Roadmap Sécurité

Derniere mise a jour : 18 avril 2026 · Court terme + Moyen terme E2E + Long terme certifications

Notre engagement — transparence radicale.
La sécurité est un parcours, pas une promesse marketing. Cette page documenté honnetement l'etat actuel, ce qui n'est pas encore en place, et notre roadmap sur 3 horizons : court terme (hardening technique), moyen terme (E2E client-side), long terme (conformite et certifications). Mise a jour a chaque livraison majeure. Voir aussi : scores publics & sources d'audit.

1. Etat actuel (avril 2026)

Ce qui protege déjà vos données aujourd'hui :

ACTIF Chiffrement en transit TLS 1.3 — HTTPS pour le webmail/API, STARTTLS obligatoire pour SMTP/IMAP.
PLANIFIÉ Chiffrement per-utilisateur du body au repos — Dovecot mail_crypt avec clé X25519/Ed25519 par utilisateur. Plugin pre-configure mais desactive (conflit historique avec encrypt-pipe). Réactivation : voir section 3. Aujourd'hui : mails stockes en clair sur disque dédié chiffre par l'hébergeur (IONOS).
ACTIF Infrastructure souveraine UE — serveur email IONOS Allemagne, base de données Supabase Frankfurt.
ACTIF Zero tracking — aucun cookie publicitaire ou analytique, pas de fingerprinting, pas de revente de données.
ACTIF Authentification cryptographique — SMS OTP ou EcoAuth (ECDSA secp256k1) sans mot de passe.
ACTIF Anti-spoofing complet — SPF, DKIM, DMARC, MTA-STS configures pour ecosmail.fr.
ACTIF Protection intrusion — Fail2ban (postfix-sasl, dovecot-auth), reverse proxy en amont avec WAF.
ACTIF Sauvegardes quotidiennes — chiffrees, retention 30 jours.
ACTIF Génération clés X25519/Ed25519 — une paire est générée pour chaque utilisateur des l'inscription, en prevision du E2E.

2. Ce qui n'est PAS encore en place

Honnêteté totale. Nous n'utilisons pas l'expression « chiffrement de bout en bout » pour decrire EcosMail aujourd'hui, parce que ce serait inexact. Voici ce que cela signifie concretement.

Ce que les opérateurs du service peuvent techniquement faire

Lire le contenu de vos emails et messages directs (DM) entre utilisateurs EcosMail.
Lire l'objet (subject) et l'aperçu (preview) de vos emails dans la base de données.
Acceder aux pieces jointes stockees.

Cet accès est necessaire aujourd'hui pour faire fonctionner : l'affichage du webmail, la classification IA opt-in, la recherche full-text, le support technique, la sauvegarde. Il est strictement encadre par les regles d'accès internes et le RGPD.

L'IA opt-in (si vous l'activez)

Les fonctionnalites Briefing IA, Réponses IA et Analyse IA envoient le contenu de vos emails a Anthropic (USA) pour traitement. C'est un opt-in explicite, desactive par defaut, et résiliable a tout moment dans Parametres. Sans opt-in, aucun contenu ne quitte notre infrastructure UE.

3. Court terme — Hardening en cours (3-6 mois)

Mesures techniques d'amelioration continue. Etat vérifiable en temps reel sur notre page transparence & audits.

DONE Cipher hardening Postfix

2026-04-18

Exclusion DES/RC4/3DES/SHA1, AEAD-only (TLS 1.2+). Vérifiable via internet.nl Mail.

DONE Headers HTTP renforces (HSTS preload-ready, CSP+, COOP/CORP)

2026-04-18

HSTS max-age 2 ans + preload, CSP avec base-uri/form-action/object-src/upgrade-insecure-requests, COOP/CORP same-origin, Permissions-Policy etendu, server_tokens off, suppression doublons reverse proxy. Mozilla Observatory : 55 → 80.

DONE MTA-STS mode enforce + TLS-RPT

2026-03-29

Politique MTA-STS publiee en mode enforce sur mta-sts.ecosmail.fr. Reporting TLS-RPT actif.

DONE DMARC p=reject + Fail2ban (postfix-sasl, dovecot-auth)

2026-03

DMARC en mode strict (rejet des emails usurpes). Fail2ban actif sur les services SMTP/IMAP.

DONE security.txt RFC 9116

2026-04-18

Publie a /.well-known/security.txt. Permet aux chercheurs en sécurité de trouver instantanement le bon contact (security@ecosmail.fr) et la politique de divulgation. Expire 2027-04-18 (a renouveler).

FAIT DNSSEC sur ecosmail.fr

2026-04-19

DNSSEC active via panel IONOS. DS 39605/RSASHA256 publie a l'AFNIC, chaine complete racine → .fr → ecosmail.fr. Validation stricte confirmee (Verisign DNSSEC Analyzer + delv : fully validated).

EN COURS DANE TLSA

bloque — migration DNS a l'etude

Le panel DNS IONOS ne supporte pas le type d'enregistrement TLSA, ce qui empeche la publication du hash de clé publique requis par DANE. Hash déjà généré et certbot --reuse-key actif pour stabilité. Migration de la gestion DNS vers un operateur compatible (deSEC.io ou equivalent européen, non-profit) a l'etude. Attendu après migration : internet.nl Mail → 95%.

PLANIFIÉ CSP refactor : extraction scripts inline

Q2 2026

Migration des blocs <script> inline vers fichiers externes pour eliminer 'unsafe-inline'. Mozilla Observatory : 80 → 100.

PLANIFIÉ BIMI + VMC (Verified Mark Certificate)

Q3 2026

Logo authentifie dans Gmail, Apple Mail et Yahoo Mail. ~1k€/an pour le VMC chez DigiCert/Entrust.

A VALIDER Soumission HSTS preload list (chromium)

Q2 2026 (décision)

Soumettre ecosmail.fr a hstspreload.org. Force HTTPS sur tous sous-domaines au niveau navigateur. Decision irreversible — a valider quand on est sur que tout sous-domaine sera en HTTPS pour toujours.

BLOQUE IPv6 sur serveur mail

en attente IONOS

IPv6 actuellement non disponible sur notre VPS IONOS. Une fois alloue : Postfix inet_protocols=all + AAAA mail.ecosmail.fr. Attendu : internet.nl Mail +20pts.

4. Moyen terme — Roadmap E2E client-side (12-18 mois)

Notre objectif : faire en sorte que le serveur ne voie jamais le contenu en clair. C'est un chantier multi-phases.

DONE Phase 1a — Crypto primitives backend

Livre : avril 2026

Génération X25519/Ed25519 a l'inscription, stockage securise, push payload v2, infrastructure pour echanges chiffres serveur-vers-mobile.

EN COURS Phase 1b — Dechiffrement client mobile

Cible : Q1 2027

L'app mobile EcosMail dechiffre les payloads E2E cote client. C'est le verrou technique principal. Une fois livre, les notifications push deviennent reellement E2E entre operations serveur et device.

PLANIFIÉ Phase 2 — E2E par defaut pour les DMs intra-EcosMail

Cible : Q2 2027

Tous les messages directs entre utilisateurs EcosMail sont chiffres avec les clés X25519 du destinataire. Le serveur stocke uniquement le ciphertext.

PLANIFIÉ Phase 3 — E2E SMTP via OpenPGP / Autocrypt (optionnel)

Cible : Q3-Q4 2027

Pour les echanges avec des contacts externes (Gmail, etc.), support optionnel d'OpenPGP via le standard Autocrypt. Compatibilite Thunderbird, Proton, Mailvelope.

5. Long terme — Conformite & certifications (12-36 mois)

Trajectoire en trois etages, calibree pour startup européenne pragmatique. Vérifiable et auditable a chaque étape.

Étape A — Fondations legales (0-3 mois — budget ≈ 0€)

Pouvoir dire « nous sommes serieux » sans mentir. Tout est gratuit, c'est du temps.

EN COURS Bloc fondations

Cible : Q2 2026

SIRET visible dans mentions-legales (annuaire-entreprises.data.gouv.fr)
Registre des traitements RGPD (art. 30, template CNIL)
DPO designe (interne)
AIPD email service via outil PIA CNIL (gratuit)
DPA signes avec sous-traitants (Mollie, Anthropic, Supabase, IONOS, Twilio)
SCC (Standard Contractual Clauses) pour transferts hors UE (Anthropic, Twilio)
Trust Center publique (cette page + transparence)
Mini dossier sécurité interne (actifs, risques, controles, incidents, sauvegardes, accès, fournisseurs)
Veille AI Act EU + NIS2 (cartographie applicabilite)

Étape B — Preuves audit-friendly (3-6 mois — budget 7-15k€)

Avoir une « preuve audit-friendly » vérifiable par tout prospect B2B.

PLANIFIÉ Pentest annuel cabinet français

Q3 2026 — budget 5-10k€

Audit cible app + infra par cabinet français reconnu (Almond, Synacktiv, Lexfo). Attestation de remediation publiable (rapport détaille reste confidentiel).

PLANIFIÉ CSA STAR Level 1 (auto-attestation CAIQ)

Q3 2026 — budget 0€

Cloud Security Alliance STAR Registry, Level 1 (self-attestation gratuite via questionnaire CAIQ ~300 questions, ~3-5 jours de redaction). Badge utilisable + entree au registre public CSA.

PLANIFIÉ Cyber-assurance

Q3 2026 — budget 1-3k€/an

Assureur européen (Stoik, Hiscox, Coalition). Couverture incident cyber + breach notification. Demande par 80% des prospects B2B.

CONDITIONNEL Google CASA Tier 2 (si Gmail OAuth public)

Q4 2026 — budget 5-10k€

Audit CASA via Securitum (Pologne) ou DEKRA (Allemagne) requis pour deplacer le scope gmail.readonly hors mode « Testing » (>100 users). A evaluer après traction.

PLANIFIÉ Microsoft Graph Publisher Verification (Outlook OAuth)

Q4 2026 — budget 0-2k€

Microsoft est beaucoup plus permissif que Google. Verification gratuite via Microsoft Partner Network.

Étape C — Certifications lourdes (12-36 mois — budget 10-50k€)

Declenchee quand le revenu / les clients B2B le justifient. Choix strategique entre privacy-first (Europrivacy) ou enterprise-ready (ISO 27001).

PLANIFIÉ Audit independant E2E

Q4 2027 — budget 15-25k€

Audit complet de l'architecture E2E par cabinet reconnu (Quarkslab pour la crypto, Synacktiv en generaliste, Cure53 pour le crypto/web). Rapport public. Declencheur : livraison Phase 2.

DECISION Europrivacy OU ISO 27001:2022

2027+ — declencheur revenu / B2B

Europrivacy (10-20k€, 4-8 mois) : seule certification GDPR formellement reconnue (Article 42). Audience : DPO français, secteur public, RH/santé. Cabinets EU : Bureau Veritas, AFNOR Cert, ECCP.

ISO 27001:2022 (25-40k€, 6-12 mois) : standard global enterprise, demande par DSI grandes boites. Cabinets EU : Bureau Veritas, LRQA, DEKRA, AFNOR. Extension ISO 27701 (+10-15k€) ajoute le volet privacy.

OPTIONNEL Label « France Cybersecurity » ANSSI

2027+ — budget ~10k€

Dossier ANSSI gratuit + audit prestataire qualifie pour le constituer. Differenciant marketing français. Decision ANSSI ~6 mois.

6. Comment verifier nos affirmations

Code source backend — privé aujourd'hui. Les portions liees au E2E (crypto, gestion des clés, payload mobile) seront publiees en open source en même temps que la livraison Phase 2.
Document interne E2E_STATUS — nous maintenons un document technique interne (E2E_STATUS.md) qui documenté precisement quels endpoints retournent du contenu en clair vs chiffre. Disponible sur demande aupres de security@ecosmail.fr.
Audit externe — planifié Q4 2027 (voir ci-dessus).
Bug bounty informel — signaler une faille a security@ecosmail.fr. Réponse sous 72h.

7. Glossaire

Terme	Signification
Chiffrement au repos	Données stockees sur disque sont chiffrees. Accessible au serveur en cours d'execution.
Chiffrement en transit	Données protegees pendant le transport réseau (TLS).
E2E (end-to-end)	Chiffrement cote client : seuls expediteur et destinataire ont accès au contenu en clair. Le serveur ne voit que du ciphertext.
X25519	Algorithme d'echange de clés asymetriques (Diffie-Hellman sur courbe elliptique).
Ed25519	Algorithme de signature numérique. Sert a prouver l'identité.
AES-256-GCM	Chiffrement symetrique AES 256 bits avec mode GCM (authentifie). Standard militaire.
Autocrypt	Standard d'echange de clés OpenPGP par email. Permet le E2E avec Gmail, Proton, etc.

8. Voir aussi

→ Transparence & audits externes — tous nos scores sécurité mesures par des outils publics open-source (internet.nl, SSL Labs, Hardenize, etc.) avec liens de verification directe.

9. Contact

Question, signalement, suggestion : security@ecosmail.fr

Cette page est volontairement détaillée. Si quelque chose vous semble inexact ou trompeur, dites-le nous — nous corrigerons.