Nouvelles de ProtonMail : version 2.0, ouverture (partielle) du code et mobilité

Posté par (page perso) . Édité par M5oul, Benoît Sibaud, BAud, Jiehong, Nÿco et Syvolc. Modéré par Pierre Jarillon. Licence CC by-sa
21
31
août
2015
Sécurité

ProtonMail, service de messagerie web initié en 2013 qui s'annonce sécurisé et respectueux de la vie privée, a refait parler de lui cet été avec pas moins de trois annonces coup sur coup :

  • La mise à disposition de la version 2.0 ;
  • L'arrivée des applications mobiles dédiées ;
  • L'ouverture du code source de la partie cliente uniquement.

logo ProtonMail

Détails dans la suite de la dépêche.

Version 2.0

Suite à la forte demande de comptes pour ProtonMail qui a dépassé leurs attentes (ils annoncent plus d'un demi-million), l'équipe du projet s'est lancée dans une réécriture complète de la version 1.x qui n'était pas taillée pour supporter une telle charge. Si le rendu visuel reste proche, la base de code a été refaite pour améliorer la performance (ils annoncent des temps de réponse dix fois inférieurs), la sécurité et la flexibilité.

Parmi les nouvelles fonctionnalités pour l'utilisateur, notons :

  • Une nouvelle fenêtre de rédaction de message en mode « popup » ou « maximisé », très proche de ce que fait GMail ;
  • La possibilité d'enregistrer les tentatives d'authentification pour détecter toute utilisation frauduleuse. Cette faculté est désactivée par défaut et c'est à l'utilisateur de l'activer en connaissance de cause ;
  • Le glisser/déposer dans les répertoires/labels ;
  • Un éditeur de signature HTML ;
  • Les contacts peuvent être cherchés et exportés ;
  • Les courriels chiffrés envoyés à des contacts n'utilisant pas ProtonMail chiffrent désormais les pièces jointes. Ces utilisateurs hors ProtonMail peuvent aussi répondre avec des pièces jointes chiffrées ;
  • L'export de votre clef PGP publique pour l'utiliser dans d'autres services compatibles.

Ouverture (partielle) du code source

Note : ce paragraphe a été repris du journal de pamputt et a été retravaillé.

La campagne de financement participatif a permis de récolter plus de 500 000 dollars américains pour ce projet. Depuis, plusieurs annonces avaient été faites concernant leur volonté de publier le code source du front-end sous licence libre. C'est maintenant effectif avec la sortie de la version 2.0 annoncée le 13 août 2015. Le code est disponible sur GitHub sous licence MIT. Son étude permettra sûrement de répondre aux commentaires de certains.

L'étude du code client devrait donc permettre d'être fixé sur la confiance que l'on peut avoir dans ProtonMail étant donné que les développeurs considèrent toujours qu'il est trop risqué d'ouvrir le code source de la partie back-end.

The security risks of open sourcing the back-end code is too high. It would let an attacker know how our infrastructure is set up or let spammers get insight into how to circumvent our anti-spam measures.

Ce qui peut être traduit par :

Ouvrir le code source du code back-end fait courir un trop grand risque au niveau de la sécurité. Cela permettrait à un attaquant de connaître comment notre infrastructure est paramétrée et aux spammeurs d'avoir quelques indices sur comment contourner les mesures anti-spam.

Cela n'assurera toutefois pas que c'est bien le code publié qui tourne sur les serveurs. Et ne vous attendez pas à pouvoir installer votre propre ProtonMail chez vous. Par ailleurs, ProtonMail a ouvert un programme de chasse aux bogues avec récompense à la clé.

Applications pour smartphones

ProtonMail a aussi annoncé les versions bêta de sa messagerie sécurisée pour Android et iOS (pas les tablettes). L'accès au programme de bêta est limité à 1 000 utilisateurs et est attribué en priorité à ceux qui ont participé au financement participatif. Si vous ne l'avez pas fait, il est encore possible de faire un don pour vous retrouver en tête de liste.

Parmi les fonctionnalités annoncées disponibles :

  • Toutes les fonctionnalités de la version web ;
  • L'import de contacts sur Android ;
  • La sélection multiple ;
  • Les mouvements de "swipe" dont certains sont personnalisables.

Ailleurs

Et pour ceux qui n'aiment pas ProtonMail, il existe des alternatives (proposées par Scoubidou). Celles-ci ne sont pas forcément équivalentes fonctionnellement, mais ont la sécurité et/ou la vie privée dans leur ADN. Citons :

Lavaboom aurait pu faire parti de cette liste, mais il a fermé ses portes le 27 août 2015. D'après un ancien développeur, pzduniak, ce serait pour des problèmes de dilapidation d'argent. Ce dernier travaille cependant sur une alternative qui se veut Open Source.

Côté CaliOpen, on peut citer « l’éclairage du projet Caliopen sur le milieu du logiciel libre », « un constat de la très faible coopération », publié sous le titre Trop tard. sur Reflets.info le 18 août 2015 (après l'entrée de blog du 5 août Si tu écoutes tout, je m’en vais. suite à la loi française sur le renseignement).

  • # IMAP et POP non compatibles

    Posté par (page perso) . Évalué à 10.

    Dans toutes les "vraies" tentatives de rendre l'email plus sûr et plus personnel, le chiffrement de bout en bout est utilisé.

    De ce fait, le serveur ne peut pas comprendre le message, ce qui est assez pratique car il n'y a plus besoin de se préoccuper des intermédiaires.
    (Quoique, Gmail/Hotmail pourraient proposer de garder la clé de déchiffrement Gpour faciliter l'expérience utilisateur de vos correspondants…)

    Les entêtes sont également chiffrées (pour ne pas révéler le surnom que vous donnez à vos correspondants au serveur) et donc l'usage des moyens de connexion classiques (IMAP/POP) tombe à l'eau. Faute de nouveau standard, il faut pour chaque service d'email, trouver le plugin qui va bien avec son logiciel d'email favori ou se taper l'application en javascript/html.

    Je trouve un peu dommage d'en arriver là car la fragmentation guette.
    C'est quoi l'avenir ? Une guerre entre services ? Comment on envoie un mail sécurisé à quelqu'un qui serait sur un service concurrent à protonmail? Comment on peut gérer ses mails hors ligne (genre faire une recherche dans le contenu de 2 go d'email, ca va se faire comment online si le serveur ne peut accéder au contenu? J'ai un SSD qui adore ça, dommage de ne pas en profiter)

    • [^] # Re: IMAP et POP non compatibles

      Posté par (page perso) . Évalué à 6.

      Je trouve un peu dommage d'en arriver là car la fragmentation guette.

      Depuis 2013, certains bossent sur un nouveau protocole pour ça, mais ça n'a pas l'air de bouger bien vite.

      Comment on envoie un mail sécurisé à quelqu'un qui serait sur un service concurrent à protonmail?

      Le destinataire peut lire son courriel dans son navigateur, et il lui sera demandé un mot de passe, que tu lui aurais préalablement donné. Il ne reçoit qu'un message ordinaire avec un lien vers son message. Pour lui, il n'aura jamais ce message dans sa boîte en fait (surtout que tu peux choisir un temps de péremption à ce message il me semble).

      Comment on peut gérer ses mails hors ligne (genre faire une recherche dans le contenu de 2 go d'email, ca va se faire comment online si le serveur ne peut accéder au contenu?

      Oui, et trier les spams qui arrivent chiffrés également. C'est un peu le sujet du chiffrement fonctionnel, mais c'est récent comme recherche.

      Dans l'absolu, si t'as la bonne clé pour déchiffrer, c'est pas la vitesse de déchiffrement le facteur limitant ici (je suis à 2400 Mio/s en chiffrement/déchiffrement avec aes-xts/256 bits en regardant cryptsetup --benchmark, alors que ton SSD doit plafonner à 700 Mio/s).

      • [^] # Re: IMAP et POP non compatibles

        Posté par . Évalué à 1.

        je suis à 2400 Mio/s en chiffrement/déchiffrement avec aes-xts/256 bits en regardant cryptsetup --benchmark

        Quel machine utilises-tu ?
        Je viens de tester et mon i3 2328M dépasse tout juste les 135 Mio/s.

      • [^] # Re: IMAP et POP non compatibles

        Posté par . Évalué à 9.

        surtout que tu peux choisir un temps de péremption à ce message il me semble

        et bien sûr tu as la garantie que le message est vraiment détruit sur le serveur protonmail, un peu comme les comptes ashley madison détruits totalement sans trace en échange de 20$…

        (où ça de l'ironie ?)

        • [^] # Re: IMAP et POP non compatibles

          Posté par (page perso) . Évalué à 4.

          […] Pour lui, il n'aura jamais ce message dans sa boîte en fait […]

          Et il ne pourra pas archiver ses messages.
          En gros ce n'est plus du mail.

          « Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »

  • # Sécurisé ?

    Posté par . Évalué à 10.

    Bonjour,

    Je ne sais pas pour vous, mais l'association "sécurisé" et "closed source" me choque.
    La sécurité par l'obfuscation est tout sauf de la sécurité (en général on masque du "mauvais code" …).

    De l'aveu même des développeurs :
    "Ouvrir le code source du code back-end fait courir un trop grand risque au niveau de la sécurité. Cela permettrait à un attaquant de connaître comment notre infrastructure est paramétrée et aux spammeurs d'avoir quelques indices sur comment contourner les mesures anti-spam."

    En gros ils auraient une infra "pourrie" (en terme de sécu), et des règles antispam pas tiptop car contournables si connues ?

    J'utilise d'autres systèmes de mail open-source dont le code est connu, sur des infrastructures cohérentes, dont l'intégrité & la sécurité (jusqu'ici) ont toujours été préservées.

    Ce qui me laisse perplexe quant à l’appellation "plateforme sécurisée" !

    Bert-

    • [^] # Re: Sécurisé ?

      Posté par (page perso) . Évalué à 6.

      Sécurisé ?

      Je pense à t'attaquer en justice pour violation de droits d'auteur ;-).
      Déjà dit dans le journal (la dépêche n'ayant pris que le contenu du journal sans les commentaires critiques sur la non confiance qu'on peut avoir envers les développeurs de ce projet)

      Note : le commentaire en rajoute aussi une couche sur le montant ridicule des récompenses pour chasse aux bugs, un autre signe qu'ils n'ont eux-même pas confiance dans leur code qu'ils disent sécurisé.

      • [^] # Re: Sécurisé ?

        Posté par . Évalué à 4.

        le commentaire ? tu veux dire "mon commentaire" ?

        moi ce qui m'interpelle, c'est que même si le code client est ouvert, si il est audité et déclaré comme fiable, même si on admet que la partie serveur est un passe plat pas structurant sur le plan confidentialité, reste que je ne vois pas ce qui assure l'utilisateur que c'est bien ce code qui lui est livre par le serveur web pour tourner sur son navigateur.

  • # Autres alternatives

    Posté par (page perso) . Évalué à 1.

    Il existe également d’autres alternatives se basant sur de l’IMAP/SMTP (et donc compatible) comme gozmail (qui est basé en Bretagne afin de palier à la centralisation des services à Paris), ou encore securmail qui vient juste de lancer sa bêta.

    • [^] # Re: Autres alternatives

      Posté par . Évalué à 2.

      qui est basé en Bretagne afin de palier à la centralisation des services à Paris

      bravo ! belle initiative !
      enfin quelqu'un qui ose installer un service hébergé dans la région de France qui a le plus mauvais réseau électrique haute et basse tension, c'est une chouette idée. :-p

      (bon ok à Rennes le réseau haute tension est peut-être un peu redondé, l'argument c'est mieux si c'est hébergé en Bretagne reste un troll de compétition)

      • [^] # Re: Autres alternatives

        Posté par . Évalué à 2.

        enfin quelqu'un qui ose installer un service hébergé dans la région de France qui a le plus mauvais réseau électrique haute et basse tension

        Ils ont pas des éoliennes pour redonder tous ça ??

    • [^] # Re: Autres alternatives

      Posté par . Évalué à 3.

      plus sérieusement j'ai lu les pages de présentation de gozmail.bzh et j'ai pas compris ce qu'il apportait à la sécurité

      surtout que la doc de configuration IMAP et SMTP indique de choisir "TLS (accepter tous les certificats)", ce qui n'est pas exactement la pratique de sécurité la plus élevée #lol

      bon mais le .bzh c'est cool, hein

      • [^] # Re: Autres alternatives

        Posté par (page perso) . Évalué à 0.

        plus sérieusement j'ai lu les pages de présentation de gozmail.bzh et j'ai pas compris ce qu'il apportait à la sécurité

        Le fait que les mails ne soient pas lus, déjà.

        surtout que la doc de configuration IMAP et SMTP indique de choisir "TLS (accepter tous les certificats)", ce qui n'est pas exactement la pratique de sécurité la plus élevée #lol

        C’est parce que Thunderbird n’accepte pas les certificats de gandi (mais Firefox oui, je ne cherche pas à comprendre…)

        • [^] # Re: Autres alternatives

          Posté par (page perso) . Évalué à 6. Dernière modification le 01/09/15 à 18:13.

          Le fait que les mails ne soient pas lus, déjà.

          Ha ha ha.
          Sérieux, file moi 1000 €, promis je te les rend demain, tu vas me les prêter de suite tellement tu as confiance en une simple parole d'inconnus.
          Ce fait n'existe pas. Le seul fait qui existe est qu'ils t'ont dit qu'ils ne le feraient pas (et ça n'a rien à voir).

          Et puis, ça, ben c'est pareil avec Google, personne ne lis tes mails chez Google non plus (une analyse par un ordinateur pour t'afficher des pubs n'ayant rien à voir avec une lecture de mail, et puis si tu penses que ça l'est ben j'espère qu'ils lisent aussi les mails chez toi rien que pour l'anti-spam)

          C’est parce que Thunderbird n’accepte pas les certificats de gandi (mais Firefox oui, je ne cherche pas à comprendre…)

          Dans ce cas :
          - tu change de registrar
          - tu indiques comment faire pour enregistrer le certificat de Gandi

          Mais surtout pas "accepter tous les certificats". Tu en as encore en stock de telles blagues?

          Ca en dit long sur leur (et ta) notion de sécurité (et la, ce n'est qu'un détail, car tu mélanges déjà "entité qui dit qu'elle aime ta vie privée mais ne fait rien de plus pour te la garantir ou te faire croire de la garantir" qui sont tes exemple et "entité qui dit qu'elle aime ta vie privée mais est plutôt à essayer de te faire croire de la garantir" qui est le sujet du journal).

          Bref, si la sécurité vous intéresse, fuyez ces conseils (pour securmail, je ne sais pas mais en tous cas vous ne pouvez pas faire confiance à celui qui le propose pour avoir regardé si c'était un minimum sécurisé).

          • [^] # Re: Autres alternatives

            Posté par (page perso) . Évalué à -3.

            Ha ha ha.
            Sérieux, file moi 1000 €, promis je te les rend demain, tu vas me les prêter de suite tellement tu as confiance en une simple parole d'inconnus.
            Ce fait n'existe pas. Le seul fait qui existe est qu'ils t'ont dit qu'ils ne le feraient pas (et ça n'a rien à voir).

            Pour connaître les gens qui font tourner le service, ils font attention à la vie privée.

            Et puis, ça, ben c'est pareil avec Google, personne ne lis tes mails chez Google non plus (une analyse par un ordinateur pour t'afficher des pubs n'ayant rien à voir avec une lecture de mail, et puis si tu penses que ça l'est ben j'espère qu'ils lisent aussi les mails chez toi rien que pour l'anti-spam)

            Même pour l’anti-spam, les mails ne sont pas lus. Il se fait avec du greylisting et les réglages de postfix.

            Dans ce cas :
            - tu change de registrar

            Ce ne sont pas mes sous, alors je ne peux rien y faire. Moi j’ai juste filé un coup de main pour la configuration de postfix et dovecot dans ce projet. Je ne vais pas aller râler pour un oui ou pour un non, moi j’ai mon serveur mail.
            Et accessoirement, ça s’appelle une autorité de certification (on parle SSL), pas d’un registrar (DNS)

            • tu indiques comment faire pour enregistrer le certificat de Gandi

            Tu peux envoyer un mail pour proposer ça. Je vais aussi le faire de mon côté.

            Mais surtout pas "accepter tous les certificats". Tu en as encore en stock de telles blagues?

            Se faire son propre serveur de mail à la maison. Ça bypass tout le problème.

            • [^] # Re: Autres alternatives

              Posté par (page perso) . Évalué à 3.

              Pour connaître les gens qui font tourner le service, ils font attention à la vie privée.

              Euh… Attends, tu dis que tu les connais, donc tu sais qu'ils font attention à la vie privée, tout en ne bondissant pas (ou sans chercher à comprendre) l'énorme faille dans leur gestion de vie privée qu'est le "accepter tous les certificats" (ce qui, pour info, permet à n'importe qui entre l'utilisateur et l'hébergeur de lire les mails, wow belle protection de la vie privée!).
              Pourquoi ne pas simplement dire que ça les indiffère et qu'ils n'ont pas envie de se faire chier plus que ça à ce sujet? (pourquoi je suis aussi violent? Car ce qui est dit la est contraire à la base de la base de la sécurité. Ne JAMAIS accepter un certificat pas dans la chaine de confiance, ou alors considérer qu'on gère sa vie privée en s'en foutant).

              Ensuite, tu les connais, cool pour eux, mais moi je ne te connais pas. donc quelle chaine de confiance entre eux et leurs utilisateurs?

              Même pour l’anti-spam, les mails ne sont pas lus. Il se fait avec du greylisting et les réglages de postfix.

              greylisting = lire l’adresse courriel de l’expéditeur et l’adresse courriel du destinataire. Ca en dit déjà beaucoup.
              Bref, tout ça pour dire que ce que dit, ça ne change pas bien de Google niveau gestion de la vie privée, en pratique (=ils peuvent lire tes mails quand ils veulent sans que tu en sois informé, et ne le font pas… enfin, ils le disent tous les deux)

              Tu peux envoyer un mail pour proposer ça. Je vais aussi le faire de mon côté.

              Sérieux, si ils n'ont pas pensé à regarder un minimum (et c'est le minimum), le problème n'est pas à leur envoyer un mail. Le problème est géant sur la notion de sécurité, donc sur l'ouverture de sa vie privée potentielle le jour ou quelqu'un aura envie de "pirater" leur serveur (vu que la sécurité n'est pas importante quand ils conseillent leur utilisateurs, pourquoi feraient-ils plus attention en interne? C'est une question de confiance), il faut juste fuir.

              Moi j’ai juste filé un coup de main pour la configuration de postfix et dovecot dans ce projet.

              Si c'est toi qui a aidé à la config et ne bondit pas sur la phrase "accepter tous les certificats", j'ai peur (enfin, pas pour moi, mais pour les utilisateurs).

              Se faire son propre serveur de mail à la maison. Ça bypass tout le problème.

              Ha oui, tu en avais d'autres, en effet.

              Et accessoirement, ça s’appelle une autorité de certification (on parle SSL), pas d’un registrar (DNS)

              Tu marques un point.

        • [^] # Re: Autres alternatives

          Posté par (page perso) . Évalué à 9.

          C’est parce que Thunderbird n’accepte pas les certificats de gandi (mais Firefox oui, je ne cherche pas à comprendre…)

          Rien à voir avec une différence de comportement entre Thunderbird et Firefox, c’est le serveur mail de Gozmail qui se comporte différement de leur serveur web.

          Ni Firefox ni Thunderbird ne font confiance à Gandi, mais ils font confiance à Comodo, qui est le signataire de Gandi.

          Le problème est que le serveur mail de Gozmail n’envoie que son propre certificat, et pas la chaîne de certificats intermédiaires permettant de remonter jusqu’à un certificat racine (celui de Comodo). C’est une mauvaise configuration du serveur.

          • [^] # Re: Autres alternatives

            Posté par (page perso) . Évalué à 2.

            Le problème est que le serveur mail de Gozmail n’envoie que son propre certificat, et pas la chaîne de certificats intermédiaires permettant de remonter jusqu’à un certificat racine (celui de Comodo). C’est une mauvaise configuration du serveur.

            et la, tu prends encore plus peur sur le niveau de sécurité offert par le service.
            (je faisais confiance au dires de l'auteur du commentaire sur le coupable, je n'avais pas osé imaginer un serveur mal configuré, surtout d'une personne disant que la vie privée est important et ayant mis en place un service pour d'autres personnes et non pas pour son petit serveur à la maison. C'est encore pire que ce que j'avais imaginé)

  • # Quel gâchis

    Posté par (page perso) . Évalué à 8. Dernière modification le 01/09/15 à 22:47.

    Ils ramassent 500 000 $ pour faire un logiciel propriétaire et il y a tant de beaux projets libres qui n'avancent jamais ou meurent parce que sans moyens !!!!??? Tout est vraiment affaire de communication.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.