Le service de mails chiffrés ProtonMail lance son service caché sur Tor, alors que la censure des outils spécialisés dans le chiffrement des communications devient de plus en plus commune. Une initiative qui suit celle d'autres services, concrètement confrontés au problème.
La lutte technique contre la censure fait des émules. Après Signal, qui a intégré un contournement contre la censure de son service en Égypte, aux Émirats arabes unis puis à Oman, ProtonMail lance son service caché via Tor. Le fournisseur d'emails chiffrés est désormais accessible via protonirockerxow.onion. « Nous réalisons que la censure de ProtonMail n'est pas une question de « si », mais de « quand » » affirme l'équipe.
Quelques avantages à passer par un « .onion »
Quel est l'intérêt de passer par une version en « .onion » par rapport au « .com » classique ? Comme l'explique le service, le passage par l'extension .onion permet d'utiliser le chiffrement de bout en bout jusqu'au site, et non jusqu'au nœud de sortie. Cela en plus de fournir une authentification de bout en bout. Dans ses instructions, le service demande avant tout de réactiver JavaScript, coupé par défaut par la version de Firefox fournie avec Tor.
Pour obtenir une adresse .onion lisible, ProtonMail affirme avoir utilisé les ressources CPU libres de ses services pour générer des millions de clés de chiffrement et les hacher... Jusqu'à avoir un nom de domaine qui leur convienne. Une approche par force brute qui semble avoir été le meilleur moyen d'éviter une adresse de 16 caractères sans aucun sens.
Tor et HTTPS, pas si redondants estime ProtonMail
Petite particularité : le service impose l'usage du HTTPS via un certificat fourni par DigiCert, déjà derrière celui délivré à Facebook pour son accès via Tor. L'équipe affirme que même si cela peut paraître redondant avec l'usage de Tor, elle estime qu'il vaut mieux deux protections qu'une, surtout si le réseau anonyme est compromis d'une manière ou d'une autre. Dans l'autre sens, Tor fournit une couche de protection si HTTPS venait à être compromis, notamment à cause de liens entre autorités de certification et gouvernements.
ProtonMail doit encore fournir certaines fonctions réclamées de longue date, comme l'import et l'export de clés PGP. Depuis le début du mois, le service a lancé le bêta test fermé de son « bridge », qui doit permettre d'utiliser ProtonMail via un client email classique, comme Outlook ou Thunderbird. Il s'agit d'un client local, dont les versions d'essai étaient proposées sur Windows, macOS et Linux. La mouture finale devrait donc émerger dans les prochains mois.
