Campagne de financement participatif pour ProtonMail

15
19
juil.
2014
Sécurité

ProtonMail est un service de messagerie web sécurisé créé en 2013 par Jason Stockman, Andy Yen et Wei Sun au CERN, situé à côté de Genève en Suisse. À l'opposé de nombreuses messageries web existantes (gmail.com, outlook.com…), ProtonMail chiffre les courriels avant qu'ils ne soient envoyés au serveur. ProtonMail est actuellement en version bêta.

logo ProtonMail

Depuis le 17 juin, une campagne de financement participative a été lancée par l'équipe de développeur dans le but d'atteindre 100 000$. Deux semaines plus tard, le projet avait déjà reçu 200 000$. La prochaine étape est d'atteindre 500 000$ afin que des applications pour iOS et Android soient développées. La campagne se termine le 31 juillet. ProtonMail accepte les paiements par carte bleue, paypal (voir plus bas) et bitcoin.

Détail de la sécurité

Les développeurs mettent en avant plusieurs points pour justifier de la sécurité de ce nouveau projet.

Tout d'abord, les serveurs de ProtonMail sont localisés en Suisse et dépendent donc de la législation suisse qui est l'une des plus protectrices au monde concernant les données personnelles (d'après les développeurs). Seul le tribunal cantonal de Genève ou le tribunal fédéral peuvent obliger ProtonMail à fournir les données extrêmement limitées qu'ils ont de leurs utilisateurs.

De plus, les données ne sont pas accessibles. Le système repose sur deux mots de passe. Le premier permet de se connecter à la messagerie. Celui-ci est connu par les administrateurs. Une fois connecté, les données sont envoyées chiffrées à l'utilisateur. Il utilise alors le deuxième mot de passe, connu de lui seul, pour déchiffrer les données au sein du navigateur. Ce deuxième mot de passe n'est pas envoyé au serveur, ni les données déchiffrées. Les données sont donc chiffrées de bout en bout et les serveurs de ProtonMail ne contiennent que des données chiffrées.

ProtonMail n'enregistre aucun log. Il ne sauvegarde aucune métadonnée, que ce soit les adresses IP à partir desquelles l'utilisateur se connecte, ou bien le temps durant lequel un compte est consulté. À noter que Google Analytics est utilisé mais uniquement sur la page d'accueil du site. Il n'est pas possible de faire correspondre les données avec un compte utilisateur spécifique.

Il est possible d'échanger des mails avec d'autres services de messagerie. Dans ce cas, votre correspondant recevra un lien vers le message chiffré qu'il pourra déchiffrer grâce à la phrase de passe que vous lui aurez auparavant communiqué par un moyen de communication sécurisé ;)

Enfin, il existe une option pour activer l'autodestruction des courriels au bout d'un certain délai.

Techniquement, sur quoi ça repose ?

Techniquement, le chiffrement des données est réalisé avec AES et RSA implémenté dans OpenPGP. Par ailleurs, des scripts vérifient régulièrement l'intégrité du code en exécution de sorte à détecter toute modification de celui-ci. Enfin, bien que les données transitant depuis le serveur vers votre navigateur web soient déjà chiffrées, la communication s'effectue via SSL pour ajouter une protection supplémentaire (attaque de l'homme du milieu).
Leur certificat SSL est fournit par SwissSign. Les développeurs publieront prochainement le hash SHA3 de leur clé publique SSL.

Enfin, l'équipe a choisi avec attention l'emplacement physique des serveurs. Ils sont situés dans des centres de traitement de données (datacenters) sécurisés et gardés aux côtés des serveurs de banques suisses. Du côté humain, aucune personne ne possède l'ensemble des mots de passe d'accès ; ils sont conservés par différents personnes de nationalités différentes.

Équivalent

À noter que tutanota, basé en Allemagne, propose le même genre de fonctionnalités.

Paypal pense que c'est illégal

En plein milieu de la campagne de financement, le 30 juin dernier, paypal décide unilatéralement de bloquer les dons pour ProtonMail. Paypal se demandait si ProtonMail était légal et s'ils avaient l'autorisation du gouvernement (lequel ?) pour chiffrer les courriels. Le blocage a été levé le lendemain dans l'après-midi.

  • # Ou seront les sources ?

    Posté par (page perso) . Évalué à 10.

    J'ai survolé les deux sites indiqués dans la dépêche : aucune trace de licence, ni de code source.
    En gros en finance un logiciel et une infrastructure. Okay, pourquoi pas.
    Mais pourquoi garder les sources fermées vu que c'est financé d'avance et sans risque ?

    Et si c'est du libre (car je n'ai pas cherché pendant 5 minutes), ce n'est pas mis en avant. Pourquoi cette honte ? Ça fait peur au public de l'écrire dans un coin ?

    • [^] # Re: Ou seront les sources ?

      Posté par . Évalué à 9.

      Pareil ici.

      Ou est le rapport avec les logiciels libres?
      OK pour la liberté (quoique la liberté avec un logiciel fermé, …), mais qu'en est-il de la licence?

      • [^] # Re: Ou seront les sources ?

        Posté par (page perso) . Évalué à 7.

        Même si il était libre, tu ne peux pas vérifier ce qui est lancé sur leur serveurs.

        • [^] # Re: Ou seront les sources ?

          Posté par . Évalué à 3.

          Ça permettrait au moins de vérifier que leur campagne n'est pas seulement un fake.
          Peur qu'un autre leur pique le code et se créé une instance dans un autre pays encore plus respectueux que la Suisse.
          Ce que je sais moi en revanche, c'est que la Suisse garde bien le secret bancaire.
          S'ils ne produisent rien, les donateurs ne sont pas près de revoir la monnaie.

        • [^] # Re: Ou seront les sources ?

          Posté par . Évalué à 2.

          Tout a fait, mais ça ne rend pas moins valide ce que j'ai dit.

    • [^] # Re: Ou seront les sources ?

      Posté par (page perso) . Évalué à 10.

      C'est quelque chose que je reproche également à cette campagne. ProtonMail annonce faire de la sécurité mais (il me semble) ne donne pas accès a ses sources.
      Il est bien connu que la sécurité par l'obscurité est la meilleur qui soit (ironie)…

      De ce point de vue, je trouve le projet Mailpile plus intéressant mais qui a eu moins de succès, il n'a recu "que" 160.000$ (trop axé sysadmin sans doute, l'auto-hébergement n'est toujours pas sexy…)

      • [^] # Re: Ou seront les sources ?

        Posté par . Évalué à 7.

        C'est clair qu'après les excellentes dépêches sur l'auto hébergement, proposer un service payant et qui a priori ne fera peut-être pas mieux que gmail (pas de preuve puisque pas de sources), ça me laisse sur ma faim.

    • [^] # Re: Ou seront les sources ?

      Posté par (page perso) . Évalué à 10.

      Le 20 mai sur Twitter, ils indiquaient vouloir publier le code source — sans toutefois préciser la licence — une fois la version béta sortie (« We will open source after we are out of beta! »). Un mois plus tard, toujours sur Twitter, il n’est plus question que de publier le code de la partie chiffrement du client de messagerie (« We're believers in peer review so the client side encryption code will be released. »).

      Bref, pas sur que le code source soit vraiment disponible un jour…

      Olivier;

  • # 500k dollars pour 2 appli?

    Posté par . Évalué à 10. Dernière modification le 20/07/14 à 14:55.

    "La prochaine étape est d'atteindre 500 000$ afin que des applications pour iOS et Android soient développées. "

    500k dollars => joke ?

    (ça coûte vraiment 500k dollars de reprendre K9mail (client libre sur android) et de lui ajouter le chiffrement de bout en bout ? (s'il n'est pas déjà implémenté))
    A ce tarif là j'espère que le code est en alexandrin :D

    • [^] # Re: 500k dollars pour 2 appli?

      Posté par (page perso) . Évalué à 3.

      reprendre K9mail (client libre sur android) et de lui ajouter le chiffrement de bout en bout ?

      Ça existe déjà avec la combinaison K9mail + APG.

      Seul (gros) défaut: APG ne fait que du chiffrement inline et pas via Multipart, ce qui donne un truc moche quand le MUA ne comprend pas PGP (c'est-à-dire l'énorme majorité des cas). Plus d'infos ici.

      À part ça, ça marche tip top.

      • [^] # Re: 500k dollars pour 2 appli?

        Posté par (page perso) . Évalué à 5.

        Inline PGP signatures considered harmful

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

      • [^] # Re: 500k dollars pour 2 appli?

        Posté par . Évalué à 4.

        La dernière fois que j'ai regardé, k9mail n'était pas capable de lancer une recherche IMAP sur le serveur (i.e. il ne pouvait que rechercher dans les 15j de mail stockés localement dans le terminal). Ça a peut-être changé, mais en tout cas ça le rendait inutilisable pour moi.

        • [^] # Re: 500k dollars pour 2 appli?

          Posté par (page perso) . Évalué à 9.

          Et bah ça doit faire un bail que t'as pas essaye alors, parce que moi je me sers très souvent de la recherche sur serveur et ça marche comme voulu. Mon compte est un Gmail, mais je pense pas que ça change quoi que ce soit.

          • [^] # Re: 500k dollars pour 2 appli?

            Posté par . Évalué à 3.

            merci, je ne savais pas que cette option existait, ça change tout ! Mais elle n'est pas activée par défaut : "paramètres du compte" > Rechercher > Activer la recherche distante. Ça recherche en priorité en local, et si on veut chercher sur le serveur il faut cliquer sur la loupe de nouveau (avec un nuage). Ça fonctionne bien sur l'imap de laposte.net

  • # Pas sécurisé et ne le sera jamais

    Posté par (page perso) . Évalué à 10.

    Un système hébergé à distance, même avec du chiffrement dans le navigateur, ne peut pas être sécurisé. Il est possible que le site donne du JavaScript malicieux parce qu'on l'a forcé, ou piraté. Même si on a confiance dans le site, le MITM est possible (le système SSL demandant de faire confiance à trop d'intermédiaires).

    Encore une absurdité du "tout web" quand on a déjà des solutions qui marchent vraiment en dehors du navigateur.

    Tout d'abord, les serveurs de ProtonMail sont localisés en Suisse et dépendent donc de la législation suisse qui est l'une des plus protectrices au monde concernant les données personnelles (d'après les développeurs).

    C'est particulièrement naïf. Par exemple le secret bancaire n'existe plus pour les américains en Suisse.

    ProtonMail n'enregistre aucun log. Il ne sauvegarde aucune métadonnées, que ce soit les adresses IP à partir desquelles l'utilisateur se connecte, ou bien le temps durant lequel un compte est consulté.

    Jolie promesse mais aucun moyen de le vérifier.

    On dirait que les donateurs n'ont jamais entendu parler de Hushmail…

    • [^] # Re: Pas sécurisé et ne le sera jamais

      Posté par . Évalué à 1.

      On dirait que les donateurs n'ont jamais entendu parler de Hushmail…

      Ne connaissant pas j'ai tapé sur google, résultat:
      Centralisé, 35$ par an pour 1 Go (très très radin, a titre indicatif YahooMail offre gratuitement 1 To) et le code source semble inaccessible et propriétaire.

    • [^] # Re: Pas sécurisé et ne le sera jamais

      Posté par (page perso) . Évalué à 6.

      Concernant la protection des données en Suisse, je ne suis pas d'accord avec toi quand tu dis que c'est particulièrement naïf. Le secret bancaire et la protection des données ne sont pas la même chose. Je te conseil de regarder la loi en question qui se trouve ici: http://www.admin.ch/opc/fr/classified-compilation/19920153/index.html Entre la loi, son application et le travail du préposé Suisse à la protection des données (qui a beaucoup trop de travail mais c'est un autre problème) l'environnement est bien plus propice qu'aux USA ou en France.
      Ceci dit, le reste du projet et même la manière dont la protection des données est mise en avant par le projet ne me dise rien qui vaille. Encore quelqu'un qui profite de l'effet marketing de la sécurité après Snowden.

      Si tu ne sais pas demande, si tu sais partage !

      • [^] # Re: Pas sécurisé et ne le sera jamais

        Posté par (page perso) . Évalué à 5.

        Encore quelqu'un qui profite de l'effet marketing de la sécurité après Snowden.

        Si je ne dis pas de connerie, c'est le type qui a mis la clef sous la porte quand la NSA lui a demander ses clefs SSL parce qu'il avait Snowden comme utilisateur.

        « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Pas sécurisé et ne le sera jamais

      Posté par . Évalué à 10.

      Par exemple le secret bancaire n'existe plus pour les américains en Suisse.

      Le secret bancaire n'existe en fait plus dans les faits pour tous les pays de l'OCDE.

      Et même pour les ressortissants des autres pays, les banques collaborent avec les autorités de Suisse et des autres pays dès lors qu'il y a une action judiciaire liée à des activités criminelles, et lutte activement contre le blanchiement d'argent.

      Ce que les banques Suisses garantissent, c'est une certaine discrétion, mais pas un secert. Je travaille dans une banque privée à Genève qui a une licence en Suisse et dans d'autres pays; les données nominatives font partie de ce qui est le mieux protégé ici (moi-même n'ai par exemple accès à aucune donnée nominative). Ca ne veut pas dire que nos clients sont anonymes, ni que personne ne sait qui ils sont. C'est juste qu'on assure à nos clients qu'on traite leurs données de façon appropriée pour éviter que leurs informations fuitent. Par exemple, les données bancaires suisses ne sont accessible que depuis la Suisse; il y a une infrastructure séparée et des firewalls qui établissent une séparation stricte Suisse/non-Suisse.

      On voit très bien depuis notre bout du lac que les autres pays n'ont pas du tout la même approche de la protection des données: dans beaucoup d'établissements étrangers, n'importe quel employé peut accéder plus ou moins à n'importe quel compte et consulter la quasi-totalité des informations personnelles sur les clients de la banque. Ici un banquier ne verra que ses clients, une personne du middle-office ne verra que des numéros de compte sans nom, un employé non-suisse (même un top manager ou un admin qui a accès à des mots de passe privilégiés) ne verra aucune donnée suisse, etc.

      En réalité, au-delà du soi-disant "secret" bancaire suisse, il y a une loi de protection des données qui est particulièrement forte ici, sans doute grâce aux banques. Et il y a un savoir-faire en matière de sécurité des données qui est sans doute plus élevé que dans beaucoup d'autres pays et un état d'esprit qui fait qu'il est normal de considérer des données personnelle de façon extrèmement paranoïaque.

      My 0.0243 CHF

  • # détail technique ?

    Posté par (page perso) . Évalué à 3.

    Il utilise alors le deuxième mot de passe, connu de lui seul, pour déchiffrer les données au sein du navigateur.

    Concrètement, c'est fait comment ? Je suppose qu'il faut installer un plugin spécial ?

    * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

    • [^] # Re: détail technique ?

      Posté par . Évalué à 3.

      Si c'est pas ça c'est du code javascript, et là plus aucune chance que ce soit sûr.

      Please do not feed the trolls

    • [^] # Re: détail technique ?

      Posté par . Évalué à 4.

      Il utilise alors le deuxième mot de passe, connu de lui seul, pour déchiffrer les données au sein du navigateur.

      Concrètement, c'est fait comment ? Je suppose qu'il faut installer un plugin spécial ?

      Concrètement? Il met le même mot de passe que le premier, car c'est chiant et compliqué, ou alors il désactive le bazar. Le monsieur michu, il a pris protonmail car "c'est secure". Donc, se faire chier avec des mots de passe, non merci, hein!

      Les paranos de la sécu n'utiliseront pas ce genre de soft/service, donc il suffit de faire un truc à moitié cuit pour satisfaire tout le monde:

      • monsieur michu car il pense à sa vie privée (haha) donc il est prêt à payer pour qu'on ne sache pas qu'il écrit à sa femme de ne pas oublier de racheter des pates pour le soir
      • la [NSA | état | service secret | grand méchant quelconque] car le service sera de toute façon perçable comme n'importe quel service de ce genre, soit car la sécurité est lamentable, soit que le service finira par divulguer ses clés sous la demande d'un juge ou autre
      • les admins du site car pleins de michu vont dépenser des sous là dedans, et ça va faire du boulot.
    • [^] # Re: détail technique ?

      Posté par . Évalué à 1.

      Voila ce que j'ai cru comprendre du système (pour m'y être déjà intéressé):
      Chaque compte a une clé PGP, avec une clé publique et une privée. Ils stockent la clé publique, et votre clé privée chiffrée symétrique en utilisant votre 2nd mot de passe (vous devez leur faire confiance pour ne stocker que la clé privée cryptée). Ils ont votre clé publique, de sorte qu'ils peuvent chiffrer tout le courrier entrant (seulement si l’émetteur utilise aussi protonmail). Si vous voulez lire votre courrier, une fois que vous êtes identifié, ils vous envoient (ceci est transparent) la clé privée cryptée en utilisant votre mot de passe chiffrée symétrique avec votre mot de passe, et vous pouvez ensuite utiliser cette clé privée pour décrypter vos emails.

      Comme il n'y a pas de plugin ni rien a installer, tout se base sur du js. Ils s'en vantent d'ailleurs en disant que du coup ce code client est facilement lisible par tout le monde.

      • [^] # Re: détail technique ?

        Posté par . Évalué à 3.

        Enfin si ca marche comme ca, le probleme que je vois, c'est que vos emails sont aux mieux protégés par une clé symétrique (votre mot de passe), vu que quel que soit l'endroit de l'interception (entre le serveur et le client, ou sur le serveur en lui meme), l'attaquant aura access a la clé PGP cryptée symetrique …
        Donc j'ai du mal a voir l'interet de l'encryption PGP: on tentera jamais de casser un message en direct, mais on s'attaquera a sa clé qui sera bien plus facile a déchiffrer car disponible et cryptée symétrique …

      • [^] # Re: détail technique ?

        Posté par (page perso) . Évalué à 3.

        en utilisant votre 2nd mot de passe (vous devez leur faire confiance pour ne stocker que la clé privée cryptée)

        Ah ah ah ah ah !

        * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

  • # google inside ?

    Posté par (page perso) . Évalué à 10.

    À noter que Google Analytics est utilisé mais uniquement sur la page d'accueil du site.

    Mais il y a aussi du tracking google sur certaines autres pages…

    $ GET https://protonmail.ch/blog/protonmail-threat-model/ | grep goog
    <link rel='stylesheet' id='csbtnsFont-css'  href='//fonts.googleapis.com/css?fam
    

    * Ils vendront Usenet^W les boites noires quand on aura fini de les remplir.

  • # Marketing sur le dos du CERN ?

    Posté par (page perso) . Évalué à 10. Dernière modification le 21/07/14 à 12:50.

    ProtonMail est un service de messagerie web sécurisé créé en 2013 par Jason Stockman, Andy Yen et Wei Sun au CERN, situé à côté de Genève en Suiss

    Soyons clair, Ce projet n'a jamais été sponsorisé, appuyé ou même supporté par le CERN.
    Le présenter de cette manière n'est ni honnête ni correcte et ressemble plus à une opération de communication gratuite en utilisant l'image publique du CERN..
    Proton mail a été conçu uniquement par quelques anciens physiciens du CERN associés à quelques businessmans.

    Il serait peut être bon de réfléchir à deux fois avant d'associer un institut de recherche publique à votre entreprise qui a première vue semble un poil douteuse en terme de sécurité

    • [^] # Re: Marketing sur le dos du CERN ?

      Posté par . Évalué à 0.

      Concernant la remarque sur la sécurité, je la trouve assez injuste étant donné que le service est en version bêta.

      • [^] # Re: Marketing sur le dos du CERN ?

        Posté par (page perso) . Évalué à 6.

        Ma remarque sur la sécurité est alignée avec les commentaire précédent dans ce fil.

        L'expérience Lavabit a déja prouvé par le passé que le service propriétaire à code fermé n'était pas la solution face à l’ingérence des états dans les données personnelles.

    • [^] # Re: Marketing sur le dos du CERN ?

      Posté par . Évalué à -1.

      ProtonMail est un service de messagerie web sécurisé créé en 2013 par Jason Stockman, Andy Yen et Wei Sun au CERN, situé à côté de Genève en Suisse à l'endroit ou Timer Berners-Lee a inventé le Web

  • # Protection accès != Protection data mining

    Posté par . Évalué à 4. Dernière modification le 22/07/14 à 07:47.

    Tout d'abord, les serveurs de ProtonMail sont localisés en Suisse et dépendent donc de la législation suisse qui est l'une des plus protectrices au monde concernant les données personnelles (d'après les développeurs).

    Sauf que protèger les données d'un accès par un tiers ne veut pas dire que les donneés personnelles sont préservées de toute autre exploitation interne.

    C'est d'ailleurs pour celà qu'un certain opérateur Français a un cloud localisé en suisse pour ne pas avoir à se conformer aux lois Françaises concernant le recoupements de données de ses clients et de son moteur de recherche…

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.