Web Cybersécurité

Une semaine après le basculement sur ProtonMail, voici ce qu'il faut retenir

Que vaut le service de courriers électroniques proposé par ProtonMail ? Vous vous posez la même question ? Vous hésitez encore à opter pour une des solutions premium ? Cet article est fait pour vous !

Avant d'aller plus loin...

... un petit historique s'impose !

La beta publique de ProtonMail a vu le jour au mois de mai 2014, et il est passé beaucoup d'eau sous les ponts depuis.

Aujourd'hui le service est utilisé par plus de 2 Millions de personnes à travers le monde. 2 Millions, c'est aussi la somme en Dollars Américains qui a été apportée par un fond d'investissement couplé à un organisme Suisse pour aider au développement de la plateforme à ses débuts.
Mais bien avant cela, ce projet fondé par un docteur en Physique du CERN avait déjà réuni plus de 500 000 $ en crowdfunding, ce qui montre sa volonté de propulser le droit à la vie privée sur Internet grâce au chiffrement est partagée.

Un souhait même tellement partagé qu'il ne plaît pas forcément à quelques organisations, possiblement derrière une des attaques de type Denial of Service qui ont touché la plateforme en 2015.

Un dernier petit détail tout de même avant de se lancer : cet article n'est pas sponsorisé par ProtonMail ni par aucun autre annonceur.
Comme pour celui de la semaine dernière concernant la sortie du monde monstrueux qu'est celui de Google, il relève d'une expérience, de recherches et de découvertes personnelles.

ProtonMail, un vrai service de courriels avant tout

Lorsqu'on se connecte sur la webmail de ProtonMail pour la première fois, on est quand même frappé par la lisibilité et l'aspect "épuré" de l'interface.
Ce n'est pas souvent que les boutons sont gros, et que l'on s'y retrouve assez vite. En fait, ça fait du bien de ne pas être sur Zimbra pour une fois ;)

Une semaine après le basculement sur ProtonMail, voici ce qu'il faut retenir | Interface (webmail) de ProtonMail

Interface (webmail) de ProtonMail

ProtonMail est basé sur de la cryptographie asymétrique (sécurisation de vos mails et de vos contacts, voir ci-dessous), ainsi que de la cryptographie symétrique (votre clef privée est chiffrée chez eux grâce au mot de passe de votre compte). Ce sont ces mécanismes qui garantissent la robustesse du service.

Cependant, ils empêchent de façon systémique une chose : la redirection de courriels. En effet, vous ne pourrez trouver dans les options une section permettant de mettre au point une redirection vers une autre adresse email.
Mais cela est cohérent, puisque les mails étant chiffrés à leur arrivée à l'aide de votre clef publique, vous seul(e) pourrez les consulter ensuite. Ça n'aurait donc pas de sens de rediriger ce contenu chiffré vers une autre adresse, où il ne pourrait jamais être déchiffré.

À côté de cela, un des points dont on peut être assez sûr, est bel et bien le business model de l'entreprise Suisse derrière :')
En vous baladant dans les options de la plateforme (et il y en a beaucoup !), vous vous rendrez-compte que la version gratuite (Free plan) vous limitera assez rapidement dans l'usage.

Exemples :

  • Limite d'envoi de 150 mails par jour
  • 500 Mo de stockage (c'est un peu court suivant l'usage que vous en faites)
  • La signature ("Sent with ProtonMail Secure Email.") sera activée automatiquement lors de chaque nouvelle rédaction (vous pourrez tout de même l'enlever manuellement)
  • Pas d'accès IMAP ni SMTP (détaillé ci-dessous). Point assez décrié par les détracteurs... compréhensible

En bref, si vous envisagez de migrer sur ce service, un des forfaits payants ci-dessous sera quasiment obligatoire et à envisager rapidement (le Plus étant déjà très correct) :

Une semaine après le basculement sur ProtonMail, voici ce qu'il faut retenir | Détails et tarifications des offres ProtonMail (février 2018)

Détails et tarifications des offres ProtonMail (février 2018)

Depuis moins de 2 mois, un nouvel outil a été rendu disponible : ProtonMail Bridge.

Concernant actuellement uniquement Windows et Mac OS (il va falloir attendre printemps de cette année les amis Linuxiens !), ce logiciel une fois en exécution se chargera de faire le pont entre votre client de mails "lourd" (tels que Thunderbird ou Outlook) et les serveurs de ProtonMail.
Les développeurs règlent ainsi le problème du chiffrement qui doit intervenir "client-side", que les clients réguliers ne prennent pas en charge : les mails circulent "en clair" entre votre client et le bridge (pas de souci jusque là, on reste sur votre machine), où ils sont ensuite chiffrés et envoyés au serveur SMTP de ProtonMail.

Plus de détails ici.

Un autre point assez intéressant, aucun traqueur ni aucune ressource externe n'est chargé lorsque l'on navigue sur les différents sites de Proton.
Mis à part peut-être un Matomo (ex. Piwik) que l'on peut croiser, qui est déguisé derrière https://stats.protonmail.ch sur certaines pages ciblées. Côté vie privée, ils gagnent au moins ce point là !

Comme annoncé précedemment, le webmail est ultra-personnalisable, y compris l'interface !
À l'aide de feuilles de styles, on peut donner un look complètement différent à la page, et pour intégrer un thème plus sombre que celui par défaut, c'est parfait :P

Les meilleures feuilles de styles (à mon humble avis) sont à récupérer ici ou ici, ou bien à composer sur mesure vous-même grâce à cet outil !

Une fois sélectionnée (ou créée), vous n'aurez plus qu'à la copier / coller dans la zone de texte prévue à cet effet, accessible depuis les options (sous Apparence) :

Une semaine après le basculement sur ProtonMail, voici ce qu'il faut retenir | Zone de texte dédiée au chargement d'une feuille de styles

Zone de texte dédiée au chargement d'une feuille de styles

Côté sécurité, l'accès à votre compte est à protéger avec la double authentification, qui est bien entendu prise en charge par la plateforme.

Au niveau de vos contacts, plein de choses intéressantes :

  • Possibilité de ne pas collecter les adresses avec lesquelles vous communiquez, ce qui est une fâcheuse (bien que parfois utile) tendance qu'ont les clients mails en règle générale
  • Les contacts sont, comme les mails, chiffrés côté clients. En plus de cela, et selon ProtonMail, ils sont également signés numériquement afin de garantir leur authenticité
  • Vous pouvez les importer ainsi que les exporter simplement depuis la page de gestion

En fait, en intégrant ce composant, ProtonMail fait un grand pas vers un service complètement alternatif à celui de Google qui gère très bien cela.
Il ne reste plus que le calendrier (qui devrait être ajouté) et ce sera un vrai environnement de travail professionnel (entièrement chiffré !) ;)


Pour les geeks, vous avez la possibilité à partir du "forfait" Plus d'ajouter votre propre nom de domaine (très facilement), duquel vous pourrez décliner 5 adresses différentes de la forme [email protected].
Dans tous les cas, vous disposez d'un nombre d'alias illimité de la forme [email protected] (très pratique pour scinder les adresses que vous donnez lors des inscriptions pour constater quelles entités revendent vos adresses à des tiers).

À partir du forfait Professional (au-dessus du Plus), vous serez même en mesure de décliner les adresses (augmenter à 10 d'ailleurs avec ce plan) à des utilisateurs différents !
Une fonctionnalité très pratique pour les familles :

  1. Vous achetez un nom de domaine
  2. Vous optez pour un compte Professional chez ProtonMail
  3. Chacun des membres de votre famille pourra disposer ensuite de :
    • sa propre adresse email
    • son propre compte à la connexion
    • son propre client mail avec gestionnaire de contacts (car les clefs générées sont liées à une adresse et non à un compte !)
    • ... et le tout chiffré !


Une autre fonctionnalité intéressante pour les geeks++ d'entre vous, la possibilité d'afficher les en-têtes des mails directement depuis la boîte de réception (!) :

Une semaine après le basculement sur ProtonMail, voici ce qu'il faut retenir | Le menu déroulant qui concerne un courriel, où l'on peut afficher plein de choses

Le menu déroulant qui concerne un courriel, où l'on peut afficher plein de choses

Un autre cas d'usage pratique (et non-moins courant), vous communiquez avec quelqu'un n'ayant pas de compte chez ProtonMail.
Si vous désirez par la même occasion que le contenu du message soit protégé, cela peut poser problème.

La plateforme vous propose une solution : chiffrer le courriel, et envoyer à votre destinataire un lien permettant de le consulter après saisie du mot de passe que vous avez précisé à l'envoi.
Le contenu du courriel reste ainsi sur les serveurs de ProtonMail (chiffré), il ne vous reste plus qu'à faire parvenir par un autre moyen (back-channel) ce même mot de passe à votre correspondant, qui recevra quant à lui quelque chose de la forme :

Une semaine après le basculement sur ProtonMail, voici ce qu'il faut retenir | Exemple de notification qu'un destinataire "régulier" reçoit lorsqu'on lui envoie un mail chiffré

Exemple de notification qu'un destinataire "régulier" reçoit lorsqu'on lui envoie un mail chiffré

Petite précision tout de même, le courriel ne sera accessible que pour une durée limitée de 28 jours à compter de son "envoi".

Pour finir avec les mails, le gros bémol est au niveau de la limite d'expédition.
Même si vous optez pour un compte "payant", le nombre de destinataires maximum par email est fixé à 25, et suivant ce que vous envoyez, c'est embêtant.
Tout ce qu'il faut savoir sur ces limites (quantité et fréquence) est détaillé ici, mais le groupe n'a jamais répondu quant à l'histoire des 25 personnes maximum par courrier...

EDIT 10/05/2019 : Une technique pour pallier cela nous a été envoyée : Créer une liste de contacts sur l'interface web contenant vos correspondants, avant de sélectionner cette dernière comme destinataire de votre courrier.

Merci à MathieuP.

ProtonVPN, le surplus de sécurité qu'il manquait

Depuis quelques temps, l'équipe propose maintenant un nouveau service ProtonVPN.

De manière générale, les solutions VPN gratuites sont à proscrire pour la simple et bonne raison que le fournisseur du service est dans la capacité d'intercepter le trafic passant par lui-même.
Vous passez donc d'une situation où vous devez faire confiance à votre FAI (Fournisseur d'Accès Internet), à une situation où vous devez faire confiance à... votre fournisseur de VPN, qui est bien souvent un tiers comme vous ou moi.

Dans le cas de ProtonVPN, serait-ce enfin un VPN gratuit qui tienne la route ?
Il semblerait que oui, en tout cas le service possède le même standing que pour les mails, et on ne se fait encore pas de souci pour le business model en jetant un coup d'œil aux forfaits :'D

Leur client est multi-plateformes (voir ici), mais leur service étant basé sur OpenVPN (et ça c'est chouette !), vous avez quand même la possibilité de récupérer les certificats au format .openvpn, et directement les utiliser avec des identifiants disponibles depuis votre interface personnelle.
Un tutoriel complet est diponible ici pour Android par exemple. Simple, direct, efficace. Quoi demander de plus ?

J'ai donc testé cela également sur Linux, en pointant les 3 localisations géographiques qui sont proposées gratuitement :

  • Japon (1 serveur)
  • Pays-Bas (2 serveurs)
  • États-Unis (2 serveurs)

Résultats : Quasiment un 1 Mo.s⁻¹ de débit descendant en pointant un miroir Arch Linux français, en passant par... le Japon !

Une semaine après le basculement sur ProtonMail, voici ce qu'il faut retenir | Détails et tarifications des offres ProtonVPN (février 2018)

Détails et tarifications des offres ProtonVPN (février 2018)

J'utilise TOR, suis-je concerné ?

Oui ! Depuis peu, ProtonMail est maintenant accessible depuis TOR, à cette adresse : https://protonirockerxow.onion/

Plus d'informations sont disponibles sur cette page si vous êtes intéressé(e).

Conclusion

Pour conclure très rapidement, bien qu'ils ne masquent par leur business model, ce qui n'est pas en soi une mauvaise chose, vous aurez sûrement besoin d'une des offres payantes selon votre usage.

Comme précisé dans l'article paru la semaine dernière sur la décentralisation, le chemin menant vers la vie privée permet de se rendre compte du vrai prix des services.
Mais à titre de comparaison, en admettant que vous optiez pour le forfait à 4€ / mois, n'oubliez pas que si nous communiquions encore par voie postale, cela reviendrait plus cher si nous devions passer par La Poste (sans compter les pièces-jointes) !

Dernier point, vous voulez migrer vers ProtonMail en partant de GMail ? Ils ont prévu le coup ! Cette page-guide sera votre Saint-Graal de la journée.

Et j'oubliais, une grande partie du code source derrière leurs services est OpenSource !

Nous restons bien entendu ouvert à toute question ou remarque concernant les services présentés ci-dessus.
N'hésitez pas à partager votre expérience également !

    Personne n'a encore commenté cet article, à vous de jouer !