Discussion :

[Coriolan]

ProtonMail : le service de messagerie chiffrée basé en Suisse atteint 5 millions d'utilisateurs
4 années après son lancement

ProtonMail est une messagerie web chiffrée créée en 2014 au CERN par Jason Stockman, Andy Yen et Wei Sun. Ce service de messagerie se différencie des autres services proposés au grand public par le fait qu’il est automatiquement chiffré, sans que l’utilisateur ait besoin de quelque connaissance des techniques de cryptographie. Le service s'utilise aussi simplement que tout autre service, en garantissant un très haut niveau de confidentialité.

Depuis son lancement, plusieurs facteurs ont contribué à la montée de popularité de ProtonMail, notamment le piratage massif de Yahoo et la victoire de Donald Trump dans les élections présidentielles américaines.

L’argument de vente de ProtonMail est le chiffrement, c’est ce qui le singularise des autres services de messagerie gratuits (Gmail, Yahoo!, etc.). Cette caractéristique permet à ProtonMail de chiffrer les messages et garantir qu’il est impossible d’explorer les données. Le chiffrement permet aussi de protéger les emails des tiers lorsqu’ils sont envoyés d’un compte ProtonMail vers un autre.

« Nous voulons être en mesure de complètement de-Googler votre vie, » dit Yen. « Utilisez ProtonMail et profitez de toutes les fonctionnalités, plus la sécurité et la confidentialité que Google ne vous assure pas. C’est notre vision à long terme. »

Pour Yen, chaque nouvel utilisateur qui s’enregistre dans le service compte pour la croissance de l’entreprise qui est passée de 2 millions d’utilisateurs en janvier 2017 à plus de 5 millions en septembre 2018. Le succès de ProtonMail lui a permis d’attirer des utilisateurs de haut profil, notamment des journalistes du New York Times, The Atlantic, Daily Caller et CBS, qui affichent publiquement leur adresse email protonmail.com sur leurs biographies.

Malgré ce succès, ProtonMail reste une goutte dans un océan comparé à Gmail avec ses 1,2 milliard de comptes. Mais il représente une alternative pour toute personne ne souhaitant pas voir ses emails scannés par Google pour afficher des publicités ciblées, c’est ce qui explique sa croissance continue depuis son lancement au public en mai 2016.

Évolution des recherches de ProtonMail sur Google depuis 2014 (Google Trends)

Dans une interview livrée à Inverse, Yen a expliqué que la croissance de ProtonMail est liée à une combinaison de facteurs. Le scandale Cambridge Analytica a constitué un coup de semonce pour les gens qui sont commencés à se rendre compte quel modèle économique ont Facebook et Google. Ceci a fait que plus de gens donnent la priorité aux services qui assurent la sécurité et la confidentialité en ligne.

« Sur internet, vous voulez partager quelque chose, les médias sociaux ont certainement une valeur, mais il y a aussi des choses que vous voulez garder privées, et c’est ce qui amène de la croissance à des services comme ProtonMail, » a dit Yen.

De plus en plus de gens veulent payer pour assurer leur confidentialité

Bien que les utilisateurs particuliers constituent l’essentiel de la base d’utilisateurs de ProtonMail, le service de messagerie attire de plus en plus des médias et de petites entreprises pour l'hébergement de leurs emails. Selon Yen, cette tendance est due au fait que les entreprises sont plus accoutumées à payer pour les emails et utilisateurs, ils représentent donc un vecteur de croissance important. Ainsi, des entreprises qui auraient choisi Google Apps ou Microsoft 365 auparavant, vont avec ProtonMail en raison des préoccupations de sécurité et de confidentialité.

ProtonMail est proposé en version gratuite et en différentes versions payantes. Yen pense que rien ne doit être gratuit, et pense que « si un produit est gratuit, c’est donc vous le produit. » Yen pense que si vous ne voulez pas que vos données soient revendues, vous avez intérêt à payer pour les services que vous utilisez. De plus en plus de gens se rendent compte de cette réalité, et cela aide ProtonMail à gagner de l’argent des comptes payants pour financer les comptes gratuits, un modèle fermium qui reste efficace selon Yen. Mais pour garder son efficacité, ProtonMail entend rester indépendant. Le service ne s’attend pas à être racheté ou financé par des investisseurs, et espère que la communauté d’utilisateurs va représenter les seules parties prenantes pour remplir son objectif à long terme.

ProtonMail est constamment la cible de cyberattaques

Du fait de sa notoriété, ProtonMail est souvent la cible d’attaques. Yen pense que c’est une chose prévisible. « ProtonMail constitue une cible difficile et bien connue, ». « Je ne connais pas une seule entreprise de notre taille qui fait face à autant d’attaques ». Selon Yen, les gens aiment cibler le service pour vanter leur exploit. « ProtonMail est bien défendu. Si vous pouvez le frapper et causer des difficultés, c’est quelque chose pour laquelle vous pouvez être fier ».

Ceci dit, l’entreprise à une politique de tolérance zéro, à chaque fois qu’elle est attaquée, elle part à la poursuite des attaquants sous le couvercle de la justice. Selon Yen, cette politique envoie un message fort aux attaquants qui savent que s’ils causent des problèmes, il y aura des conséquences pour eux.

ProtonMail et la criminalité

Du fait qu’il est basé en Suisse, ProtonMail adhère à la loi de ce pays qui a une tradition de confidentialité et de sécurité. En cas d’une affaire criminelle, ProtonMail agit selon le verdict de la justice qui considère si cette affaire est légitime ou non. Par exemple si un gouvernement va à l’encontre de ses dissidents, les tribunaux suisses ne vont pas approuver. Mais si c’est une affaire criminelle légitime, ProtonMail répond à la requête dans la mesure du possible.

En effet, en raison de l’utilisation du chiffrement, il n’y a pas moyen de dévoiler et extraire le contenu des messages. Tout ce que le service peut faire est de fournir des informations comme quand la dernière fois le compte a été actif, et s’il est toujours utilisé. C’est ces metadata que le service peut fournir à la police en cas de besoin.

Les plans de ProtonMail

S’il parait satisfait de la hausse du nombre d’utilisateurs de ProtonMail, Yen pense que le développement du service va continuer à se concentrer sur la sécurité et atteindre un niveau de parité avec Gmail en termes de fonctionnalités. Le service entend appliquer la même recette de l’email sur d’autres services comme l’agenda, le stockage de fichiers, les documents, etc. À long terme, ProtonMail espère devenir une suite de productivité complète qui place la sécurité et la confidentialité comme sa priorité. Cette vision ne pourra devenir une réalité que si le service offre une alternative aux services de Google, Yen assure travailler pour accomplir cet objectif.

ProtonMail reste un peu cher

ProtonMail représente 150 % le prix de G Suite, tout en ayant des limites comme le nombre d’alias et de domaines. D’autres services de messagerie beaucoup moins chers offrent les mêmes qualités, on peut citer Tutanota qui est accessible pour juste 1$ par mois, OTOH (8 euros), Soverin (4$/mois).

Une autre limite de ProtonMail est qu’il ne supporte pas SMTP ou IMAP sans utilisation d’applications propriétaires et payantes supportées seulement sur quelques plateformes. Il requiert aussi une application propriétaire pour lire les emails sur votre téléphone.

Source : Inverse

Et vous ?

Qu’en pensez-vous ?
Utilisez-vous ProtonMail ? Comment le trouvez-vous ?
Si non, quels sont les autre services de messagerie que vous recommandez pour garder la sécurité et la confidentialité des utilisateurs ?

Voir aussi

Protection de la vie privée : Proton Technologies lance un nouveau service de VPN baptisé ProtonVPN accessible au grand public
ProtonMail déploie ses services sur Tor pour anticiper d'éventuelles censures d'État, une première étape naturelle selon son cofondateur
ProtonMail : explosion du nombre d'inscriptions après l'annonce du piratage de Yahoo, une performance que le service dédie à ses mesures de sécurité

[marc.collin]

ils ont la clé... donc faut leur faire confiance...

[nikau6]

ils ont la clé... donc faut leur faire confiance...

Non, les équipes de ProtonMail n'ont pas accès aux emails de leurs clients. Ils n'ont pas accès á la clé.

Zero Access to User Data
Your encrypted data is not accessible to us

ProtonMail's zero access architecture means that your data is encrypted in a way that makes it inaccessible to us. Data is encrypted on the client side using an encryption key that we do not have access to. This means we don't have the technical ability to decrypt your messages, and as a result, we are unable to hand your data over to third parties. With ProtonMail, privacy isn't just a promise, it is mathematically ensured. For this reason, we are also unable to do data recovery. If you forget your password, we cannot recover your data.

source : https://protonmail.com/security-details

Et ca n'est pas si chère que ce qu'en dit l'article. Seulement 4 euros par mois pour 5go de stockage et 5 adresses mail, plus bien évidement la sécurité. Pour ce prix ont a également accès á leur VPN. Et bientôt on pourra également synchroniser les smartphone sur leurs serveurs : Contacts, agenda, sauvegarde, etc... Ça vaut vraiment le coup pour ceux qui ne peuvent plus encadrer omniprésence de Google sur leur smartphone.

[Le_Duc]

Non, les équipes de ProtonMail n'ont pas accès aux emails de leurs clients. Ils n'ont pas accès á la clé.

Bien sûr que si, cette vérité est facilement trouvable sur Internet. Exemple, voici une réponse d'un membre de l'équipe ProtonMail :

We generate the private key in the browser. Then it is encrypted with AES 256 before it is sent to our server. Since it is encrypted with your mailbox password which never gets set to the server, we are unable to decrypt your private key. When you log in on a different device, the encrypted private key is sent to that device and then your mailbox password decrypts the private key.

Sur Wikipedia :

(..The public key and the encrypted private key are both stored on ProtonMail servers

[nikau6]

Bien sûr que si, cette vérité est facilement trouvable sur Internet. Exemple, voici une réponse d'un membre de l'équipe ProtonMail :


Sur Wikipedia :

Peut importe. Ils n'ont pas accès aux mails des clients, et c'est la le principal. C'est ce que je voulais notifier.

[Le_Duc]

Peut importe. Ils n'ont pas accès aux mails des clients, et c'est la le principal. C'est ce que je voulais notifier.

Bien qu'étant moi même utilisateur de ProtonMail, j'émets un certain doute personnellement, surtout en lisant ce genre de choses :

ProtonMail & Apophis Squad :

(...) To fulfill this commitment, we are willing to commit all necessary financial, legal, and technical resources

ProtonMail Privacy Policy :

If a request is made for encrypted message content that ProtonMail does not possess the ability to decrypt, the fully encrypted message content may be turned over. (...)

Et ce même s'ils disent le contraire :
• https://www.reddit.com/r/ProtonMail/...e_for_attacks/
• https://old.reddit.com/r/ProtonMail/...f_giving_away/

Par contre de mémoire, et ce n'est pas du tout un secret je crois, ils ont totalement accès aux en-têtes des emails. Donc déjà...

[macslan]

Bien sûr que si, cette vérité est facilement trouvable sur Internet. Exemple, voici une réponse d'un membre de l'équipe ProtonMail :


Sur Wikipedia :

sauf que tu ne cite pas tout

Upon logging in, the user has to provide both passwords. This is to access the account and the encrypted mailbox and its private encryption key. The decryption takes place client-side either in a web browser or in one of the apps. The public key and the encrypted private key are both stored on ProtonMail servers. Thus ProtonMail stores decryption keys only in their encrypted form so ProtonMail developers are unable to retrieve user emails or reset user mailbox passwords.[32] This system absolves ProtonMail from:

[benjani13]

J'ai déjà testé Protonmail, c'est propre, les comptes gratuits sont tout à fait suffisant (500Mo de stockage, 150 mail/jour). De plus aucun info perso ni vérification par téléphone ou autre n'est exigée. Pour ceux, dont moi, qui trouve que le "@protonmail.com" est un peu long à écrire, on peut activer l'alias "@pm.me" dans les options de son compte. Les options sont très clairs, quelques fonctions sympa, possibilité de supprimer son compte. Votre compte vous donne aussi accès à ProtonVPN (VPN gratuit, jamais essayé). Bref je conseille.

Concernant le chiffrement des messages, deux choses à dire. Premièrement le chiffrement étant gérer de façon transparente pour vous (le serveur génère vos clés PGP et les utilise à la demande), je ne vois pas comment il serait impossible pour eux d’accéder aux mails, d'un simple point de vue technique (ou pas, voir EDIT). Deuxièmement, pensez bien que même si vous quittez Gmail pour protonmail, si vous envoyez un mail à un @gmail.com, Google l'aura tout de même.

EDIT: Un début d'information : https://protonmail.com/support/knowl...te-key-stored/

Au premier abord ça tiens la route. Clées PGP générées coté client à la création du compte, chiffrées avec le password du compte (ou son hash? à vérifier) toujours côté client, le chiffré est envoyé au serveur. Le serveur n'ayant pas le password en clair (ou le même type de hash) dans sa BDD, il est incapable de déchiffrer la clé privée.

[4sStylZ]

J’utilise Protonmail pour mes mails les plus confidentiels.
Cet article dit que c’est un peu cher. C’est cher si l’offre gratuite ne suffit pas. Hors dans mon cas c’est parfait !

Le service est très bien même si on est loin de la G-Suite. J’ai juste un peu de mal à personaliser mes E-Mails de temps en temps mais je n’en demande pas trop à ce service.

[yannickt]

Personnellement, j'ai préféré mailfence : Pour moins cher, ils fournissent plus de services (IMAP/POP, agenda, espace de stockage, etc) et je trouve leur interface plus efficace.

[alexetgus]

@nikau6
Tu fais erreur, Proton possède les clés.

---

Si il y a bien un service qui m'a déçu, c'est bien celui de ProtonMail.
Seuls les messages entrants chiffrés PGP sont acceptés. Les messages sortants ne bénéficient pas de PGP, seul un mot de passe est proposé.

Et c'est comme ça depuis toujours !


J'ai testé ce service pour ceux que ça intéresse :
https://chez-oim.org/index.php/topic,2135.0.html

Du marketing, rien que du marketing. La sécurité n'est qu'un concept chez ProtonMail, certainement pas une réalité... Tout du moins, pas au niveau promis.

[Fagus]

@nikau6
Tu fais erreur, Proton possède les clés.

---

Si il y a bien un service qui m'a déçu, c'est bien celui de ProtonMail.
Seuls les messages entrants chiffrés PGP sont acceptés. Les messages sortants ne bénéficient pas de PGP, seul un mot de passe est proposé.

Et c'est comme ça depuis toujours !


J'ai testé ce service pour ceux que ça intéresse :
https://chez-oim.org/index.php/topic,2135.0.html

Du marketing, rien que du marketing. La sécurité n'est qu'un concept chez ProtonMail, certainement pas une réalité... Tout du moins, pas au niveau promis.

Ben si on peut chiffrer les messages sortants avec gpg, c'est expliqué là : https://protonmail.com/support/knowl...ow-to-use-pgp/ (en bas de page). Il y a une option d'ajout de la clé publique à un contact et ensuite c'est transparent.

[alexetgus]

Ben si on peut chiffrer les messages sortants avec gpg, c'est expliqué là : https://protonmail.com/support/knowl...ow-to-use-pgp/ (en bas de page). Il y a une option d'ajout de la clé publique à un contact et ensuite c'est transparent.

Non, ce n'est pas possible. Fais l'essai toi même, tu verras. Pas de messages sortants chiffrés PGP.
D'ailleurs proton est clair là dessus quand on ouvre un compte.
On ne peut que signer les messages sortants.






Pour ton post précédent, on se demande si on a bien raison d'allumer un ordinateur, puisque c'est une passoire qui laisse tout fuiter...
Parano, je le suis, mais faut pas pousser mémé quand même.
Que Windows possède une (ou des) backdoor permettant d'avoir accès, ponctuellement et pour une personne donnée, à tout son contenu, c'est largement possible et ça ne m'étonnerait pas.
Par contre, que Windows fasse fuiter toutes les données intéressantes de tous les détenteurs planétaires de cet OS vers un "serveur secret", je pense que ça se saurait depuis le temps.

[Fagus]

Non, ce n'est pas possible. Fais l'essai toi même, tu verras. Pas de messages sortants chiffrés PGP.
D'ailleurs proton est clair là dessus quand on ouvre un compte.
On ne peut que signer les messages sortants.

J'ai bien sûr testé en important ma clé publique précédente, en m'envoyant un mail chiffré et le déchiffrant en dehors du client mail. L'envoi chiffré marche.
Lorsqu'il est écrit sur leur site " Seuls les messages entrants au format inline OpenPGP sont actuellement supportés.", il ne faut pas comprendre que la limitation porte sur les messages entrants, mais sur le format inline PGP par opposition au format PGP/MIME ( cf https://protonmail.com/support/knowl...me-pgp-inline/ ).

Pour ton post précédent, on se demande si on a bien raison d'allumer un ordinateur, puisque c'est une passoire qui laisse tout fuiter...
Parano, je le suis, mais faut pas pousser mémé quand même.
Que Windows possède une (ou des) backdoor permettant d'avoir accès, ponctuellement et pour une personne donnée, à tout son contenu, c'est largement possible et ça ne m'étonnerait pas.
Par contre, que Windows fasse fuiter toutes les données intéressantes de tous les détenteurs planétaires de cet OS vers un "serveur secret", je pense que ça se saurait depuis le temps.

Depuis que mon antivirus a intercepté l'envoi d'exécutables perso contenus dans mes documents vers un serveur de microsoft malgré toutes les options de confidentialité activées (je n'ai pas onedrive) j'ai du mal à voir cet engin comme autre chose qu'une passoire.
Plus généralement, c'est écrit sur le site même de GPG là https://www.gnupg.org/faq/gnupg-faq....essful_attacks et il y a diverses histoires de mecs utilisant des appli chiffrées comme telegram signal etc dont toute la prose a été reproduite au tribunal aux US. On peut a priori supposer que leur terminal a été hacké. Bref, c'est un avis perso, mais si j'utilisais PGP pour des choses sensibles, ce qui est son intérêt, je générerais ma clé privée offline avant de la laisser dans une smartkey ou une yubikey qui ont été conçues notamment dans ce but, ou juste dans un air gap.
De plus, le fait d'envoyer des mails avec des entêtes GPG fais de toi une sorte de phare dans la nuit pour tous les systèmes automatisés de surveillance. ça ne me surprendrait même pas qu'un d'eux ne récupère pas les clés de manière automatisée, de la même manière que les virus divers écument les pc des particuliers pour récupérer les codes de CB.

[dlandelle]

Que Windows possède une (ou des) backdoor permettant d'avoir accès, ponctuellement et pour une personne donnée, à tout son contenu, c'est largement possible et ça ne m'étonnerait pas.Par contre, que Windows fasse fuiter toutes les données intéressantes de tous les détenteurs planétaires de cet OS vers un "serveur secret", je pense que ça se saurait depuis le temps.

Tout système avec des mises à jour est soupçonnable de remonter des informations personnelles sur le volume d'upload pendant les mises à jour, même Linux prend cette voie sous prétexte d'être à jour, mais à jour de quoi ?
Sous les OS "passoire" on prétend que c'est pour la sécurité, sous Linux on dit que c'est pour avoir des dernières "fonctionnalités", et pourtant les broken packages autrefois rares pleuvent sur Linux comme les virus sous windows ;-)
Même les fanas de Apple doivent savoir que les serveurs HP ont des backdoors, le terminal est sécurisé contre ton voisin, mais toutes les données sont disponibles sur les serveurs.
Crypter les messages dans un monde connecté, c'est un peu une illusion.

[bobby260]

Si il y a bien un service qui m'a déçu, c'est bien celui de ProtonMail.
Seuls les messages entrants chiffrés PGP sont acceptés. Les messages sortants ne bénéficient pas de PGP, seul un mot de passe est proposé.
...

Non, tu fais erreur. Je l'ai cherché pendant longtemps sans le trouver. Et c'est après avoir reçu un mail avec une clef publique d'un contact que j'ai eu la surprise de voir ProtonMail me proposer de la stocker "pour chiffrer les messages sortants". Alors je me suis dit, mais il la stocke où (????) et comment j'aurai pu rajouter cette clef publique de cet interlocuteur moi-même.
Et finalement j'ai trouvé et je vous le partage pour que je sois l'un des derniers a galérer sur ce sujet

- si le contact n'existe pas, il faut créer avant tout un nouveau contact évidemment,
- mettre à jour le contact en cliquant sur le contact, puis sur "Paramètres avancées" à droite de l'adresse mail du contact (c'est une "roue" comme le symbole paramètre sur les téléphones Android), cliquer sur "Télécharger une clé", sélectionner la clef publique de votre correspondant (.asc ou .txt), cliquer sur Ouvrir. Puis sélectionner les options "Chiffrer" et/ou "Signer" selon votre choix avec ce correspondant. En ce qui nous concerne on sélectionnera au moins "Chiffrer" puisque c'était le point abordé dans le post. Puis faire enregistrer.

A partir de ce moment là, ProtonMail va chiffrer automatiquement tous les mails vers ce correspondant avec sa clef publique, indépendamment de ce qu'il fait avec les autres correspondants.

Voilà et j'ai trouvé cette information nulle part ailleurs avant.
Bonne chance

PS : j'ai un compte ProtonMail payant et ça fait peut-être la différence. Dans l'image ci-dessous il y a un "panneau attention" à côté du bouton option "chiffrer" car je n'ai pas encore téléchargé de clef publique pour cet interlocuteur mail

[alexetgus]

@bobby260

Depuis le temps, oui c'est possible.
Mais avant novembre 2018, quand j'ai répondu, ça n'était pas le cas.

[Cyrilange]

Lorsque l'on crée un compte sur Protonmail il vous demande une adresse e-mail. Avez-vous essayez de créer un compte sur Protonmail en utilisant une adresse d'un autre service d'e-mail chiffré comme Tutanota par exemple ? Vous verrez que ce n'est pas possible. Ils n'acceptent que des adresses de type Outlook, Gmail etc. Pourquoi ? Et bien ils veulent pouvoir vous identifier afin de communiquer votre identité aux autorités et si ils ne peuvent pas le faire avec l'adresse IP il le feront avec l'adresse e-mail fourni lors de l'ouverture de votre compte. Beaucoup de pays comme la France par exemple, ont voté des lois qui obligent à donner les mots de passe sous peine de prison et de forte amendes. A quoi donc va vous servir le chiffrement si vous n'êtes pas anonyme ? Cela a encore moins d'intérêt si votre destinataire utilise Gmail car Google sera toujours en mesure de lire tous vos e-mails.

Par conséquent, la meilleur solution reste l'utilisation de GPG/PGP sur n'importe quelle plateforme. Protonmail n'apportera que quelques gadgets supplémentaires. Et puis je rappelle que la Suisse est une plaque tournante du cyberespionnage en Europe.

Ceci étant dit, je pense qu'il est grand temps d'abandonner les e-mails et d'envisager d'autres moyens de communication comme Bitmessage par exemple.

[benjani13]

Lorsque l'on crée un compte sur Protonmail il vous demande une adresse e-mail.

[...]

Non Protonmail ne demande pas d'adresse mail pour s'inscrire. Je ne sais pas si c'était le cas avant, mais essaie de créer un compte aujourd'hui tu n'auras pas besoin de renseigner d'adresse mail.

[Le_Duc]

Non Protonmail ne demande pas d'adresse mail pour s'inscrire. Je ne sais pas si c'était le cas avant, mais essaie de créer un compte aujourd'hui tu n'auras pas besoin de renseigner d'adresse mail.

Il me semblait aussi que oui ils demandaient une adresse email, du moins pour confirmer la création d'un compte. Peut-être que @Cyrilange faisait allusion à cette étape :


Étonnamment, des fois le choix "Email" n'est pas disponible et c'est forcément ou un SMS ou en faisant un don.