Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Mails chiffrés : pour éviter la censure, ProtonMail lance un service sur Tor

Un oignon averti en vaut deux
Internet 2 min
Mails chiffrés : pour éviter la censure, ProtonMail lance un service sur Tor

Le service de mails chiffrés ProtonMail lance son service caché sur Tor, alors que la censure des outils spécialisés dans le chiffrement des communications devient de plus en plus commune. Une initiative qui suit celle d'autres services, concrètement confrontés au problème.

La lutte technique contre la censure fait des émules. Après Signal, qui a intégré un contournement contre la censure de son service en Égypte, aux Émirats arabes unis puis à Oman, ProtonMail lance son service caché via Tor. Le fournisseur d'emails chiffrés est désormais accessible via protonirockerxow.onion. « Nous réalisons que la censure de ProtonMail n'est pas une question de « si », mais de « quand » » affirme l'équipe.

Quelques avantages à passer par un « .onion »

Quel est l'intérêt de passer par une version en « .onion » par rapport au « .com » classique ? Comme l'explique le service, le passage par l'extension .onion permet d'utiliser le chiffrement de bout en bout jusqu'au site, et non jusqu'au nœud de sortie. Cela en plus de fournir une authentification de bout en bout. Dans ses instructions, le service demande avant tout de réactiver JavaScript, coupé par défaut par la version de Firefox fournie avec Tor.

Pour obtenir une adresse .onion lisible, ProtonMail affirme avoir utilisé les ressources CPU libres de ses services pour générer des millions de clés de chiffrement et les hacher... Jusqu'à avoir un nom de domaine qui leur convienne. Une approche par force brute qui semble avoir été le meilleur moyen d'éviter une adresse de 16 caractères sans aucun sens.

Tor et HTTPS, pas si redondants estime ProtonMail

Petite particularité : le service impose l'usage du HTTPS via un certificat fourni par DigiCert, déjà derrière celui délivré à Facebook pour son accès via Tor. L'équipe affirme que même si cela peut paraître redondant avec l'usage de Tor, elle estime qu'il vaut mieux deux protections qu'une, surtout si le réseau anonyme est compromis d'une manière ou d'une autre. Dans l'autre sens, Tor fournit une couche de protection si HTTPS venait à être compromis, notamment à cause de liens entre autorités de certification et gouvernements.

ProtonMail doit encore fournir certaines fonctions réclamées de longue date, comme l'import et l'export de clés PGP. Depuis le début du mois, le service a lancé le bêta test fermé de son « bridge », qui doit permettre d'utiliser ProtonMail via un client email classique, comme Outlook ou Thunderbird. Il s'agit d'un client local, dont les versions d'essai étaient proposées sur Windows, macOS et Linux. La mouture finale devrait donc émerger dans les prochains mois.

48 commentaires
Avatar de dematbreizh Abonné
Avatar de dematbreizhdematbreizh- 20/01/17 à 10:28:44

Pas bête.

C'est lisible, mais j'ai du mal à lire le sens de cette url (s'il y en a un).

Il est dommage qu'il faille accéder à ce genre de services pour qu'ils aient une adresse sur TOR.
Ouvrir tor browser juste pour ces sites est un frein. Il est d'ailleurs étonnant que des sites épinglés habituellement pour illégalité et avec leur ip bloquée ne soient pas encore en .onion ... je pense notamment à t411
(je viens de réaliser qu'ils perdaient sans doute leur régie publicitaire ^^ )

Édité par dematbreizh le 20/01/2017 à 10:29
Avatar de Wikus INpactien
Avatar de WikusWikus- 20/01/17 à 10:35:47

le service a lancé le bêta test fermé de son « bridge », qui doit permettre d'utiliser ProtonMail via un client email classique, comme Outlook ou Thunderbird.

Probablement ce qui m'incitera à m'en servir réellement et pas juste par curiosité, n'ayant encore utilisé mon adresse ".protonmail" nulle part. :incline:

Avatar de UpByvM_jEBXe3b INpactien
Avatar de UpByvM_jEBXe3bUpByvM_jEBXe3b- 20/01/17 à 11:07:50

L'article de ProtonMail annonçant cette nouvelle adresse l'explique très bien:

Tor Phishing Resistance

Onion site addresses are 16-character hashes of encryption keys that typically look like this: 3ens52v5u7fei76b.onion. The problem is that there is no good way to differentiate between
3ens52v5u7fei76b.onion

and
3lqpblf7bsm532xz.onion

as to the human eye, both are equally unrecognizable. This opens up a phishing risk because a phishing site can trivially be created and unless the 16-character random URL is checked carefully each time, users cannot be certain they are visiting the correct onion site. From a usability standpoint, it is not really realistic to expect users to perform this check every single time.

To bypass this problem, we used ProtonMail’s spare CPU capacity to generate millions of encryption keys and then hashed them, using a “brute force” approach to find a more human readable hash for our onion address. The end result, after expending considerable CPU time, is the following address which is much more resistant to phishing:
protonirockerxow.onion

as it can be easily remembered as:

proton i rocker xow

Thus, to be sure that you are visiting ProtonMail’s official onion site (as opposed to some phishing site), make sure the onion site has the correct domain name, and also has a valid SSL certificate issued to Proton Technologies AG.

Édité par David_L le 20/01/2017 à 13:18
Avatar de Spardok INpactien
Avatar de SpardokSpardok- 20/01/17 à 12:12:53

Faut être très con pour aller dans ce piège à rat... :ouioui:

Avatar de seboquoi Abonné
Avatar de seboquoiseboquoi- 20/01/17 à 12:17:52

Merci pour ta contribution vraiment utile et agréable ! :bravo:

Avatar de reitrop INpactien
Avatar de reitropreitrop- 20/01/17 à 12:26:57

Pareil, je suis très intéressé par ce service, même en version payante, mais pas au prix du confort d'utilisation de Thunderbird. À voir si les deux sont compatibles (sécurité + confort).

Avatar de jpaul Abonné
Avatar de jpauljpaul- 20/01/17 à 12:35:21

Ca devient vraiment bien Protonmail :)

Je ne l'utilise toujours pas, mais je serai bien tenté de le faire quand leur techno sera mature (bridge, compatibilité avec OpenPGP etc ...). Ca reste quand même assez cher, ça ne me dérangerait pas de payer mais plutôt dans les 3€/mois.

Avatar de moby59 INpactien
Avatar de moby59moby59- 20/01/17 à 12:37:47

Gros problème actuel de protonmail : pas d'import/export de quoi que ça soit, ça n'est à mon sens pas possible d'utiliser un service qui ne te permet pas de récupérer tes données.
Ne serait-ce qu'en vue d'archivage, de migration en cas de problème avec proton...
Bref ça fait une adresse pratique pour quelques échanges ponctuels mais absolument pas pour y mettre une adresse principale.

Pour info : depuis enigmail dans thunderbird, même sous Windows c'est vraiment très très simple de mettre en place un chiffrement GPG.

Avatar de dematbreizh Abonné
Avatar de dematbreizhdematbreizh- 20/01/17 à 12:44:25

dredi Powa

(Très intéressant ce profil, on voit que la kalitay est toujours au rdv)

Édité par dematbreizh le 20/01/2017 à 12:47
Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 20/01/17 à 12:47:58

Spardok a écrit :

Faut être très con pour aller dans ce piège à rat... :ouioui:

Tu parles de ta maison?

Il n'est plus possible de commenter cette actualité.
Page 1 / 5