Dans un monde de plus en plus numérisé, la sécurité et la confidentialité de nos données personnelles sont devenues primordiales. Les services de messagerie électronique traditionnels tels que Gmail, Yahoo et Outlook ont souvent été critiqués pour leur manque de confidentialité et de sécurité.
Proton Mail, un service de messagerie électronique créé en 2013 par des chercheurs du CERN, s’est imposé comme une alternative sûre et privée. L’entreprise a toutefois fait beaucoup de chemin depuis 2013 puisque désormais on ne parle plus de Proton Mail mais de Proton car la société dispose désormais de tout un portefeuille de service : Proton Drive, Proton Calendar, Proton VPN.
L’entreprise vient de franchir les 100 millions de comptes créés ! Cela dit aucune information sur la répartition des comptes payants et des comptes gratuits mais je trouve que malgré tout c’est une excellente nouvelle pour la vie privée et c’est un beau signe que de plus en plus d’internautes ne regardent plus uniquement sur le service le plus utilisé ou le plus « sexy » mais commencent à faire attention à la manière dont leurs données vont être traitées.
Avec l’arrivée de cette annonce, il semble d’ailleurs que la société envisage de lancer prochainement une solution de gestion des mots de passe (type Bitwarden ou LastPass). C’est peut-être le nouveau service auquel il est fait référence dans l’image ci-dessous… On voit clairement qu’un produit semble en cours de conception et on peut donc imaginer que son arrivée soit imminente. 😀
Chiffrement de bout en bout
La sécurité de Proton Mail repose sur le chiffrement de bout en bout. Contrairement aux services de messagerie électronique traditionnels, les messages envoyés via Proton Mail sont chiffrés dès qu’ils quittent votre appareil. Cela signifie que les messages sont illisibles pour quiconque, y compris Proton Mail, jusqu’à ce qu’ils atteignent le destinataire prévu. Cette méthode de chiffrement de bout en bout empêche quiconque, y compris Proton Mail, de lire vos messages, ce qui rend le service plus sûr pour les communications sensibles.
De plus, Proton Mail utilise une clé de chiffrement de bout en bout qui est générée sur votre appareil. Cette clé est utilisée pour chiffrer les messages sortants et déchiffrer les messages entrants. Cela signifie que la clé de chiffrement de bout en bout n’est jamais stockée sur les serveurs de Proton Mail, ce qui renforce encore la sécurité.
Serveurs en Suisse
Proton Mail utilise des serveurs situés en Suisse, où les lois en matière de protection de la vie privée sont très strictes. Cela signifie que les autorités gouvernementales ne peuvent pas simplement demander à Proton Mail de leur donner accès à vos messages, car Proton Mail n’a pas la capacité de déchiffrer les messages stockés sur ses serveurs. Même si un tiers accédait aux serveurs de Proton Mail, il ne pourrait pas lire vos messages en raison de leur chiffrement de bout en bout.
De plus, s’il y a bien une qualité que l’on peut reconnaître à la société c’est sa transparence. A ce titre, elle conduit d’ailleurs régulièrement des audits en mandatant une société externe/tierce qui doit permettre de confirmer ou attester des mesures prises par Proton en matière de cybersécurité. Les comptes-rendus sont d’ailleurs rendus publiques directement sur le site de Proton en suivant ce lien. Vous y retrouverez par exemple l’analyse qui a été effectuée par la société Securitum sur l’ensemble des produits Proton.
Fonctionnalités de sécurité dans Proton Mail
Les services Proton proposent également de nombreuses autres fonctionnalités très intéressantes d’un point de vue sécurité : envoie d’email avec une date d’expiration, renforcement de l’authentification avec du MFA, un mot de passe dédié pour protéger le contenu de sa boîte email, et plein d’autres choses encore.
Par exemple, Proton Mail utilise également des mesures de sécurité contre le phishing. Le phishing est une technique de piratage dans laquelle des e-mails frauduleux sont envoyés pour tenter de vous amener à divulguer des informations sensibles telles que des mots de passe ou des informations de carte de crédit. Proton Mail utilise des filtres anti-phishing pour bloquer les e-mails frauduleux avant qu’ils n’atteignent votre boîte de réception – et permet donc de vous protéger.
L’attaque DDoS de Proton Mail
Cela dit, la société Proton n’a pas toujours été aussi bien lotie en matière de sécurité. Peu après la création de l’entreprise, le service de messagerie a dû faire face à une importante attaque de type DDoS. A ce moment-là, le service de messagerie avait été complètement indisponible pendant quelques temps. Si bien qu’à la fois des particuliers ou des entreprises ne pouvaient plus accéder à leurs emails ! 😮
A l’époque, l’entreprise avait accepté de payer la rançon exigée par les pirates informatiques. Depuis, l’information a été un peu enterrée mais on retrouve tout de même assez facilement des informations car cela avait beaucoup questionné à l’époque :
- ProtonMail cède au chantage pour faire cesser une attaque DDoS
- ProtonMail gives in to DDoS blackmailers, pays $6000 ransom
- ProtonMail Pays Bitcoin Ransom to Stop DDoS Attack
- ProtonMail Pays Crooks $6,000 In Bitcoin To Cease DDoS Bombardment
- Attaque DDoS contre ProtonMail : entre chantage, excuses et campagne de dons
Aujourd’hui, évidemment cela nous semblerait évident à toutes et tous que payer une rançon est une mauvaise idée et que ce n’est évidemment pas recommandé. Cela dit, il faut imaginer que l’entreprise était dans une période de lancement et qu’il fallait absolument résoudre le problème rapidement afin de convaincre les utilisateurs et c’est probablement ce qui a poussé l’entreprise à payer… Malheureusement l’attaque ne s’est pas arrêtée. 🙁
Si on analyse davantage cette période de Proton, on comprendre assez vite que les finances de l’entreprise semblaient assez limitées puisqu’ils ont dû démarrer une cagnotte en ligne pour récupérer des fonds. Le tweet de cette annonce est d’ailleurs toujours disponible sur la toile et la cagnotte avait finalement atteint la somme de près de 65 000 $.
Alors évidemment, comprenez-moi bien : je trouve le service exceptionnel et je souhaite une longue vie à la société Proton. Je pense qu’ils ont désormais dépassé cette période de lancement et même le CEO a reconnu que si c’était à refaire, il ne payerait plus la rançon aujourd’hui. Et ce que j’apprécie, c’est qu’ils ont toujours été transparents là-dessus également.
Alors je ne dis pas que Google ou Microsoft sont forcément meilleurs pour la gestion de vos emails et services sur Internet. En revanche, ils possèdent un avantage certain c’est que les sociétés sont fortes d’un point de vue financier. On peut donc raisonnablement supposer que nos emails ne vont pas disparaître du jour au lendemain.
L’arrivée des offres payantes grand publiques et professionnelles de Proton ont certainement permis d’assoir la santé financière de la société. Cela dit, on ne trouve pas beaucoup d’informations ou des éléments chiffrés sur les finances de la société. C’est évidemment compréhensible dans le domaine de la Tech qui est toujours très concurrentiel. Pour autant, cela semble une inquiétude légitime si l’on souhaite confier notre « vie numérique et nos données » à Proton. Et à priori, je ne suis pas le seul à me poser cette question.
L’anonymat dans Proton Mail
On en arrive sur une autre promesse : celle que fait Proton et qui garantirait que nos données n’appartiennent qu’à nous et qu’elles ne peuvent être consultées par personne d’autre. Sur le papier, c’est une superbe promesse mais beaucoup trop de personne y croit… Alors que c’est faux.
L’entreprise a prouvé qu’elle ne détenait aucune log sur l’utilisation de leurs services. Mais cela n’empêche pour autant pas de remonter d’une adresse email Proton à la boite mail d’un utilisateur et potentiellement son adresse IP. A partir de là, il est alors possible de retrouver l’identité de la personne assez facilement en contactant l’opérateur qui met à disposition la connexion Internet.
Voir les articles ci-dessous :
- ProtonMail : Un service sécurisé, mais pas au-dessus des lois
- ProtonMail : la messagerie anonyme livre les adresses IP de certains utilisateurs
- « Nous avons fourni la protection que nous étions censés fournir » : Proton revient sur la controverse des adresses IP »
Et malheureusement, c’est la France qui s’est illustrée sur cette demande. On pourrait croire que le pays des droits de l’Homme serait à cheval sur la protection des données… 🫣
Dans le cas présent, la société Proton a donc dû fournir l’adresse IP d’une boîte mail au gouvernement Suisse, suite à la demande de la France et d’Europol (dans le cadre d’une enquête liée à du terrorisme écologique). Je vous invite à consulter les 3 articles précédents pour avoir tous les détails.
Donc, OUI, la société Proton a temporairement activé de la rétention de Logs afin de mémoriser l’adresse IP du ou des utilisateurs qui se connectaient à cette boîte email Proton. Une fois l’information transmise aux autorités, il a été possible grâce à l’adresse IP de remonter jusqu’à une localisation, un abonnement Internet lié à un opérateur et donc à un citoyen. 😬
Conclusion
Alors la fiabilité et la sécurité : à priori oui. C’est d’ailleurs clairement la société Proton qui va le plus loin en termes de chiffrement et de protection. 🔐
En revanche, on ne le répètera jamais assez : l’anonymat n’existe pas sur Internet. Ou alors il faut être très précis et rigoureux. Dans le cas présent, on peut supposer que cet utilisateur de Proton Mail aurait pu s’en sortir en ayant utilisé systématiquement à chaque fois un navigateur anonyme comme TOR. Mais cela demande de la rigueur et ce n’est pas forcément une évidence pour les personnes non initiées.
Moralité, est-ce que Proton Mail est meilleur que les autres d’un point de vue anonymat ? Non pas du tout. Comme tous les services sur Internet, ils ont l’obligation de répondre par la positive aux gouvernements…