Ce qu’il faut savoir sur le protocole open source TutaCrypt

Pour ses 10 ans, Tuta(nota) s’offre l’une des mises à jour les plus importantes de l’histoire de son service de courrier électronique avec TutaCrypt. L’air de rien, cela fait de Tuta Mail le premier fournisseur de messagerie électronique au monde capable de protéger les courriels contre les attaques d’ordinateurs quantiques.

TutaCrypt est un protocole dit post-quantique qui, selon l’éditeur allemand, sécurisera les courriels à l’aide d’un protocole hybride combinant des algorithmes de pointe à sécurité quantique et des algorithmes traditionnels (AES/RSA).

Tuta activera par défaut le chiffrement à sécurité quantique pour tous les nouveaux comptes Tuta Mail. Le nouveau protocole sera progressivement déployé pour tous les utilisateurs actuels de Tuta. Les nouveaux utilisateurs de Tuta n’ont donc aucune mesure à prendre, mais doivent mettre à jour la dernière version des applications Tuta pour les algorithmes post-quantiques afin de protéger leurs courriels, leurs calendriers et leurs contacts.

Les partenaires du projet PQDrive de l’université de Wuppertal en Allemagne ont audité la nouveauté. Et ils n’ont pas constaté de problèmes de sécurité avec le protocole TutaCrypt. « Nous sommes en train d’améliorer le protocole en collaboration avec l’université de Wuppertal et, à long terme, nous visons à mettre en œuvre le protocole PQMail complet afin d’obtenir la Perfect Forward Secrecy et la Future Secrecy en tant que propriétés de sécurité supplémentaires. »

Comme Tuta Mail est un projet open source, vous pouvez également jeter un coup d’œil à l’intégration du protocole sur le dépôt GitHub officiel de l’entreprise. Pour bien comprendre le protocole, rendez-vous sur le blog de Tuta, dans ce long article.

Source goodtech.info

Tuta active le chiffrement AES 256 et Argon2 par défaut

Le service Tuta(nota) démarre l’année 2024 avec une solide nouveauté en matière de sécurisation des échanges. Tous les comptes Tuta utilisent désormais le chiffrement Argon2 et AES 256 par défaut. Une nouvelle étape dans la feuille de route de l’éditeur vers un chiffrement post-quantique.

Advanced Encryption Standard (AES) 256 est un algorithme de chiffrement symétrique. Il utilise une clé de 256 bits pour convertir un texte ou des données en clair en un chiffre. Il a été introduit pour la première fois en 2001 par l’Institut national américain des normes et de la technologie (NIST). Selon Tuta, l’AES 256 est le chiffrement symétrique le plus performant (vitesse, sécurité quantique, gros volumes de données, moins de puissance de calcul).

Jusqu’ici, l’AES 128 était la règle. Les deux (128 et 256) sont basés sur le principe de conception d’un réseau de permutation de substitution (SPN) qui applique une série d’opérations mathématiques en plusieurs “tours” pour chiffrer les données. L’AES 128 comporte 10 de ces tours alors que l’AES 256 en comporte 14. AES 256 est, estime Tuta, la plus sûre de toutes les couches de chiffrement AES existantes : « Il est étonnant de voir à quelle vitesse les choses peuvent changer : alors que nous assistons à l’essor des ordinateurs quantiques, l’opinion scientifique sans ambiguïté est que seul l’AES 256 peut protéger vos données contre les attaques à venir des ordinateurs quantiques. Toutefois, cela ne signifie pas que les données protégées par l’AES 128 sont sensibles à toutes les attaques connues aujourd’hui. »

Autre nouveauté pour les utilisateurs : Tuta a activé Argon2 comme fonction standard de dérivation de mot de passe pour tous les nouveaux comptes ou lorsque vous changez votre mot de passe. Argon2 est un processus de dérivation de clé, qui garantit que vos clés de chiffrement qui sont chiffrées à partir de votre mot de passe dans le client Tuta sont sécurisées.

Source goodtech.info

Tutanota : applications mobiles en mode offline

L’application mobile de Tutanota, service d’e-mail chiffré, pourra être utilisées hors ligne. La version Android, développée en open-source, montre la voie, la version iOS devrait rapidement suivre le mouvement.

La fonction est lancée depuis le printemps dernier sur les applications de bureau, au tour des applications mobiles. C’est par le biais d’un tweet que la bonne nouvelle a été annoncée par les développeurs. L’application Android de Tutanota est accessible même quand il n’y a pas de réseau, c’est ce que l’on appelle le mode « offline » ou hors-ligne.

Good morning privacy fans ! We have completed the release of the offline function on Android !

iOS… you’re next.

— Tutanota (@TutanotaTeam) August 26, 2022

L’application Android est la première à bénéficier de cette fonctionnalité. Viendra ensuite la version iOS et iPadOS.

L’application Tutanota ne collecte toujours aucune donnée. Son développement est open-source.

Elle est bien disponible via Google Play, mais aussi via F-Droid (consultez notre guide fdroid à cette adresse) et en téléchargement (APK) via le compte Github.

Source toolinux.com

L’application Tutanota pour Android enfin sur F-Droid

Toutes les applications Tutanota sont des logiciels libres, y compris les applications mobiles pour iOS et Android. La version Android ne dépend plus de Cordova, ce qui permet à l’éditeur de la rendre disponible sur F-Droid.

F-Droid regroupe des logiciels libres pour Android. Cela tombe bien, l’application de messagerie de Tutanota est développée à code ouvert. Problème : l’application originale de Tutanota était développée sur la base de Cordova, ce qui empêchait sa publication sur F-Droid, car les serveurs de F-Droid ne pouvaient pas construire l’application.

« Nous sommes des passionnés de la vie privée et de l’open source, nous utilisons nous-mêmes F-Droid. Par conséquent, notre application doit y être publiée, quel que soit l’effort à fournir« , peut-on lire sur le blog officiel. « Par conséquent, nous avons complètement reconstruit notre client de messagerie et publié le nouveau client de messagerie avec de nombreuses améliorations. Le nouveau client est beaucoup plus rapide, a un meilleur design, permet la recherche sur des données chiffrées, supporte le 2FA et l’auto-synchronisation. » Précision : il n’est plus basé sur Cordova.

Cette mise à jour a finalement permis de publier la toute nouvelle application Tutanota Android sur F-Droid. Elle peut être téléchargée dès maintenant.

Les utilisateurs attendent toujours l’introduction du mode conversation, ainsi que la possibilité d’importer des messages venant d’autres services.

Consultez notre guide pratique F-Droid pour installer des applications open source sur votre smartphone ou tablette Android.

Source toolinux.com

Les clés matérielles U2F renforcent la sécurité de Tutanota

Le service de courrier électronique sécurisé Tutanota ajoute le support U2F (clés matérielles) aux options d’authentification à deux facteurs pour les clients de bureau Tutanota sous Linux, Windows et macOS.

Le service en ligne a, depuis longtemps, généralisé l’utilisation de l’authentification U2F. Le client webmail de Tutanota supporte depuis longtemps l’U2F. Aujourd’hui, vous pouvez sécuriser votre boîte aux lettres cryptée avec U2F sur tous les clients de bureau de Tutanota, notamment sous Linux. Le prochain objectif est le support U2F pour les applications mobiles sur Android et iOS.

« Bien que ce ne soit pas une obligation, nous vous recommandons fortement d’ajouter un second facteur à votre compte Tutanota pour protéger au maximum votre boîte aux lettres. Ainsi vous pouvez ajouter une couche de sécurité supplémentaire à vos identifiants de connexion pour empêcher le vol de votre mot de passe », peut-on lire sur le blog officiel.

Les avantages :
La clé privée est stockée localement sur le dispositif U2F
Garantit la protection contre les attaques MITM et le phishing
Nécessite un dispositif matériel (l’application Yubico fonctionnera comme jeton logiciel à l’avenir)
Aucune saisie manuelle requise.

Source toolinux.com

Les applications de Tutanota sont sorties de leur phase bêta

Le service de courrier électronique sécurisé Tutanota annonce la fin du label bêta pour ses applications de bureau. La première version stable est disponible et le développement se poursuit.

Depuis le 21 juin, les utilisateurs du service Tutanota peuvent télécharger et installer la première version stable de l’application de courrier électronique de bureau. Elle est disponible, en plus du webmail, pour Windows, macOS et en version Linux.

Caractéristiques

Les clients de bureau s’intègrent plus profondément dans le système d’exploitation, y compris sous Linux, mais conservent les avantages de la version web au grand complet : boîte aux lettres, carnet d’adresses et calendrier cryptés, recherche de données cryptées en local, notifications d’email et de calendrier, raccourcis, filtres, liste d’autorisation pour les expéditeurs de confiance pour charger les images, mais aussi une authentification à deux facteurs avec TOTP.

Quelle différence avec la version web ?

Les clients sont plus avancés, car ils peuvent ouvrir des fichiers, envoyer des notifications, utiliser le stockage secret du système, effectuer une vérification orthographique plus poussée ou encore définir Tutanota comme client de courriel par défaut. L’éditeur annonce également une politique d’installation pour une utilisation professionnelle.

Et demain ?

Réclamée depuis plusieurs années, la fonction d’import de courrier électronique provenant d’un autre service n’est toujours pas d’actualité, contrairement à Proton ou Mailfence. Les développeurs annoncent également la mise en place d’un label blanc pour les clients de bureau et les applications, l’activation du support hors ligne et la possibilité d’ajouter l’authentification à deux facteurs en mode U2F.

Les clients sont-ils open source ?

Oui, les clients Linux, macOS et Windows sont open source, une stratégie assumée par l’éditeur et sous licence GPL-3.0. Le code source se trouve sur GitHub.

Où trouver les applications Tutanota ?

Les applications de bureau de Tutanota sont disponibles grauitement pour Windows, macOS et Linux. Les applications mobiles sont également proposées sur iOS/iPadOS et Android, notamment sur F-Droid, la boutique d’applications mobiles open source.

Source toolinux.com