Proton Mail

service de courrier électronique crypté de bout en bout de Proton AG
(Redirigé depuis ProtonMail)

Proton Mail (anciennement ProtonMail) est une messagerie web chiffrée créée en 2013 par Jason Stockman, Andy Yen et Wei Sun. Jason et Andy se sont rencontrés au CERN.

Proton Mail
Logo de Proton Mail

Adresse proton.me/fr/mail
Par réseau Tor : adresse .onion
Commercial Oui
Type de site Messagerie web sécurisée
Langue Français
Anglais
Allemand
Turc
Russe
Ukrainien
Espagnol
Italien
Polonais
Inscription Requise
Nombre d'inscrits 100 millions ()
Siège social Genève
Drapeau de la Suisse Suisse
Propriétaire Proton AG
Créé par Andy Yen
Jason Stockman
Wei Sun
Lancement
État actuel 3.16 ()[1]

Ce service de messagerie se distingue par un chiffrement de bout en bout automatique, sans que l'utilisateur ait besoin de quelque connaissance que ce soit des techniques de cryptographie. Le service s'utilise donc tout aussi simplement, en garantissant un très haut niveau de confidentialité.

Proton Mail est géré par Proton Technologies AG, société domiciliée à Plan-les-Ouates, dans le canton de Genève en Suisse. Ses serveurs sont situés à deux endroits en Suisse, hors de la juridiction des États-Unis et de l'Union européenne.

Le service est ouvert à tous depuis . En , il comptait plus de deux millions d'inscrits, et en plus de cent millions.

Caractéristiques

modifier

Proton Mail se distingue des autres messageries grand public par son chiffrement de bout en bout[2], reposant sur des standards de cryptographie éprouvés et open source, empêchant le service d'accéder aux données de ses utilisateurs.

Ainsi, lors des échanges de messages avec un destinataire également utilisateur du service, le chiffrement des courriels se fait de bout en bout, c'est-à-dire depuis le terminal de l'expéditeur jusqu'à celui du destinataire. Les messages reçus en clair par le serveur, qu'il s'agisse de messages à destination de l'utilisateur depuis l'extérieur ou envoyés par celui-ci vers un destinataire extérieur, sont chiffrés avant leur enregistrement sur disque[3][source insuffisante].

Le service est accessible depuis tout navigateur web respectueux des normes établies, ou par une application mobile pour ce qui concerne les ordiphones fonctionnant sous Android ou iOS. Depuis , Proton Mail propose pour ses versions payantes Proton Mail Bridge, une application permettant de conserver la sécurité du service en le rendant compatible avec des logiciels de messagerie tels que Mozilla Thunderbird, Microsoft Outlook et Apple Mail[4].

En outre, Proton Mail propose un gestionnaire de contacts associé à la messagerie qui, depuis , lui interdit tout accès aux détails des contacts, qui sont chiffrés[5]. Le service propose une fonctionnalité de signature électronique, permettant d'assurer que les données n'ont pas été modifiées sans que l'utilisateur n'en ait conscience. Des clés de chiffrement différentes des clés d'accès à la messagerie sont mises en place. Ce service peut également accueillir les clés publiques des contacts n'utilisant pas Proton Mail, afin de chiffrer automatiquement les communications qui leur sont envoyées.

Types de comptes

modifier

Le service se décline en une version gratuite et en différentes versions payantes (proposant différentes configurations d'espace mémoire et de fonctionnalités)[6]:

Types de comptes Messages / jour Dossiers / Étiquettes Stockage Adresses alias Domaines Prix
Gratuit 150 3 Go 1 0 Gratuit
Mails Plus Illimité Illimité 15 Go 10 1 /mois
Unlimited Illimité Illimité 500 Go 15 3 10 /mois

Sécurité

modifier

Authentification

modifier

Comme dans tout service de messagerie, l'utilisateur doit, lors de la création de son compte, choisir un identifiant (son adresse électronique dans les domaines proton.me ou protonmail.com) et fournir un mot de passe. L'utilisation de Secure Remote Password permet alors l'authentification de l'utilisateur sans transmission de son mot de passe au serveur[réf. nécessaire].

Jusqu'en , la création du compte nécessitait la fourniture de deux mots de passe, le premier pour l'authentification de l'utilisateur était transmis au serveur, le second pour le chiffrement de sa messagerie restait confidentiel, comme l'unique mot de passe de la version actuelle. La version 3.6, publiée en , introduit une refonte de l'authentification. Pour des raisons de facilité d'utilisation et pour simplifier la compatibilité du service avec les gestionnaires de mots de passe, Proton Mail a fait le choix de permettre l'utilisation d'un seul mot de passe[7].

Cette version introduit également l'authentification à deux facteurs (authentification forte)[7]. Cette mesure de sécurité, gratuite sur la plupart des messageries web, est accessible à tous les types de comptes.

Dans de rares cas, pour prévenir la création automatique de comptes à des fins de spam, l'utilisateur doit choisir un type de test de Turing pour prouver qu'il n'est pas un robot. Ces méthodes (envoi de SMS ou e-mail, ou reCAPTCHA) ont fait l'objet d'inquiétudes quant à l'anonymat et la sécurité du système[8], auxquelles Proton Mail a répondu que seule l'empreinte numérique du numéro de téléphone ou de l'adresse courriel est temporairement conservée sur le serveur, que le résultat des reCAPTCHA n'est lui pas conservé, et qu'un don via Bitcoin peut également suffire[9][source secondaire nécessaire].

Lors d'une connexion, l'utilisateur fournit son ou ses deux mots de passe pour accéder à son compte ainsi qu'à sa messagerie, par construction chiffrée. Le déchiffrement a lieu côté client, soit par le navigateur web, soit par l'application mobile.

Les éléments nécessaires au déchiffrement de la messagerie, c'est-à-dire à la lecture des messages reçus, ou précédemment envoyés, à celle des pièces éventuellement jointes aux messages, en émission comme en réception, et à l'accès au répertoire des contacts, ne sont pas connus du serveur. Proton Mail n'a aucun moyen pour passer outre, même en cas de réception d'un hypothétique ordre d'un tribunal[10],[11], ou pour venir en aide à un utilisateur qui aurait oublié son mot de passe. Pour augmenter la confidentialité des informations, ces éléments sont même détruits lors de la déconnexion du service, puis recalculés à la connexion suivante. Ainsi le vol d'un PC portable éteint, ou hors session de messagerie, ne compromet en rien la confidentialité des informations mémorisées par le service.

Les courriels envoyés à des destinataires extérieurs à Proton Mail peuvent être chiffrés avec un mot de passe fourni en temps réel par l'expéditeur, que celui-ci doit partager avec le destinataire. Le message est alors mémorisé par le service, et un courriel non chiffré est envoyé au destinataire pour l'informer de la présence d'un message de l'expéditeur à son attention. Lui est fournie l'adresse de la page à laquelle il doit se rendre pour en prendre connaissance. La durée de vie de ces pages est limitée à quelques semaines[11].

L'utilisateur peut exporter sa clé publique afin que ses correspondants extérieurs aux domaines proton.me et protonmail.com puissent lui transmettre des informations de manière aussi confidentielle que depuis l'intérieur du domaine.

Proton Mail supporte exclusivement des communications HTTPS et utilise TLS avec l'échange de clés Diffie-Hellman pour chiffrer tout le trafic Internet entre les utilisateurs et ses serveurs. Depuis le , le certificat électronique de 4 096 bits de Proton Mail n'est plus signé par QuoVadis Trustlink Schweiz AG mais par SwissSign AG et est compatible avec Extended Validation (en), Certificate Transparency (en)[12] et Strict Transport Security. Le domaine proton.me obtient en 2022 une note de sécurité de A par Qualys (en)[13].

Chiffrement des courriels

modifier

Proton Mail utilise une combinaison de cryptographie asymétrique (clé privée et clé publique) et de chiffrement symétrique pour offrir un chiffrement de bout en bout. Lorsqu'un utilisateur crée un compte Proton Mail, son navigateur web génère une paire de clés RSA (une publique et une privée). La clé publique est utilisée pour chiffrer les messages destinés à l'utilisateur. La clé privée, qui sert à déchiffrer les messages chiffrés reçus par l'utilisateur, est chiffrée dans le navigateur au moyen du mot de passe de messagerie en utilisant l’algorithme AES-256. Cette clé privée chiffrée et la clé publique sont stockées sur les serveurs de Proton Mail. Ainsi, la clé de déchiffrement (la clé privée) étant stockée sur les serveurs de Proton Mail en format chiffré, les développeurs de Proton Mail ne peuvent décoder les messages chiffrés ni la révéler à un utilisateur qui l'aurait oubliée[14],[15]. La clé publique peut être téléchargée par l'utilisateur pour être publiée sur le réseau des serveurs de clés publics, permettant à tout un chacun de lui envoyer des messages chiffrés de bout en bout.

Un message d'un utilisateur de Proton Mail à un autre utilisateur du même service est automatiquement chiffré avec la clé publique du destinataire. Une fois le message chiffré, seule la clé privée du destinataire peut le déchiffrer. Lorsque le destinataire se connecte, son mot de passe de messagerie déchiffre sa clé privée et déverrouille son environnement de messagerie (ses dossiers de messages reçus et envoyés, son carnet d'adresses, ses paramètres et son profil). Le destinataire peut alors lire le message et, s'il le désire, l'enregistrer dans un de ses dossiers de messages où il sera chiffré avec son mot de passe de messagerie.

Les courriels envoyés de Proton Mail à des adresses de messagerie non Proton Mail peuvent être envoyés avec ou sans chiffrement. Avec chiffrement, le courriel peut être chiffré avec la clé publique du destinataire grâce à PGP[16] si le destinataire a mis en place le nécessaire (par exemple en installant le module enigmail sur thunderbird et en créant ses clés via gnuPG).

Il est également possible de chiffrer un courriel avec AES au moyen d'un mot de passe fourni par l'expéditeur, quand le destinataire n'est pas capable de recevoir l'email chiffré. Le courriel chiffré ainsi est stocké sur les serveurs de Proton Mail. Le destinataire reçoit un lien vers le site web de Proton Mail sur lequel il doit entrer le mot de passe pour déchiffrer et lire le message. Proton Mail présume que l'expéditeur et le destinataire ont échangé le mot de passe via un canal sécurisé[14],[11]. Lorsqu'un message chiffré est reçu et déchiffré par un utilisateur non Proton Mail, cet utilisateur peut répondre au message en format chiffré à travers le serveur de Proton Mail auquel il s'est connecté pour accéder et décoder le message.

Un message envoyé par une adresse non Proton Mail vers une adresse Proton Mail est envoyé en texte clair, sauf à ce que l'utilisateur ait préalablement publié sa clé publique sur le réseau des serveurs publics et que l'expéditeur sache utiliser les outils de chiffrement.

En , Proton Mail a ajouté un support natif à son interface web et à ses applications mobiles pour Pretty Good Privacy (PGP). Cela permet à un utilisateur d'envoyer sa clé publique à des personnes en dehors de Proton Mail pour leur permettre de chiffrer leurs messages. Il est maintenant possible d'utiliser le chiffrement PGP vers des utilisateurs externes[17],[18].

Depuis le printemps , Proton Mail prend en charge la cryptographie à courbe elliptique, qui est, selon l’équipe, à la fois plus sûre et moins gourmande en ressources[19].

Serveurs

modifier

Proton Mail possède et opère ses propres serveurs et son réseau afin d'éviter d'avoir à faire confiance à un tiers. La compagnie possède deux centres de données redondants, à Lausanne et Attinghausen (dans l'ancien bunker militaire K7)[6] en Suisse.

Chaque centre de données utilise l'équilibrage de charge sur ses serveurs web, ses serveurs de messagerie et ses serveurs SQL ainsi qu'une alimentation électrique redondante, des disques durs avec chiffrement de disque complet et utilise exclusivement Linux et d'autres logiciels libres[20].

Le centre de données principal de Proton Mail est situé sous 1 000 m de granite[21]. En , Proton Mail a rejoint le RIPE Network Coordination Centre dans le but de s'assurer un contrôle plus direct de l'infrastructure Internet environnante[22].

Réseau Tor

modifier

Depuis , le service est accessible par le réseau Tor, donnant ainsi aux utilisateurs de la messagerie la possibilité de contourner la censure, d’ajouter une couche de chiffrement et de masquer leur adresse IP[23].

Aspects juridiques

modifier

Proton Mail publie un rapport de transparence, détaillant sa politique de réponse aux requêtes provenant d'autorités gouvernementales, notamment en informant des usagers, par la méthode de warrant canary (en), que le service ne s'est pas soumis à un subpoena[24].

Les centres de données étant situés en Suisse, ils sont légalement hors d'atteinte des autorités américaines et européennes[10]. Conformément à la législation suisse, toutes les demandes de surveillance de pays étrangers doivent être présentées à un tribunal suisse, sont soumises à des traités internationaux, tandis que les personnes surveillées sont informées et peuvent faire appel de la demande de surveillance devant un tribunal.

Dans un billet de blogue paru en 2014 (mis à jour en 2019), Proton Mail soutient que son service est en dehors du champ d'application de la loi fédérale sur la surveillance du trafic des postes et télécommunications, loi qui régit l'interception légale des communications électroniques par la Suisse[25]. Selon un juriste, même si techniquement Proton Mail ne peut pas intercepter les données de ses membres, « en tant que service de télécommunication, [il pourrait] être contraint par les autorités de collaborer à une surveillance et à communiquer des données aux autorités sur mandat d'un tribunal »[26].

Affaire Youth for Climate en 2021

modifier

Cette situation se présente effectivement lorsqu'en 2020-2021, des militants pour le climat de Youth for Climate sont arrêtés en France, après que Proton Mail a enregistré et transmis des adresses IP (ainsi que l’empreinte du navigateur) aux autorités (sur demande d'Europol au Département fédéral de justice et police)[27],[28]. Plusieurs publications relèvent la contradiction de cette transmission de données avec les conditions d'usage du service[29].

Proton Mail précise le que ses obligations dans le cas d'une requête sont définies par le cadre légal suisse[30],[31].

Cela suscite une « avalanche de critiques de la part de ses utilisateurs »[32],[33].

L'organisation du Secours rouge international note en 2021 qu'aucune création de compte n'est possible chez Proton Mail sans numéro de téléphone ou de carte de crédit, même par accès à l'adresse onion via TOR[34].

Transmissions de données des utilisateurs

modifier

Voici les chiffres de transmission de données des utilisateurs répondant aux normes juridiques suisses (dont via Europol)[35]

  • 2020 : 3 767 demandes / 750 contestées/ 3 017 effectuées ;
  • 2019 : 1 594 demandes ;
  • 2018 : 338 demandes ;
  • 2017 : 26 demandes.

Vulnérabilités

modifier

Attaque cross-site scripting en 2014

modifier

Une vidéo a été diffusée en démontrant la possibilité d'une attaque cross-site scripting (XSS). Les développeurs de Proton Mail ont indiqué que le problème ne concernait qu’une version antérieure de leur service, datant de , et que dès , la version disponible aux utilisateurs n’était plus vulnérable[36].

Attaques DDoS en 2015

modifier

Du 3 au , les serveurs de l'entreprise ont fait l'objet de plusieurs attaques par déni de service (DDoS) d'une ampleur sans précédent, rendant le service inaccessible. Cette attaque a été si importante qu'elle a affecté non seulement Proton Mail, mais également son hébergeur, son fournisseur d'accès Internet ainsi que de nombreux clients de ces derniers[37].

Proton Mail a estimé qu'il avait subi deux attaques distinctes, la première menée par un groupe de pirates informatiques connus sous le nom d'Armada Collective et la seconde par un groupe inconnu, plus techniquement avancé et possédant des capacités similaires à celles d'un groupe parrainé par un État. La première attaque était liée à une rançon de 15 bitcoins (soit, à ce moment, 5 636 francs suisses ou plus de 5 000 euros) que Proton Mail a payée en raison de la pression des fournisseurs d'accès Internet et des banques touchés par l'attaque[37],[38].

Après le paiement de la rançon, les attaques ne se sont pas arrêtées, mais sont au contraire devenues plus sophistiquées et ont dépassé des taux de 100 Gbit/s. Proton Mail a reçu un courriel d'Armada Collective dans lequel le groupe rejetait la responsabilité de cette seconde attaque[38],[37].

Au cours de l'attaque, Proton Mail a déclaré sur Twitter qu'elle était à la recherche d'un nouveau centre de données en Suisse, précisant que « plusieurs utilisateurs ont peur en raison de l'ampleur de l'attaque »[39]. La compagnie a depuis mentionné qu'elle « a développé une solution mondiale à long terme qui est déjà en cours d'implantation »[40].

Proton Mail a eu recours au financement participatif pour renforcer son système contre de telles attaques. En seulement trois jours, la compagnie a recueilli 50 000 $[41],[42]. La campagne réalisée sur GoFundMe pourrait être le premier exemple de lutte contre la cybercriminalité réalisé grâce au financement participatif.

Maîtrise des serveurs

modifier

En , le chercheur en cryptographie Nadim Kobeissi (en) publie un article non évalué par les pairs, intitulé An Analysis of the Proton Mail Cryptographic Architecture. L’auteur indique que la principale vulnérabilité réside dans le fait que l’utilisateur de Proton Mail n’a pas le contrôle du serveur qui fournit l’application web. Proton Mail peut ainsi, à tout moment, modifier l’application pour y introduire des vulnérabilités qui compromettent le chiffrement[43].

Les développeurs répondent que cela est connu depuis longtemps et que c’est vrai pour toutes les applications web[44]. Cependant, pour contrebalancer cette vulnérabilité, les développeurs de Proton Mail indiquent qu’ils fournissent une application native pour chaque plate-forme, qu’ils suivent de près les travaux de la communauté des standards du web qui visent à introduire des formes de code signant les applications web, et qu’ils implémenteront ces technologies une fois qu’elles seront matures. Au sujet des applications natives, Kobeissi indique dans son article que même si on utilise uniquement l’application native, une seule connexion à l’application web peut compromettre l’ensemble des communications passées et que par conséquent l’application web ne devrait pas exister.

Nadim Kobeissi souligne également que Proton Mail ne force pas ses utilisateurs à utiliser des mots de passe forts, ce qui pourrait permettre aux administrateurs du serveur de lancer des attaques par force brute pour obtenir les mots de passe[43]. Sur ce point, les développeurs indiquent qu’ils souhaitent juste inciter les utilisateurs mais pas les forcer, car les utilisateurs préfèrent prendre leur propre décision de sécurité. Par ailleurs, l’utilisation de la fonction de hachage bcrypt ralentit énormément une attaque par force brute[44].

Interface web

modifier

Proton Mail fournit une interface web semblable à celle de Gmail pour permettre à l'utilisateur d'accéder à ses courriels, son carnet d'adresses et ses paramètres. La disposition par défaut de l'interface place les dossiers de messages à gauche de l'écran, une barre de recherche et des contrôles dans le haut de l'écran, et affiche les messages dans l'espace restant. L'utilisateur peut fournir un thème tiers et choisir entre deux styles différents pour la zone de composition de messages et deux mises en page différentes pour la boîte de réception[6].

Le code source de l'interface web, y compris toutes les méthodes de chiffrement côté client, est disponible sur GitHub sous licence MIT[45],[46].

Jusqu'en , l'interface est disponible uniquement en anglais et partiellement en français, italien et polonais mais, au printemps, un appel est lancé à la communauté afin de la traduire dans d'autres langues[47]. Dès , le français est la première langue à obtenir le statut de « traduction complète », suivi de l’allemand, du polonais, du russe, de l'espagnol et du turc[48]. Selon Proton Mail, « le service a régulièrement gagné en popularité en France. Aujourd’hui, ProtonMail a des millions d’utilisateurs à travers le monde, et la France compte pour 10 % de l’ensemble des utilisateurs de ProtonMail, en deuxième place après les États-Unis »[49]. De nombreuses langues seront ajoutées ou complétées par la suite : chinois, italien, néerlandais, polonais, portugais, roumain, tchèque, etc[50].

Avec la version 4.0, dont la version bêta publique a été déployée en , l'interface évolue pour se rapprocher des canons esthétiques et ergonomiques du moment. Selon Vincent Hermann pour le magazine en ligne NextInpact, cette interface se rapprocherait désormais davantage de celle d'Outlook.com que de celle de Gmail[51].

Censure

modifier

Entre et , Proton Mail disparaît des résultats de recherche sur Google, même sur des mots-clés comme « secure email (« messagerie sécurisée ») » ou « courriel chiffré ». Les démarches de Proton Mail auprès du moteur de recherche restant lettre morte, c'est l'intervention de Matt Cutts, ex-ingénieur chez Google, qui débloque la situation en faisant jouer ses relations[52]. Dans un article publié sur le blogue de Proton Mail, Andy Yen affirme que Google n'a jamais donné d'explication concernant cette disparition de son index ; alors que durant ce laps de temps, la croissance de la messagerie chiffrée aurait été affaiblie de 25 %, avec des pertes estimées à plusieurs centaines de milliers de francs suisses[52].

En , la Turquie bloque l'accès à la messagerie chiffrée au motif que des rebelles kurdes l'utiliseraient[53]. L’année suivante, plusieurs services de messagerie, dont Proton Mail, sont bloqués en Russie par le service fédéral de sécurité, qui les accuse de faciliter la diffusion d’appels à la bombe[54].

Histoire

modifier

Origine du projet

modifier

Les trois fondateurs, Jason Stockman, Andy Yen et Wei Sun, se sont rencontrés au CERN, tous les trois étant des scientifiques[10],[55]. Proton Mail a été créé à la suite de la découverte de la surveillance globale et des interceptions des courriels par la NSA, aux États-Unis. Les fondateurs étaient animés par une vision partagée d'un internet plus sécurisé et plus respectueux de la vie privée[10].

Proton Mail est inspiré de Gmail et de Lavabit. Ces services ont inspiré la conception de Proton Mail sur plusieurs points : simplicité d'utilisation, sécurisation des échanges et vie privée assurée, expiration des messages avec suppression.[réf. nécessaire]

Développement

modifier

Le , Proton Mail livre une première version bêta[56]. En trois jours, Proton Mail reçoit un accueil beaucoup plus important qu'anticipé et est contraint de suspendre temporairement les inscriptions pendant que la compagnie augmente la capacité de ses serveurs[56].

Proton Mail a commencé une campagne de financement participatif via Indiegogo le avec l'objectif de recueillir 100 000 $. Achevée le , cette campagne dépasse largement ses objectifs, atteignant 550 492 $ (494 297 ) pour 10 576 donneurs[57],[58].

Le , Proton Mail reçoit 2 000 000 $ de Charles River Ventures (en) et de la Fondation genevoise pour l'innovation technologique (Fongit)[57].

Le , Proton Mail publie la version 2.0, mise à jour la plus importante de son histoire. Cette version inclut une nouvelle interface web et des améliorations de performance significatives. L'équipe de Proton Mail publie simultanément le code source de l'interface web sous une licence open-source[59],[60].

Le , les premières versions bêta des applications iOS et Android sont lancées. Elles sont dans un premier temps réservées aux contributeurs de la campagne de financement participatif ou contre la somme de 29 dollars[59].

Toujours en bêta, la version 3.0, dotée d'une nouvelle interface web en trois colonnes, est présentée au début de l'année [61]. Le en sortant officiellement de la version bêta, Proton Mail est dorénavant ouvert à tout le monde sans restrictions, incluant le lancement des applications du service sur iOS et Android[62].

Les applications mobiles rencontrent un grand succès. Après avoir enregistré des centaines de milliers de téléchargements au cours de la première semaine et avoir reçu des milliers de revues positives, les applications mobiles Proton Mail obtiennent les plus hauts résultats dans les classements de l'Apple Store et du Play Store[63].

Lancée le , la bêta de la version 4 apporte de grands changements dans l'interface, ainsi que des évolutions logicielles côté serveurs. Les développeurs visent à terme à promouvoir le continuum des produits de l'entreprise en complément de Proton Mail, tels que ProtonVPN, ProtonContacts, ProtonCalendar, et ProtonDrive[64]. Il s'agit en outre de moderniser le code en adoptant de nouvelles bibliothèques plus modernes, comme React qui vient remplacer AngularJS[51].

Réception

modifier

Initialement disponible uniquement sur invitation, le service est ouvert à tous en . En , il comptait plus de deux millions d'inscrits, en il dépasse les dix millions d'utilisateurs[55] et en atteint cent millions[65],[66].

Versions du client de messagerie

modifier

Version 1.11

modifier

Une version bêta 1.11 du client de messagerie web entre en production le [67]. Les principales évolutions sont les suivantes :

  • ajout d'une redondance pour éviter la perte de courriels lors d'une panne de serveur ;
  • importation des contacts ;
  • sauvegarde automatique des brouillons ;
  • ajout d'un compteur à rebours mis à jour en temps réel pour les messages à expiration.

De façon générale, l'affichage des courriels est revu pour en améliorer la compatibilité.

La sécurité n'est pas en reste avec l'ajout de nouvelles sécurités dans le cœur du système et les interfaces de programmation applicatives.

Version 2.0

modifier

La nouvelle version bêta 2.0 sort le [68].

Les nouvelles fonctionnalités ajoutées sont les suivantes :

  • composition d'un courriel réalisable sur l'ensemble de la page ou via un encart qui permet de naviguer dans la boîte pendant la rédaction ;
  • support du glisser/déposer pour les courriels ;
  • possibilité de réarranger le placement de certaines icônes ;
  • possibilité d'ajouter un journal de logs pour détecter les connexions suspectes au compte ;
  • gestion des signatures au format HTML ;
  • téléchargement disponible de la clé publique avec compatibilité PGP.

L'article précise l'annonce des applications Android et iOS en bêta pour le .

Version 3.0

modifier

La version bêta 3.0 sort le [1].

Les nouvelles fonctionnalités ajoutées sont les suivantes :

  • nouvelle interface de messagerie web avec un affichage en colonne possible ;
  • groupement des messages en conversation (threading) ;
  • mise à jour du certificat SSL[12] ;
  • migration vers un nouveau sous-domaine, mail.protonmail.com.

Version 4.0 beta

modifier

Lancée le , la beta de la version 4 apporte de grands changements dans l'interface, ainsi que des évolutions logicielles côté serveurs[64],[51].

Version 5.0

modifier

La version 5 du webmail, sortie le 25 mai 2022[69], apporte une refonte visuelle, intégrant la nouvelle identité visuelle[70] de Proton.

Dans la culture populaire

modifier

Proton Mail est mentionné dans le roman Ghost Flight de Bear Grylls sorti en 2015[71].

Dans la série Mr. Robot, Proton Mail est utilisé par le héros, Elliot[72].

Proton Mail est utilisé dans le film À couteaux tirés sorti en 2019. L’équipe de Proton Mail indique qu’elle a uniquement été contactée pour donner l’autorisation d’utiliser la marque[73].

Notes et références

modifier
  1. a et b (en) « Proton Mail v3.16 Release Notes » (consulté le ).
  2. Marie de Fréminville, La cybersécurité et les décideurs, , 202 p. (présentation en ligne), p. 147.
  3. (en) Nihad Ahmad Hassan et Rami Hijazi, Data Hiding Techniques in Windows OS : A Practical Approach to Investigation and Defense, , 324 p. (ISBN 978-0-12-804449-0, présentation en ligne), p. 193.
  4. « Avec son Bridge, ProtonMail peut être utilisé depuis Apple Mail, Outlook ou Thunderbird », sur Next INpact, .
  5. Léo Toussaint, « Proton Mail : Un gestionnaire de contact chiffré pour protéger ses données », sur Siècle digital, (consulté le ).
  6. a b et c Vincent Hermann, « ProtonMail : prise en main et ergonomie d'un webmail chiffré « accessible » », sur Next INpact, (consulté le ).
  7. a et b Sébastien Gavois, « ProtonMail : sécurité renforcée avec la double authentification, mode « One Password » », sur Next INpact, (consulté le ).
  8. (en-US) mysterixx, « r/ProtonMail - Phone number for registration? Is this a joke? », sur Reddit, (consulté le ).
  9. (en-US) « ProtonMail Registration Human Verification », sur Proton Mail Support (consulté le ).
  10. a b c et d Nora Poggi, « ProtonMail, un nouveau service de messagerie électronique pour contrer Prism », sur L'Usine digitale, (consulté le ).
  11. a b et c Nicolas Furno, « ProtonMail : un service de mail totalement sécurisé », sur MacGeneration, (consulté le ).
  12. a et b (en) « SSL certificate update », sur proton.me, (consulté le ).
  13. (en) « SSL Report: proton.me », sur Qualys SSL Labs, (consulté le ).
  14. a et b (en) « How are ProtonMail keys distributed? », sur Stack Exchange Network, (consulté le ).
  15. Guénaël Pépin, « Emails chiffrés : ProtonMail défend son modèle face à une analyse de sa sécurité », sur Next INpact, (consulté le ).
  16. (en-US) « How to use PGP », sur Proton Mail Support (consulté le ).
  17. (en) Romain Dillet, « ProtonMail now supports PGP encryption with other clients », sur TechCrunch (consulté le ).
  18. « ProtonMail renforce sa sécurité et passe au Web Key Directory », sur Next INpact, (consulté le ).
  19. Stan Adkens, « ProtonMail offre maintenant la cryptographie à courbe elliptique, pour une sécurité et une rapidité accrues », sur Developpez.com, (consulté le ).
  20. (en) Andy Yen, « Infrastructure Upgrades », sur Proton Mail, (consulté le ).
  21. (en) Tanay Pant, « Sending Secure, Encrypted Email with ProtonMail », sur SitePoint (en), (consulté le ).
  22. (en) Andy Yen, « Proton Mail joins Réseaux IP Européens (RIPE NCC) », sur Proton Mail, (consulté le ).
  23. (en-US) Natasha Lomas, « ProtonMail adds Tor onion site to fight risk of state censorship », sur TechCrunch, (consulté le ).
  24. (en) « "Transparency Report" », sur Proton Mail, (consulté le ).
  25. (en) « Why Switzerland? », (consulté le ).
  26. François Charlet, « Laissez tomber Gmail, Yahoo Mail & Cie., et utilisez ProtonMail à la place ! », sur francoischarlet.ch, (consulté le ).
  27. (en) « La messagerie ProtonMail livre des infos d’activistes », sur www.20min.ch, (consulté le ).
  28. (en) « ProtonMail secure email service provided user data that led to arrest », sur www.slashgear.com, (consulté le ).
  29. « ProtonMail doit collaborer avec la Justice suisse... et donc Europol, et donc la France », sur Next INpact, (consulté le ).
  30. (en-US) Andy Yen, « Important clarifications regarding arrest of climate activist », sur Proton Mail Blog, (consulté le ).
  31. « r/ProtonMail - Comment by u/ProtonMail on ”Climate activist arrested after ProtonMail provided his IP address” », sur reddit (consulté le ).
  32. Elise Viniacourt, « A la demande de la police, la messagerie chiffrée ProtonMail transmet les adresses IP de militants de Youth For Climate », sur Libération, (consulté le ).
  33. https://www.lefigaro.fr/secteur/high-tech/emoi-apres-que-la-messagerie-securisee-protonmail-a-collabore-a-une-enquete-judiciaire-20210907.
  34. « Tech : Faut-il quitter Protonmail ? », sur secoursrouge.org, (consulté le ).
  35. https://www.01net.com/actualites/protonmail-la-messagerie-securisee-a-du-donner-l-adresse-ip-d-un-activiste-francais-a-la-police-2047927.html
  36. (en) Iain Thomson in San Francisco, « Vid shows how to easily hack 'anti-spy' webmail (sorry, ProtonMail) », sur The Register, (consulté le ), à propos de (en) « Hacking protonmail - with a browser. » (vidéo), sur Vimeo, (consulté le ).
  37. a b et c Mehdi Atmani, « De puissantes attaques informatiques mettent à genoux la société genevoise ProtonMail », Le Temps, (consulté le ).
  38. a et b Guillaume Champeau, « La messagerie chiffrée ProtonMail paie 5 000 euros de rançon pour rien », sur Numerama, (consulté le ).
  39. Sébastien Gavois, « ProtonMail de retour après une attaque DDoS « extrêmement puissante » », sur Next INpact, (consulté le ).
  40. (en) « ProtonMail Chooses Radware Attack Mitigation System to Successfully Mitigate Multiple Advanced Persistent DDoS Attacks », sur MarketWatch, (consulté le ).
  41. (en) « Message Regarding the ProtonMail DDoS Attacks - Proton Mail Blog », sur Proton Mail Blog, (consulté le ).
  42. Sébastien Gavois, « Attaque DDoS contre ProtonMail : entre chantage, excuses et campagne de dons », sur Next INpact, (consulté le ).
  43. a et b (en) Nadim Kobeissi, « An Analysis of the ProtonMail Cryptographic Architecture », Cryptology ePrint Archive,‎ (lire en ligne).
  44. a et b (en) « Response to analysis of Proton Mail’s cryptographic architecture », .
  45. (en) « Official AngularJS Web Client for ProtonMail », sur GitHub, (consulté le ).
  46. Stéphane Moussie, « La messagerie sécurisée ProtonMail devient open source », sur MacGeneration, (consulté le ).
  47. Julien Lausson, « Mails chiffrés : ProtonMail fait appel aux internautes pour gagner plus d’utilisateurs dans le monde », sur Numerama, (consulté le ).
  48. Mickaël Bazoge, « Le service d'e-mail protégé ProtonMail parle en français », sur MacGeneration, (consulté le ).
  49. Julien Lausson, « Le webmail sécurisé ProtonMail est enfin traduit en français », sur Numerama, (consulté le ).
  50. (en) Paul Sawers, « Encrypted email service ProtonMail expands beyond English into 7 new languages », sur VentureBeat, (consulté le ).
  51. a b et c Vincent Hermann, « ProtonMail 4.0 bêta : code et interface modernisés, les mêmes carences ergonomiques », sur Next INpact, (consulté le ).
  52. a et b Julien Lausson, « L’incident entre ProtonMail et Google ou l’enjeu de la neutralité des moteurs de recherche », sur Numerama, (consulté le ).
  53. Richard Etienne, « Protonmail est bloqué en Turquie », Tribune de Genève, (consulté le ).
  54. Stéphane le calme, « Après Telegram, la Russie bloque le fournisseur de messagerie chiffrée, évoquant une mesure de sécurité nationale », sur Developpez.com, (consulté le ).
  55. a et b (en) Andy Yen, « A look back at 2018 and our vision for the future of Proton Mail », sur Proton Blog, (consulté le ).
  56. a et b Gilbert Kallenborn, « ProtonMail, le webmail anti-NSA, déjà victime de son succès », sur 01.net, (consulté le ).
  57. a et b Guillaume Belfiore, « ProtonMail, le webmail anti-NSA, lève 2 millions de dollars », sur clubic, (consulté le ).
  58. (en) « ProtonMail », sur Indiegogo, (consulté le ).
  59. a et b Sébastien Gavois, « Emails chiffrés : ProtonMail passe en 2.0, devient open source et lance ses applications mobiles », sur Next INpact, (consulté le ).
  60. Alexandre Laurent, « ProtonMail 2.0 : la messagerie sécurisée évolue et passe à l'open source », sur Clubic, (consulté le ).
  61. Sébastien Gavois, « ProtonMail lance sa version 3.0 en bêta et dévoile sa feuille de route pour 2016 », sur Next INpact, (consulté le ).
  62. Sébastien Gavois, « Emails chiffrés : ProtonMail sort de bêta, les applications mobiles sont disponibles », sur Next INpact, (consulté le ).
  63. (en-US) « The Proton Mail mobile apps are about to get even better! - Proton Blog », (consulté le ).
  64. a et b Mathieu Grumiaux, « ProtonMail montre sa prochaine version 4.0 et sa refonte en beta », sur Clubic, (consulté le ).
  65. Mérouan Goumiri, « Proton : le cap symbolique des 100 millions d'utilisateurs est atteint. Que nous réserve la société ? », sur Clubic, (consulté le ).
  66. « La messagerie cryptée Proton dépasse les 100 millions de comptes utilisateurs », sur Le Monde, (consulté le ).
  67. (en) « Proton Mail BETA v1.11 Release Notes », (consulté le ).
  68. « Proton Mail BETA v2.0 Release Notes - Proton Blog » (consulté le ).
  69. (en) Andy Yen, « Updated Proton, unified protection », sur proton.me, .
  70. (en) Thibaud Eberwein, « A new visual universe for Proton », sur proton.me, .
  71. Bear Grylls: Ghost Flight sur Google Livres.
  72. (en) Yael Grauer, « A Peek Inside Mr. Robot’s Toolbox », .
  73. (en) « twitter », sur Twitter, .

Annexes

modifier

Lien externe

modifier