Encrypted directory
//
NoKYC.
EnglishEN EspañolES 中文ZH हिन्दीHI العربيةAR PortuguêsPT বাংলাBN РусскийRU 日本語JA DeutschDE FrançaisFR 한국어KO ItalianoIT TürkçeTR Tiếng ViệtVI PolskiPL УкраїнськаUK NederlandsNL Bahasa IndonesiaID ไทยTH فارسیFA עבריתHE SvenskaSV ΕλληνικάEL RomânăRO
← Blog
Published ·NoKYC Directory Editorial

Proton vs Tuta vs SimpleLogin en 2026 : encryption post-quantum, alias et juridictions

Proton vs Tuta vs SimpleLogin en 2026 : encryption post-quantum, alias et juridictions

L'email privé en 2026, les trois écoles

Trois fournisseurs dominent aujourd'hui le segment de l'email privé end-to-end encrypted accessible au grand public : Proton Mail (Genève, depuis 2014), Tuta (ancien Tutanota, Hanovre, depuis 2011), et plus récemment SimpleLogin, un service d'aliases racheté par Proton en 2022 et désormais profondément intégré dans l'écosystème Proton Pass. Les trois sont solides ; ils ne servent pas les mêmes besoins.

Cet article calibre la décision sans hype et sans FUD, en lisant honnêtement où chaque service excelle et où il échoue.

Tuta, le chiffrement le plus radical

La singularité technique de Tuta : c'est le seul fournisseur qui chiffre les subject lines par défaut. Là où Proton laisse le sujet en clair côté serveur (parce que le standard PGP historique ne couvre que le corps), Tuta a construit son protocole custom qui chiffre l'ensemble : sujet, corps, attachments, métadonnées non-routables.

Deuxième singularité, plus récente : Tuta est ahead sur le post-quantique. Le schéma hybride combinant Kyber-1024 (KEM post-quantique) et l'ECC X25519 classique a été déployé en production sur Tuta en 2024-2025, avant les concurrents. Pour un utilisateur qui prend la menace quantique au sérieux comme threat model à 10-15 ans, c'est un argument décisif.

Trade-offs Tuta :

  • Pas d'IMAP / SMTP, Tuta force l'usage du client officiel (web, Android, iOS, desktop). C'est une décision sécurité (pas de plain text en clair sur les protocoles legacy) mais c'est aussi une perte de flexibilité.
  • Écosystème moins étendu, pas de Drive, pas de VPN, pas de Pass bundle. Tuta reste un email provider focused.
  • Juridiction allemande, sous BND et BfV, avec lois de surveillance qui ont évolué défavorablement en 2023-2025. Tuta a documenté plusieurs ordres de justice auxquels il s'est conformé pour les métadonnées non-chiffrées.

Proton, l'écosystème intégré

Proton joue une autre carte : l'intégration. Mail + Drive + Calendar + VPN + Pass dans un seul compte, un seul plan tarifaire, une seule auth. Pour un utilisateur qui veut remplacer en bloc Google ou Microsoft 365 par un stack privacy-aware, Proton est la réponse maturité.

Forces protocolaires :

  • OpenPGP-compatible côté serveur, vous pouvez exporter votre clé et communiquer avec des utilisateurs PGP hors Proton
  • IMAP / SMTP bridge disponible sur les plans payants, permet l'usage des clients tiers (Thunderbird, Mailmate) avec une bridge qui chiffre / déchiffre localement
  • Recherche sur le serveur via Search Index chiffré, le serveur ne lit pas les emails mais permet une recherche locale rapide
  • Juridiction suisse, la Suisse a refusé en 2023 l'extension du Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs aux fournisseurs e-mail privés. Position confortable mais pas absolue.

Faiblesses :

  • Sujets en clair côté serveur, limite de l'approche PGP-compatible. Proton conserve les metadata non-chiffrées pour le routing et la threading. La position Proton est que cela est nécessaire pour la compatibilité SMTP, ce qui est techniquement vrai.
  • Post-quantique en retard, Proton a annoncé son roadmap PQ pour 2026-2027 mais n'a pas encore déployé en production au moment de la publication.
  • Pricing plus cher que Tuta sur les tiers professionnels (mais inclut Drive / VPN / Pass).

SimpleLogin (Proton), le système d'aliases

Acquis par Proton en 2022 et désormais cœur du produit Proton Pass, SimpleLogin est un service d'aliases, pas un mailbox provider. Le principe :

  • Vous générez un alias aléatoire (abc123@simplelogin.io) ou un alias custom sur un domaine que vous possédez
  • Quand quelqu'un écrit à cet alias, SimpleLogin forward vers votre vraie mailbox (Proton, Tuta, Gmail, n'importe laquelle)
  • Vous pouvez répondre via l'alias, SimpleLogin gère le spoof inverse
  • Vous pouvez désactiver l'alias à tout moment si le service le spamme ou est compromis

SimpleLogin est le bon outil pour deux usages : (1) signups sur des services tiers où vous ne voulez pas révéler votre vraie adresse, et (2) compartimentation des identités (banque vs forum vs commerce). Avec un alias par service, une compromission d'un service tiers ne donne pas accès à votre mailbox.

Tuta propose des aliases natifs (15 ou 30 selon plan, illimités sur custom domain) mais avec moins de granularité de gestion que SimpleLogin. AnonAddy / addy.io reste une alternative open-source crédible si vous voulez self-host ou éviter l'écosystème Proton.

Les pièges juridictionnels

Trois questions à se poser sur la juridiction :

  1. Le pays a-t-il une obligation légale de divulgation sur ordre judiciaire ? Suisse : oui, mais avec contrôle judiciaire renforcé. Allemagne : oui, avec obligation de coopération internationale étendue post-2023. USA : oui, avec NSL (National Security Letters) qui empêchent même la divulgation de l'ordre.
  2. Le pays peut-il forcer la décryption ? Suisse : non sur l'utilisateur, mais possibilité d'ordonner au fournisseur de modifier son service pour faciliter une surveillance future (le fameux problème « Lavabit scenario »). Allemagne : pareil. USA : possible via la All Writs Act, jurisprudence floue.
  3. Le fournisseur a-t-il un canary warrant ? Proton publie un transparency report et un warrant canary annuel. Tuta publie un transparency report. Suivez les deux.

Grille de recommandation par profil

  • Utilisateur lambda qui veut quitter Google → Proton Mail + Pass. L'écosystème intégré + l'UX mature rendent la transition la moins douloureuse.
  • Privacy-maximaliste avec menace post-quantique → Tuta. Le chiffrement des sujets + le déploiement PQ sont sans concurrence en 2026.
  • Utilisateur professionnel multi-identités → Proton Mail comme mailbox principale + SimpleLogin (ou Tuta avec custom domain) pour l'aliasing granulaire.
  • Self-hosting capable → AnonAddy / addy.io self-hosted + Tuta ou Proton comme mailbox forward final. Vous gardez le contrôle de la couche aliases ; le fournisseur ne voit que le forward.
  • Anonymat extrême + Tor obligatoire → Proton propose un hidden service .onion (protonmail.com.onion). Tuta n'en a pas encore en production en 2026. Sur cet axe, Proton est devant.

L'angle pratique, pour le directory

Notre catégorie Email référence Proton, Tuta, Cock.li, Cove, GoyMail, et plusieurs autres. Aucun de ces services n'est strictement no-KYC au sens des services de notre catégorie Cards (Goblin Cards) ou SMS (HeroSMS), Proton et Tuta vous demandent typiquement une adresse email de récupération ou un challenge téléphonique anti-spam, et Cock.li / Cove sont eux-mêmes des fournisseurs qui acceptent l'anonymat strict. La position du directory : Proton et Tuta sont des choix excellents pour le « mainstream privacy » ; Cock.li / Cove sont des choix plus radicaux pour qui veut un signup réellement anonyme. Les aliases viennent en couche au-dessus, et SimpleLogin reste le meilleur service du segment même pour un utilisateur Tuta principal.

More reading
Operation Blackout : la saisie record de 14 milliards en bitcoin contre Prince Group, et ce qu'elle dit du segment scam compound
Cartes crypto no-KYC : physique vs virtuelle vs BIN-sponsor, la cartographie 2026
MiCA + Travel Rule : la deadline du 1ᵉʳ juillet 2026 et la fin du no-KYC en Europe