Emails chiffrés : ProtonMail 3.3 apporte notifications web et raccourcis-clavier

Emails chiffrés : ProtonMail 3.3 apporte notifications web et raccourcis-clavier

Et le Konami code ?

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

06/06/2016 2 minutes
23

Emails chiffrés : ProtonMail 3.3 apporte notifications web et raccourcis-clavier

ProtonMail passe en version 3.3 et ajoute quelques nouvelles options à sa version web, à savoir les notifications de bureau et des raccourcis-clavier. Cela en plus de quelques autres améliorations.

Le service d'échange d'emails chiffrés ProtonMail continue son évolution rapide. À peine sorti de bêta en mars, il avait ajouté quelques semaines plus tard, des options de personnalisation à l'antispam et aux labels. Cette fois, ProtonMail active les notifications de bureau à sa version web, pour le moment affichées pour l'arrivée d'un nouveau message. Pour les activer, il suffit de s'identifier, le navigateur proposant d'autoriser ou de refuser l'option.

La seconde principale nouveauté est cette vingtaine de raccourcis-clavier sur le webmail, pour tous types d'actions, de la rédaction d'un nouveau message à la gestion des emails reçus. De quoi reprendre les vieilles habitudes prises sur d'autres webmails. La liste complète des raccourcis est disponible par ici.

Des améliorations de performance sont aussi de la partie, dans la composition d'un message et la navigation dans les listes d'emails. Un manque reste tout de même : l'import et l'export de clés PGP, déjà noté comme absent dans la version 3.2. Cette fonction reste promise pour une prochaine version, sans plus de précisions.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (23)


Ce genre de service est cool mais tant que je pourrai pas charger ma propre clé, j’ai pas de garantie que c’est clean… Et même si je chargeais ma propre clé chiffrée, j’aurai pas vraiment de moyen de savoir si ils ne vont pas chercher à capter mon pass d’une façon ou d’une autre…

Donc la seule garantie, en fait, c’est de gérer soit même son propre serveur mail et avec son propre système de chiffrement avec toutes les emmerdes que ça amène au quotidien (gestion des clés des correspondants, administration, etc)



Ou alors, il faut abandonner ? Ou arreter d’envoyer des mails ? Ou ne pratiquer l’envoi de mails que pour les communications totalement anodines ?


Ou estimer que c’est une solution qui offre déjà un meilleur compromis sécurité/emmerdes que gmail… ? <img data-src=" />


Tu oublies aussi le gros désavantage du server mail auto-hébergé. Tu peux être “sur” que côté chiffrement ça sera mieux mais par contre tu es sur aussi que côté metadonnées, ça sera beaucoup plus facile de savoir à qui tu parles, quand, comment, etc …



Et je te signale que le client web de protonmail est open-source ce qui fait qu’on peut vérifier que ça soit relativement clean. Après si tu avances qu’ils peuvent implémenter une version différente ce qu’ils ont rendu publique alors là il vaut mieux éteindre tous tes appareils électroniques si tu en es à ce stade de modèle de menace ! ;)








ratapon a écrit :



Ou estimer que c’est une solution qui offre déjà un meilleur compromis sécurité/emmerdes que gmail… ? <img data-src=" />







Sur la sécurité, on a aucun moyen de le savoir à moins qu’ils donnent accès à leurs serveurs pour vérifier par soi-même… Et encore, ils peuvent très bien garder des backdoors extrèmement difficiles à trouver ?

Donc, sur ce point, on ne peut que se baser sur ce qu’ils veulent bien nous dire… Tout comme Google d’ailleurs…



Après, je ne remets pas en cause leur service et sa qualité. Je veux juste dire que quand on en arrive à un niveau de parano (justifié ou non) tel qu’une solution de ce genre devient nécessaire alors on ne peut pas s’arrêter à moitié. Et c’est un peu ce que je regrette dans ce service…



Mais d’un autre coté, SMTP n’a jamais été conçu pour garantir la vie privée. Et il possède de très sérieux défauts de conception sur ce point. Des défauts tels que c’est insoluble.









KP2 a écrit :



Après, je ne remets pas en cause leur service et sa qualité. Je veux juste dire que quand on en arrive à un niveau de parano (justifié ou non) tel qu’une solution de ce genre devient nécessaire alors on ne peut pas s’arrêter à moitié. Et c’est un peu ce que je regrette dans ce service…





Pour moi tu fais une erreure fondamentale dans l’analyse que PGP serait une solution destinée aux parano. Les solutions comme Prontonmail sont justement là pour développer des UI qui vont pouvoir rendre PGP accessibles au plus grand nombre. (le chiffrement PGP est déjà automatique et sans effort entre tous les utilisateurs de Prontomail ce qui est une première)



Ce genre de solution va permettre la généralisation du chiffrement pour toutes les communications et pour “tout le monde” sans avoir besoin d’être parano ou d’être compétent techniquement. Et le chiffrement de toutes les conversation, y compris les plus banales donc, permettra de rendre moins visibles celles sensibles qui etaient quasiment les seules chiffrées actuellement.









Glyphe a écrit :



Tu oublies aussi le gros désavantage du server mail auto-hébergé. Tu peux être “sur” que côté chiffrement ça sera mieux mais par contre tu es sur aussi que côté metadonnées, ça sera beaucoup plus facile de savoir à qui tu parles, quand, comment, etc …







Tout à fait… Mais bon, ça, c’est aussi un point quasi insoluble sur l’internet d’aujourd’hui tel qu’il est conçu…







Glyphe a écrit :



Et je te signale que le client web de protonmail est open-source ce qui fait qu’on peut vérifier que ça soit relativement clean. Après si tu avances qu’ils peuvent implémenter une version différente ce qu’ils ont rendu publique alors là il vaut mieux éteindre tous tes appareils électroniques si tu en es à ce stade de modèle de menace ! ;)







Tout à fait, c’est un peu ça que je veux dire avec mon message suivant le tien :



“Je veux juste dire que quand on en arrive à un niveau de parano (justifié ou non) tel qu’une solution de ce genre devient nécessaire alors on ne peut pas s’arrêter à moitié.”










Glyphe a écrit :



Pour moi tu fais une erreure fondamentale dans l’analyse que PGP serait une solution destinée aux parano.







Non, non. Je dis pas que PGP est une solutions pour paranos. Je dis que si on veut sécuriser vraiment ses communications, on ne peut pas déléguer cette sécurité à un tiers.

Or, dans les technologies de chiffrements modernes, la sécurité repose entièrement sur la clé donc confier cette clé à un tiers n’a aucun sens. Même si celui ci est de confiance.



Protonmail n’a pas la clé étant donné que je crois qu’elle est est également chiffrée avec la passphrase de chiffrement de l’espace perso. (le 2e mot de passe à saisir pour se connecter).


Ajout les emmerdes pour faire en sorte que ton serveur @home ne soi pas considéré comme un relay a SPAM (merci les liste noir de référence complètement foireuse qui considère les IP personnel comme non sûr par défaut), la mise en place de DKIM, SPF, DMARC pour essayer de montrer patte blanche au gros hébergeur de mail. Sans oublier l’anti-spam, l’anti-virus (pour les client Win) et le greylisting …

Mais il y a aussi des choses sur quoi tu n’as pas la main comme le ReverseDNS qui est géré par ton FAI dont les ¾ s’en foute et ne le remplisse pas. Chez Free ils te laisse le remplir mais pas quand tu es en fibre !!! <img data-src=" /> du coup tu as une réputation merdique.

Et même avec tout ce bordel tu as encore des serveurs qui ont des liste blanche interne sans moyen de t’y faire inclure (Bouygues par exemple).



Bref, la mise en place de la sécurité/chiffrement n’est qu’une partie des emmerdes d’avoir un serveur de mail chez soi <img data-src=" />


Merci, ça m’a achevé d’être convaincu de ne jamais installer un serveur mail chez moi. Je me contenterai d’héberger mon client webmail.


J’ai bien un reverse perso en fibre chez Free. Pas de problème en ipv4 en tout cas, Free ne permet pas d’avoir de reverse en ipv6 par contre donc il faut bien penser à le désactiver sur la box.








Glyphe a écrit :



Protonmail n’a pas la clé étant donné que je crois qu’elle est est également chiffrée avec la passphrase de chiffrement de l’espace perso. (le 2e mot de passe à saisir pour se connecter).







Ben ouais mais tu entres ce mot de passe dans une interface à eux… C’est comme si tu leur donnais car tu n’as aucun moyen de savoir ce qu’ils en font vraiment…









KP2 a écrit :



Ben ouais mais tu entres ce mot de passe dans une interface à eux… C’est comme si tu leur donnais car tu n’as aucun moyen de savoir ce qu’ils en font vraiment…





Je vais le répéter mais si tu peux le savoir étant donné que le webmail est open-sourcé …&nbsp;



&nbsp;https://github.com/ProtonMail/WebClient



En effet, il semble qu’ils aient changer de politique dernièrement …

Pour l’IP v6 c’est pas encore ça en effet.


Tu peux consulter le code source qu’il veulent bien te montrer. Rien ne t’assure que c’est ce qui est réellement exécuter sur ton poste …

Si c’est le client qui chiffre les mails, une procédure «sécurisé» serait de récépérer le code, l’auditer, le compiler et exécuter ce que tu as toi même préparer comme client.


Ha bon parce que toi t’as vérifier aussi le code source du server mail que t’installes chez toi&nbsp; peut-être ?

Tu vérifies toi-même le code source des logiciels que tu utilises sur ton ordi ? OS, couches applicatives, GPG lui-même, etc … ?



Un peu de serieux svp.



Ce genre d’argument me fera toujours doucement rire, vous êtes en train de parler de sécurité absolue pour un service de mail grand public.



Arrêtez un peu de partir dans des délires et des contre-sens.


En fait, le gros énorme défaut dans tout ce bordel autour des mails (d’une manière générale - je parle pas uniquement de ProtonMail) est que IMAP et POP sont fondamentalement moisis coté sécurité et ne disposent d’aucun moyen pour gérer la problématique des clés de l’utilisateur et de ses contacts.

Et avec cette discussion, on voit aussi que HTTP n’est pas du tout adapté pour ce genre de besoin…








Glyphe a écrit :



Ce genre d’argument me fera toujours doucement rire, vous êtes en train de parler de sécurité absolue pour un service de mail grand public.

Arrêtez un peu de partir dans des délires et des contre-sens.







Le problème est que le scandale NSA nous a largement prouvés qu’ils étaient capable d’infiltrer du code dans des équipements à l’insu du propriétaire et du constructeur (juniper, cisco, etc).

Ils nous ont aussi prouvés qu’ils pouvaient forcer (plus ou moins contre leur gré) un grand fournisseur de solutions de sécurité (RSA - la firme -) à affaiblir sciemment ses produits et algorithmes sans aucun recours juridique et les forcer à garder le secret.

Ils nous aussi prouvés qu’ils pouvaient taper très large pas tellement pour récuperer des données ciblées mais aussi juste pour récuperer des données en vrac et les stocker “au cas ou”.



Bref, ça n’incite pas à la confiance…



que de preuves.



…que curieusement on ne peut pas vérifier.








gokudomatic a écrit :



que de preuves.



…que curieusement on ne peut pas vérifier.







Bien sur que si on peut le prouver !! Juniper a clairement communiqué sur le sujet quand ils s’en sont aperçus ! RSA s’est fait prendre la main dans le pot de confiture et a balancé aussi un mea culpa reconnaissant la situation.

Les revelations Snowden ne sont pas du flan, hein… D’autant plus depuis que d’autres sources ont corroboré ces révélations depuis (faut suivre l’actu de G. Greenwald)



Complètement d’accord avec toi, je n’ai ni le temps et surtout pas les compétence requise pour relire tout le code que j’utilise. Je voulais juste souligné le fait que même si le code est en consultation libre rien ne t’indique que c’est bien lui qui est exécuté, surtout sur un service distant.








Mimoza a écrit :



Tu peux consulter le code source qu’il veulent bien te montrer. Rien ne t’assure que c’est ce qui est réellement exécuter sur ton poste …

Si c’est le client qui chiffre les mails, une procédure «sécurisé» serait de récépérer le code, l’auditer, le compiler et exécuter ce que tu as toi même préparer comme client.





Tu ne seras jamais sûr à 100% pour que hardware et ton soft sont safe. On ne t’as jamais dit d’utiliser proton mail pour envoyer tes mails secrets défenses. En attendant, comme déjà dit, c’est de toute façon mieux que Google, MS, yahoo… Et comme dans tous les cas il faut faire confiance à quelqu’un, ça reste une meilleure alternative que les autres.



On est bien d’accord