# Sécurité email.tr : architecture zero-knowledge et chiffrement de bout en bout

Le slogan d'email.tr est « le service e-mail le plus sécurisé de Türkiye », et cette affirmation repose sur des critères mesurables : une architecture zero-knowledge, une connexion sans mot de passe avec SRP, des contenus chiffrés, la prise en charge des clés matérielles et des documents juridiques publiés. Plutôt que des promesses absolues, nous expliquons la conception.

## Architecture zero-knowledge

- **Votre mot de passe n'atteint jamais le serveur :** la connexion s'effectue via le protocole SRP-6a ; au lieu du mot de passe lui-même, le serveur reçoit une preuve mathématique que vous le connaissez.
- **Les clés sont générées sur votre appareil :** vos clés de chiffrement ne sont stockées que sous forme chiffrée, enveloppées par une clé dérivée de votre mot de passe ; le serveur ne voit que des données chiffrées.
- **Les mots de récupération (BIP-39)** ne sont détenus que par vous. Si le mot de passe et les mots de récupération sont tous deux perdus, les contenus chiffrés ne peuvent pas être ouverts, par conception ; ce n'est pas un défaut mais le prix du modèle zero-knowledge.

## Chiffrement de bout en bout et Vault Mode

- Les objets, les corps de message, les noms des pièces jointes et les pièces jointes sont stockés chiffrés. Les messages entre utilisateurs d'email.tr ne peuvent pas être lus côté serveur ; la protection des messages envoyés à des destinataires externes dépend du serveur du destinataire, et l'interface signale cette distinction par un badge.
- **Vault Mode (Ultra) :** la couche de protection la plus élevée, que certains utilisateurs recherchent sous le nom de « vault mail ». Le chiffrement se produit entièrement sur votre appareil ; les données sont verrouillées avant de quitter l'appareil, et seule la forme chiffrée atteint le serveur.

## Sécurité de la connexion

- Vérification en deux étapes (TOTP) : sur les offres Premium et Ultra.
- **Clés matérielles YubiKey / FIDO2 (Ultra) :** la connexion ne peut pas aboutir sans la clé physique ; c'est la couche la plus robuste contre le phishing.
- Notifications de connexion depuis un nouvel appareil, gestion des sessions et protection contre la force brute.

## Infrastructure

Le réseau mondial de Cloudflare, le WAF, la limitation de débit et des journaux d'audit inviolables reliés par chaîne de hachage. L'état du système est publié sur la page /en/status.

## Une comparaison honnête avec Proton Mail et Tuta

Proton Mail (Suisse) et Tuta (Tutanota, Allemagne) sont des services respectés, axés sur la confidentialité ; ils appliquent avec succès l'approche du chiffrement de bout en bout depuis des années. email.tr partage le même sérieux zero-knowledge ; les différences sont les suivantes : une adresse .tr, une interface en turc et un support en langue turque, des outils comme l'agenda + le drive + la signature électronique proposés au sein du même abonnement (la signature électronique est sur l'offre Ultra), et un service exploité dans le cadre de la loi turque. Nous ne dénigrons pas les concurrents ; nous disons que nous sommes l'alternative naturelle pour les utilisateurs qui vivent en Türkiye ou qui attendent un service en turc.

## La limite honnête de nos affirmations

Nous ne disons pas « rien ne peut être piraté » ; aucun service sérieux ne le peut. Notre conception est bâtie pour qu'une seule brèche ne se transforme pas en exposition des contenus : le serveur ne voit que des données chiffrées.

Documents juridiques et contrats (y compris la notice d'information KVKK) : https://mail.email.tr/sozlesmeler
