Annuaire chiffré
//
NoKYC.
EnglishEN EspañolES 中文ZH हिन्दीHI العربيةAR PortuguêsPT বাংলাBN РусскийRU 日本語JA DeutschDE FrançaisFR 한국어KO ItalianoIT TürkçeTR Tiếng ViệtVI PolskiPL УкраїнськаUK NederlandsNL Bahasa IndonesiaID ไทยTH فارسیFA עבריתHE SvenskaSV ΕλληνικάEL RomânăRO
← Blog
Publié ·NoKYC Directory Editorial

Proton vs Tuta vs SimpleLogin en 2026 : chiffrement post-quantique, alias et juridictions

Proton vs Tuta vs SimpleLogin en 2026 : chiffrement post-quantique, alias et juridictions

L'email privé en 2026, les trois écoles

Trois fournisseurs dominent aujourd'hui le segment de l'email privé chiffré de bout en bout accessible au grand public : Proton Mail (Genève, depuis 2014), Tuta (ancien Tutanota, Hanovre, depuis 2011), et plus récemment SimpleLogin, un service d'alias racheté par Proton en 2022 et désormais profondément intégré dans l'écosystème Proton Pass. Les trois sont solides ; ils ne servent pas les mêmes besoins.

Cet article calibre la décision sans hype et sans FUD, en lisant honnêtement où chaque service excelle et où il échoue.

Tuta, le chiffrement le plus radical

La singularité technique de Tuta : c'est le seul fournisseur qui chiffre les lignes d'objet par défaut. Là où Proton laisse le sujet en clair côté serveur (parce que le standard PGP historique ne couvre que le corps), Tuta a construit son protocole custom qui chiffre l'ensemble : sujet, corps, pièces jointes, métadonnées non-routables.

Deuxième singularité, plus récente : Tuta est en avance sur le post-quantique. Le schéma hybride combinant Kyber-1024 (KEM post-quantique) et l'ECC X25519 classique a été déployé en production sur Tuta en 2024-2025, avant les concurrents. Pour un utilisateur qui prend la menace quantique au sérieux comme modèle de menace à 10-15 ans, c'est un argument décisif.

Compromis Tuta :

  • Pas d'IMAP / SMTP, Tuta force l'usage du client officiel (web, Android, iOS, desktop). C'est une décision sécurité (pas de plain text en clair sur les protocoles legacy) mais c'est aussi une perte de flexibilité.
  • Écosystème moins étendu, pas de Drive, pas de VPN, pas de Pass bundle. Tuta reste un fournisseur d'email ciblé.
  • Juridiction allemande, sous BND et BfV, avec lois de surveillance qui ont évolué défavorablement en 2023-2025. Tuta a documenté plusieurs ordres de justice auxquels il s'est conformé pour les métadonnées non-chiffrées.

Proton, l'écosystème intégré

Proton joue une autre carte : l'intégration. Mail + Drive + Calendar + VPN + Pass dans un seul compte, un seul plan tarifaire, une seule auth. Pour un utilisateur qui veut remplacer en bloc Google ou Microsoft 365 par une stack privacy-aware, Proton est la réponse maturité.

Forces protocolaires :

  • Compatible OpenPGP côté serveur, vous pouvez exporter votre clé et communiquer avec des utilisateurs PGP hors Proton
  • Pont IMAP / SMTP disponible sur les plans payants, permet l'usage des clients tiers (Thunderbird, Mailmate) avec un pont qui chiffre / déchiffre localement
  • Recherche sur le serveur via Search Index chiffré, le serveur ne lit pas les emails mais permet une recherche locale rapide
  • Juridiction suisse, la Suisse a refusé en 2023 l'extension du Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs aux fournisseurs e-mail privés. Position confortable mais pas absolue.

Faiblesses :

  • Sujets en clair côté serveur, limite de l'approche PGP-compatible. Proton conserve les métadonnées non-chiffrées pour le routage et le threading. La position Proton est que cela est nécessaire pour la compatibilité SMTP, ce qui est techniquement vrai.
  • Post-quantique en retard, Proton a annoncé sa roadmap PQ pour 2026-2027 mais n'a pas encore déployé en production au moment de la publication.
  • Tarification plus chère que Tuta sur les niveaux professionnels (mais inclut Drive / VPN / Pass).

SimpleLogin (Proton), le système d'alias

Acquis par Proton en 2022 et désormais cœur du produit Proton Pass, SimpleLogin est un service d'alias, pas un fournisseur de boîte mail. Le principe :

  • Vous générez un alias aléatoire (abc123@simplelogin.io) ou un alias custom sur un domaine que vous possédez
  • Quand quelqu'un écrit à cet alias, SimpleLogin transfère vers votre vraie boîte mail (Proton, Tuta, Gmail, n'importe laquelle)
  • Vous pouvez répondre via l'alias, SimpleLogin gère le spoof inverse
  • Vous pouvez désactiver l'alias à tout moment si le service envoie du spam ou est compromis

SimpleLogin est le bon outil pour deux usages : (1) inscriptions sur des services tiers où vous ne voulez pas révéler votre vraie adresse, et (2) compartimentation des identités (banque vs forum vs commerce). Avec un alias par service, une compromission d'un service tiers ne donne pas accès à votre boîte mail.

Tuta propose des alias natifs (15 ou 30 selon le plan, illimités sur domaine custom) mais avec moins de granularité de gestion que SimpleLogin. AnonAddy / addy.io reste une alternative open-source crédible si vous voulez self-host ou éviter l'écosystème Proton.

Les pièges juridictionnels

Trois questions à se poser sur la juridiction :

  1. Le pays a-t-il une obligation légale de divulgation sur ordre judiciaire ? Suisse : oui, mais avec contrôle judiciaire renforcé. Allemagne : oui, avec obligation de coopération internationale étendue post-2023. USA : oui, avec NSL (National Security Letters) qui empêchent même la divulgation de l'ordre.
  2. Le pays peut-il forcer le déchiffrement ? Suisse : non sur l'utilisateur, mais possibilité d'ordonner au fournisseur de modifier son service pour faciliter une surveillance future (le fameux problème du « scénario Lavabit »). Allemagne : pareil. USA : possible via la All Writs Act, jurisprudence floue.
  3. Le fournisseur a-t-il un canary warrant ? Proton publie un transparency report et un warrant canary annuel. Tuta publie un transparency report. Suivez les deux.

Grille de recommandation par profil

  • Utilisateur lambda qui veut quitter Google → Proton Mail + Pass. L'écosystème intégré + l'UX mature rendent la transition la moins douloureuse.
  • Privacy-maximaliste avec menace post-quantique → Tuta. Le chiffrement des sujets + le déploiement PQ sont sans concurrence en 2026.
  • Utilisateur professionnel multi-identités → Proton Mail comme boîte mail principale + SimpleLogin (ou Tuta avec domaine custom) pour l'aliasage granulaire.
  • Capable de self-hosting → AnonAddy / addy.io self-hosted + Tuta ou Proton comme boîte mail finale de transfert. Vous gardez le contrôle de la couche alias ; le fournisseur ne voit que le transfert.
  • Anonymat extrême + Tor obligatoire → Proton propose un hidden service .onion (protonmail.com.onion). Tuta n'en a pas encore en production en 2026. Sur cet axe, Proton est devant.

L'angle pratique, pour l'annuaire

Notre catégorie Email référence Proton, Tuta, Cock.li, Cove, GoyMail, et plusieurs autres. Aucun de ces services n'est strictement no-KYC au sens des services de notre catégorie Cards (Goblin Cards) ou SMS (HeroSMS), Proton et Tuta vous demandent typiquement une adresse email de récupération ou un challenge téléphonique anti-spam, et Cock.li / Cove sont eux-mêmes des fournisseurs qui acceptent l'anonymat strict. La position de l'annuaire : Proton et Tuta sont des choix excellents pour le « mainstream privacy » ; Cock.li / Cove sont des choix plus radicaux pour qui veut une inscription réellement anonyme. Les alias viennent en couche au-dessus, et SimpleLogin reste le meilleur service du segment même pour un utilisateur Tuta principal.

À lire aussi
Operation Blackout : la saisie record de 14 milliards en bitcoin contre Prince Group, et ce qu'elle dit du segment scam compound
Cartes crypto no-KYC : physique vs virtuelle vs BIN-sponsor, la cartographie 2026
MiCA + Travel Rule : la deadline du 1ᵉʳ juillet 2026 et la fin du no-KYC en Europe