Tuta, le service d’e-mail et d’agenda sécurisé autrefois connu sous le nom de Tutanota, vient de franchir une nouvelle étape pour renforcer la confidentialité de ses utilisateurs. L’entreprise a annoncé l’introduction de la vérification des clés, une fonctionnalité qui permet de s’assurer que les messages chiffrés sont bien protégés contre les attaques dites de type man-in-the-middle – ou comme l’appelle Tuta, les monsters in the middle (monstres au milieu).
Tuta se distingue (depuis longtemps, il faut le souligner) par son choix d’un chiffrement de bout en bout par défaut, basé sur des algorithmes résistants aux menaces futures de l’informatique quantique. Lorsqu’un utilisateur envoie un e-mail ou une invitation de calendrier chiffrée, le processus repose sur une paire de clés publique et privée. Jusqu’à présent, l’échange de la clé publique était géré automatiquement par le service, ce qui simplifiait l’expérience, mais laissait subsister une incertitude : comment être sûr que la clé utilisée est bien celle du destinataire, et non celle d’un attaquant.
Comme toujours, tout cela est géré en open source ! Avec la nouvelle vérification, les utilisateurs peuvent contrôler eux-mêmes l’authenticité de la clé publique de leurs contacts. Tuta propose deux méthodes : scanner un QR code directement dans l’application ou comparer manuellement un code de vérification affiché dans les paramètres de chaque compte. Une fois la clé validée, toutes les communications suivantes avec ce contact bénéficient d’une garantie renforcée contre toute interception.
Pour ceux qui choisissent de ne pas activer la vérification, Tuta continue d’appliquer le principe du TOFU (Trust On First Use) : la première fois que vous échangez un message, la clé est stockée et considérée comme valide tant qu’elle ne change pas. Si une modification imprévue survient, une alerte est déclenchée pour signaler un risque potentiel. Cette approche rend le chiffrement accessible sans effort supplémentaire, mais la vérification manuelle reste le moyen le plus sûr d’éviter toute falsification.
En combinant ce nouveau mécanisme à son chiffrement quantique-résistant déjà en place, Tuta confirme sa volonté de rester l’un des services de messagerie les plus sécurisés et respectueux de la vie privée en Europe, aujourd’hui.
