FAQ

Pour le cryptage des courriels entre les utilisateurs, Tuta utilise une méthode hybride standardisée composée d'un algorithme symétrique et d'un algorithme asymétrique. Tuta utilise AES avec une longueur de 256 bits et RSA avec 2048 bits ou une combinaison de ECDH (x25519) et Kyber-1024 (pour les comptes à sécurité quantique). Les courriers électroniques adressés à des destinataires externes sont cryptés symétriquement avec AES 256 bits.

Nous n'enregistrons pas les adresses IP lorsque vous vous connectez ou envoyez un mail. Les adresses IP des mails envoyés et reçus sont également retirées afin que votre localisation ne puisse pas être déterminée.

Nous ne conservons les adresses IP des comptes individuels que dans le cas d'un acte criminel tel qu'un meurtre, pornographie pédophile, vol, menaces à la bombe ou de chantage, et seulement suite à une décision de justice valide provenant d'un juge en Allemagne. Pour plus de détails sur les droits concernant la protection des données en Allemagne, consultez notre blog.

Lisez également notre blog pour comprendre comment Tuta parvient à assurer la fourniture d'un service de mail anonyme. Pour s'enregistrer, vous n'avez pas besoin de fournir de données personnelles (par exemple, aucun numéro de téléphone n'est requis). Nous accepterons bientôt les paiements de nos offres Premium en Bitcoins.

Le système chiffre automatiquement tous les e-mails stockés dans Tuta. Les e-mails entre utilisateurs Tuta sont automatiquement chiffrés de bout-en-bout, ceux avec les utilisateurs externes peuvent être sécurisés à l'aide d'un mot de passe. Ici nous expliquons les différences entre un e-mail confidentiel(chiffré de bout-en-bout) et non confidentiel.

Indépendamment du chiffrement de bout-en-bout, le transport entre le client et les serveurs Tuta est sécurisé avec TLS pour maximiser la sécurité.

Oui, toutes les données dans Tuta sont chiffrées de bout en bout et uniquement accessibles avec votre mot de passe. L'analyse ou le profilage de vos données ne sont pas possibles.

Le chiffrement et le déchiffrement des données s'effectuent toujours localement depuis votre appareil lors de la connexion. Toutes les données sont chiffrées de bout en bout et vous seul(e) y avez accès avec votre mot de passe.

Vous pouvez afficher les en-têtes des mails reçus en utilisant le raccourci H. Tuta masque les en-têtes des mails envoyés pour protéger votre vie privée.

Pour voir l'ensemble des raccourcis de Tuta, appuyez sur F1 (Fn & F1).

Les comptes gratuits sont supprimés s'ils ne sont pas utilisés pendant pendant au moins six mois. Votre adresse e-mail supprimée (de même s'il s'agit d'un alias) ne sera pas recyclée pour des raisons de sécurité. Il ne doit pas être possible à quelqu'un d'autre de s'inscrire avec votre adresse e-mail précédemment utilisée, puis, par accident, recevoir un e-mail confidentiel qui vous était adressé.

Les comptes gratuits sont supprimés après une période d'inactivité de six mois. Une connexion régulière est nécessaire pour éviter la suppression automatique. Nous supprimons ces comptes pour des raisons de sécurité et aussi pour nous permettre de proposer des comptes gratuits Tuta. Toutefois, les adresses électroniques de ces comptes supprimés peuvent être reprises dans un autre compte payant et réutilisées comme alias de courrier électronique ou adresses d'utilisateur supplémentaires si vous disposez toujours des informations d'identification valides.

Pour réutiliser l'adresse électronique du compte inactif

1. Vous devez créer un compte e-mail Premium (ou utiliser tout compte payant Tuta que vous possédez déjà comme compte cible).
2. Connectez-vous à votre compte inactif.

3. Cliquez sur "Aide" comme vous pouvez le voir dans la capture d'écran ci-dessus.

4. Saisissez l'adresse du compte cible (et - si vous avez activé l'authentification à deux facteurs - le code de récupération de l'adresse perdue).

Vous pouvez ensuite ajouter la ou les adresses perdues en tant qu'alias (ou utilisateur) au compte de messagerie cible. Nous appelons cela fusion d'adresses.

Vos clés privée et publique sont générées localement dans votre navigateur lors de votre inscription. Votre clé privée est chiffrée avec votre mot de passe. De cette manière, votre mot de passe reçoit le statut de clé privée. La clé est chiffrée si fortement que vous seul pouvez l'utiliser pour chiffrer et déchiffrer des données. C'est pourquoi un mot de passe fort est essentiel. Une vérification automatique du mot de passe sur le client permet de s'assurer que vous utilisez un mot de passe fort. Votre mot de passe n'est jamais transmis au serveur en texte clair. Il est salé puis haché avec Argon2 localement sur votre appareil, de sorte que ni le serveur ni nous n'avons accès à votre mot de passe. Grâce à cette conception innovante, vous pouvez accéder facilement à votre boîte de réception chiffrée à partir de n'importe quel appareil (ordinateur de bureau, mobile).

Tuta ne charge pas automatiquement les images lorsque vous ouvrez un mèl. Si vous décidez de charger les images manuellement, notez que :

• quelqu'un saura que vous avez lu le mail.
• quelqu'un pourrait ajouter des cookies à votre navigateur (si celui-ci n'est pas configuré pour les refuser).
• quelqu'un pourrait déterminer votre localisation géographique grâce à votre adresse IP.
• quelqu'un pourrait avoir accès aux paramétrages de vos appareils.

Ici nous expliquons comment afficher des images externes. Découvrez comment nous faisons pour que Tuta soit un service mèl anonyme. Nous prévoyons d'améliorer le chargement des images dans le futur pour que vous puissiez ajouter une liste blanche de vos interlocuteurs de confiance; les images contenues dans les messages de ces expéditeurs seront chargées par défaut.

Nous vérifions que tous les messages soient authentifiés. Sans authentification, l'e-mail pourrait venir de n'importe qui ou pourrait être modifié donc vous devriez traiter ce type d'e-mail avec précaution. Si vous voyez un message où authentification a échoué (bannière d'avertissement rouge), vous devriez être particulièrement vigilant car cela veut dire que cet e-mail est probablement faux.

L'hameçonnage est le nom ou le type d'une arnaque en ligne dans laquelle des criminels essaient de ressembler à un expéditeur légitime pour obtenir vos données comme des identifiants ou des données de carte bancaire. Les auteurs d'hameçonnage utilisent des techniques psychologiques sophistiquées et développent des copies très réalistes de sites Web et d'e-mails.

Si vous voyez une bannière d'hameçonnage, cela signifie que des parties de cet e-mail correspondent à nos signatures d'hameçonnage suite à des signalements, par d'autres utilisateurs, d'e-mails en tant qu'hameçonnage. Veuillez être extrêmement vigilant avec de tels messages. Habituellement, les e-mails d'hameçonnage contiennent un lien spécial vers un site Web qui semble réel mais qui ne l'est pas. Si vous pensez que cet e-mail est légitime et que vous ouvrez le lien, veuillez vous assurer de vérifier l'adresse URL complète du site Web : vérifier que vous la voyez complète, parfois, seule une partie ou un unique caractère peut être manquant. Voici plus d'informations sur comment prévenir les attaques d'hameçonnage par e-mail.

Vous pouvez marquer un e-mail comme légitime (pas d'hameçonnage) et vous ne verrez plus le massage d'avertissement pour cet e-mail.

Nous ne vous enverrons jamais d'e-mails avec des liens où vous devez écrire votre mot de passe. Nous vous envorageons à toujours protéger vos identifiants de connexion credentials avec l'A2F car cela rend pratiquement impossible pour un attaquant de se connecter à votre compte.

Si vous avez subi une attaque d'hameçonnage réussie, veuillez consulter cette FAQ.

Les serveurs de Tuta sont situés en Allemagne dans des centres de données sécurisés et certifiés ISO 27001. Toutes les données sauvegardées sont sujettes aux strictes lois allemandes sur la protection de la vie privée. Par ailleurs, toutes les données sont chiffrées de bout en bout et ne peuvent être lues ni par Tutao GmbH le fournisseur, ni par aucun tiers.

Oui. Vous pouvez voir et fermer à distance les sessions actives depuis Paramètres -> Connexion.

Consulter notre guide pour apprendre comment activer l'enregistrement des sessions terminées pour savoir si quelqu'un d'autre a accès à votre compte. Pour garantir la confidentialité des utilisateurs, nous avons développé la fonctionnalité tel que :

• L'adresse IP est enregistrée chiffrée et seul l'utilisateur peut déchiffrer cette information. Personne d'autre - y compris Tuta - n'a accès à cette information.
• Les adresses IP ne sont stockées que pour une semaine et sont ensuite supprimées automatiquement.

Tuta chiffre toutes les données stockées dans votre boîte de réception (contacts, e-mail, attaches de signature, règles de réception, données de facturation, méthode de paiement, certificat et clés privées de vos propres domaines). Lors de l'envoi d'un e-mail, Tuta chiffre l'objet, le contenu et l'ensemble des pièces jointes automatiquement.

Vous pouvez trouver une explication détaillée à propos de ce qui est chiffré dans Tuta sur notre page e-mail chiffré.

Nous pouvons lire uniquement les métadonnées suivantes :

• adresse e-mail de l'expéditeur
• adresse e-mail du destinataire
• date de l'e-mail

Nous étudions déjà des possibilités qui permettraient de dissimuler ces métadonnées dans le futur.

Nous vous remercions d'avoir pris le temps de signaler une vulnérabilité. Si vous avez trouvé des problèmes de sécurité, veuillez nous envoyer un courriel en anglais ou en allemand avec un rapport détaillé afin que nous puissions les corriger.

Chez Tuta, nous prenons le plus grand soin pour sécuriser votre boîte aux lettres au maximum. Le code de Tuta est open source et publié sur Github, et nous invitons tous les expert·e·s en sécurité à l'examiner.

Vous pouvez sécuriser la connexion à l'application stockée avec un code, un motif ou des données biométriques (empreinte digitale, Face ID, etc.) après avoir activé cette fonction. Veuillez aller dans Paramètres -> Connexion -> Mode de cryptage des informations d'identification pour l'activer. Cette option ne s'affichera qu'après avoir stocké vos identifiants de connexion dans l'application Tuta. Vous trouverez plus de détails sur notre blog.

Tuta utilise un indicateur de complexité du mot de passe qui prend en compte les différents aspects d'un mot de passe pour s'assurer que votre mot de passe choisi s'accordera avec votre compte e-mail sécurisé. Vous pouvez trouver des astuces supplémentaires sur comment choisir un bon mot de passe ici.

Tuta n'a pas de limitation en terme de longueur du mot de passe ni des caractères utilisés ; tous les caractères Unicode sont respectés.

Si vous cliquez sur "Déconnexion", vous êtes déconnecté. Veuillez noter : Si vous avez préalablement sauvegardé le mot de passe, vous êtes maintenant déconnecté mais le mot de passe est toujours sauvegardé pour une connexion automatique. Pour supprimer le mot de passe, veuillez vous déconnecter. L'écran de connexion apparaît, cliquer sur "Plus" et "Supprimer les identifiants de connexion".

Un mot de passe sûr est un mot de passe suffisamment aléatoire pour ne pas être deviné en un temps raisonnable. Mais les chaînes aléatoires de caractères alphanumériques sont difficiles à mémoriser. C'est pourquoi nous avons mis en place un générateur de phrases de passe qui trouve un bon équilibre entre sécurité et mémorisation. Le générateur choisit six mots faciles à retenir dans une vaste liste et produit une phrase de passe sécurisée, facile à taper et à retenir. Voici d'autres conseils sur comment créer et retenir un mot de passe fort.

Votre mot de passe est salé et haché avec Argon2 sur votre appareil avant d'être transmis à Tuta. Argon2 est la méthode la plus fiable car les attaques par force brute nécessitent beaucoup plus de temps que les méthodes conventionnelles comme MD5 ou SHA. Avec cette méthode, nous garantissons une confidentialité intégrée et nous vous permettons d'accéder et de déchiffrer vos courriels à partir d'ordinateurs de bureau et d'appareils mobiles instantanément.

Non. Lorsqu'un mot de passe est utilisé pour l'authentification (login), il n'est pas nécessaire que celui-ci soit connu du serveur auquel vous souhaitez vous authentifier. Il suffit que le serveur ait une empreinte digitale (hash) de votre mot de passe. Avec Tuta votre hash pour l'authentification est calculé par votre navigateur et seul le hash est envoyé. Votre mot de passe ne voyage jamais en clair sur Internet et il n'est jamais vu par nos serveurs. Comme les hashes ne sont pas réversibles, le serveur n'est pas capable de reconstruire votre mot de passe à partir du hash. De cette façon le serveur n'est pas capable de déchiffrer votre message, tout en étant malgré tout capable de vous authentifier à la connexion.

Lecture recommandée pour mieux comprendre : Apprendre comment Tuta automatise le processus de chiffrement tout en vous laissant le contrôle complet de vos données chiffrées.

Si vous pensez que votre mot de passe a été exposé à une autre personne mais que vous pouvez toujours vous connecter à votre compte, veuillez faire les actions suivantes :

• Changer votre mot de passe dans "Paramètres" -> "Connexion" -> "Mot de passe".
• Mettre à jour votre code de récupération dans "Paramètres" -> "Connexion" -> "Code de récupération".

Si l'attaquant est également connecté, changer le mot de passe le déconnectera automatiquement.

Nous vous encourageons à toujours utiliser l'A2F avec votre compte car cela rend presque impossible pour un attaquant de se connecter à votre compte.

Si vous ne pouvez plus vous connecter à votre compte, veuillez consulter cette FAQ.

Aller dans Paramètres - Connexion et cliquer sur le symbole de stylo à côté de "Code de récupération" pour voir le code ou le mettre à jour. Pour faire cela, vous devez saisir votre mot de passe.