Discussion :

[Stéphane le calme]

Toutes les applications ProtonVPN (Windows, macOS, Android et iOS) sont désormais totalement open source,
ce qui a permis la réalisation d'un audit indépendant de sécurité

Proton Technologies est une entreprise qui est spécialisée dans la sécurité. L'un de ses produits phares est ProtonVPN, qui est d'ailleurs le premier produit qu'il a proposé au public. Depuis, l'entreprise a proposé plusieurs produits et fonctionnalités. En janvier 2017 par exemple, ProtonMail a annoncé qu’il était désormais possible de se connecter à ProtonMail directement via le réseau Tor. Le fournisseur a expliqué que cette mesure vise à lutter contre la censure parrainée par l'État et a rappelé les récentes initiatives dans le monde pour bloquer les communications chiffrées et étendre la surveillance.

« Récemment, de plus en plus de pays ont commencé à prendre des mesures actives pour surveiller ou restreindre l'accès aux services de protection de la vie privée, coupant l'accès à ces outils essentiels. Nous nous rendons compte que la censure de ProtonMail dans certains pays n'est pas une question de “si”, mais une question de “quand ?”. C'est pourquoi nous avons créé un service caché Tor (ou un site en oignon) pour ProtonMail afin de fournir un accès alternatif à ProtonMail qui est plus sûr, privé et résistant à la censure », a déclaré l’équipe ProtonMail.

En juin de la même année, l'entreprise a lancé un nouveau service de VPN baptisé ProtonVPN afin de lutter contre les menaces de plus en plus grandissantes qui pèsent sur la liberté des internautes au sein de la toile. Proton Technologies a noté qu'au cours des six mois avant ce lancement, ces menaces ont occasionné l'abrogation des règles édictées sous l'ère de l'administration Obama et visant à protéger la vie privée des internautes lors de leur navigation sur Internet. « En se servant de ProtonVPN, les internautes seront désormais en mesure de surfer sur la toile en toute quiétude. En effet, les utilisateurs pourront naviguer sur la toile sans crainte d'être pistés, échappant ainsi à une pléthore de mesures prises par certains gouvernements ou autres pour censurer ou bloquer certains accès ». L'équipe a indiqué qu'elle travaille en étroite collaboration avec des experts qui sont sous la coupole de structures comme le CERN (Conseil Européen pour la Recherche Nucléaire) et le MIT (Massachusetts Institute of Technology).

« Durant l'année dernière, nous avons assisté à plusieurs campagnes visant à restreindre la liberté des utilisateurs sur Internet », a déclaré Andy Yen, cofondateur de Proton Technologies. Pour lui, il était donc plus que jamais nécessaire que les utilisateurs disposent d'outils assez robustes pour défendre la vie privée, la sécurité et la liberté en ligne. Poursuivant son argumentaire, Andy Yen a expliqué que la meilleure façon de s'assurer que le chiffrement et les droits de confidentialité ne sont pas entravés est de mettre à la disposition du public les outils adéquats tout en veillant à une large diffusion de ces derniers. « C'est donc pour cette raison que nous nous sommes engagés à créer une version gratuite de ProtonVPN qui sera à la disposition des utilisateurs », a assuré Yen.

Il faut noter que l'année dernière l'entreprise a reçu de l'UE deux millions d'euros pour le développement d'une suite de services chiffrés :

« Notre entreprise a toujours été engagée dans la recherche comme héritage de notre passé scientifique. Qu'il s'agisse de concevoir des bibliothèques cryptographiques open source, de moderniser des normes existantes ou d'en développer de nouvelles, la recherche et le développement ont toujours représenté une grande partie de nos dépenses. Nous sommes heureux d'annoncer que le programme Horizon 2020 de la Commission européenne, qui a distribué près de 80 milliards d'euros dans toute l'Europe pour encourager la recherche scientifique et l'innovation technologique, a reconnu notre contribution à l'économie européenne et nous accordera 2 millions d'euros pour poursuivre notre mission.

« La Commission européenne a des exigences spécifiques concernant l'utilisation des fonds et ce financement est principalement destiné à la construction de technologies pour ProtonDrive car l'Union européenne souhaiterait voir une expansion de l'offre de produits Proton pour améliorer notre compétitivité mondiale. Alors que 2 millions d'euros ne semblent peut-être pas beaucoup dans le grand schéma de ce que nous essayons d'accomplir, ils nous seront très utiles. Ce financement accélérera sans aucun doute nos efforts de développement de ProtonDrive et nous aidera à booster la valeur de la communauté existante ».

Toutes les applications ProtonVPN sont désormais open source et auditées

Cette fois-ci, l'éditeur veut aller un peu plus loin. Dans un souci de transparence, il a publié en open source le code ses applications ProtonVPN sur Windows, macOS, Android et iOS mais a également fourni les rapports d'audit :

« Nous sommes heureux d'être le premier fournisseur VPN à ouvrir des applications open source sur toutes les plateformes (Windows, macOS, Android et iOS) et à subir un audit de sécurité indépendant. La transparence, l'éthique et la sécurité sont au cœur de l'Internet que nous voulons construire et la raison pour laquelle nous avons construit ProtonVPN en premier lieu.

« Nous avons lancé ProtonVPN en 2017 pour fournir aux utilisateurs de ProtonMail un service VPN fiable, qui était de plus en plus nécessaire compte tenu de la montée de la censure sur Internet. Le VPN en particulier était un domaine qui avait grandement besoin d'être amélioré. Des études ont révélé que plus d'un tiers des VPN Android contiennent en fait des logiciels malveillants, de nombreux VPN souffrent de failles de sécurité importantes et de nombreux services VPN gratuits qui prétendent protéger la confidentialité vendent secrètement des données utilisateur à des tiers. En général, il y a également un manque de transparence et de responsabilité concernant les opérateurs de services VPN, leurs qualifications en matière de sécurité et leur conformité totale aux lois sur la confidentialité comme le RGPD.

« ProtonVPN a changé cela en offrant un niveau inégalé de transparence et de responsabilité. Nous avons fait les choses différemment depuis le début: nous avons une politique stricte de non-journalisation, nous sommes basés en Suisse, réglementés par certaines des lois de confidentialité les plus strictes au monde, nous avons une solide expérience en matière de sécurité et nous avons même ouvert notre technologie pour inspection par Mozilla.

« Rendre toutes nos applications open source est donc une prochaine étape naturelle. En tant qu'anciens scientifiques du CERN, la publication et l'examen par les pairs font partie intégrante de notre philosophie. Nous publions également les résultats d'audits de sécurité indépendants couvrant l'ensemble de nos logiciels ».

Pourquoi est-il important d'utiliser un VPN open source ?

Andy Yen explique que :

« Lorsque vous choisissez d'utiliser un réseau privé virtuel, vous placez une confiance extraordinaire en ce fournisseur de services. Voici pourquoi:

« Lorsque vous n'êtes pas connecté à un VPN, votre trafic Internet non chiffré (c'est-à-dire celui qui n'est pas protégé par TLS) peut être intercepté par votre fournisseur WiFi, par votre fournisseur de services Internet (ISP), par des hackers surveillant le réseau local, ou par les autorités gouvernementales de votre juridiction. Votre adresse IP (c'est-à-dire l'identité de votre appareil et votre situation géographique) est également exposée, y compris aux sites Web que vous visitez, qui peuvent utiliser ces informations pour vous suivre sur Internet. Même le trafic chiffré peut être surveillé pour observer les sites Web que vous visitez, et votre adresse IP restera exposée.

« Lorsque vous vous connectez à un VPN, votre trafic Internet est chiffré entre votre appareil et le serveur VPN, le protégeant ainsi de la surveillance du réseau local. Même vos recherches DNS (les noms des domaines Web que vous visitez) sont protégées. Et votre adresse IP est masquée pour aider à protéger votre identité et votre emplacement. Cependant, le fournisseur VPN devient effectivement votre FAI en ce sens qu'il peut voir votre activité de navigation, votre adresse IP et votre emplacement. C'est pourquoi le choix d'un service VPN fiable est si important.

« Une application VPN a donc beaucoup d'accès privilégiés à votre appareil et à votre activité en ligne. Le code open source permet aux chercheurs en sécurité et à la communauté mondiale de la sécurité d'inspecter la façon dont nous implémentons le chiffrement et la façon dont nous traitons vos données, ce qui vous donne plus de certitude que nous adhérons à notre politique de confidentialité stricte. Le code open source assure la sécurité grâce à la transparence, ce qui signifie que, comme le code est soumis à un examen minutieux, les vulnérabilités potentielles sont rapidement repérées et corrigées. Cela réduit le risque d'une vulnérabilité de sécurité dans une application VPN vous mettant en danger.

« En revanche, le code propriétaire repose sur la "sécurité par l'obscurité", ce qui signifie que les vulnérabilités sont moins susceptibles d'être découvertes. Ou pire, ces vulnérabilités ne peuvent être connues que d'acteurs malveillants qui les exploitent secrètement sans que les utilisateurs n'en soient conscients.

« En ce qui concerne les logiciels de confidentialité et de sécurité en ligne, nous pensons que les logiciels libres et open source sont meilleurs pour la sécurité et offrent une meilleure responsabilité à notre communauté d'utilisateurs. L'open source est depuis longtemps au cœur de Proton, et nos logiciels open source vont des clients ProtonMail aux bibliothèques de chiffrement fondamentales, telles que OpenPGPjs, qui alimentent aujourd'hui une fraction importante des applications chiffrées sur le Web, au service de dizaines de millions d'utilisateurs. Nous nous engageons à ouvrir tous nos logiciels destinés aux clients ».

Et d'assurer :

« Une autre qualité unique de ProtonVPN est notre engagement à faire inspecter nos logiciels par des chercheurs indépendants en sécurité avant de les publier. Auparavant, Mozilla a examiné nos implémentations, notre structure organisationnelle et notre technologie dans le cadre de leur diligence raisonnable pour un partenariat avec nous.

« Depuis lors, nous avons lancé des audits plus approfondis axés sur la sécurité pour tous nos clients. Nous avons retenu les services de SEC Consult, une firme de sécurité de premier plan, pour effectuer les audits. Bien que de tels audits soient coûteux et prennent du temps, nous pensons qu'il s'agit d'une étape critique qui doit aller de pair avec l'open sourcing de notre code. À l'avenir, nous continuerons à effectuer des audits sur une base continue pour avoir des contrôles indépendants continus sur la sécurité de nos applications ».

Source : billet ProtonVPN

Et vous ?

Que pensez-vous de cette décision ?

[MarieKisSlaJoue]

C'est une très bonne chose et je pense personnellement passer chez ProtonVPN prochainement. J'etais chez NordVPN et je trouve ça regrettable qu'en plus de payer le VPN ils se permettre de revendre les adresses email de leur client. Comment être sûr qu'il ne font pas plus avec nos données ?

[abriotde]

Personnellement, je pense que la meilleur option pour les mail est ProtonMail. C'est ce que j'utilise car il est open-source et chiffré de bout en bout (contrairement a GMail).
En plus c'est gratuit pour une petite utilisation. Les prix semblent raisonnable, et les garanties sont de qualité. Ce n'est pas hébergé en France ou aux USA ou il y a des obligations de backdoor pour l'Etat...

Après pour une utilisation pratique, GMail est le meilleur (recherches, fonctionnalitées avancées, fluidité, disponibilité, filtres de SPAM, backup... ), mais vous partagez tout avec l'état américain, français et les entreprises de PUB.

[Invité]

Je suis client de ProtonMail depuis quelques années maintenant, j'ai souscris a l'option payante à 4€ par mois et j'en suis pleinement satisfait. Très heureux que ce soit finalement passé open source.

[Steinvikel]

Nous sommes heureux d'être le premier fournisseur VPN à ouvrir des applications open source sur toutes les plateformes (Windows, macOS, Android et iOS) et à subir un audit de sécurité indépendant.

Peut-être le premier open-source à être présent sur l'ensemble de ces plateformes, mais certainement pas le 1er à être open-source. Je peux déja citer :
- Outline VPN, de Jigsaw (entreprise spécialisée dans la lutte contre l’extrémisme, la censure en ligne, les cyberattaques et tout ce qui réduit vos capacités d’accès à l’information), un incubateur d’Alphabet (la maison mère de Google). Un comble donc, puisqu’il provient de l’entreprise qui fait le plus fortune avec vos données personnelles.
C’est un projet open-source (Apache License 2.0), il s’appuie sur un autre projet VPN en open-source dénommé ShadowSocks mais bien plus complexe à mettre en œuvre.

- SoftEther VPN, de l’université de Tsukuba au japon, conçu à des fins académiques et par des chercheurs en sécurité de l’université.
C'est un projet open-source (Apache License 2.0). Sur le papier, SoftEther VPN est avant tout un protocole et peut être perçu comme un concurrent direct d’OpenVPN, le protocole utilisé par quasiment tous les fournisseurs VPN du marché.
Le logiciel se compose en réalité de deux parties : un client manager (à placer sur le PC utilisé pour naviguer) et un serveur manager (à placer sur la machine qui fera office de serveur VPN).
Vous pouvez monter votre propre infrastructure contrôlée de A à Z par vos soins. Avec les mêmes restrictions et limites que pour Outline.
Et avec une différence : SoftEther VPN permet de rendre son serveur VPN « public » de sorte que d’autres peuvent l’utiliser. Lorsqu’on lance le client, une liste de ces serveurs VPN s’affiche et il n’y a plus qu’à choisir. Mais les débits sont souvent lamentables, matériel de particulier oblige…

Que pensez-vous de cette décision ?
Un projet open-source (mieux : libre) est une bonne garantie (coté client) de l’absence de logs et de tracking, encore faut-il que le produit soit démocratisé ou bien porteur d'un grand intérêt.

Une bonne nouvelle pour un produit qui semble bien plus pertinent/mature, pour un usage classique, que les 2-3 évoqués précédemment.

NB : ProtonVPN est publié sous licence libre GNU GPLv3 (v3+ ?). =)
...la licence à plus fort copyleft que je connaisse.

[Uther]

NB : ProtonVPN est publié sous licence libre GNU GPLv3 (v3+ ?). =)
...la licence à plus fort copyleft que je connaisse.

Pour info il y a la AGPL qui est généralement considérée avoir un copyleft encore plus fort puisse qu'elle vaut également pour l'utilisation au travers d'un réseau, ce qui la rend particulièrement utile pour une appli web.

[Steinvikel]

Je l'avais plus en tête celle-là !

[MXYZFTU]

Il y a un truc qui m'échappe comment peut on exposer au monde entier la manière dont vous cryptez vos échanges.
Est ce pas la meilleur manière de permettre aux Hackers de tous poils, de détourner, cet éthique.
Pour ma part je pense que si on montre comment les choses sont faites, d'autres personnes pourront à leur tour les contrer surtout en informatique.
Mais j'ai peut être rien compris https://www.developpez.net/forums/im...s/icon_eek.gif

[MarieKisSlaJoue]

Il y a un truc qui m'échappe comment peut on exposer au monde entier la manière dont vous cryptez vos échanges.
Est ce pas la meilleur manière de permettre aux Hackers de tous poils, de détourner, cet éthique.
Pour ma part je pense que si on montre comment les choses sont faites, d'autres personnes pourront à leur tour les contrer surtout en informatique.
Mais j'ai peut être rien compris https://www.developpez.net/forums/im...s/icon_eek.gif

Alors oui des hacker peuvent detecter dans un code open source une faille de securite et l'exploite avant que d'autre ne la decouvre. Cependant il a aussi plus de chance que quelqqu'un d'autre avec de meilleurs intention le decouvre aussi et propose une solution.

Or dans le code proprietaire, personne d'autre que l'entreprise ne va pouvoir intervenir sur le code. cependant avec des outils de decompilation ou autre un hacker peut toujours tenter de trouver une faille.

En conclusion, ne pas plublier le code n'empeche pas les hackers de trouver des failles, par contre le publier permet a tous le monde (qui a les competences bien sur) de verifier qu'aucune erreur, probleme de conception n'est pressent