Messagerie sécurisée : ProtonMail n’a rien à cacher
Les services de messagerie électronique grand public sont souvent critiqués pour leur manque de sécurité, quand ils ne sont pas carrément accusés d’espionnage. Le militant et la militante avertis leur préfèreront des alternatives comme ProtonMail.
ProtonMail est une messagerie web chiffrée créée en 2013 par des membres du CERN, suite à la découverte de la surveillance globale et des interceptions des courriels par la NSA états-unienne. L’équipe fondatrice était animée par une vision partagée d’un Internet plus sécurisé et plus respectueux de la vie privée. ProtonMail est géré par Proton Technologies AG, société domiciliée dans le canton de Genève en Suisse.
Ses serveurs sont situés en Suisse, hors des juridictions des États-Unis et de l’Union Européenne, ce qui en fait un choix intéressant. Le service est ouvert à toutes et tous depuis mars 2016. En janvier 2017, il comptait plus de deux millions d’inscrites, un chiffré passé à dix millions en décembre 2018. Il doit cette croissance rapide a une solide réputation d’inviolabilité.
En effet, ProtonMail garantit la confidentialité des échanges entre ses membres par un chiffrement de bout en bout automatique, sans qu’aucune connaissance en cryptographie ne soit requise. Le service s’utilise aussi simplement qu’un autre tout en garantissant donc un très haut niveau de confidentialité.
Publication intégrale du code source
Le 23 avril dernier, le code source de l’intégralité des applications (notamment son bridge et son application Androïd) développées par ProtonMail est devenu public (open source). Chaque application a également fait l’objet d’un audit de sécurité. Publier un code en open source augmente la sécurité d’une application car cela permet de tirer parti de l’ensemble de la communauté de la sécurité informatique pour rechercher des vulnérabilités. C’est aussi un important gage de transparence, de fiabilité et d’engagement. Avec ce changement, ProtonMail répond au principal reproche qui lui était fait et devient une des solutions les plus fiables : chiffrement de bout en bout, effacement des adresses IP des courriels, open source, applications mobiles sécurisées, bridge pour tous les clients de messagerie (Outlook, Thunderbird, etc.).
Un service encore perfectible et qui attire l’attention
On peut cependant identifier encore deux points faibles.
Le premier concerne la vérification par téléphone pour ouvrir un compte, qui va donc lier un numéro à votre compte. Facilement contournable (carte SIM prépayée), cela reste un inconvénient face au principal concurrent de ProtonMail, Tutanota.
Le second concerne le financement de la société Proton Technologies AG, notamment la présence régulièrement dénoncée d’un institut de recherche américain parmi ses principaux partenaires. Jusqu’à présent la société s’est toujours voulue rassurante, publiant régulièrement un rapport de transparence et détaillant sa politique de réponse aux requêtes gouvernementales et ses sources de financement.
Pour conclure, rappelons qu’utiliser ce type de service, c’est comme dissimuler son visage en public : cela augmente la confidentialité mais en même temps l’État policier trouve cela suspect. À plusieurs reprises en 2015 et 2016, ProtonMail a été retiré temporairement des résultats de recherche de Google, qui n’a jamais jugé bon de se justifier. En 2018, le service a été bloqué en Turquie – les rebelles kurdes utilisent ProtonMail. L’année suivante c’est la Russie qui a censuré la messagerie, l’accusant de faciliter la diffusion d’appels à la bombe.
Ed. (UCL Alpes-Provence)
