Discussion :

[Stéphane le calme]

ProtonMail déploie ses services sur Tor pour anticiper d'éventuelles censures d'État,
une première étape naturelle selon son cofondateur

ProtonMail a annoncé qu’il est désormais possible de se connecter à ProtonMail directement via le réseau Tor. Le fournisseur suisse de compte de messagerie, qui revendique plus de 2 millions d'utilisateurs, a expliqué que cette mesure vise à lutter contre la censure parrainée par l'État et a rappelé les récentes initiatives dans le monde pour bloquer les communications chiffrées et étendre la surveillance.

« Récemment, de plus en plus de pays ont commencé à prendre des mesures actives pour surveiller ou restreindre l'accès aux services de protection de la vie privée, coupant l'accès à ces outils essentiels. Nous nous rendons compte que la censure de ProtonMail dans certains pays n'est pas une question de “si”, mais une question de “quand ?”. C'est pourquoi nous avons créé un service caché Tor (ou un site en oignon) pour ProtonMail afin de fournir un accès alternatif à ProtonMail qui est plus sûr, privé et résistant à la censure.», a déclaré l’équipe ProtonMail.

Il assure qu’il y a plusieurs raisons pour lesquelles vous pouvez utiliser ProtonMail sur Tor. Tout d'abord, acheminer votre trafic vers ProtonMail via le réseau Tor, complique la tâche à une entité qui tente de vous espionner.

Tor applique des couches de chiffrement supplémentaires sur votre connexion, ce qui rend plus difficile la réalisation d’une attaque de type man-in-the-middle lorsque vous vous connectez à ProtonMail. Il rappelle également que Tor rend vos connexions ProtonMail anonymes étant donné que « nous ne serons pas en mesure de voir la véritable adresse IP de votre connexion à ProtonMail ».

Tor peut également être un rempart dans l'accessibilité de ProtonMail. « Si ProtonMail est bloqué dans votre pays, il est tout de même possible de vous y connecter en allant sur notre site oignon ».

« En outre, les sites en oignon sont des services “cachés” dans le sens où une entité ne peut pas facilement déterminer leur emplacement physique. Ainsi, alors que protonmail.com pourrait être attaqué par des attaques DDoS, protonirockerxow.onion ne peut pas être attaqué de la même façon parce qu'un attaquant ne pourra pas trouver une adresse IP publique », a-t-il fait valoir.

Il a prévenu qu’utiliser ProtonMail via Tor a quand même quelques inconvénients :

• étant donné que les connexions Tor sont plus lentes que les connexions standards, les performances pourraient en pâtir ;
• le signe en oignon ProtonMail étant encore au stade expérimental, la fiabilité pourrait ne pas être aussi forte que sur le site principal.

En développant ce site sur Tor, ProtonMail a ajouté des précautions supplémentaires comme l’ajout du protocole HTTPS (qui a été fait suite à un partenariat avec l’autorité de certification Digicert pour la fournir de certificats SSL valides).

Commentant le déploiement du service sur Tor, Andy Yen, le cofondateur de ProtonMail, a déclaré que « compte tenu de la croissance récente de ProtonMail, nous nous rendons compte que la censure de ProtonMail dans certains pays est inévitable et nous travaillons de manière proactive pour l’empêcher. Tor fournit un moyen de contourner certains blocages d'Internet, alors améliorer notre compatibilité avec Tor est une première étape naturelle ».

adresse ProtonMail sur Tor

Source : blog ProtonMail

Voir aussi :

ProtonMail : explosion du nombre d'inscriptions après l'annonce du piratage de Yahoo, une performance que le service dédie à ses mesures de sécurité

[Songbird]

Je ne connaissais absolument pas ce service de messagerie, mais ce genre d'initiatives me donne bien envie d'y emménager !

[NSKis]

Je ne connaissais absolument pas ce service de messagerie, mais ce genre d'initiatives me donne bien envie d'y emménager !

Cela ne change rien au problème: Que tu fasses confiance ou non à la société ProtonMail ou autre, tes données restent stockées chez un prestataire externe dont tu ne connais rien, si ce n'est ce qu'il veut bien dire de lui!!!


Et fais-toi pas d'illusion, ce n'est pas parce que la société est suisse que tes données sont à l'abri!!!

Les connaisseurs du cryptage se rappèleront de la société suisse Crypto AG (fondée en 1952 par le Suédois Boris Hagelin) qui a fourni des systèmes de cryptage à toutes les armées du monde (on peut leur faire confiance, une société suisse, la Suisse est un pays neutre).

Il s'est avéré que dès sa fondation, il y avait beaucoup de visites dans les locaux de la société en provenance de certaines officines américaines; les méchantes langues ont parlé de "back door" à disposition des USA... Quand l'Iran a découvert que son armée utilisant les systèmes de Crypto AG était sous écoute de la NSA, ils ont arrêté le directeur commercial de Crypto AG Hans Bühler qui était de visite à Téhéran. La malheureux a eu tout le soutien de son entreprise... Puisque Crypto AG l'a licencié et l'a laissé se démerder avec les Iraniens!!!

[gangsoleil]

Je ne connaissais absolument pas ce service de messagerie, mais ce genre d'initiatives me donne bien envie d'y emménager !

L'autre soucis, c'est que c'est bien d'avoir une messagerie cryptée, mais s'il est vrai que tu peux envoyer des mails cryptés à tes interlocuteurs, il ne leur est pas possible d'en faire autant sans avoir de compte sur protonmail -- par exemple il n'y a pas de support de PGP.

[Namica]

L'autre soucis, c'est que c'est bien d'avoir une messagerie cryptée, mais s'il est vrai que tu peux envoyer des mails cryptés à tes interlocuteurs, il ne leur est pas possible d'en faire autant sans avoir de compte sur protonmail -- par exemple il n'y a pas de support de PGP.

Si, c'est tout à fait possible et même de mettre un délai après lequel le message sera effacé.

La seule contrainte si le destinataire n'a pas de compte protonmail, c'est de lui transmettre, par un autre canal, un mot de passe de déchiffrement.
Le destinataire recevra un lien à partir duquel le message pourra être lu en clair à l'aide de cette clé.

Ah oui, et Protonmail est opensource : https://github.com/ProtonMail/WebClient

[Songbird]

Cela ne change rien au problème: Que tu fasses confiance ou non à la société ProtonMail ou autre, tes données restent stockées chez un prestataire externe dont tu ne connais rien, si ce n'est ce qu'il veut bien dire de lui!!!

Oui je suis d'accord, j'ai dit "ça me fait envie", pas que j'allais le faire du jour au lendemain.

Personnellement, je me vois mal administrer mon propre service de messagerie(autre chose à faire, entre autre), juste pour être sûr qu'on ne me piste pas. Bien entendu que c'est important de ne pas totalement se reposer sur ce qu'on nous propose, mais si on part dans cette logique: je ne connais rien de tous les services que j'utilise, donc je ne fais rien. A ce moment-là, autant jeter son pc par la fenêtre, ça ira plus vite.

[gangsoleil]

Si, c'est tout à fait possible et même de mettre un délai après lequel le message sera effacé.

La seule contrainte si le destinataire n'a pas de compte protonmail, c'est de lui transmettre, par un autre canal, un mot de passe de déchiffrement.
Le destinataire recevra un lien à partir duquel le message pourra être lu en clair à l'aide de cette clé.

C'est bien ce que je dis : il est possible d'envoyer des mails chiffrés à tous, mais il n'est pas possible pour une personne n'ayant pas de compte protonmail de t'envoyer un mail crypté (sauf en réponse à un de tes mails). C'est pour ça que je trouve protonmail limité.