Afin de démystifier le domaine des emails chiffrés de bout en bout, nous nous sommes penchés sur le cas de ProtonMail. Moins de technique (même si elle est inévitable) et plus d'ergonomie. Le service a beaucoup changé depuis sa création et méritait un point d'étape.
En matière de sécurité se pose souvent la problématique du curseur. Selon que l'on cherche une sécurité renforcée ou une certaine facilité d'utilisation, il se déplace entre les deux sans jamais pouvoir les concilier pleinement. Mais dans ce domaine, ProtonMail fait partie des quelques produits qui ont pu parvenir à une forme d'équilibre.
Nous nous sommes penchés sur le service en prenant volontairement un angle néophyte, pour démystifier en quelque sorte le concept de messagerie chiffrée. Bien sûr, ProtonMail ne s'adresse pas forcément à tout le monde, même s'il a été conçu comme tel. Il ambitionne surtout de proposer du chiffrement de bout en bout à travers une interface simple. De ce point de vue, le pari semble réussi.
Mais puisqu'il est question de simplifier l'accès à un domaine perçu comme très technique, et donc d'attirer le grand public, l'ergonomie joue un rôle crucial. Sur cette partie, le produit a encore de la route à faire.
Qu’est-ce que ProtonMail ?
ProtonMail est un service email chiffré, accessible depuis un navigateur ou une application mobile. Il a été créé il y a cinq ans environ au CERN, avec pour objectif de faciliter les rouages de la sécurité dans ce domaine. Le service est géré depuis par la société Proton Technologies.
Car ProtonMail chiffre les emails par défaut, sans que l’utilisateur ait trop besoin de plonger les mains dans le cambouis. Le chiffrement se fait de bout en bout, donc depuis l’appareil de l’expéditeur jusqu’à celui du destinataire, avant même d’être expédié. Les serveurs de ProtonMail, situés en Suisse (à Lausanne et Attinghausen), ne peuvent pas en voir le contenu.
Comme toujours avec ce type de produit, ProtonMail peut présenter des difficultés à l'usage. En dépit de sa démocratisation, le service se destine avant tout aux utilisateurs ayant des exigences particulières de sécurité, par exemple pour des échanges sensibles de travaux scientifiques, les communications des journalistes, etc. En clair, des informations ne devant être lues que des seuls destinataires, à l’exception notable des métadonnées, dont l’adresse du destinataire.
Côté technique, ProtonMail ne fonctionne bien sûr qu’en HTTPS avec TLS. Le chiffrement passe par un classique duo clés privée/publique. Les deux sont stockées sur les serveurs, mais la clé privée est chiffrée en AES-256 avec le mot de passe de l’utilisateur. Le certificat utilisé par le service est de 4 096 bits et est délivré par QuoVadis. Point important, il est possible d’importer sa propre clé privée, une option qui n’était pas disponible au début. Dans tous les cas, les deux clés sont affichées dans la zone idoine des paramètres.
Mais fi de la technique, car nous avons choisi d’approcher ProtonMail sous un angle plus ergonomique, à destination des néophytes ou, plus globalement, des internautes qui se poseraient la question d’une messagerie chiffrée. Création de compte, abonnements, fonctions principales, chiffrement, personnalisation et autres seront ainsi abordés.
Création de compte et formules
Créer un compte sur ProtonMail est aussi simple que sur Gmail ou Outlook.com, voire davantage. La comparaison est voulue, tant le service a visé la simplicité avec une interface clairement conçue pour ressembler à ce qui existait déjà. L’ouverture de compte ne réclame que quelques informations très classiques, un mot de passe que nous recommandons bien sûr aléatoire et le plus long possible, et une adresse de secours. Il faut également choisir un type d’abonnement.
Le compte « Free » est gratuit mais limité. Il ne propose que 500 Mo d’espace de stockage, une seule adresse, aucun alias, une limite de 150 messages par jour, un blocage à trois dossiers et labels personnalisés, l’absence de répondeur automatique ou encore de collecteur d’email (récupération d'autres comptes depuis un domaine personnalisé). Le support est également limité.
Pour lever en partie ces limitations, il faudra passer à l’offre Plus, disponible pour 5 euros par mois, ou 4 euros via un paiement annuel. À ce prix, l’espace de stockage grimpe à 5 Go, on peut créer cinq alias, les échanges sont limités à 1 000 messages par jour, on peut créer 200 dossiers, on accède aux réponses automatiques et à un domaine personnalisé. L’utilisateur accède en outre au support classique.
Ce n’est qu’avec l’offre Professional que toutes les limites s’envolent ou presque. Disponible pour 8 euros par mois (ou 6,25 euros via un paiement annuel), il n’impose plus de barrière sur le nombre de messages échangés ou de dossiers créés. L’assistance devient prioritaire, le collecteur permet de récupérer les emails d’autres services et le multi-utilisateur est géré. Chaque abonné peut utiliser deux domaines personnalisés. On note une offre Visionnary reprenant les mêmes avantages, mais pour un groupe de six personnes à tarif réduit : 30 euros par mois, ou 24 via un paiement annuel.
Dans la pratique, on remarquera parfois de petites pingreries que l’éditeur aurait pu nous épargner. Par exemple, l’impossibilité de désactiver la signature des emails si l’on n’a pas d’abonnement payant. Il faut alors penser à supprimer « Sent with ProtonMail Secure Email » à chaque fois si on veut éviter de faire de la publicité à chaque courrier envoyé.
Attention également, car les abonnements déverrouillent des fonctions qui ne sont pas explicitement mentionnées dans les tableaux récapitulatifs que l’on trouve dans l’interface du webmail. Par exemple, passer à la formule Plus débloque le chiffrement des contacts (ProtonMail ne peut plus les lire) ainsi que les « bridges », qui permettent de connecter des clients tiers – comme Outlook et Thunderbird – au compte ProtonMail (nous y reviendrons). Vous pourrez également vous servir d'un outil (en bêta) permettant l'import d'emails depuis d'autres comptes.
Interface et généralités
L’interface générale se présente juste après la création du compte. Une vue classique en trois colonnes avec les dossiers, les emails et le panneau de lecture. Cette vue peut être changée en haut à droite pour supprimer le panneau de lecture. On ne garde alors qu’une liste d’emails, et cliquer sur l’un d'eux remplace la vue en cours par le contenu. Une flèche en haut à gauche permet de revenir à la liste. Dommage pour les aficionados de la vue classique avec panneau de lecture sous la liste des courriers.
Difficile d’être perdu dans ProtonMail tant tout est fait pour sembler familier, jusqu’au placement du bouton pour composer un nouveau message, en haut à gauche, au-dessus des dossiers. On trouve en haut un champ de recherche, en bas à gauche une jauge de remplissage de l’espace de stockage et en haut à droite différents accès aux paramètres, contacts et autres. On peut à tout moment changer de formule en cliquant sur « Mon offre ».
L’ensemble est très sobre, mais avec très peu de personnalisation de l’interface. Le thème peut être changé, mais il faudra passer par des sites tiers, comme le dépôt GitHub d’Amdelamar. On copie le code CSS pour le coller dans un cadre réservé dans la section Apparence des paramètres. On aimerait que le service fournisse de lui-même des thèmes, mais il faut connaître le Tumblr officiel, dont le lien pourrait être donné directement dans les paramètres. De même, la sensation de « rigidité » de l’interface est renforcée par l’impossibilité de régler la taille des colonnes, une fonction pourtant très classique.
Pour le reste, on retrouve toutes les fonctions habituelles d’un webmail : marquer comme lu ou non lu, supprimer ou archiver, déplacer vers le dossier spam, répondre au seul expéditeur ou à tous, transférer, déplacer dans un dossier, labelliser, ajouter aux favoris, etc. Des capacités classiques, mais qui permettent à ProtonMail d’être complet pour la gestion des courriers au quotidien.
La composition d’un nouveau courrier ressemble trait pour trait à Gmail, qui semble décidément avoir inspiré les concepteurs. La présentation est identique avec une petite fenêtre intégrée en bas à droite rassemblant tous les outils nécessaires. Ce mode d’affichage peut être changé dans les paramètres (Apparence) pour basculer sur « plein écran ». Dans les deux cas, on peut rabattre la fenêtre de composition pour y revenir plus tard.
Côté traduction, l’essentiel est là, mais on note çà et là des noms toujours en anglais. Le souci ne touche pas que le site web. Les applications mobiles (nous y viendrons) ont également ce genre d’oublis, et on trouve par exemple un « Request Link Confirmation » dans les paramètres.
Plus gênant cependant, les liens envoyés à des contacts tiers (voir plus bas) produisent des explications en anglais pour le destinataire. Si ce dernier n’est pas averti de l’arrivée d’un courrier, il pourrait penser à du spam ou du phishing. De même, tout clic sur l’aide proposée affichera une page systématiquement en anglais. L’interface est simple à prendre en main, mais une demande d’informations supplémentaires pourrait provoquer quelques grimaces.
Rien qui ne devrait empêcher toutefois un ou une réfractaire à la langue de Shakespeare de s’en servir, mais qui dénote parfois un petit manque de finalisation. Un constat valable également pour certains problèmes d’alignement. Par exemple, en haut à droite du site, « Signaler un bug » et le nom de l’utilisateur sont collés, la taille de la fenêtre n’y changeant rien.
Les paramètres, une zone très complète
Les réglages de ProtonMail sont riches, même si leur accessibilité dépendra en partie du niveau d’abonnement choisi. On y trouve notamment un très utile tableau de bord, qui résume toutes les informations importantes du compte, dont les noms de domaine, les adresses, le taux de remplissage du stockage, les crédits, faire un don et le changement de formule.
À peu près tout ce que l’on peut attendre d’un webmail pour une utilisation quotidienne se trouve dans les paramètres : notifications de bureau, authentification à deux facteurs (que nous ne recommanderons jamais assez), nom affiché, signature, langue de l’interface, affichage du contenu distant et des images, dossiers et labels, filtres, les connexions au compte, IMAP/SMTP (désactivés par défaut, pour utilisateurs payants), modes de paiement ou encore ProtonVPN, un autre produit de l’éditeur.
Notez pour ce dernier qu’à l’instar de ProtonMail, ce VPN propose une formule gratuite, mais limitée : trois pays, un seul appareil et une vitesse décrite comme moyenne et un P2P coupé. L’accès à tous les pays et au P2P se débloque pour 4 dollars par mois, avec une vitesse plus élevée et pour deux appareils.
On apprécie tout particulièrement la section Sécurité, qui rassemble au même endroit l’authentification à deux facteurs, la liste des connexions sur le compte avec horodatage (le journal peut être téléchargé), celles des sessions ouvertes avec possibilité de les révoquer (une par une, ou toutes sauf celle active).
On y trouve également quelques réglages importants pour PGP, puisque l’on peut signer les messages externes, y attacher automatiquement la clé publique et choisir le schéma PGP par défaut (PGP/MIME ou Inline PGP). On peut en outre activer la vérification d’adresse, ce qui suppose l’utilisation de clés de confiance.
Notez pour les clés qu'il est très facile d'importer la sienne. Si un modèle RSA 2048 bits ne vous suffit pas, vous pouvez par exemple en créer une de 4096, en suivant les étapes de notre dossier. ProtonMail l'accepte sans broncher. Après quoi, il vous sera possible, à l'aide du petit bouton à droite, de la déclarer comme clé par défaut. S'il est techniquement possible de supprimer l'ancienne, prenez garde : tous les emails l'ayant utilisée seront perdus. À moins de faire cette manipulation au début, la suppression de l'ancienne clé n'est donc pas recommandée.
Réception et envoi d’emails classiques et chiffrés
Penchons-nous maintenant sur le cœur d’activité de ProtonMail : les échanges d’emails. On distingue trois cas de figure :
- Les mails échangés entre deux utilisateurs de ProtonMail
- Ceux envoyés depuis un service tiers
- Ceux envoyés vers un service tiers
Le premier cas est bien entendu le plus simple. Le chiffrement de bout en bout est activé. Tout email reçu est accompagné à droite de son titre par un cadenas violet, qui représente la sécurité maximale. Dès que l’on envoie un email à un contact ProtonMail, ce chiffrement est automatique. Même situation quand on répond à un tel courrier.
En cas de mails reçus depuis un service tiers, la situation reste simple également. Un cadenas gris est affiché à côté de l’expéditeur. Il signifie que le chiffrement utilisé est classique : le contenu est bien chiffré, mais uniquement pendant son stockage sur les serveurs (probablement comme chez le service de l’expéditeur, Google et Microsoft faisant de même par exemple). Pendant le transport, le chiffrement n’est donc assuré que par TLS. Ce qui ne signifie pas bien sûr que les données sont ouvertes aux quatre vents, simplement que les prestataires impliqués sont en capacité d’en lire les informations.
Dans le dernier cas, vous aurez le choix. Par défaut, qu’il s’agisse d’un nouveau mail ou une réponse à un courrier reçu, le mode d’expédition sera de rester sur la même ligne de conduite : un chiffrement classique. Toutefois, en bas à gauche de la fenêtre de rédaction, on trouve une icône de cadenas permettant de basculer sur un mode plus sécurisé.
Il faudra alors renseigner un mot de passe ainsi qu’éventuellement une date d’expiration pour générer un lien. Par défaut, le lien n’est valable que 28 jours, mais on peut par exemple raccourcir ce délai à trois jours. Le mail reçu par le destinataire ne contient presque que le lien, qui va s’ouvrir alors dans un navigateur et réclamer le mot de passe. Le domaine ouvert appartient à ProtonMail et permet de rester dans un cadre aussi sécurisé que si le courrier avait été ouvert directement dans le service. Il faudra simplement veiller à transmettre le mot de passe de manière sécurisée, par exemple via une messagerie instantanée chiffrée de bout en bout comme Signal ou Wire.
Applications mobiles et « bridges »
ProtonMail aurait un intérêt limité s’il n’était accessible que depuis un navigateur web. On trouve donc deux applications mobiles, pour Android et iOS. Elles ont les mêmes capacités et gardent cette volonté de proposer une interface très commune qui, si elle ne révolutionnera pas le genre, a le mérite très clair de pouvoir être prise en main par n’importe qui.
Les fonctionnalités des applications mobiles sont peu ou prou les mêmes que celles du webmail, autorisant une continuité de service complète. Elles reprennent notamment tout le chapitre précédent sur les échanges avec les destinataires sur des services tiers, avec possibilité de définir un mot de passe et une date d’expiration. Pas de surprise donc.
ProtonMail pour iOS
On trouve cependant des différences dans les paramètres, les applications ne les présentant pas de la même manière. Par exemple, on trouve sur iOS un interrupteur pour activer directement Face ID ou Touch ID selon l’appareil utilisé. Sur Android, il faut d’abord se rendre dans la zone dédiée au code PIN pour trouver le bouton relatif à l’identification biométrique. Dans l’idée d’une continuité de service entre tous les points d’accès, cette zone gagnerait donc à renforcer sa cohérence.
ProtonMail pour Android, une interface presque identique
Les bridges sont quant à eux de petites applications que l’on va installer sous Windows, macOS ou Linux (en bêta pour ce dernier). Une fois le compte ProtonMail renseigné dans la fenêtre après installation, elles sont chargées de faire le lien avec les clients mail. Une fois la configuration terminée, on clique sur le compte ajouté puis sur « Mailbox configuration » (les bridges ne sont disponibles qu’en anglais).
Un petit panneau s’ouvre alors pour révéler des informations liées aux comptes IMAP et SMTP rattachés à l’identifiant ProtonMail. Cela signifie-t-il que les messages reçus et envoyés perdent leur chiffrement de bout en bout ? Non, car le bridge intercepte les emails entrants et sortants pour les (dé)chiffrer. Attention toutefois pour ceux qui auraient plusieurs adresses créées dans ProtonMail, car le mode de récupération par défaut agrège tous les courriers. Après avoir cliqué sur le compte dans la fenêtre principale, il faudra penser à sélectionner « Switch to split addresses mode » pour bien séparer les courriers en fonction de leur adresse d’expédition/réception.
Selon les clients, la configuration est plus ou moins simple. Outlook par exemple réclame de passer par la configuration d’un nouveau compte IMAP, de bien remplacer les ports par défaut par ceux indiqués et de cocher les cases pour l’exigence de mots de passe sécurisés pour IMAP et SMTP. Quant au chiffrement, il peut rester sur Automatique. La configuration dans Thunderbird est plus simple.
Dans tous les cas, ne vous affolez pas si vos mails n’apparaissent pas tout de suite. Le bridge est parfois un peu lent à réagir, mais s’acquitte ensuite de son travail. Comme on peut le voir dans les captures, les courriers marqués en favoris dans ProtonMail ressortent bien marqués comme tels.
Il y a malheureusement une grosse limitation aux bridges : les messages envoyés ne seront pas chiffrés de bout en bout. Il suffit d’envoyer un courrier vers n’importe quel autre service pour le voir : le texte est lisible sans autre forme de procès. Par contre, un email envoyé à un contact ProtonMail bénéficiera bien du fameux cadenas violet. On comprend aisément la différence : rien dans les interfaces des logiciels ne permet de profiter de l’option mot de passe.
- Télécharger ProtonMail pour Android
- Télécharger ProtonMail pour iOS
- Télécharger un bridge ProtonMail
La polémique de fin 2018 sur la sécurité de ProtonMail
La sécurité est évidemment – avec la simplicité – le point fort de l’offre. Le travail réalisé par l’équipe de développement est en ce sens réussi, puisque ProtonMail a le gros mérite de mettre une solution chiffrée de bout en bout à la portée de n’importe qui. Mais cette sécurité a été critiquée en novembre dernier par le chercheur Nadim Kobeissi, qui a pointé des faiblesses dans le modèle du service.
Kobeissi avait pour principal reproche l’utilisation de la bibliothèque de chiffrement OpenPGP.js, qui sert au chiffrement/déchiffrement des messages. Elle est servie par ProtonMail sans contrôle d’intégrité, ce qui faisait dire au chercheur que si par malheur une version compromise devait être servie à l’utilisateur, son mot de passe pourrait être récupéré, voire une lecture directe des messages échangés. Un problème inexistant avec les applications mobiles, puisque la bibliothèque est fournie par la boutique (App Store ou Play Store), qui gère le contrôle d’intégrité.
Pour ProtonMail toutefois, cette critique était extrême, car pointait une situation technique limitée par les technologies réellement disponibles. Il faudrait notamment que les navigateurs s’entendent sur un standard de signature des paquets, ce qui rendrait alors possible le contrôle d’intégrité. En outre, l’éditeur n’était pas à l’aise avec l’idée de devoir stocker les empreintes de ces paquets dans des serveurs qu’il ne contrôle pas.
Autre reproche fait au service, la possibilité pour l’utilisateur de définir un mot de passe très faible, comme « 12345678 » ou « iloveyou ». Proton Technologies n’avait pas nié : « La raison pour laquelle nous ne sommes pas plus contraignants sur les mots de passe est que contrairement à beaucoup d'autres services en ligne, les conséquences d'une perte de mot de passe pour ProtonMail sont lourdes. Vous perdez l'accès à tous vos emails, pour toujours ».
On pourrait arguer cependant que c’est, en quelque sorte, le « problème de l’utilisateur ». D’autres services très sensibles, à commencer par les gestionnaires de mots de passe, ne permettent pas ce genre de facilité. Pourtant, la perte du mot de passe maître aurait de très sérieuses répercussions puisque l’utilisateur perdrait l’ensemble des identifiants stockés.
Sur ce point, il apparaît donc qu’un effort est à faire. Mais en tant qu’éventuel futur utilisateur, il vous suffira de garder en mémoire qu’un bon mot de passe doit être le plus long possible et mélanger minuscules, majuscules, chiffres et caractères spéciaux.
Le mot de la fin
ProtonMail est-il recommandé en l’état ? Oui, même si des efforts restent à faire, en dépit d’une évolution rapide.
Pour qui cherche un service de messagerie chiffrée de bout en bout afin d’échanger des documents, le service fera très bien l’affaire. Les comptes gratuits sont cependant très limités et, si l’on ne veut rien investir, il vaudra mieux que les besoins restent légers. 500 Mo sont rapidement atteints pour peu que les documents échangés soient volumineux. Les 150 messages échangés par jour ne devraient pas être une limite pour les besoins légers.
Nous avons davantage à redire en matière d’expérience utilisateur. L’interface se révèle par moment trop stricte, avec des barres de colonnes fixes et un ensemble très austère. Rien n’est fourni pour égayer un peu l’ensemble et il faudra aller chercher soi-même du code CSS pour personnaliser un peu tout ça.
La traduction laisse parfois à désirer avec une irruption de l’anglais au travers d’une fenêtre, comme « Use conversation grouping » et « Use sticky labels ». Rien qui ne bloquera la route dans la grande majorité des cas, mais qui donne une impression de travail non terminé. Le cas est plus gênant pour les emails expédiés avec un mot de passe, puisque toute l’interface est en anglais. Pour un plus gros attrait du grand public, les diverses rubriques d’aide devraient en outre être traduites, toutes étant en anglais pour l’instant.
Certains éléments d’interface devraient également être fignolés. Là encore, rien de bloquant et certains évoqueraient des détails, mais pour un service qui met l’accent sur les formules payantes, on apprécierait des boutons et menus déroulants avec des textes non tronqués, ou des labels ne se collant pas entre deux fonctions.
Certains choix ergonomiques pourront dérouter. Par exemple, quand on souhaite repasser d’un compte payant à la formule gratuite. Dans l’immense majorité des cas, un abonnement attend de se finir à échéance pour basculer. ProtonMail l’effectue dans la seconde et reverse dans les Crédits la somme trop perçue au prorata du temps restant. Aucun message n’avertit l’utilisateur de ce choix étrange. Si vous aviez par exemple 3 Go de données en formule Plus, vous vous retrouvez avec un ménage immédiat à faire pour retomber sous les 500 Mo, car le service ne vous permettra plus de recevoir du courrier d’ici là.
Signalons également que ProtonMail n’est pas le seul produit à opérer sur ce créneau. Il est connu pour sa simplicité et le stockage des données en Suisse, mais on pourrait citer MsgSafe.io et Tutanota, qui proposent des services sensiblement équivalents. Chacun a ses avantages et inconvénients, notamment en matière de tarification. Attention à bien analyser ce qui est proposé dans chaque formule, car les découpages fonctionnels sont très différents d’un produit à l’autre. Tous font en tout cas un usage massif de l’open source.
On mentionnera tout de même, dans le cas de ProtonMail, de la réactivité générale de l’équipe. Le blog témoigne d’une activité régulière, les applications étant régulièrement mises à jour. De nombreux conseils sont donnés, surtout pour protéger l’activité des entreprises. Toutes ces informations sont en anglais, mais s’adressent davantage à un public de connaisseurs.
