Tandis que Proton Constructions Écosystème, Tuta se concentre sur une seule chose - et la fait bien.
De Hanovre avec cryptage
L'histoire de Tuta commence en 2011 à Hanovre, où Matthias Pfau et Arne Möhle - diplômés de l'université locale - fondent l'entreprise. Tutao GmbH. Ils n'étaient pas soutenus par le CERN ou le crowdfunding, mais simplement par la conviction que le courrier électronique sans cryptage est une carte postale et non une lettre. La version publique Tutanota (du latin la présente note - (message sécurisé) a été lancé en 2014, la même année que l'application Proton Mail.
Une différence majeure par rapport à la plupart des concurrents : l'entreprise est financée dès le départ, sans capital-risque externe. Sans investisseurs extérieurs, il n'y a pas de pression pour croître à tout prix et personne à qui vendre les données ou l'entreprise une fois qu'elle est acquise. Tutao GmbH est une entreprise privée qui reste autonome.
Le développement a été progressif et concentré :
- 2017 - Tutanota Calendar (calendrier crypté faisant partie intégrante de l'application, pas d'un add-on)
- 2019 - open source pour tous les clients (web, Android, iOS, desktop)
- 2021 - Tutanota fait l'objet de pressions juridiques en Allemagne (voir ci-dessous)
- 2022 — Tuta Drive (stockage en nuage bêta)
- 2023 - Le changement de marque de Tutanota à Tuta; Tuta Notes (version bêta des notes cryptées)
- 2024 — TutaCrypt (protocole hybride de cryptage post-quantique) ; nouvelle application de bureau
- 2025 - Tuta Drive en version stable ; extension des fonctionnalités de Tuta Notes
Les centres de données sont situés exclusivement en Allemagne et sont exploités par des fournisseurs allemands certifiés. Pas d'infrastructures en nuage globales, pas d'AWS ou d'Azure en arrière-plan.
Juridiction : Allemagne au lieu de Suisse
C'est la première question qu'une comparaison avec Proton soulèvera inévitablement - et elle mérite une réponse directe.
Allemagne n'est pas la Suisse. L'Allemagne est membre de l'UE, elle est soumise au droit européen, aux directives sur la conservation des données et coopère avec les forces de sécurité allemandes (BfV, BND). En même temps, l'Allemagne a l'une des traditions culturelles et législatives les plus fortes au sein de l'UE en termes de protection. Vie privée - La loi fédérale sur la protection des données (Bundesdatenschutzgesetz, BDSG) va plus loin à bien des égards. GDPR. Le commissaire fédéral allemand à la protection des données (BfDI) est l'une des autorités de contrôle les plus actives en Europe.
Conséquence pratique : Tuta est soumis aux décisions des tribunaux allemands, mais ces décisions sont contrôlables, contestables et publiées de manière transparente. La protection n'est pas absolue, mais il n'y en a jamais eu.
Chiffrement : protocole personnalisé, pas OpenPGP
Voici une différence technique essentielle qui a un impact direct sur l'utilisation quotidienne.
Proton Mail s'appuie sur OpenPGP - standard ouvert compatible avec Thunderbird, Apple Mail et d'autres clients. Tuta utilise protocole de cryptage personnalisé combinant AES-256 et RSA-2048, dans la version la plus récente TutaCrypt hybridé avec Kyber (couche post-quantique, voir ci-dessous). Ce protocole n'est pas compatible avec OpenPGP.
Ce que cela signifie en pratique :
- Impossible de définir Tuta comme source dans un client de messagerie externe (Thunderbird, Apple Mail, Outlook). Tuta Bridge n'existe pas parce qu'il ne peut techniquement pas fonctionner. IMAP Tuta ne soutient pas et ne fournit pas d'accès.
- Les communications entre deux comptes Tuta sont automatiquement cryptées de bout en bout. - pas de configuration de clé, pas d'importation de certificat.
- Communication avec des adresses externes (Gmail, ) n'est chiffré que du côté de l'utilisateur, et non de bout en bout. Le destinataire reçoit soit un lien vers le message crypté, accessible via un mot de passe, soit le message en texte clair - en fonction des paramètres de l'expéditeur.
Le protocole lui-même présente un avantage majeur qui est souvent négligé : l'objet du courrier électronique est également crypté et métadonnées. Avec OpenPGP/Proton Mail, les sujets des messages sont techniquement visibles - c'est une limitation du protocole. Avec Tuta, ils sont cryptés avec le corps du message. Pour la correspondance sensible, cela peut faire une différence essentielle.
La deuxième différence structurelle est le Perfect Forward Secrecy (PFS). Le flux de travail typique de PGP pour le courrier électronique ne fournit pas de PFS dans une utilisation normale - il fonctionne avec des clés statiques à long terme, sans cliquet au niveau de la session. TutaCrypt prend en charge la PFS grâce à son échange de clés hybride (Cyber + X25519) : la compromission d'une session ne compromet pas la communication historique.
Ce que Tuta offre aujourd'hui
Tuta Mail
La base et le cœur de toute la plate-forme. Cryptage de bout en bout corps et ligne d'objet, architecture zéro connaissance (Tuta ne peut techniquement pas lire le contenu de votre boîte de réception), pas de publicité, pas de suivi. Application web, application mobile (Android, iOS) et application de bureau (Windows, macOS, Linux - native, sans Bridge).
Fonctionnalités : domaines personnalisés (plans payants), alias de courrier électronique, recherche en texte intégral (fonctionne localement du côté du client sur des données décryptées - techniquement une solution plus élégante que Proton Mail), contacts cryptés, règles de filtrage du courrier, réponses automatiques en dehors du bureau.
Limites : pas d'accès IMAP/POP3, pas de compatibilité avec des clients externes, l'importation de données à partir d'autres services est plus limitée sur le plan fonctionnel qu'avec Proton Easy Switch, l'envoi de messages cryptés à des adresses autres que Tuta nécessite le partage d'un mot de passe avec le destinataire.
Calendrier Tuta
Calendrier chiffré directement intégré à l'application - il ne s'agit pas d'une fonctionnalité supplémentaire, mais d'une partie intégrante du produit dès le départ. Cryptage des événements de bout en bout, événements récurrents, rappels, partage de calendrier. Importation/exportation au format ICS. L'intégration avec des applications externes via CalDAV n'est pas prise en charge - CalDAV nécessiterait l'accès aux données décryptées sur le serveur.
TutaCrypt - cryptage post-quantique en standard
Ici, Tuto devance même Proton, et de loin.
À partir de mars 2024, Tuta déploiera TutaCrypt, est un protocole de cryptage hybride post-quantique. Son noyau est une combinaison de Cyber-1024 (algorithme d'échange de clés post-quantique), NIST normalisé) et le classique X25519, complété par AES-256 en mode CBC avec HMAC-SHA-256 et Argon2 pour la dérivation de la clé du mot de passe. Le principe est simple : si l'un des algorithmes est cassé à l'avenir - que ce soit par des méthodes classiques ou quantiques - l'autre protège toujours la communication.
TutaCrypt est la solution par défaut pour les nouveaux comptes à partir de mars 2024 ; le déploiement pour les comptes existants a été déclaré par Tuta comme un processus graduel. Tuta présente ce déploiement comme la première mise en œuvre à l'échelle d'une zone d'une protection post-quantique chez un fournisseur de messagerie électronique - il s'agit de leur propre affirmation, qu'il est difficile de comparer de manière indépendante avec les déploiements expérimentaux d'autres projets. À titre de comparaison. VPN cryptage post-quantique seulement prévu dans la feuille de route 2025-2026, Proton Mail ne l'a pas encore mis en œuvre.
Le contexte „récolter maintenant, décrypter plus tard“ - collecter des données cryptées aujourd'hui dans le but de les décrypter lorsque des ordinateurs quantiques suffisamment puissants seront disponibles - est un motif que Tuta cite explicitement comme principal argument en faveur d'une protection post-quantique dans le courrier électronique. La menace est particulièrement pertinente pour les communications sensibles à long terme (juridique, santé, journalisme d'investigation). Tuta aborde cette catégorie de manière proactive, et non dans le cadre de plans futurs.
Forfaits et tarifs
Gratuit - gratuit ; 1 Go de stockage, 1 utilisateur, 1 alias, fonctions de base. Utilisable à long terme, sans limite de temps.
Révolutionnaire - ~3 €/mois (frais annuels) ; 20 Go de stockage, 15 alias, domaines personnalisés, assistance prioritaire.
Légende - ~8 €/mois (frais annuels) ; 500 Go de stockage, alias illimités, 3 domaines personnalisés.
Les équipes - à partir de ~6 €/utilisateur/mois ; stockage partagé, console d'administration, gestion des membres de l'équipe, journaux d'audit.
La structure des prix est claire et sans surprise. Le prix du plan Legend est nettement inférieur à celui de Proton Unlimited - mais Tuta n'offre pas de VPN, gestionnaire de mot de passe Il ne s'agit pas tant d'un écosystème développé. Il s'agit d'un compromis conscient : Tuta en fait moins, mais pour moins d'argent.
Migration et portabilité des données
Tuta ne fournit pas d'équivalent à Proton Easy Switch - un outil automatisé qui se connecte à Gmail via OAuth et extrait lui-même les données. Mais en 2024, Tuta a ajouté une fonctionnalité native à ses clients Importation d'e-mails (Paramètres → Importation d'e-mails), qui permet d'importer directement en masse des fichiers .mbox ou .eml sans passer par un intermédiaire externe. La transition est donc moins commode qu'avec Proton, mais ne nécessite plus de préparation manuelle des données via Thunderbird.
En sortie, les courriels peuvent être exportés au format EML ou MBOX. Le calendrier est exporté au format ICS, les contacts au format VCF. La portabilité est techniquement assurée, mais le processus de migration n'est pas aussi débogué que celui de Proton.
Un avantage spécifique par contre : parce que Tuta ne supporte pas IMAP et n'a pas de Bridge, il n'y a pas d'expérience de transition „semi-fonctionnelle. Soit vous utilisez pleinement Tuta par le biais de sa propre interface, soit vous ne l'utilisez pas. Il n'y a pas de compromis intermédiaire qui pourrait conduire à des malentendus en matière de sécurité.
Incidents de sécurité et rapports transparents
Les rapports de transparence, un canari pour les mandats
Tuta publie des rapports sur les ordonnances judiciaires émises. Il distingue deux types de données : données d'inventaire (données d'identification et données opérationnelles - nom, adresse, date d'enregistrement) et données de contenu (le contenu des messages, qui ne peut généralement pas être divulgué parce qu'il est crypté). Selon les dernières données disponibles, 165 demandes de données d'identification ont été enregistrées au second semestre 2025 et 172 au premier semestre 2025. Ces chiffres sont nettement inférieurs à ceux de Proton, ce qui reflète à la fois la base d'utilisateurs plus restreinte et la structure différente des ordres juridiques allemands. Il est important de noter que Tuta conteste activement ces ordres devant les tribunaux, notamment par le biais de plaintes constitutionnelles.
Tuta publie également canari à mandat - une déclaration périodiquement mise à jour indiquant qu'elle n'a pas reçu d'ordre de surveillance secrète depuis cette date. À la date du présent document, le canari était en vigueur. Tuta fait remarquer que les ordres de surveillance secrète de masse ne sont pas possibles en vertu du droit allemand - il s'agit de son interprétation juridique, et non d'une thèse généralement vérifiable pour l'ensemble du système allemand.
Incident 2020/2021 - affaire de chantage et décision de la BGH
Entre 2020 et 2021, le tribunal régional de Cologne a ordonné à Tuta de surveiller et de stocker en temps réel messages entrants non cryptés d'un compte spécifique soupçonné d'extorsion. Le mot-clé est "non crypté". communication cryptée Le fait qu'il n'y ait pas eu d'échange de données entre les comptes Tuta n'était déjà pas disponible à l'époque, la Cour s'est concentrée sur les messages provenant de sources externes et non cryptées.
Tuta a contesté l'ordonnance, faisant valoir qu'en tant que service de communication exploité sur l'internet (service "over-the-top"), elle n'est pas soumise à la même législation que les opérateurs de télécommunications traditionnels. En 2021, la Cour fédérale de justice allemande (BGH) a donné tort à Tuta : les services "over-the-top" relèvent de la législation applicable selon son interprétation. Tuta a donc dû mettre en place une solution technique pour permettre l'interception ciblée des communications entrantes non cryptées pour les autorités chargées de l'application de la loi.
L'affaire est importante pour deux raisons : premièrement, elle confirme que Tuta n'est pas à l'abri d'une décision de justice - aucune information cryptée ne peut être transmise à des tiers. service de courrier électronique Ce n'est pas le cas. Deuxièmement, cela montre que Tuta est prêt à contester activement les ordonnances devant les tribunaux. Il s'agit d'une position différente de celle qui consiste à dire simplement „nous étions obligés de nous conformer“.
Qu'est-ce que cela implique ?
La leçon des affaires Proton se répète : le chiffrement protège le contenu, pas les métadonnées et pas les décisions de justice ciblées. Tuta ne prétend pas le contraire. Si vous êtes confronté à un adversaire sophistiqué ayant accès au système judiciaire, Tuta ne peut pas garantir l'anonymat, mais il peut garantir que le contenu de vos communications restera illisible.
Points forts et réserves répétées
Ce que la communauté apprécie
Au Guides sur la protection de la vie privée, Techlore a r/privacy Tuta est positionné à plusieurs reprises comme une alternative recommandée à Proton pour les utilisateurs qui n'ont pas besoin de l'ensemble de l'écosystème. Plus précisément : chiffrement des sujets des messages, mise en œuvre proactive de TutaCrypt, application de bureau Linux sans besoin de Bridge, audits de code toujours propres (audits indépendants réalisés par Cure53 et Secfault Security), et prix inférieur pour une solution complète de courrier électronique chiffré. La structure de propriété amorcée - sans capital-risque - est considérée par la communauté de la protection de la vie privée comme un argument en faveur d'une confiance à long terme.
Réserves répétées
Les frustrations les plus courantes : l'écosystème est étroit. Tuta ne propose pas de VPN, de gestionnaire de mot de passe ou d'appel vidéo crypté. Ceux qui veulent une solution à compte unique pour l'ensemble de leur vie privée numérique doivent combiner Tutu avec d'autres outils (Mullvad ou IVPN pour le VPN, Bitwarden pour les mots de passe).
La deuxième réserve est l'absence d'accès IMAP. Pour les utilisateurs habitués à Thunderbird ou Apple Mail, il s'agit d'un obstacle insurmontable - avec Proton, il y a Bridge comme passerelle, avec Tuta, il n'y a rien. Tuta justifie cette décision par des arguments de sécurité, mais pour certains utilisateurs, c'est un obstacle absolu, quelle que soit la logique.
Troisième réserve : l'importation de données lors du passage d'un autre service est moins pratique que Proton Easy Switch.
Principaux arguments pour et contre
Pour Tuta
L'argument technique le plus important est le cryptage des sujets des messages - ce que Proton ne peut techniquement pas offrir en raison de la compatibilité avec OpenPGP. TutaCrypt avec une couche post-quantique est mis en œuvre aujourd'hui et ne figure pas dans la feuille de route. Le prix d'une solution de messagerie comparable est inférieur à celui de Proton. L'entreprise sans investisseurs réduit le risque d'un pivot futur vers la monétisation des données. Les applications Linux natives ne dépendant pas de Bridge constituent un avantage particulier pour les utilisateurs de distributions Linux. La résistance juridique active au suivi des commandes - et non la simple conformité - indique une attitude différente de la moyenne du marché.
Contre Tuta
L'écosystème est délibérément étroit - Tuta ne se définit pas comme un remplaçant de Google Workspace, mais comme un remplaçant de Gmail. Ceux qui ont besoin de plus, combinent. L'absence d'accès IMAP est un obstacle insurmontable pour certains utilisateurs. La migration depuis d'autres services est moins aisée. Allemand Compétence est une garantie plus faible que celle de la Suisse, mais plus forte que celle de la plupart des membres de l'UE. En outre, une base d'utilisateurs plus restreinte signifie moins de soutien de la part de la communauté et moins de solutions d'intégration par des tiers.
Bilan final
Tuta n'est pas Proton Lite. Sa philosophie est différente : au lieu de construire un écosystème, Tuta se concentre sur courrier électronique crypté était techniquement correcte et disponible. Cryptage d'objets, protection post-quantique, client Linux natif, architecture pure de zéro connaissance - dans ces domaines, Tuta Proton rattrape son retard ou prend de l'avance.
Pour qui : les utilisateurs qui recherchent avant tout une solution de messagerie sécurisée et qui sont prêts à gérer les VPN, les mots de passe et le stockage à l'aide d'outils distincts. Pour ceux pour qui le chiffrement des messages est une priorité (avocats, journalistes, activistes). Pour les utilisateurs de Linux qui ne veulent pas de Bridge. Et pour ceux pour qui une société autofinancée sans investisseurs extérieurs est plus convaincante qu'une société holding suisse à but non lucratif.
Pour qui Tuta n'est probablement pas le meilleur choix : pour les utilisateurs qui veulent un compte unique pour remplacer l'ensemble de l'écosystème Google, pour les utilisateurs qui dépendent de clients de messagerie externes, et pour ceux qui migrent de grandes quantités de données depuis Gmail et qui veulent un outil basé sur un assistant.
Tuta et Proton Mail ne sont pas des concurrents directs au sens où l'un d'entre eux doit gagner. Ce sont des réponses différentes à la même question : à quoi ressemble un courrier électronique que seul le destinataire lit ? Les deux sont convaincants - ils diffèrent par ce qu'ils offrent autour de cette réponse et par le prix qu'ils demandent pour cela.
Sources.tuta.com), Rapports de transparence de Tuta, Tutao GmbH, Normalisation de la cryptographie post-quantique par le NIST, Audit de sécurité Cure53 (Tutanota), Audit de sécurité Secfault, Bundesgerichtshof (BGH) - Décision Tutanota 2021, Guides sur la protection de la vie privée, Techlore, r/privacy, r/tutanota
Čeština
English
Deutsch
Español
Français