Luxgap SealedMail : le premier serveur email où votre DSI ne peut pas vous lire

Quand vous êtes PDG, présidente du conseil ou directrice financière, votre boîte mail est le plus gros trou de sécurité de votre organisation. Pas parce qu'elle serait mal sécurisée techniquement, mais parce qu'elle est par construction lisible par votre administrateur Microsoft 365, votre infogéreur, votre prestataire d'archivage, et toute personne qui compromettrait un seul de leurs comptes. Aujourd'hui, Luxgap lance SealedMail, le premier serveur email luxembourgeois conçu pour que personne, pas même nous, ne puisse lire vos messages.

Le problème que personne n'a envie de regarder en face

Dans un tenant Microsoft 365, le rôle eDiscovery Manager permet à un administrateur d'ouvrir une procédure de recherche qui parcourt l'intégralité d'une boîte mail sans alerter son titulaire. C'est légal, documenté par Microsoft, et utilisé tous les jours par les directions juridiques, RH et compliance pour les audits internes, contentieux et enquêtes. Ce pouvoir existe parce que Microsoft détient les clés de chiffrement de votre boîte. Le chiffrement « au repos » et « en transit » ne protège que des attaquants externes, pas des administrateurs internes ni de Microsoft lui-même sur ordonnance d'un tribunal américain (CLOUD Act 2018).

Dans Google Workspace, c'est rigoureusement la même architecture. Dans la majorité des hébergeurs européens « souverains », c'est encore la même chose : leurs administrateurs ont techniquement la capacité de lire vos boîtes. Cette capacité n'est pas exercée tous les jours, certes, mais elle existe. Et tant qu'elle existe, votre boîte de PDG n'est pas confidentielle. Elle est confidentielle par contrat et par bonne foi, ce qui n'est pas la même chose qu'être confidentielle par construction cryptographique.

Ce que change SealedMail

SealedMail applique une architecture zero-knowledge au protocole email : nos serveurs ne stockent que des blobs chiffrés avec votre clé publique. La clé privée correspondante n'a jamais quitté votre poste et n'est nulle part en clair sur notre infrastructure. Sans votre passphrase, les données stockées chez nous sont mathématiquement du bruit aléatoire.

Concrètement, voici la chaîne :

1. À votre inscription, votre poste génère localement une paire de clés Curve25519 (X25519 pour l'échange de clés, Ed25519 pour la signature).
2. La clé privée est immédiatement chiffrée par AES-256-GCM avec une clé dérivée de votre passphrase via Argon2id (paramètres recommandés OWASP 2024 : 64 Mo de mémoire, 3 itérations, 4 threads).
3. Nos serveurs reçoivent uniquement votre clé publique et la version chiffrée de votre clé privée. Sans la passphrase, ni nous, ni un attaquant qui aurait compromis notre tenant ne peut déchiffrer.
4. Quand un email entrant arrive (depuis Gmail, Outlook, n'importe quel SMTP standard), nous le chiffrons en quelques millisecondes en RAM avec votre clé publique, puis nous le persistons chiffré. Aucun message n'est jamais stocké en clair sur disque.
5. Au moment où vous lisez votre boîte, c'est votre SealedMail Bridge local (ou le client web WebAssembly) qui déchiffre les messages avec votre clé privée. Outlook les affiche normalement, vous ne voyez aucune différence d'usage.

Compatible avec votre Outlook habituel

Le pari de SealedMail est qu'on ne demande jamais à un dirigeant de changer son client mail. Le SealedMail Bridge est un petit programme Rust signé qui tourne en arrière-plan sur votre poste (Windows, macOS, Linux). Il expose une boîte IMAP/SMTP locale sur 127.0.0.1, gère le déchiffrement entrant et le chiffrement sortant à la volée, et reste totalement transparent pour Outlook, Apple Mail, Thunderbird ou n'importe quel client IMAP standard. Vous configurez Outlook une seule fois sur le compte localhost, et tout fonctionne ensuite comme avant : recherche, dossiers, règles de tri, signatures, calendrier, contacts, raccourcis clavier. Aucune perte fonctionnelle.

Sur mobile, application native iOS et Android avec interface inspirée d'Outlook. Sur navigateur en mobilité, client web HTTPS avec Web Crypto API + WebAssembly : tout le déchiffrement se fait dans votre navigateur, jamais sur nos serveurs.

Pour qui ça change tout

SealedMail est conçu pour les profils dont la confidentialité de la boîte mail n'est pas une option de luxe mais une obligation professionnelle :

• PDG, CFO, CMO, DRH dont les arbitrages stratégiques, les notes de restructuration et les remontées de comité direction ne devraient jamais être accessibles à l'administrateur Microsoft 365 ou à son infogéreur.
• Présidents et membres de conseils d'administration qui échangent des projets de résolution, des positions de vote, des analyses confidentielles d'audit en amont des CA. Ces échanges ne doivent jamais être visibles par la direction opérationnelle.
• Équipes M&A et corporate finance qui négocient des opérations sensibles. Une fuite par un compte IT compromis peut coûter des millions d'euros en révision de prix d'acquisition ou en perte d'opportunité.
• Avocats, fiduciaires, notaires soumis au secret professionnel (article 458 du Code pénal luxembourgeois, article 226-13 du Code pénal français). Le secret n'est pas garanti si le prestataire d'hébergement mail peut techniquement lire les correspondances clients.
• Banquiers privés et family offices qui gèrent des patrimoines familiaux sensibles et dont les correspondances révèlent l'identité et les stratégies d'investissement de clients UHNWI.
• Auditeurs internes et compliance officers qui mènent des enquêtes sur des suspicions de fraude ou de harcèlement, et dont les emails d'enquête ne doivent jamais pouvoir être lus par les personnes investiguées (typiquement le DSI qui aurait accès au tenant M365 de l'entreprise).
• Lanceurs d'alerte et journalistes d'investigation qui protègent des sources sensibles et ne peuvent pas se permettre une fuite par l'administrateur de leur média ou de leur employeur.

Conformité réglementaire alignée

Utiliser SealedMail n'est pas qu'une décision de sécurité, c'est aussi un alignement strict avec plusieurs textes :

• RGPD article 32 : le chiffrement de bout en bout est explicitement cité comme mesure technique appropriée. SealedMail démontre la mise en œuvre d'un état de l'art en confidentialité, ce qui pèse favorablement en cas de contrôle CNPD.
• RGPD article 25 : protection des données dès la conception. L'architecture zero-knowledge est une implémentation textbook du principe de privacy by design.
• Loi luxembourgeoise du 5 avril 1993 sur le secteur financier, article 41 : secret bancaire. SealedMail élimine la divulgation involontaire par tiers technique puisque Luxgap n'a pas la capacité cryptographique de lire.
• DORA article 9 : gestion des risques liés aux TIC pour les entités financières. SealedMail réduit drastiquement le risque de fuite par compromission de l'infrastructure IT.
• NIS 2 : Luxgap est elle-même entité importante au sens de l'annexe II (services numériques), soumise aux obligations de gestion des risques et de notification d'incident.

Souveraineté concrète, pas marketing

Serveurs physiques dans deux datacenters Tier IV au Luxembourg (LuxConnect DC1 et DC2, redondance géographique). Aucune réplique hors UE. Aucun hyperscaler américain dans la chaîne. Pas d'AWS, pas d'Azure, pas de Google Cloud, pas de Cloudflare. Anti-spam Rspamd auto-hébergé. Code source du Bridge et du protocole publié en open source pour audit communautaire — vous pouvez vérifier qu'on ne ment pas sur le chiffrement. Audit annuel par un cabinet indépendant avec publication du rapport. Certification EuroPriSe visée pour 2026.

Et si je perds ma passphrase ?

C'est le revers du zero-knowledge. Sans votre passphrase, nous ne pouvons pas récupérer votre boîte, c'est mathématiquement impossible et c'est précisément ce qui fait la valeur du service. Pour les dirigeants qui veulent garantir la continuité, nous proposons 3 mécanismes optionnels que vous activez ou non en pleine conscience : kit de secours papier (24 mots BIP-39 à conserver dans votre coffre notarial), partage de clé Shamir 3-sur-5 auprès de 5 personnes de confiance, ou délégation conseil d'administration avec quorum signé de 2 administrateurs sur 3. Vous choisissez votre niveau de risque opérationnel vs confidentialité absolue. Aucune backdoor légale n'est activée par défaut.

Combien et quand

SealedMail est disponible à partir d'aujourd'hui sur invitation et déploiement encadré par notre équipe. Trois plans selon votre profil : Sealed Personal (dirigeant indépendant, avocat individuel) à 39 EUR par mois et par boîte, Sealed Executive (PDG, CFO, président de société) à 79 EUR par mois avec domaine personnalisé et SealedMail Bridge inclus, Sealed Board (comités CA, M&A, audit interne) à 149 EUR par mois avec partage chiffré de listes de diffusion, calendrier partagé E2EE et support prioritaire 24/7. Pour les acteurs sous secret article 41 LSF ou exigences DORA strictes, déploiement on-premise sur votre infrastructure avec devis personnalisé.

Tous les plans incluent la migration depuis Microsoft 365 ou Google Workspace, la formation passphrase et kit de secours, le support trilingue FR/EN/DE, et une garantie SLA 99,95 % avec compensation contractuelle. Essai 30 jours gratuit sur un sous-domaine de test, sans engagement.

Pour aller plus loin

Détails techniques complets (cryptographie, stack serveur, architecture du Bridge, mécanismes de récupération, conformité, FAQ exhaustive) : page dédiée Luxgap SealedMail. Pour une démonstration personnalisée sur une boîte de test ou un cadrage de migration depuis votre tenant Microsoft 365 actuel, contactez notre équipe SealedMail. Réponse sous 24 heures.