Emails chiffrés : ProtonMail défend son modèle face à une analyse de sa sécurité

Le monde de la crypto, S25E18 39
image dediée
Crédits : Gajus/iStock/ThinkStock
Securité
Guénaël Pépin

Dans un article, le chercheur Nadim Kobeissi pointe des faiblesses du modèle de sécurité de ProtonMail, qui propose du chiffrement de bout en bout d'emails. Contactée, la société balaie la critique, revendique des choix de conception communs avec d'autres services sécurisés et interroge les intentions derrière cette étude.

Hier, Nadim Kobeissi a publié une analyse formelle de l'architecture de sécurité de ProtonMail (PDF). Professeur à la branche parisienne de la New York University, il est connu pour plusieurs projets, dont Cryptocat et Peerio et pionnier de la cryptographie web (voir notre portrait début 2015). Dans son document, écrit « en quelques jours », il attaque frontalement le service, estimant que son webmail ne fournit pas réellement de chiffrement de bout en bout, pour plusieurs raisons.

« ProtonMail n'a, depuis sa genèse, jamais fourni de garantie de sécurité pour le chiffrement de bout en bout à la majorité de ses utilisateurs », écrit Kobeissi, pensant que la plupart des membres passent par cette version web.

La promesse du chiffrement de bout en bout

L'intérêt de ProtonMail, par rapport aux applications PGP classiques, est que le service gère lui-même le chiffrement et les clés (privée et publique) qui le permettent. ProtonMail conserve la clé privée de l'utilisateur sur ses serveurs, pour la lui fournir sur n'importe quel appareil. Cette clé est chiffrée avec un dérivé du mot de passe de l'utilisateur, inconnu de ProtonMail.

En principe, la clé privée est déchiffrée localement (par exemple dans le navigateur), le serveur n'en ayant que sa copie chiffrée. Toutes les opérations de chiffrement sont effectuées localement, ProtonMail ne voyant que le contenu chiffré des messages ; les métadonnées, dont l'objet, sont tout de même hébergées en clair.

La société a construit une solide réputation sur ce modèle, en devenant par ailleurs la principale responsable d'OpenPGPjs, la bibliothèque qui gère le (dé)chiffrement des données dans le navigateur web. Elle a depuis lancé son propre réseau privé virtuel (VPN), ProtonVPN, promu par Mozilla.

Passons en revue les critiques de Kobeissi, avec les réponses de l'entreprise.

Un outil de chiffrement fourni par le webmail

Lisez la suite : 81 % de ce contenu reste à découvrir

Seuls nos abonnés peuvent lire l'intégralité de cet article.


chargement
Chargement des commentaires...