Journal Le code source client web de ProtonMail est disponible

Posté par  . Licence CC By‑SA.
21
17
août
2015

Pour rappel, ProtonMail se veut être un service de messagerie web sécurisé.

Il y a u peu plus d'un an, une campagne de financement participatif a permis de récolter plus de 500000 dollars pour ce projet. Depuis, plusieurs annonces avaient été faites concernant leur volonté de publier le code source du front-end sous licence libre.

C'est maintenant effectif avec la sortie de la version 2.0 annoncée le 13 août 2015. Le code est disponible sur GitHub sous licence MIT. N'étant pas un expert du domaine, son étude permettra sûrement de répondre aux commentaires de rakoo qui indiquant

Ben justement, si c'est du chiffrement de bout en bout ça veut dire qu'on s'en balance complet du code du serveur, puisque le chiffrement et la sécurité ne reposent pas dessus. Tout ce qu'on veut c'est un audit du code client + une manière d’être sur que c'est bien ce code-la et pas un autre qui tourne (et ça, ça va être difficile avec du code dans le navigateur)

L'étude du code client devrait donc permettre d'être fixé sur la confiance que l'on peut avoir dans ProtonMail étant donné que les développeurs considèrent toujours qu'il est trop risqué d'ouvrir le code source de la partie back-end

The security risks of open sourcing the back-end code is too high. It would let an attacker know how our infrastructure is set up or let spammers get insight into how to circumvent our anti-spam measures.

ce que l'on peut traduire par

Ouvrir le code source du code back-end fait courir un trop risque au niveau de la sécurité. Cela permettrait à un attaquant de connaitre comment notre infrastructure est paramétrée et aux spammeurs d'avoir quelques indices sur comment contourner les mesures anti-spam.

Par ailleurs, ProtonMail a ouvert un programme de chasse aux bogues avec récompense à la clé.

Enfin, l'équipe indique qu'une version bêta d'une application pour iOS et Android sera publiée le 20 août prochain.

Et pour ceux qui n'aiment pas ProtonMail, ils existent des alternatives proposées par Scoubidou telles que AutodefenseCourriel, CaliOpen, Unseen, Tutanota, Lavaboom, StartMail, Dark Mail, …

  • # Sécurité?

    Posté par  (site web personnel) . Évalué à 10. Dernière modification le 17 août 2015 à 23:13.

    Ouvrir le code source du code back-end fait courir un trop risque au niveau de la sécurité

    Perso, j'ai du mal à avoir confiance en des gens qui pensent que la Sécurité par l'obscurité est une sécurité pertinente.

    Ils auraient dit qu'ils veulent garder le code pour se faire du fric que j'aurai déjà plus confiance.

    Et puis, si le code client est comme promis, ils ont peur de quoi même si le serveur est compromis?

    Par ailleurs, ProtonMail a ouvert un programme de chasse aux bogues avec récompense à la clé.

    Pareil, quand on est prêt à mettre maxi $250 (soit 2-3 heures de consultant sécurité pas cher, j'ose espéré qu'ils ont payé bien plus en consulting sécurité à une entreprise tierce experte en sécurité) dans une faille qui permettrai de divulguer les données qu'on est sensé protéger, ça fait un peu peur sur la confiance qu'eux-même accordent à leur code.

    On va voir si le client tient un audit (enfin, si quelqu'un s'y intéresse).

    • [^] # Re: Sécurité?

      Posté par  (site web personnel) . Évalué à 5.

      Et puis, si le code client est comme promis, ils ont peur de quoi même si le serveur est compromis?

      Si les serveurs ne traitent que des flux chiffrés, et que le client fait bien son boulot, la partie serveur n'est qu'un outil de gestion de l'infrastructure, et ce n'est pas super important tant que les messages arrivent (avec leurs MAC).


      Personnellement, je suis déjà étonné qu'ils font ceux qu'ils avaient promis sur le client. Par contre, le « on a travaillé au CNRS, la physique ça nous connaît » ne me dit rien de bon quant à leurs connaissances en cryptographie, mais l'intention est louable.

      On va voir si le client tient un audit (enfin, si quelqu'un s'y intéresse).
      :)

    • [^] # Re: Sécurité?

      Posté par  . Évalué à 0. Dernière modification le 19 août 2015 à 20:02.

      ça fait un peu peur sur la confiance qu'eux-même accordent à leur code…

      Tu trouves, le "peer review","l'audit" c'est plutôt une bonne initiative. Le libre le démontre. :)

      Après le backend fermé, ils font ce qu'ils veulent. à la limite, ça aurait pu être l'inverse, un frontend chiadé vraiment pro, performant mais fermé et une libération du backend.

      Dans le libre, les "frontend" de qualité, ça ne court pas les rues. Je réalise à l'instant que cette idée rappelle quasiment du Apple d'une certaine époque, dans les premières années d'OSX et iOS. :p

      • [^] # Re: Sécurité?

        Posté par  (site web personnel) . Évalué à 5. Dernière modification le 20 août 2015 à 02:12.

        Désolé mais j'ai l'impression qu'à défaut de ne pas avoir lu le commentaire de Z, tu l'as pas trop compris.

        Tu trouves, le "peer review","l'audit" c'est plutôt une bonne initiative. Le libre le démontre. :)

        Ce qu'il me semble qu'il critique, c'est pas l'initiative (en effet elle est bonne à priori), c'est le montant. D'autres projets offrent des sommes du genre 1 000 à 10 000 eurodollars par faille de sécu ; en proposer 250 sur un projet qui se vend sur la sécurité, par comparaison, ça tend à faire croire qu'ils n'ont aucune confiance eux-même.

        Après le backend fermé, ils font ce qu'ils veulent. à la limite, ça aurait pu être l'inverse, un frontend chiadé vraiment pro, performant mais fermé et une libération du backend.

        Si le front est libre mais ne fonctionne qu'avec un back boite noire fermée, premièrement on peut douter de la sécurité réelle (à voir après audit évidemment (du front vu qu'on a pas les sources du back…), deuxièmement ça s'appelle de la tivoïsation et c'est combattu par la partie copyleft du Libre (GNU notamment).

        Dans le libre, les "frontend" de qualité, ça ne court pas les rues. Je réalise à l'instant que cette idée rappelle quasiment du Apple d'une certaine époque, dans les premières années d'OSX et iOS. :p

        Je suis d'accord qu'historiquement ce ne sont pas vraiment des ergonomes qui sont passionnés par Stallman ; mais je ne vois pas le rapport avec Apple. Tu penses que la v1 de Quartz ou d'iOS étaient libres ??


        Après, pour un avis post-"trait Zien" (qui a dit trollesque ?), bah je suis allé voir le dépôt… Un gros commit "initial commit" inexploitable suivi de quelques commits cosmétiques "ah merde on a laissé les infos de recette dans le dépôt". Typiquement fauxpensource.

        Associé à la comm' officielle que je paraphraserai en : "Putain qu'est-ce qu'on aime le Libre ! C'est vraiment le meilleur truc du monde. Par contre on publie qu'un bout du code (en mode one shot crado cf. § précédent) parce que . C'est cool maintenant la communauté va pouvoir se démerd mainten profiter de tout ça !" je suis tenté de restreindre à quelques hypothèses :

        • c'est de la merde technique et ils le savent et vont disparaitre comme les mecs de diaspora
        • c'est de la merde fonctionnelle et ça n'a aucun intérêt
        • c'est de la merde et on s'en fout des détails
  • # Critique, toujours la critique

    Posté par  . Évalué à 0. Dernière modification le 18 août 2015 à 09:10.

    C'est tellement français, toujours critiquer quoiqu'il arrive….

    Qui a fait mieux dernièrement?

    Ergonomiquement, on a une belle alternative à google (ce qui en soit est déjà une bonne chose).
    Ensuite c'est un produit issue d'universitaire dont la réputation des écoles n'est plus à faire. Bien que ça ne garantisse rien, c'est plutôt engageant.

    Le projet est récent, l'objectif louable.
    D'après la news, il n'existe que depuis un an, et ils commencent à libérer le code. Certes pas d'un coup, mais la suite viendra peut etre.
    Le pire étant peut-être l’argument de dire, ils ne libèrent pas tout, ils ont peur de quoi, ça doit être de la merde. Depuis quand on critique une simple mesure de précaution? J'imagine que sur LinuxFR tout le monde est toujours très fier de son premier jet et n'a aucun doute sur sa perfection….

    Pourquoi donc critiquer une telle initiative. Eux au moins, ils contribuent à faire avancer les choses et récemment le libre.

    Perso, je m'en tape, j'ai mon serveur de mail, et je vois plus l’intérêt de mettre mes mails chez qq'un d'autre que chez moi ou un proche, mais par pitié cessons d'être systématiquement si négatif!!!

    • [^] # Re: Critique, toujours la critique

      Posté par  (site web personnel) . Évalué à 9.

      C'est tellement français, toujours critiquer quoiqu'il arrive….

      Euh… La, il y a eu des explications de pourquoi c'est critique (et en fait, ça n'a rien de neuf).
      après, je comprend qu'on ne connaisse pas trop la sécurité, même la base, et c'est sans doute ce que le projet espère.

      Le projet est récent, l'objectif louable.

      Quel objectif?

      L'objectif de mon projet est de te rendre heureux. Je libère du code peu utile seul, s'il te plait file moi du fric, mon objectif affiché est si louable que tu t'en fou de ce qu'il y a derrière.

      Depuis quand on critique une simple mesure de précaution?

      Ce n'est pas une mesure de précaution, justement.
      On parle de sécurité la!

      Pourquoi donc critiquer une telle initiative. Eux au moins, ils contribuent à faire avancer les choses et récemment le libre.

      Non.
      (ou du moins, si j'ai bien compris, le client seul n'est pas utilisable. Mais peut-être vas-tu m'expliquer comment j'installe le client quelque part ailleurs que chez eux sans leur partie serveur, je suis sérieusement intéressé)

      Pourquoi non? "Defective by design".
      Le but du projet est de faire croire à la sécurité, ils n'ont pas résolu le problème de la sécurité (du moins, pas plus que n'importe quel serveur de mail en HTTPS : dans les deux cas, il faut faire confiance au serveur qui fournit le code).

      Maintenant, tu sembles critiquer la critique, je suis sûr que tu es donc capable d'expliquer en quoi ce projet apporte quelque chose (au monde, au libre…) avec une explication sur comment ils résolvent le problème de la sécurité plus que "les autres". Une vraie résolution, hein, pas juste faire croire en mettant 2-3 paillettes sécuritaires.

      PS : sérieux, tu peux faire confiance dans une entreprise qui te vend de la sécurité et qui dit que la sécurité par l'obscurité c'est une bonne sécurité? Wow… Le marketing fonctionne bien.

    • [^] # Re: Critique, toujours la critique

      Posté par  . Évalué à 4.

      C'est tellement français […]

      Les préjugés, ça marche aussi avec les [mettre n'importe quel groupe religieux/ethnique/d'origine géographique ou culturelle/etc.] ?

    • [^] # Re: Critique, toujours la critique

      Posté par  . Évalué à 4.

      L'objectif de leur projet est de mettre en avant la sécurité, et ils sortent une énormité (l'argument de la sécurité par le secret des sources). C'est paradoxal, et c'est tout à fait normal de penser que le code qu'ils cachent, c'est de la merde (puisque la sécurité ne tiendrait plus si l'algorithme était dévoilé).

      Le seul argument qui me semble plus défendable, c'est celui du contournement des mesures anti-spam. Détecter les spams est une chose, mais détecter les spams conçus spécialement pour échapper à l'algorithme du détecteur, c'est une tâche qui semble nettement plus ardue. Ceci dit, honnêtement, je ne pense pas que ça ait quelque chose à voir avec la diffusion du code source, c'est surtout une histoire de parts de marché.

    • [^] # Re: Critique, toujours la critique

      Posté par  . Évalué à 5.

      Le soucis, c'est que comme indiqué dans le journal, il y a des tonnes de services de messageries sécurisés. La question est donc de savoir pourquoi leur faire confiance à eux et pas aux autres ? Parce qu'ils ont libéré le code d'un client qui ne marche qu'avec leur code serveur ? Ou parce qu'ils refusent de dévoiler le code serveur au prétexte que ca permettrait une attaque ? Ca veut donc dire que le code serveur est si inefficace ? Là c'est un argument pour aller voir la concurrence en fait.
      Rien à voir avec une volonté de faire avancer le libre donc, mais plutôt une stratégie pour gagner de la visibilité, voir faire le "buzz".

      Emacs le fait depuis 30 ans.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.