"Nous nous voyons comme des combattants de la liberté et de la vie privée" - Interview Tuta

Entre chiffrement post-quantique, refus catégorique de l’IA dans la boîte mail et bras de fer avec Bruxelles sur Chat Control, Matthias Pfau assume une ligne radicale en faveur de la vie privée. Le fondateur de Tuta revendique une croissance maîtrisée, sans investisseurs, et une obsession : bâtir une alternative crédible à Google et Microsoft sans céder un pouce sur la sécurité.

Dans cette interview, Matthias Pfau revient sur les choix stratégiques qui ont façonné Tuta : priorité absolue au chiffrement, développement lent mais durable, et rejet des compromis dictés par le marché. Il détaille l’arrivée prochaine de Tuta Drive, les coulisses de TutaCrypt et sa vision d’un web où l’anonymat et le chiffrement de bout en bout restent des droits fondamentaux, pas des options. Face à Proton et aux géants américains, il défend une autre voie : moins de "fonctionnalités tape‑à‑l’œil" et plus de cohérence cryptographique avec la promesse que les données des utilisateurs ne serviront jamais de monnaie d’échange.

Avec une équipe d’environ 40 personnes en 2025, comment hiérarchisez-vous les priorités entre des fonctions très attendues comme l’import d’e-mails – qui a mis des années à arriver – et des innovations de pointe comme TutaCrypt ? Vous avez recruté plusieurs personnes l'année dernière. Est-ce que vous cherchez à accélérer le développement ?

Matthias Pfau : L’import d’e-mails a été publié en bêta il y a environ un an – plus de deux ans après l’annonce du lancement de ce chantier. C’est vrai, cela peut paraître très long, mais il faut regarder ce que cela implique en coulisses. En parallèle de l’import d’e-mails, nous avons aussi démarré le développement de Tuta Drive, qui est résistant aux attaques quantiques (et qui passe en alpha privée au moment où nous parlons). La logique derrière ce choix est simple : l’import d’e-mails comme un produit de type Drive nécessitent tous deux bien plus de stockage que nos services existants de messagerie et de calendrier.

Tout d'abord, nous avons donc dû effectuer d’importantes mises à niveau de notre infrastructure serveur, pour pouvoir stocker, importer, exporter et partager de gros fichiers de manière efficace. Et puis, comme nous avons reçu une subvention allemande pour développer la solution Drive avec chiffrement résistant au quantique, nous avons introduit notre prototype TutaCrypt dans Tuta Mail et Tuta Calendar, puis nous l’avons optimisé avec les résultats de nouvelles recherches et les retours des testeurs bêta.

Ces deux projets ont eu lieu en arrière-plan et sont restés totalement invisibles pour les utilisateurs. Donc, vu de l’extérieur, on a l’impression que tout cela nous a pris énormément de temps ; mais de notre point de vue, nous avons réalisé beaucoup de progrès ces dernières années et nous sommes maintenant presque prêts à lancer Tuta Drive. Et c'est un succès remarquable compte tenu du fait que nous ne sommes qu’une quarantaine de personnes. Et oui, bien sûr, nous voulons accélérer le développement, donc nous recrutons constamment des développeurs. Nous sommes une équipe très internationale ; nous avons même des collègues français, et nous en accueillerions volontiers davantage !

Comme nous devons désormais aussi travailler sur le produit Drive, nous devons correctement dimensionner toutes les autres équipes de développement, parce que nous voulons continuer d’améliorer Tuta Mail et Tuta Calendar, et pas juste les mettre de côté pour pouvoir lancer un nouveau produit. Notre objectif ultime est de construire le service de messagerie le plus sécurisé et le plus simple à utiliser. Les calendriers et le partage de fichiers sont des compléments naturels, mais ce ne sont pas notre cœur de métier.

Dans notre test, nous avons constaté que des fonctions de base comme les libellés ont mis 10–11 ans à arriver (janvier 2025), alors que vous êtes devenus le premier service à déployer du chiffrement post‑quantique à grande échelle. Comment justifiez-vous ce décalage entre innovation cryptographique et expérience utilisateur au quotidien ?

M.P : Avant tout, Tuta Mail est – et restera toujours – un projet "security‑first". Même si nous nous concentrons de plus en plus sur les fonctionnalités, les mises à jour et améliorations de sécurité sont constantes. C’est quelque chose qui devrait exister dans n’importe quel projet de développement, mais malheureusement beaucoup d’entreprises, en particulier des start-up, préfèrent aller au plus vite en se focalisant trop sur les fonctionnalités visibles et le polissage du design.

Tuta n’est peut-être pas le produit le plus "sexy" qui soit, mais il faut s’en souvenir : l’e-mail n’est pas sexy. En réalité, c’est assez ennuyeux. Mais tout le monde en a besoin, et c’est un domaine où la sécurité est absolument cruciale. Pensez à tous les comptes – Amazon, PayPal, Facebook – que vous reliez à votre adresse e-mail. Si votre boîte mail se fait pirater, un attaquant peut très facilement prendre le contrôle de tous ces comptes via de simples réinitialisations de mot de passe.

Avoir une boîte mail chiffrée de manière sûre face aux futurs ordinateurs quantiques, avec une authentification à deux facteurs, est objectivement l’un des meilleurs moyens de protéger toute votre vie numérique, pas seulement vos emails.

Pour revenir à la question des libellés : dans ce cas précis, nous avions décidé en interne de nous concentrer sur les règles de boîte de réception avec une gestion optimisée des dossiers, et nous estimions que cela suffirait pour la plupart des utilisateurs. Cependant, la demande récurrente et insistante des utilisateurs nous a convaincus qu’il fallait ajouter les libellés, et nous avons donc fini par implémenter cette fonctionnalité.

Le projet PQDrive a été annoncé en juillet 2023, avec une subvention de 1,5 million d’euros du gouvernement allemand. TutaCrypt est opérationnel depuis mars 2024, mais on ne voit toujours pas Tuta Drive arriver. Où en est précisément le développement ? Les utilisateurs doivent-ils s’attendre à un lancement en 2026 ou est-il encore trop tôt pour le dire ?

M.P : Excellente question ! Nous sommes sur le point de publier une alpha interne de Tuta Drive, et nous prévoyons une première bêta publique quelques semaines plus tard. Restez à l’écoute.

Sur votre feuille de route publique, plusieurs fonctionnalités, comme l’envoi programmé, l’annulation d’envoi ou les widgets de calendrier, semblent bloquées depuis plus d’un an. Envisagez-vous de revoir votre processus de développement ou d’être plus transparents sur les délais réalistes afin d’éviter de frustrer vos utilisateurs ?

M.P : Dans ce cas, c’est notre feuille de route qui a besoin d’être mieux tenue à jour. Les widgets de calendrier ont été publiés mi‑2025 sur Android et iOS. Ils apparaissent encore sur la roadmap car nous les améliorons en continu ; par exemple, une vue mensuelle manque toujours, alors qu’elle est souvent demandée.

L’envoi programmé est déjà en cours de test au moment où nous parlons et devrait être publié très bientôt. L’annulation d’envoi sera la prochaine fonctionnalité sur laquelle notre équipe "mail" va travailler. Nous augmentons également notre cadence de développement, comme on peut le voir sur le blog Tuta où nous annonçons chaque mise à jour majeure.

Nous prévoyons aussi d’informer davantage les utilisateurs des nouveautés directement dans l’application, parce que beaucoup de choses se passent en arrière-plan sans que personne ne les remarque – sauf lorsque les utilisateurs recherchent explicitement une fonction particulière.

Nous avons également critiqué l’interface « rudimentaire » de Tuta et son calendrier "minimaliste". Proton, avec 400 employés, dispose certes de plus de ressources, mais propose aussi une suite complète – VPN, Drive, gestionnaire de mots de passe. Pourquoi rester cantonnés à la messagerie et au calendrier au lieu d’étendre votre écosystème ?

M.P : Notre stratégie chez Tuta est de construire l’outil de communication le meilleur et le plus sécurisé possible. Bien sûr, nous pourrions ajouter de nouveaux produits plus rapidement – comme Proton le fait – mais ce que nous observons avec cette approche, c’est qu’elle s’accompagne souvent d’une baisse de qualité produit, et c’est un compromis que nous ne voulons pas faire.

Nous voulons que Tuta Mail, Tuta Calendar et bientôt Tuta Drive fonctionnent de manière fluide sur tous les clients, y compris sous Linux. Nous accordons une grande importance à la parité fonctionnelle entre toutes les plateformes, et cela prend plus de temps que d’optimiser uniquement pour les plus gros systèmes comme Windows et macOS. Chez Tuta, nous aimons l’open source, nous utilisons Linux nous-mêmes, donc nous assumons pleinement ce choix.

Même si cela signifie qu’il faut plus de temps pour sortir de nouveaux produits, nous pensons que, sur le long terme, cette approche finit par payer et fidélise davantage les clients, au lieu de les voir passer d’un service à un autre.

L’authentification à deux facteurs n’est pas activée par défaut lors de la création d’un compte Tuta, ce qui peut sembler paradoxal pour un service qui revendique "Turn ON Privacy". Pourquoi ne pas rendre la 2FA obligatoire, ou au moins fortement encouragée dès l’inscription ?

M.P : C’est une remarque très pertinente, et je vais en parler avec notre équipe. Nous travaillons actuellement sur un parcours d’inscription amélioré pour aider les nouveaux utilisateurs à bien configurer leur compte, et ce serait effectivement une très bonne idée d’y intégrer cet aspect, donc merci de le souligner !

Pour l’instant, notre priorité pour les nouveaux utilisateurs est de les amener à stocker leur code de récupération. Chez Tuta Mail, nous avons beaucoup d’utilisateurs peu technophiles, qui ont l’habitude de simplement réinitialiser leur mot de passe par e-mail s’ils le perdent. Évidemment, ce n’est pas possible avec Tuta Mail, puisque c’est précisément leur compte e-mail.

Il est difficile d’expliquer l’importance de ce code de récupération à ces utilisateurs, mais il est absolument crucial : sans ce code, leur compte est définitivement perdu et nous ne pouvons pas le restaurer. Toutes les données sont chiffrées avec le mot de passe de l’utilisateur – donc même si nous le voulions, il nous est techniquement impossible de récupérer ces données.

Vous avez déclaré publiquement que vous préfèreriez "attaquer l’UE en justice plutôt que de casser votre chiffrement" à propos de Chat Control. Maintenant que le texte a évolué sans exiger "officiellement" de portes dérobées, avez-vous le sentiment d’avoir remporté cette bataille ? Et quelle est votre position sur les nouvelles menaces, comme la volonté de la France d’affaiblir le chiffrement ou les projets de surveillance en Suisse ?

M.P : Oui, c’est une grande victoire, et nous en sommes extrêmement heureux ! Pendant des années, tout indiquait que l’UE allait fragiliser l’un des mécanismes de sécurité les plus importants que nous ayons contre la surveillance de masse illégale, mais aussi contre des pirates malveillants, que ce soit depuis la Russie, la Chine ou ailleurs.

Mais, malheureusement, cette victoire a un goût amer : la proposition actuelle de Chat Control comprend encore l’obligation de vérifier l’âge sur les outils de communication comme les applications de messagerie et les services email. En pratique, cela rendra la communication anonyme en ligne quasiment impossible.

Chez Tuta, nous nous voyons comme des combattants de la liberté qui défendent le droit à la vie privée des citoyens. L’anonymat n’est pas exactement la même chose que la vie privée, mais les deux sont étroitement liés, et l’anonymat est essentiel pour des publics à risque comme les lanceurs d’alerte, les militants politiques, etc. C’est pour cela que l’on peut créer un compte Tuta Mail sans fournir de numéro de téléphone, même si cela nous demande un travail supplémentaire : nous devons approuver manuellement de nombreux comptes chaque jour pour vérifier qu’il s’agit bien de vraies personnes et non de spammeurs potentiels.

Nous acceptons ces efforts supplémentaires parce que nous croyons profondément à ces droits civiques et que nous voulons les défendre. Voilà pourquoi le combat contre Chat Control est loin d’être terminé, même si nous avons remporté une bataille.

Le tribunal de Cologne vous a contraints en 2020 à surveiller certains utilisateurs, et la Cour fédérale de justice a confirmé en 2021 que vous deviez remettre aux autorités les e-mails non chiffrés. Techniquement, comment gérez-vous ces injonctions sans compromettre votre architecture "zero‑knowledge" ? Et combien de demandes de ce type recevez-vous chaque année ?

M.P : En tant qu’entreprise allemande, nous respectons les décisions de justice allemandes valides, mais nous contestons aussi celles que nous jugeons infondées – comme le montre l’affaire de Cologne. Nous recevons quelques demandes de ce type chaque année ; les détails figurent dans notre rapport de transparence.

Si nous recevons une ordonnance judiciaire demandant la remise d’e-mails en temps réel, nous copions ces e-mails à leur arrivée sur le serveur, avant qu’ils ne soient chiffrés et placés dans la boîte aux lettres de l’utilisateur. Cela ne se fait que dans des cas isolés, et non à grande échelle, donc il ne s’agit pas de surveillance de masse.

Mais cela illustre une nouvelle fois pourquoi le chiffrement de bout en bout est si important et doit s’appliquer à toutes les données sensibles : seules les données chiffrées de bout en bout sont réellement inaccessibles à tout tiers – y compris à nous – et ne peuvent pas être remises. C’est pourquoi nous encourageons fortement les utilisateurs à utiliser l’option de chiffrement par mot de passe pour les e-mails envoyés à des destinataires externes, par exemple un utilisateur Gmail, plutôt que de basculer sur un envoi non chiffré.

Votre analyse des réglementations sur le chiffrement dans le monde présente l’Allemagne comme un "havre de paix" grâce au RGPD et à une société civile combative. Mais avec la montée des discours sécuritaires en Europe, pensez-vous que cette protection juridique tiendra dans les cinq prochaines années ?

M.P : La situation politique en Allemagne est très favorable, surtout grâce à une société civile très forte et bien organisée, qui s’oppose fermement à toute tentative d’affaiblir le chiffrement. Même si des lois actuelles comme le RGPD sont positives, personne ne peut prédire à quoi ressemblera le cadre juridique demain. Il suffit de regarder l’exemple de la Suisse que vous évoquiez, où l’on discute actuellement de l’une des pires lois de surveillance du monde occidental.

Nous devons garder en tête que l’on ne peut jamais se reposer sur un cadre légal existant. Tout ce que nous pouvons faire, c’est construire une communauté de personnes sensibles à la vie privée, essayer de la faire grandir, et nous organiser pour pouvoir défendre activement nos droits fondamentaux si nécessaire. Et en Allemagne, cela fonctionne très bien – bien mieux que dans la plupart des autres pays européens.

Proton a récemment lancé des fonctions d’IA, comme des assistants de rédaction et des résumés automatiques, ce qui a provoqué une mini‑vague de départs vers Tuta. Vous avez publié un article très critique intitulé "No AI in Email". Au-delà des questions de confidentialité, quelle est votre vision plus large de l’IA ? Voyez-vous des usages légitimes pour renforcer la sécurité, par exemple pour la détection de phishing, les anomalies ou l’analyse comportementale, sans sacrifier la confidentialité ?

M.P : L’IA est un sujet complexe. D’un côté, elle peut apporter des améliorations considérables, et de l’autre il faut impérativement prendre en compte les implications éthiques. Chez Tuta, nous respectons nos utilisateurs et nous les plaçons au premier plan. Cela signifie que nous ne les suivons pas à la trace, nous n’utilisons pas leurs données et ne les revendons pas.

Néanmoins, nous explorons des pistes pour améliorer certaines fonctions comme la gestion du spam en utilisant des techniques de machine learning ciblées sur des tâches précises, plutôt que des modèles de langage de grande taille. Pour nous, le point clé est le suivant : est-ce que cela apporte un bénéfice réel à l’utilisateur, tout en garantissant que ses données ne sont ni détournées ni transférées en clair de notre côté pour fournir la fonctionnalité ?

Dans les comparatifs Tuta vs Proton, vous gagnez sur le chiffrement des métadonnées (en particulier l’objet des messages) et sur les prix, mais vous perdez sur l’interopérabilité : pas de support PGP, pas de Bridge équivalent pour les clients tiers. Changerez-vous un jour de position, ou considérez-vous que votre approche propriétaire mais open source TutaCrypt est fondamentalement supérieure sur le long terme ?

M.P : Elle est supérieure, pas seulement à long terme, mais déjà aujourd’hui. Tuta Mail est le seul service de messagerie qui chiffre déjà vos données de façon à ce que des ordinateurs quantiques ne puissent pas les déchiffrer. Si vous avez aujourd’hui des données qui doivent rester confidentielles dans dix ans, vous n’avez pas d’autre option que d’utiliser Tuta pour vos emails.

Pourquoi ? Parce que sinon, les e-mails chiffrés peuvent être copiés et stockés dès maintenant, puis déchiffrés dans un futur proche lorsque les ordinateurs quantiques seront disponibles. À nos yeux, cela est beaucoup plus important que l’interopérabilité avec PGP – d’autant que PGP n’a jamais atteint le grand public et ne l’atteindra probablement jamais, malheureusement.

Un Bridge n’aurait pas de sens dans notre cas : Microsoft a décidé de synchroniser tous les e-mails accessibles dans le nouveau Outlook avec son propre backend. Cela signifie que si nous proposions un bridge, vos e-mails confidentiels seraient stockés en toute sécurité chez Tuta, mais en parallèle – en utilisant Outlook via un bridge – Microsoft les conserverait sans chiffrement de bout en bout. C’est une faiblesse de sécurité que nous ne pouvons pas accepter pour nos utilisateurs, puisque nous leur promettons le meilleur niveau de sécurité possible et que nous devons respecter cette promesse.

C’est pourquoi nous préférons concentrer nos efforts pour faire de Tuta Mail et de nos clients desktop un véritable remplacement au nouveau Outlook. Et nous avons déjà beaucoup avancé. De plus en plus de clients professionnels s’appuient sur nos services, et nous nous attendons à ce que ce nombre augmente fortement lorsque nous lancerons notre nouvel import en un clic, qui rendra la migration depuis Microsoft et Google extrêmement simple.

Vous revendiquez 10 millions d’utilisateurs et une rentabilité depuis 2016. Comment financez-vous des projets ambitieux comme TutaCrypt et TutaDrive sans lever de capitaux ? Et êtes-vous parfois tentés de faire entrer des investisseurs pour accélérer le développement, ou la propriété à 100% par les fondateurs est-elle non négociable ?

M.P : Nous avons déjà été approchés de nombreuses fois pour vendre l’entreprise, mais nous avons toujours refusé et continuerons à le faire. Nous voulons bâtir une alternative à Google et Microsoft, parce que nous pensons qu’un web meilleur est possible. Gagner beaucoup d’argent rapidement n’est pas notre objectif ; si c’était le cas, Tuta ne serait pas là où il en est aujourd’hui.

Nous finançons des projets lourds et complexes comme TutaCrypt et Tuta Drive grâce à des fonds publics, mais nous sommes aussi fiers de pouvoir financer notre croissance continue via les abonnements. Cela donne à nous-mêmes et à nos utilisateurs la confiance que nous serons encore là dans plusieurs décennies.

Une croissance trop rapide a déjà tué bon nombre de start-up, et nous n’entrerons pas dans ce piège en nous rendant dépendants des desiderata des investisseurs.

Onze ans après le lancement de Tutanota, où voyez-vous Tuta dans cinq ans ? TutaDrive aura-t-il enfin été lancé ? Envisagez-vous de nouveaux services, comme une messagerie instantanée post‑quantique chiffrée de bout en bout, ou préférez-vous perfectionner l’existant avant d’étendre votre offre ? Et question cruciale : comment comptez-vous combler l’écart avec vos concurrents ?

M.P : Tuta Drive sortira cette année, et c’est une promesse ! Même si, en général, nous évitons d’annoncer des dates précises, car on ne sait jamais ce qui peut arriver durant le développement… Nous n’avons pas encore arrêté de décision quant à d’éventuels nouveaux produits à l’avenir, mais nous allons clairement investir massivement dans l’optimisation de ceux que nous avons déjà.

Lorsque nous définissons notre stratégie, nous ne regardons pas Proton ; nous nous concentrons sur ce qui est le plus important pour nos utilisateurs, en termes de fonctionnalités, mais aussi en termes de sécurité. Nous préférons donc nous regarder nous-mêmes et nous demander ce qui est réellement nécessaire, non seulement pour attirer de nouveaux utilisateurs, mais aussi pour rendre les utilisateurs existants suffisamment satisfaits pour qu’ils soient prêts à monter en gamme. Car c’est l’élément le plus important quand on propose des produits centrés sur la confidentialité : il ne s’agit pas d’avoir des centaines de millions d’utilisateurs (ce que, reconnaissons-le, nous n’avons pas), mais de rendre les utilisateurs tellement heureux du produit qu’ils acceptent de payer pour lui – et, dans ce domaine, nous nous débrouillons plutôt bien, voire mieux que nos concurrents.

Nous continuerons d’améliorer Tuta en suivant cette stratégie, et nous serons ravis de refaire une comparaison dans cinq ans !