Mon carnet d'adresses est-il chiffré dans Tuta ?

Oui, toutes les données dans Tuta sont chiffrées de bout en bout et uniquement accessibles avec votre mot de passe. L'analyse ou le profilage de vos données ne sont pas possibles.

Où s'opère le processus de chiffrement ?

Le chiffrement et le déchiffrement des données s'effectuent toujours localement depuis votre appareil lors de la connexion. Toutes les données sont chiffrées de bout en bout et vous seul(e) y avez accès avec votre mot de passe.

Comment puis-je voir les en-têtes dans ma boite mail chiffrée ?

Vous pouvez afficher les en-têtes des mails reçus en utilisant le raccourci H. Tuta masque les en-têtes des mails envoyés pour protéger votre vie privée.

Pour voir l'ensemble des raccourcis de Tuta, appuyez sur F1 (Fn & F1).

Supprimez-vous ou recyclez-vous les comptes inactifs et adresses e-mail ?

Les comptes gratuits sont supprimés s'ils ne sont pas utilisés pendant pendant au moins six mois. Votre adresse e-mail supprimée (de même s'il s'agit d'un alias) ne sera pas recyclée pour des raisons de sécurité. Il ne doit pas être possible à quelqu'un d'autre de s'inscrire avec votre adresse e-mail précédemment utilisée, puis, par accident, recevoir un e-mail confidentiel qui vous était adressé.

Les comptes gratuits sont supprimés après une période d'inactivité de six mois. Une connexion régulière est nécessaire pour éviter la suppression automatique. Nous supprimons ces comptes pour des raisons de sécurité et aussi pour nous permettre de proposer des comptes gratuits Tuta. Toutefois, les adresses électroniques de ces comptes supprimés peuvent être reprises dans un autre compte payant et réutilisées comme alias de courrier électronique ou adresses d'utilisateur supplémentaires si vous disposez toujours des informations d'identification valides.

Pour réutiliser l'adresse électronique du compte inactif

  1. Vous devez créer un compte e-mail Premium (ou utiliser tout compte payant Tuta que vous possédez déjà comme compte cible).
  2. Connectez-vous à votre compte inactif.

Réactiver le compte inactif

  1. Cliquez sur "Aide" comme vous pouvez le voir dans la capture d'écran ci-dessus.

Réactiver un compte inactif

  1. Saisissez l'adresse du compte cible (et - si vous avez activé l'authentification à deux facteurs - le code de récupération de l'adresse perdue).

Vous pouvez ensuite ajouter la ou les adresses perdues en tant qu'alias (ou utilisateur) au compte de messagerie cible. Nous appelons cela fusion d'adresses.

Où mes clés sont-elles générées et comment ma clé privée est-elle sécurisée ?

Vos clés privées et publiques sont générées localement au travers de votre navigateur lors de l'inscription. Votre clé privée est chiffrée avec votre mot de passe. De cette façon votre mot de passe de connexion reçoit le statut de clé privée. La clé est chiffrée de façon si puissante que vous seul pouvez l'utiliser pour chiffrer et déchiffrer les données. C'est la raison pour laquelle un mot de passe complexe est essentiel. Une vérification automatique du mot de passe côté client s'assure que vous utilisez un mot de passe fort. Votre mot de passe n’est jamais transmis au serveur en clair. Il est salé et haché avec bcrypt localement sur votre appareil afin que ni le serveur ni nous-mêmes n'ayons accès à votre mot de passe. Avec cette façon de faire innovante, vous pouvez facilement accéder à votre boîte chiffrée depuis n'importe quel appareil (ordinateur, appareils mobiles).

Pourquoi le chargement automatique des images est-il bloqué dans Tuta ?

Tuta ne charge pas automatiquement les images lorsque vous ouvrez un mèl. Si vous décidez de charger les images manuellement, notez que :

  • quelqu'un saura que vous avez lu le mail.
  • quelqu'un pourrait ajouter des cookies à votre navigateur (si celui-ci n'est pas configuré pour les refuser).
  • quelqu'un pourrait déterminer votre localisation géographique grâce à votre adresse IP.
  • quelqu'un pourrait avoir accès aux paramétrages de vos appareils.

Ici nous expliquons comment afficher des images externes. Découvrez comment nous faisons pour que Tuta soit un service mèl anonyme. Nous prévoyons d'améliorer le chargement des images dans le futur pour que vous puissiez ajouter une liste blanche de vos interlocuteurs de confiance; les images contenues dans les messages de ces expéditeurs seront chargées par défaut.

Un de mes e-mails a un message indiquant que l'authentification e-mail est manquante ou a échoué. Quelle est sa signification ?

Nous vérifions que tous les messages soient authentifiés. Sans authentification, l'e-mail pourrait venir de n'importe qui ou pourrait être modifié donc vous devriez traiter ce type d'e-mail avec précaution. Si vous voyez un message où authentification a échoué (bannière d'avertissement rouge), vous devriez être particulièrement vigilant car cela veut dire que cet e-mail est probablement faux.

Un de mes e-mails est affiché avec un avertissement d'hameçonnage. Quelle est sa signification ?

L'hameçonnage est le nom ou le type d'une arnaque en ligne dans laquelle des criminels essaient de ressembler à un expéditeur légitime pour obtenir vos données comme des identifiants ou des données de carte bancaire. Les auteurs d'hameçonnage utilisent des techniques psychologiques sophistiquées et développent des copies très réalistes de sites Web et d'e-mails.

Si vous voyez une bannière d'hameçonnage, cela signifie que des parties de cet e-mail correspondent à nos signatures d'hameçonnage suite à des signalements, par d'autres utilisateurs, d'e-mails en tant qu'hameçonnage. Veuillez être extrêmement vigilant avec de tels messages. Habituellement, les e-mails d'hameçonnage contiennent un lien spécial vers un site Web qui semble réel mais qui ne l'est pas. Si vous pensez que cet e-mail est légitime et que vous ouvrez le lien, veuillez vous assurer de vérifier l'adresse URL complète du site Web : vérifier que vous la voyez complète, parfois, seule une partie ou un unique caractère peut être manquant. Voici plus d'informations sur comment prévenir les attaques d'hameçonnage par e-mail.

Vous pouvez marquer un e-mail comme légitime (pas d'hameçonnage) et vous ne verrez plus le massage d'avertissement pour cet e-mail.

Nous ne vous enverrons jamais d'e-mails avec des liens où vous devez écrire votre mot de passe. Nous vous envorageons à toujours protéger vos identifiants de connexion credentials avec l'A2F car cela rend pratiquement impossible pour un attaquant de se connecter à votre compte.

Si vous avez subi une attaque d'hameçonnage réussie, veuillez consulter cette FAQ.

Où sont situés les serveurs de Tuta ?

Les serveurs de Tuta sont situés en Allemagne dans des centres de données sécurisés et certifiés ISO 27001. Toutes les données sauvegardées sont sujettes aux strictes lois allemandes sur la protection de la vie privée. Par ailleurs, toutes les données sont chiffrées de bout en bout et ne peuvent être lues ni par Tutao GmbH le fournisseur, ni par aucun tiers.

Puis-je désactiver des sessions à distance (gestion de sessions) ?

Oui. Vous pouvez voir et fermer à distance les sessions actives depuis Paramètres -> Connexion.

Consulter notre guide pour apprendre comment activer l'enregistrement des sessions terminées pour savoir si quelqu'un d'autre a accès à votre compte. Pour garantir la confidentialité des utilisateurs, nous avons développé la fonctionnalité tel que :

  • L'adresse IP est enregistrée chiffrée et seul l'utilisateur peut déchiffrer cette information. Personne d'autre - y compris Tuta - n'a accès à cette information.
  • Les adresses IP ne sont stockées que pour une semaine et sont ensuite supprimées automatiquement.
Qu'est-ce qui est chiffré et que pouvez-vous lire ?

Tuta chiffre toutes les données stockées dans votre boîte de réception (contacts, e-mail, attaches de signature, règles de réception, données de facturation, méthode de paiement, certificat et clés privées de vos propres domaines). Lors de l'envoi d'un e-mail, Tuta chiffre l'objet, le contenu et l'ensemble des pièces jointes automatiquement.

Vous pouvez trouver une explication détaillée à propos de ce qui est chiffré dans Tuta sur notre page e-mail chiffré.

Nous pouvons lire uniquement les métadonnées suivantes :

  • adresse e-mail de l'expéditeur
  • adresse e-mail du destinataire
  • date de l'e-mail

Nous étudions déjà des possibilités qui permettraient de dissimuler ces métadonnées dans le futur.

Comment alerter d'une faille ou d'une vulnérabilité de sécurité que j'ai découvert dans Tuta ?
sécuritérapportvulnérabilité

Thank you for taking the time to report a vulnerability. If you have found any security issues, please send us and email in either English or German with a detailed report in order for us to fix them.

We at Tuta take utmost care to secure your mailbox to the maximum. The Tuta code is open source and published on Github, and we invite all security experts to review it.

Votre mot de passe Tuta

Déverrouillez l'application Tuta avec un code PIN ou la biométrie (empreinte digitale, Face ID)

Vous pouvez sécuriser la connexion à l'application stockée avec un code, un motif ou des données biométriques (empreinte digitale, Face ID, etc.) après avoir activé cette fonction. Veuillez aller dans Paramètres -> Connexion -> Mode de cryptage des informations d'identification pour l'activer. Cette option ne s'affichera qu'après avoir stocké vos identifiants de connexion dans l'application Tuta. Vous trouverez plus de détails sur notre blog.

Comment choisir un bon mot de passe ?

Tuta utilise un indicateur de complexité du mot de passe qui prend en compte les différents aspects d'un mot de passe pour s'assurer que votre mot de passe choisi s'accordera avec votre compte e-mail sécurisé. Vous pouvez trouver des astuces supplémentaires sur comment choisir un bon mot de passe ici.

Tuta n'a pas de limitation en terme de longueur du mot de passe ni des caractères utilisés ; tous les caractères Unicode sont respectés.

Quand je me déconnecte de Tuta, le navigateur ou l'application se reconnecte toujours. Que puis-je faire pour l'arrêter?

Si vous cliquez sur "Déconnexion", vous êtes déconnecté. Veuillez noter : Si vous avez préalablement sauvegardé le mot de passe, vous êtes maintenant déconnecté mais le mot de passe est toujours sauvegardé pour une connexion automatique. Pour supprimer le mot de passe, veuillez vous déconnecter. L'écran de connexion apparaît, cliquer sur "Plus" et "Supprimer les identifiants de connexion".

Comment fonctionne le générateur de phrases de passe ?

Un mot de passe sûr est un mot de passe suffisamment aléatoire pour ne pas être deviné en un temps raisonnable. Mais les chaînes aléatoires de caractères alphanumériques sont difficiles à mémoriser. C'est pourquoi nous avons mis en place un générateur de phrases de passe qui trouve un bon équilibre entre sécurité et mémorisation. Le générateur choisit six mots faciles à retenir dans une vaste liste et produit une phrase de passe sécurisée, facile à taper et à retenir. Voici d'autres conseils sur comment créer et retenir un mot de passe fort.

Quelle fonction de hachage est utilisée pour le mot de passe ?

Votre mot de passe est salé et haché avec Bcrypt sur votre appareil avant d'être transmis à Tuta. Bcrypt est la méthode la plus fiable car les attaques de force brute ont besoin de beaucoup plus de temps en comparaison des méthodes conventionnelles comme MD5 ou SHA. Avec cette méthode nous garantissons une confidentialité intégrée et nous vous permettons d'accéder et de déchiffrer vos e-mails instantanément depuis l'ordinateur and les appareils mobiles.

Tuta sécurise ma clé privée avec mon mot de passe. Pouvez-vous accéder à mon mot de passe ?

Non. Lorsqu'un mot de passe est utilisé pour l'authentification (login), il n'est pas nécessaire que celui-ci soit connu du serveur auquel vous souhaitez vous authentifier. Il suffit que le serveur ait une empreinte digitale (hash) de votre mot de passe. Avec Tuta votre hash pour l'authentification est calculé par votre navigateur et seul le hash est envoyé. Votre mot de passe ne voyage jamais en clair sur Internet et il n'est jamais vu par nos serveurs. Comme les hashes ne sont pas réversibles, le serveur n'est pas capable de reconstruire votre mot de passe à partir du hash. De cette façon le serveur n'est pas capable de déchiffrer votre message, tout en étant malgré tout capable de vous authentifier à la connexion.

Lecture recommandée pour mieux comprendre : Apprendre comment Tuta automatise le processus de chiffrement tout en vous laissant le contrôle complet de vos données chiffrées.

Mon mot de passe a été volé. Que devrais-je faire maintenant ?

Si vous pensez que votre mot de passe a été exposé à une autre personne mais que vous pouvez toujours vous connecter à votre compte, veuillez faire les actions suivantes :

  • Changer votre mot de passe dans "Paramètres" -> "Connexion" -> "Mot de passe".
  • Mettre à jour votre code de récupération dans "Paramètres" -> "Connexion" -> "Code de récupération".

Si l'attaquant est également connecté, changer le mot de passe le déconnectera automatiquement.

Nous vous encourageons à toujours utiliser l'A2F avec votre compte car cela rend presque impossible pour un attaquant de se connecter à votre compte.

Si vous ne pouvez plus vous connecter à votre compte, veuillez consulter cette FAQ.

Où puis-je voir mon code de récupération ?

Aller dans Paramètres - Connexion et cliquer sur le symbole de stylo à côté de "Code de récupération" pour voir le code ou le mettre à jour. Pour faire cela, vous devez saisir votre mot de passe.