Options Mon compte Next INpact
Affichage
Modifications sauvegardées
  • Smileys
  • Images
  • Commentaires par actu
  • Commentaires sous les news
  • Désactiver la version mobile
  • Taille de police
Close

Vous consultez la version mobile de ce contenu.

Cliquez ici pour être redirigé vers la version complète, ou attendez 5 secondes. Fermez ce pop-up pour continuer sur la version mobile.

5
secondes
Emails chiffrés : ProtonMail défend son modèle face à une analyse de sa sécurité
Securité Crédits : Gajus/iStock/ThinkStock

Emails chiffrés : ProtonMail défend son modèle face à une analyse de sa sécurité

Le monde de la crypto, S25E18
9 min

Dans un article, le chercheur Nadim Kobeissi pointe des faiblesses du modèle de sécurité de ProtonMail, qui propose du chiffrement de bout en bout d'emails. Contactée, la société balaie la critique, revendique des choix de conception communs avec d'autres services sécurisés et interroge les intentions derrière cette étude.

Hier, Nadim Kobeissi a publié une analyse formelle de l'architecture de sécurité de ProtonMail (PDF). Professeur à la branche parisienne de la New York University, il est connu pour plusieurs projets, dont Cryptocat et Peerio et pionnier de la cryptographie web (voir notre portrait début 2015). Dans son document, écrit « en quelques jours », il attaque frontalement le service, estimant que son webmail ne fournit pas réellement de chiffrement de bout en bout, pour plusieurs raisons.

« ProtonMail n'a, depuis sa genèse, jamais fourni de garantie de sécurité pour le chiffrement de bout en bout à la majorité de ses utilisateurs », écrit Kobeissi, pensant que la plupart des membres passent par cette version web.

La promesse du chiffrement de bout en bout

L'intérêt de ProtonMail, par rapport aux applications PGP classiques, est que le service gère lui-même le chiffrement et les clés (privée et publique) qui le permettent. ProtonMail conserve la clé privée de l'utilisateur sur ses serveurs, pour la lui fournir sur n'importe quel appareil. Cette clé est chiffrée avec un dérivé du mot de passe de l'utilisateur, inconnu de ProtonMail.

En principe, la clé privée est déchiffrée localement (par exemple dans le navigateur), le serveur n'en ayant que sa copie chiffrée. Toutes les opérations de chiffrement sont effectuées localement, ProtonMail ne voyant que le contenu chiffré des messages ; les métadonnées, dont l'objet, sont tout de même hébergées en clair.

La société a construit une solide réputation sur ce modèle, en devenant par ailleurs la principale responsable d'OpenPGPjs, la bibliothèque qui gère le (dé)chiffrement des données dans le navigateur web. Elle a depuis lancé son propre réseau privé virtuel (VPN), ProtonVPN, promu par Mozilla.

Passons en revue les critiques de Kobeissi, avec les réponses de l'entreprise.

Un outil de chiffrement fourni par le webmail

Cet article est réservé à nos membres abonnés.

Publiée le 21 novembre 2018 à 14:51


Chargement des commentaires