Discussion :

[Nancy Rey]

Proton lance son nouveau gestionnaire de mots de passe, Proton Pass un outil avec chiffrement de bout en bout
pour défier LastPass

Proton, la société à l'origine des populaires Proton Mail et Proton VPN, a annoncé le lancement de son nouveau gestionnaire de mots de passe, Proton Pass. La société a déclaré que le développement d'un gestionnaire de mots de passe était l'une des demandes les plus fréquentes de la communauté Proton depuis le lancement de Proton Mail. Cependant, Proton Pass n'est pas un simple gestionnaire de mots de passe standard. La société affirme qu'il sera bien plus que cela. Proton Pass utilise le chiffrement de bout en bout pour tous les champs, y compris le nom d'utilisateur et l'adresse web. Il s'agit d'une caractéristique cruciale, car même les plus petits éléments d'information peuvent être utilisés pour créer un profil très détaillé d'une personne.

Le développement de Proton Pass a été mené par l'équipe de SimpleLogin, qui a joint ses forces à celles de Proton en 2022 pour offrir aux utilisateurs de Proton des alias avancés pour cacher leur adresse électronique.

La version bêta de Proton Pass est disponible sur iPhone/iPad, Android et ordinateur de bureau. Des extensions de navigateur sont disponibles pour Brave et Chrome, et bientôt pour Firefox. Le chiffrement de bout en bout utilisé dans Proton Pass garantit que les données des utilisateurs sont protégées même en cas de perte ou de vol de leur appareil.

Proton Pass est le dernier ajout à la suite de produits de Proton axés sur la protection de la vie privée, qui comprend Proton Mail, Proton VPN, Proton Drive et Proton Calendar. La mission de l'entreprise est de fournir aux utilisateurs des outils de communication sécurisés et privés qui protègent leurs données personnelles des regards indiscrets. Avec le lancement de Proton Pass, Proton fait un pas de plus vers la réalisation de cet objectif.

Proton Pass est maintenant en version bêta

Proton est heureux d'annoncer une nouvelle étape importante dans la croissance de l'écosystème Proton avec le lancement de la version bêta du Proton Pass pour les utilisateurs Lifetime et Visionary. Les invitations seront lancées au cours de la semaine prochaine, et vous recevrez un email de notre part à votre adresse email Proton Mail lorsque vous serez éligible.

Un gestionnaire de mots de passe est l'une des demandes les plus fréquentes de la communauté Proton depuis le lancement de Proton Mail. Cependant, bien que Proton Pass utilise un chiffrement de bout en bout pour protéger vos identifiants de connexion, il sera bien plus qu'un gestionnaire de mot de passe standard. Cela deviendra plus clair au cours des semaines et des mois à venir, alors que nous préparons Proton Pass pour un lancement public plus tard dans l'année.

En 2022, Proton a uni ses forces à celles de SimpleLogin pour offrir à des millions d'utilisateurs de Proton des "alias de dissimulation d'adresse électronique" avancés. Rendre les connexions plus sûres, plus privées et plus faciles était au cœur de la vision initiale de SimpleLogin. En fait, Son Nguyen Kim, le fondateur de SimpleLogin, a choisi le nom SimpleLogin précisément pour cette raison.

La fusion a réuni deux organisations partageant le même intérêt pour la résolution de ce problème. C'est pourquoi l'équipe de SimpleLogin, rejointe par quelques ingénieurs de Proton, a dirigé les travaux sur Proton Pass.

Nous lançons maintenant Proton Pass pour deux raisons principales. Tout d'abord, notre collaboration avec SimpleLogin nous a permis de développer un nouveau gestionnaire de mots de passe sans affecter les efforts déployés sur les autres services de Proton. Deuxièmement, les mots de passe sont des informations tellement sensibles qu'un gestionnaire de mots de passe non sécurisé représente un risque pour la communauté Proton.

Si un pirate obtient votre mot de passe (que ce soit par le biais d'une violation de données ou du piratage de votre gestionnaire de mots de passe), il peut essentiellement contourner l'ensemble du chiffrement avancé de Proton Mail. Protéger correctement vos mots de passe requiert un haut niveau de compétence en matière de chiffrement et de sécurité, ce que peu d'organisations possèdent. Nous avons toujours été préoccupés par le risque posé par une violation majeure d'un gestionnaire de mots de passe, ce qui est malheureusement devenu une réalité avec le récent piratage de LastPass.

Mettre la barre plus haut en matière de sécurité

Proton Pass n'est pas un gestionnaire de mots de passe comme les autres. C'est peut-être le premier conçu par une société spécialisée dans le chiffrement et la protection de la vie privée, ce qui se traduit par des différences tangibles en matière de sécurité. Par exemple, alors que de nombreux autres gestionnaires de mots de passe ne chiffrent que le champ du mot de passe, Proton Pass utilise un chiffrement de bout en bout pour tous les champs (y compris le nom d'utilisateur, l'adresse web, etc.).

Ceci est important car des informations apparemment inoffensives (telles que les URL sauvegardées, que de nombreux autres gestionnaires de mots de passe ne chiffrent pas) peuvent être utilisées pour créer un profil très détaillé sur vous. Par exemple, si un pirate peut voir que vous avez enregistré des mots de passe pour un compte Grindr, gop.com ou même un site de fans de mangas, il en saura beaucoup sur vous en tant que personne, même s'il ne peut pas accéder à vos comptes.

Les détails chiffrés sont importants, et Proton Pass utilise une implémentation forte du hachage de mot de passe bcrypt (des implémentations faibles de PBKDF2 ont rendu d'autres gestionnaires de mots de passe vulnérables) et une implémentation renforcée de Secure Remote Password (SRP) pour l'authentification. Proton Pass est également un gestionnaire de mots de passe qui comprend un authentificateur à deux facteurs (two-factor authenticator : 2FA) entièrement intégré et prend en charge le remplissage automatique 2FA. Ceci a pour but de faciliter l'utilisation de 2FA partout car c'est l'une des protections les plus efficaces pour vos comptes en ligne.

Comme tous les autres services Proton, Proton Pass sera open source et publiquement auditable dès son lancement, de sorte que tout le monde pourra vérifier de manière indépendante nos dispositifs de sécurité et leur mise en œuvre.

Quelles sont les prochaines étapes ?

Après avoir répondu à des milliers de demandes au fil des ans, nous sommes heureux de proposer un gestionnaire de mots de passe à la communauté Proton. La version bêta de Proton Pass est disponible sur iPhone/iPad, Android et ordinateur de bureau (des extensions de navigateur sont disponibles pour Brave et Chrome).

Malheureusement, l'extension pour Firefox n'est pas disponible pour le moment car Mozilla n'a pas pu l'approuver avant la date de sortie. Si vous recherchez un navigateur respectueux de la vie privée qui fonctionne avec Proton Pass, vous recommande d'utiliser le navigateur Brave. Avec certaines des fonctionnalités que prévues,Proton pense que sera une étape importante pour les gestionnaires de mots de passe en général et redéfinira le rôle que les gestionnaires de mots de passe jouent dans nos vies en ligne.

Source : Proton

Et vous ?

Quel est votre avis sur le sujet ?
Avez-vous déjà utilisé un gestionnaire de mot de passe ? Lequel ?
Avez-vous opté pour un abonnement ou préféré la version gratuite ?
Qu'est-ce qui pourrait vous convaincre de mettre de l'argent sur un tel outil ?

Voir aussi :

Protection de la vie privée : Proton Technologies lance un nouveau service de VPN baptisé ProtonVPN, accessible au grand public

Plus de 6000 jeux Windows fonctionnent sous Linux grâce à Proton, un outil lancé en août 2018

Proton Technologies, l'entreprise mère de ProtonMail et ProtonVPN, reçoit 2M€ de l'UE, pour le développement d'une suite de services chiffrés

AWS présente Proton, le service de gestion des conteneurs, pour automatiser le développement et le déploiement des conteneurs et d'applications "serverless"

[Bruno]

Proton Pass, le gestionnaire de mots de passe chiffré de bout en bout est disponible gratuitement,
mais ne serait pas sans limites

Proton Pass est le nouveau service de gestion de mots de passe de Proton, une entreprise suisse qui propose des solutions de sécurité et de confidentialité en ligne. Ce service permet aux utilisateurs de créer, stocker et remplir automatiquement leurs mots de passe sur tous leurs appareils, en les protégeant par un chiffrement de bout en bout. Proton Pass est également intégré à ProtonMail, le service de messagerie sécurisé de Proton, et dispose d’une fonctionnalité hide-my-email qui permet de créer des alias d’adresse mail pour se prémunir du spam et du pistage.

Toutefois, Proton Pass n’est pas sans défauts. Il s’agit d’un service récent qui n’offre pas encore toutes les options des gestionnaires de mots de passe plus matures, comme l’audit de la sécurité, le partage sécurisé ou le support prioritaire. Il n’est pas compatible avec tous les navigateurs ou les systèmes d’exploitation, notamment Safari et Mac. Il est gratuit pour les utilisateurs de ProtonMail, mais il nécessite un abonnement payant pour accéder à plus d’espace de stockage ou aux autres services de Proton, comme Proton VPN, Proton Drive ou Proton Calendar.

« Nous sommes heureux d'annoncer le lancement mondial de Proton Pass, disponible dès maintenant en tant qu'extension de navigateur sur la plupart des principaux navigateurs (Chrome, Firefox, Edge, Brave, et plus encore) ainsi que sur iPhone/iPad et Android. Comme son nom l'indique, Proton Pass est un gestionnaire de mots de passe, l'un des services les plus demandés par la communauté Proton dans nos enquêtes annuelles depuis que nous avons lancé Proton Mail, notre service de messagerie chiffrée, en 2014 », déclare Proton.

À la base, un gestionnaire de mots de passe est un outil qui vous aide à générer des mots de passe sécurisés et à les sauvegarder afin que vous n'oubliiez plus jamais un mot de passe. Proton Pass permet de suivre facilement les pratiques comme l'utilisation d'une phrase de passe au lieu d'un mot de passe ou l'utilisation d'un mot de passe unique pour chaque site web, sans avoir à vous soucier d'oublier vos mots de passe. Il vous fait également gagner du temps en vous permettant de vous connecter en un seul clic lorsque vous revenez sur un site web.

Avantages de l'utilisation d'un gestionnaire de mots de passe

Seul un petit pourcentage de personnes est capable d'adhérer aux meilleures pratiques de gestion des mots de passe manuellement. Il est tout simplement trop difficile de se souvenir de tous ses mots de passe, en particulier si vous utilisez des mots de passe uniques et forts pour tous vos comptes sans les écrire. Le principal avantage de l'utilisation d'un gestionnaire de mots de passe est qu'il facilite le respect des meilleures pratiques en matière de gestion des mots de passe.

Avec un gestionnaire de mots de passe, il est possible de créer des mots de passe aléatoires, longs, uniques et forts pour chacun de ses comptes. Étant donné que l’utilisateur copie et colle ses informations d'identification lorsqu’il se connecte à des applications et à des services, les mots de passe peuvent être aussi sophistiqués que nécessaire - pas besoin de les connaître. Les pirates ne peuvent donc pas utiliser les informations volées d'un compte pour s'introduire dans le système d'information de l'entreprise.

Risques liés à l'utilisation d'un gestionnaire de mots de passe

Si les gestionnaires de mots de passe aident à renforcer la sécurité dans le monde numérique, ils ne sont pas exempts de risques. Même si l’utilisateur adhère aux meilleures pratiques en matière de gestion des mots de passe et qu’il fait tout correctement, il existe toujours un risque qu’il perd » tout.

Ce qui rend les gestionnaires de mots de passe si pratiques pour beaucoup – tous les mots de passe sont facilement accessibles en un seul endroit - représente également le plus grand risque. Si un appareil personnel est infecté par un logiciel malveillant, des cybercriminels peuvent voler le mot de passe principal et prendre le contrôle du système.

Mais le risque n'est pas seulement interne. Le fournisseur du gestionnaire de mots de passe lui-même peut représenter un risque pour la sécurité du système de l’utilisateur. Des cybercriminels ont ciblé certains des plus grands fournisseurs de gestionnaires de mots de passe et ont réussi à les pirater.

LastPass, l'un des principaux gestionnaires de mots de passe, a déclaré que des pirates ont obtenu une multitude d'informations personnelles appartenant à ses clients ainsi que des mots de passe chiffrés et cryptographiquement hachés en plus d'autres données stockées dans les coffres-forts des clients. La révélation, publiée en fin d’année dernière, représentait une mise à jour spectaculaire d'une brèche que LastPass avait révélée plus tôt en août. À cette période, la société a déclaré qu'un acteur malveillant avait obtenu un accès non autorisé via un seul compte de développeur et l'a utilisé pour accéder à des données exclusives.

LastPass a reconnu que le(s) cybercriminel(s) « avait pris des parties du code source et certaines informations techniques propriétaires de LastPass ». La société a déclaré à l'époque que les mots de passe principaux des clients, les mots de passe chiffrés, les informations personnelles et les autres données stockées dans les comptes clients n'étaient pas affectés.

Source : Proton

Et vous ?

Quels sont les avantages de Proton Pass par rapport aux autres services de gestion de mots de passe ?
Quels sont les risques liés à l’utilisation d’un service de gestion de mots de passe en ligne ?
Quelles sont les limites ou les inconvénients de Proton Pass ?
À votre avis, comment Proton Pass se finance-t-il s’il est gratuit pour les utilisateurs de ProtonMail ?

Voir aussi :

LastPass : vos infos et vos données de coffre-fort de MdP sont désormais entre les mains de pirates. Le gestionnaire de MdP révèle que la violation qu'il a reconnu en août est pire que prévu

La dernière violation de données de LastPass a exposé certaines informations sur les clients, le PDG Karim révèle que cette violation a eu lieu à partir d'informations recueillies en août

[roha69]

Ce qui rend les gestionnaires de mots de passe si pratiques pour beaucoup – tous les mots de passe sont facilement accessibles en un seul endroit - représente également le plus grand risque. Si un appareil personnel est infecté par un logiciel malveillant, des cybercriminels peuvent voler le mot de passe principal et prendre le contrôle du système.

- Alors, si une personne mal intentionné à infecté une machine, elle dispose de moyen comme l'installation d'un keylogeur et donc le fait d'avoir un gestionnaire de mot de passe ou non n'y changera rien.

- La plupart des gens sauvegardent leurs mots de passe dans chrome/firefox par défaut (se souvenir de mon mot de passe). Oui, c'est un gestionnaire de mot de passe également.

- L'utilisation d'un gestionnaire plus élaboré, permet entre autre la génération de mot de passe fort et unique, et ça c'est extrêmement bénéfique !

- Si on perd son mot de passe maître, il existe des moyens comme par exemple lors de la création, certain gestionnaire vous font télécharger une clef à conserver au cas ou.

Bref, c'est plutôt positif d'utiliser un gestionnaire de mot de passe =)

[Fagus]

Ce qui rend les gestionnaires de mots de passe si pratiques pour beaucoup – tous les mots de passe sont facilement accessibles en un seul endroit - représente également le plus grand risque. Si un appareil personnel est infecté par un logiciel malveillant, des cybercriminels peuvent voler le mot de passe principal et prendre le contrôle du système.

Il y a deux approches :

• Le techno-solutionnisme : gestionnaire chiffré, token cryptographique, FIDO, hardware security module local ou en ligne...
• Ou comme mon père, des mots de passe longs uniques, dans un carnet papier, caché quelque part dans le fatras invraisemblable d'une maison où une chatte n'y retrouverait pas ses petits. Dur à pirater. Je lui file un token FIDO en rab et là c'est impiratable

À part ça proton ça a l'air bien. Leurs protocoles de sécurité tiennent la route sur le papier. Je m'en sers depuis quelques années et ça marche jusqu'ici.

À votre avis, comment Proton Pass se finance-t-il s’il est gratuit pour les utilisateurs de ProtonMail ?

Parce que les gens payent ! L'espace gratuit c'est 500Mo de base, 1Go sous conditions. Faut au moins payer de temps en temps pour archiver sa boîte en local.