Zero-knowledge · Compatible Outlook · Souverain Luxembourg

Vos emails de dirigeant, scellés. Personne ne peut les lire, sauf vous.

Aujourd'hui, votre administrateur Microsoft 365 peut lire vos emails. Légalement. C'est documenté dans la procédure « eDiscovery » de votre tenant : un Global Admin coche une case, et l'intégralité de votre boîte mail PDG ou présidente du conseil devient consultable. Aucune alerte. Pareil pour votre hébergeur, votre infogéreur, le sous-traitant de votre archivage. Et en cas de compromission de leur compte admin, l'attaquant a le même pouvoir. Luxgap SealedMail résout ce problème à la racine : le serveur ne stocke que des blobs chiffrés. Votre clé privée est dérivée de votre passphrase et n'existe nulle part en clair sur nos infrastructures. Vous ouvrez votre Outlook habituel, vos emails s'affichent en clair après déchiffrement local. Personne d'autre n'y a accès. Ni votre IT, ni votre infogéreur, ni Luxgap, ni un attaquant qui aurait compromis notre tenant. Conçu et hébergé au Luxembourg pour les dirigeants qui ne peuvent pas se permettre que leurs négociations stratégiques, leurs dossiers M&A ou leurs échanges avec leur conseil juridique soient lus par autre chose qu'eux-mêmes.

Configurer mon devis → Nous contacter
Fonctionnalités principales

Ce que fait le logiciel, concrètement.

Architecture zero-knowledge : le serveur ne voit que du chiffré

Chaque message stocké dans votre boîte SealedMail est chiffré avec votre clé publique X25519 au moment où il atteint nos serveurs. La clé privée correspondante n'a jamais quitté votre poste. Concrètement : à l'inscription, votre navigateur ou votre client local génère localement une paire de clés Curve25519 (X25519 pour le chiffrement + Ed25519 pour la signature). La clé privée est immédiatement chiffrée par AES-256-GCM avec une clé dérivée de votre passphrase via Argon2id (paramètrès OWASP 2024 : 64 Mo, 3 itérations, 4 threads parallèles). Le serveur reçoit uniquement votre clé publique et la version chiffrée de votre clé privée, qu'il ne peut pas déchiffrer puisqu'il ne connaît pas votre passphrase. Cette architecture, dite zero-knowledge, garantit que même un administrateur Luxgap avec accès root au serveur ne peut pas lire votre boîte.

Email entrant : chiffré à la réception, jamais stocké en clair

Quand un correspondant externe vous écrit (depuis Gmail, Outlook 365, n'importe quel serveur SMTP standard), le message arrive logiquement en clair sur notre relais SMTP entrant. Nous le chiffrons immédiatement avec votre clé publique avant de le persister sur disque. Le passage en clair dure quelques millisecondes en RAM, hors de tout snapshot, log ou backup. Le message stocké est définitivement illisible pour tout autre que vous. Aucun délai d'archivage en clair, aucune indexation serveur du contenu. La recherche fonctionne grâce à un index chiffré côté serveur (architecture Encrypted Search Index à la ProtonMail) ou côté client pour les boîtes inférieures à 2 Go.

Email sortant : signé Ed25519, chiffré si le destinataire a une clé

Quand vous envoyez un email, votre client local SealedMail (web ou Outlook Bridge) chiffre le contenu avec la clé publique du destinataire si elle est connue : autre utilisateur SealedMail, contact avec clé OpenPGP publiée sur les serveurs WKD, ou échange Autocrypt établi. Sinon, l'email part en clair vers le destinataire (avec un avertissement visuel orange dans l'interface). Dans tous les cas, votre signature Ed25519 est apposée : le destinataire peut vérifier que l'email vient bien de vous et n'a pas été altéré. Pour les échanges récurrents avec un correspondant externe (votre avocat, votre banquier privé), nous proposons une invitation SealedMail Companion gratuite pour qu'il génère sa propre paire de clés et que la conversation soit chiffrée de bout en bout dans les deux sens.

Compatible avec votre Outlook habituel, via SealedMail Bridge

Pas question de demander à un PDG de changer son client mail. Nous fournissons SealedMail Bridge, un petit programme léger qui tourne en arrière-plan sur votre poste (Windows, macOS, Linux). Il exposé une boîte IMAP/SMTP locale sur 127.0.0.1, déchiffre vos messages à la volée pour Outlook, et chiffre vos envois avant transmission au serveur. Vous configurez Outlook une seule fois (compte IMAP + SMTP sur localhost), et tout fonctionne ensuite exactement comme avant : raccourcis clavier, règles de tri, signatures, calendrier partagé, recherche, dossiers, archives. Aucune perte fonctionnelle. Aucun changement d'habitude. La passphrase est demandée au démarrage du Bridge et reste en mémoire chiffrée pendant la session (jamais persistée sur disque). Disponible aussi en client web HTTPS pour les déplacements et en application mobile iOS/Android.

Récupération en cas de perte de passphrase : à votre choix

Architecture zero-knowledge a un revers : si vous perdez votre passphrase, personne ne peut récupérer votre boîte, pas même Luxgap. Pour les dirigeants qui veulent garantir la continuité, nous proposons 3 mécanismes optionnels que vous activez ou non en pleine conscience : (1) Kit de secours papier imprimé à l'inscription : 24 mots BIP-39 stockés dans votre coffre-fort physique ou notarial ; (2) Partagé de clé Shamir 3-sur-5 : 5 personnes de confiance reçoivent chacune un fragment, il en faut 3 pour reconstituer ; (3) Délégation conseil d'administration avec quorum signé : 2 administrateurs sur 3 peuvent autoriser la régénération en cas d'incapacité. Aucun de ces mécanismes n'est activé par défaut. Si vous ne voulez aucune backdoor légale, vous gardez la responsabilité absolue de votre passphrase.

Anti-coercition : ouverture sous contrainte détectable

Pour les dirigeants exposés à des pressions (litiges, divorce, négociation hostile, contrôle judiciaire), SealedMail propose une passphrase de leurre distincte de votre passphrase réelle. Si vous êtes contraint d'ouvrir votre boîte devant un tiers, vous saisissez la passphrase de leurre : elle déchiffre une boîte annexe parallèle contenant uniquement des emails anodins que vous avez préparés (correspondance administrative, factures). Votre boîte réelle reste inaccessible et invisible. Aucune trace côté serveur ne permet de distinguer une ouverture leurre d'une ouverture normale. Mécanisme inspiré du plausible deniability de TrueCrypt et VeraCrypt, validé par notre équipe ingénierie sécurité.

Adresse personnalisée @votreentreprise.com ou @sealed.lu

Vous utilisez votre domaine d'entreprise existant (pierre.martin@votreentreprise.com) en pointant les enregistrements MX vers nos serveurs SealedMail Luxembourg. Migration sans coupure depuis Microsoft 365 ou Google Workspace : nous synchronisons d'abord votre historique vers SealedMail (chiffré à la volée pendant la migration), puis basculons les MX. Les correspondants externes continuent d'écrire à votre adresse habituelle. Vos collaborateurs non-dirigeants peuvent continuer à utiliser Microsoft 365 sur le même domaine, seules les boîtes scellées passent par SealedMail. Alternative pour création rapide : adresses vous@sealed.lu avec sous-domaine personnalisé optionnel (vous@privé.votreentreprise.com).

Pièces jointes chiffrées, jusqu'à 500 Mo par message

Les pièces jointes sont chiffrées avec la même clé que le corps du message. Aucune limite à 25 Mo comme Outlook : vous envoyez jusqu'à 500 Mo par message, utile pour les dossiers M&A, les rapports d'audit, les vidéos de comité. Si le destinataire est un autre utilisateur SealedMail, transmission directe chiffrée. Si le destinataire est externe, la pièce jointe lourde est remplacée par un lien sécurisé vers un téléchargement à usage unique (expire après ouverture ou 7 jours), avec mot de passe transmis par canal séparé.

Calendrier, contacts, listes de diffusion : tout chiffré aussi

Si seul l'email était chiffré, votre calendrier dévoilerait vos rendez-vous avec votre banquier d'affaires ou votre conseiller M&A. Et vos contacts révéleraient votre carnet d'adresses stratégique. SealedMail chiffre tout : événements de calendrier (sujet, participants, lieu, notes), entrées de contacts (nom, téléphone, adresse, notes), listes de diffusion privées. Compatible CalDAV/CardDAV via le Bridge local, donc vous gardez votre Apple Calendar, Outlook, Google Calendar comme client visuel. Synchronisation multi-appareils E2EE entre vos devices (laptop pro, iPhone personnel, tablette voyage) sans que rien ne soit lisible côté serveur.

Auto-destruction et expiration programmée des messages

À l'envoi, vous pouvez programmer l'expiration d'un message : 24 heures, 7 jours, 30 jours, date personnalisée. Passé ce délai, le message disparaît simultanément de votre boîte d'envoi, de la boîte du destinataire (si utilisateur SealedMail) et du serveur. Utile pour les négociations en cours, les indications de prix, les positions commerciales temporaires. Le message ne laisse aucune trace exploitable une fois expiré. Pour les destinataires externes, le contenu chiffré est rendu inaccessible mais l'enveloppe (expéditeur, sujet, date) reste visible dans leur client mail.

Hébergement Luxembourg, certifié EuroPriSe en cours

Serveurs physiques chez deux datacenters Tier IV au Luxembourg (LuxConnect DC1 et DC2, redondance géographique). Aucune réplique hors UE, aucun hyperscaler américain dans la chaîne. Conformité RGPD, NIS 2 (entité importante secteur services numériques), loi LU du 1er août 2018. Certification EuroPriSe visée pour 2026. Audit annuel par un cabinet indépendant avec publication du rapport. Code source du Bridge et du protocole publiés en open source (revue communautaire) ; seuls les composants serveur restent propriétaires (logique de tarification, anti-spam).

Demandes des autorités : transparence totale, mais rien à donner

En cas de demande judiciaire luxembourgeoise valide (commission rogatoire, mandat de perquisition signé par un jugé d'instruction), Luxgap est légalement tenu de répondre. Mais nous ne pouvons remettre que ce que nous avons : les blobs chiffrés. Sans votre passphrase, ils sont mathématiquement inexploitables. Nous publions un rapport de transparence semestriel (nombre de demandes reçues, juridiction d'origine, action prise) sur le modèle ProtonMail. Aucune demande hors UE n'est honorée (pas de FBI, pas de subpoena US : nous sommes une entité luxembourgeoise sans présence aux États-Unis).

Cas d'usage

Pour qui, et dans quel contexte.

PDG, CFO, CMO dont la boîte mail contient les arbitrages stratégiques, les notes de réorganisation, les budgets et les remontées de leurs équipes, et qui ne veulent pas que l'administrateur Microsoft 365 (souvent un prestataire externe ou un junior IT) y ait techniquement accès.

Présidents et membres de conseils d'administration qui échangent des projets de résolutions, des positions de vote, des analyses confidentielles d'audit avant les CA. Ces échanges ne doivent jamais être visibles par la direction opérationnelle.

Équipes M&A et corporate finance qui négocient des opérations sensibles (acquisitions, cessions, levées de fonds, restructurations). Une fuite par un compte IT compromis peut coûter des millions d'euros en révision de prix.

Avocats, fiduciaires, notaires soumis au secret professionnel (article 458 du Code pénal luxembourgeois, article 226-13 du Code pénal français). Le secret professionnel n'est pas garanti si votre prestataire d'hébergement mail peut techniquement lire les correspondances avec vos clients.

Banquiers privés et family offices qui gèrent des patrimoines familiaux sensibles et dont les correspondances révèlent l'identité et les stratégies des clients UHNWI.

Auditeurs internes et compliance officers qui mènent des enquêtes sur des suspicions de fraude ou de harcèlement, et dont les emails d'enquête ne doivent jamais être lus par les personnes investiguées (typiquement, le DSI qui aurait accès au tenant M365).

Lanceurs d'alerte et journalistes d'investigation qui protègent des sources et ne peuvent pas se permettre une fuite par l'admin de leur média.

Conformité réglementaire

Conformité réglementaire et alignement avec les obligations dirigeants.

  • RGPD article 32 : le chiffrement de bout en bout est explicitement cité comme mesure technique appropriée. L'utilisation de SealedMail démontre la mise en œuvre d'un état de l'art en confidentialité.
  • RGPD article 25 : protection des données dès la conception (privacy by design). L'architecture zero-knowledge est une implémentation textbook du principe.
  • Secret professionnel : article 458 du Code pénal luxembourgeois (avocats, médecins, notaires), article 226-13 du Code pénal français équivalent. SealedMail élimine le risque d'accès par un tiers non habilité.
  • Secret bancaire : article 41 de la loi LU du 5 avril 1993 sur le secteur financier. Aucune divulgation possible côté Luxgap puisque nous ne pouvons techniquement pas lire.
  • DORA article 9 : gestion des risques liés aux TIC pour les entités financières. SealedMail réduit drastiquement le risque de fuite par compromission de l'infrastructure IT corporate.
  • NIS 2 : nous sommes nous-mêmes entité importante au sens de l'annexe II (services numériques), avec obligations de gestion des risques et de notification d'incident.
  • AI Act : aucun composant IA n'a accès au contenu de vos messages (impossible techniquement). L'anti-spam tourne sur les en-têtes uniquement et sur la réputation de l'expéditeur.
Architecture · Hébergement

Stack technique et souveraineté des données.

Cryptographie : Curve25519 (X25519 pour échange de clés ECDH, Ed25519 pour signatures), AES-256-GCM pour les enveloppes symétriques, Argon2id pour la dérivation de clé depuis la passphrase (64 Mo, 3 itérations, 4 threads, recommandation OWASP 2024). Implémentation basée sur libsodium côté serveur et Web Crypto API + WebAssembly côté navigateur.

Stack serveur : Postfix + Dovecot durcis sur Debian 13, conteneurs LXC isolés par tenant, stockage chiffré au repos sur disques chiffrés LUKS2 (deuxième couche défensive), backup quotidien Borg vers second datacenter LU (chiffré par votre clé publique, donc inutilisable même pour nous).

SealedMail Bridge : binaire Rust signé, ~12 Mo, configuration en 2 minutes. Code source publié sur GitHub pour audit communautaire. Disponible Windows / macOS (Intel + Apple Silicon) / Linux (deb, rpm, AppImage).

Pas de dépendance hyperscaler : pas d'AWS, pas d'Azure, pas de Google Cloud. Anti-spam Rspamd auto-hébergé, listes RBL maintenues en interne, pas de DKIM relay externe.

FAQ

Questions fréquentes

Comment ça change vraiment quelque chose vs Microsoft 365 ou Google Workspace avec « chiffrement » activé ?
Microsoft 365 et Google Workspace chiffrent vos emails au repos sur leurs disques, et en transit entre serveurs. Mais ils détiennent les clés. Concrètement, n'importe quel administrateur Global Admin de votre tenant M365 peut ouvrir une procédure eDiscovery et lire l'intégralité de votre boîte. C'est documenté et utilisé tous les jours en entreprise pour les contentieux, audits internes ou demandes RH. Même Microsoft, sur ordonnance d'un tribunal américain (CLOUD Act), peut être contraint de remettre vos emails en clair. Avec SealedMail, ces accès sont mathématiquement impossibles : sans votre passphrase, les blobs sur disque sont du bruit aléatoire. Vous récupérez la propriété cryptographique de votre boîte.
C'est différent de ProtonMail ou Tutanota ?
L'architecture zero-knowledge est similaire et nous nous en inspirons explicitement, ce sont des références sérieuses. SealedMail se distingue sur 4 axes : (1) Hébergement strictement luxembourgeois au lieu de suisse/allemand, intéressant pour la place financière luxembourgeoise et les exigences DORA ; (2) Compatibilité Outlook native via Bridge, là où ProtonMail Bridge cible plutôt Thunderbird et Tutanota n'a pas de bridge officiel ; (3) Couplage avec un cabinet de conformité : nous sommes DPO et CISO externe de plus de 200 organisations, le service est conçu pour les obligations exécutives que nous voyons tous les jours ; (4) Tarification dirigeants par poste (pas de freemium grand public à monétiser par revente de métadonnées).
Et si Luxgap fait faillite ou se fait racheter par un acteur non européen ?
Légitime. Trois garde-fous : (1) Notre statut juridique luxembourgeois avec capital détenu par des fondateurs luxembourgeois rend une acquisition hostile non-UE complexe et signalable au gouvernement (filtrage des investissements étrangers en infrastructures critiques NIS 2) ; (2) Le code source du Bridge et du protocole est open source : un fork communautaire est possible si nous disparaissions ; (3) Nous fournissons un export complet chiffré de votre boîte sur demande, ainsi qu'un guide de migration vers un autre fournisseur compatible OpenPGP. Vous n'êtes jamais cryptographiquement captif.
Comment ça interagit avec mon DPO interne et mon audit informatique ?
Positivement. Un DPO interne devrait recommander que les boîtes dirigeants contenant des données de catégorie particulière (santé, données pénales d'enquête interne) ou des secrets d'affaires soient sous chiffrement zero-knowledge. C'est l'application stricte du principe de protection des données dès la conception (article 25 RGPD). Pour votre audit IT, SealedMail réduit le périmètre auditable : les boîtes dirigeants sortent du tenant Microsoft 365, donc ne sont plus dans le scope des contrôles d'accès admin M365. C'est plus simple à attester en audit, pas plus compliqué. Nous fournissons une note technique pour vos auditeurs sur demande.
Combien ça coûte ?
Tarification par boîte mail scellée et par mois, sans engagement (résiliation à 30 jours).

Sealed Personal (dirigeant indépendant, avocat individuel) : 39 EUR / mois / boîte avec adresse @sealed.lu, 5 Go stockage, 1 device.
Sealed Executive (PDG, CFO, président) : 79 EUR / mois / boîte avec domaine personnalisé, 50 Go stockage, devices illimités, Bridge inclus.
Sealed Board (comités CA, M&A, audit interne) : 149 EUR / mois / boîte avec partagé chiffré de listes de diffusion, calendrier partagé E2EE, support prioritaire 24/7, audit de configuration trimestriel.
On-premise sur votre infrastructure (acteurs sous secret article 41 LSF ou DORA strict) : devis personnalisé à partir de 6 chiffres l'année.

Tous les plans incluent : migration depuis M365/Google Workspace, formation passphrase + kit de secours, support FR/EN/DE, garantie SLA 99,95 % avec compensation. Essai 30 jours gratuit sur un sous-domaine de test.
Délai de mise en route ?
Sealed Personal : 1 heure. Vous créez votre adresse @sealed.lu, vous installez le Bridge, vous configurez Outlook. C'est en ligne.
Sealed Executive avec domaine personnalisé : 2 à 5 jours. Nous configurons les MX, migrons l'historique, formons votre assistant.
Sealed Board (déploiement comité ou conseil entier, 5 à 15 membres) : 2 à 3 semaines avec session de formation collective.
On-premise : 6 à 12 semaines selon complexité.
À combiner avec

Nos services complémentaires.

Tester ce logiciel sur vos données réelles.

POC sans engagement long. Devis personnalisé sous 24 h ouvrées.

Configurer mon devis →