ProtonMail logo.svg
Agence web » Actualités du digital » ProtonMail : histoire, connexion et astuces

ProtonMail : histoire, connexion et astuces

Proton Mail est un service de messagerie électronique chiffré de bout en bout fondé en 2013 à Genève, en Suisse. Proton Mail utilise le chiffrement côté client pour protéger le contenu des courriels et les données des utilisateurs avant qu’ils ne soient envoyés aux serveurs de Proton Mail, contrairement à d’autres fournisseurs de messagerie courants tels que Gmail et Outlook.com. Le service est accessible via un client de messagerie web, le réseau Tor ou des applications iOS et Android dédiées.

Proton Mail est géré par Proton AG, qui est basé dans le canton de Genève. La société exploite également Proton VPN, Proton Drive et Proton Calendar. Proton Mail a reçu un financement initial par le biais d’une campagne de crowdfunding. Bien que la configuration du compte par défaut soit gratuite, le service est soutenu par des services optionnels payants. Initialement sur invitation seulement, Proton Mail s’est ouvert au public en mars 2016. En 2017, Proton Mail comptait plus de 2 millions d’utilisateurs, pour atteindre près de 70 millions d’ici 2022.

Histoire

Le 16 mai 2014, Proton Mail est entré en version bêta publique. Elle a suscité suffisamment de réactions pour qu’au bout de trois jours, ils aient dû suspendre temporairement les inscriptions à la bêta afin d’augmenter la capacité du serveur. Deux mois plus tard, Proton Mail a reçu 550 377 $ US auprès de 10 576 donateurs par le biais d’une campagne de crowdfunding sur Indiegogo, tout en visant à 100 000 DOLLARS US. Pendant la campagne, PayPal a gelé le compte PayPal de Proton Mail, empêchant ainsi le retrait de 251 721 $US de dons. PayPal a déclaré que le compte avait été gelé en raison de doutes sur la légalité du cryptage, des déclarations que les opposants ont qualifiées de non fondées. Les restrictions ont été levées le jour suivant.

Le 18 mars 2015, Proton Mail a reçu 2 millions de dollars US de la Fondation Genevoise pour l’Innovation Technologique (FONGIT) à but non lucratif et de Charles River Ventures, bien qu’en 2022, la société n’ait plus d’investisseurs en capital-risque. Le 14 août 2015, Proton Mail a publié la version majeure 2.0, qui comprenait une base de code réécrite pour son interface web. Le 17 mars 2016, Proton Mail a publié la version majeure 3.0, qui a vu le lancement officiel de Proton Mail hors de la version bêta. Avec une nouvelle interface pour le client web, la version 3.0 comprenait également le lancement public des applications bêta iOS et Android de Proton Mail.

Le 19 janvier 2017, Proton Mail a annoncé la création d’un site oignon Tor. Le 21 novembre 2017, Proton Mail a présenté Proton Mail Contacts, un gestionnaire de contacts à chiffrement à accès zéro. Proton Mail Contacts utilise également des signatures numériques pour vérifier l’intégrité des données des contacts. Le 6 décembre 2017, Proton Mail a lancé Proton Mail Bridge, une application qui fournit un chiffrement de bout en bout des e-mails à tout client de bureau prenant en charge IMAP et SMTP, comme Microsoft Outlook, Mozilla Thunderbird et Apple Mail, pour Windows et MacOS.

Le 25 juillet 2018, Proton Mail a introduit la vérification d’adresse et la prise en charge de Pretty Good Privacy (PGP), rendant Proton Mail interopérable avec d’autres clients PGP.

Le code source du back-end reste une source fermée. Cependant, Proton Mail a publié le code source de l’interface web sous une licence open source. Proton Mail a également mis en open source ses clients mobiles pour iOS et Android, ainsi que l’application Proton Mail Bridge. L’ensemble de son code source est disponible sur GitHub.

En septembre 2020, Proton Mail a participé à la fondation de la Coalition for App Fairness qui vise à obtenir de meilleures conditions pour l’inclusion de leurs applications dans les app stores. Proton a également fondé la Coalition for Competitive Digital Markets, qui rassemble plus de 50 entreprises technologiques européennes soutenant des marchés numériques ouverts, interopérables et compétitifs.

Cryptage

Proton Mail utilise une combinaison de cryptographie à clé publique et de protocoles de cryptage symétrique pour offrir un cryptage de bout en bout. Lorsqu’un utilisateur crée un compte Proton Mail, son navigateur génère une paire de clés RSA publique et privée :

  • La clé publique est utilisée pour chiffrer les courriels et autres données de l’utilisateur.
  • La clé privée capable de déchiffrer les données de l’utilisateur est chiffrée de manière symétrique avec le mot de passe de la boîte aux lettres de l’utilisateur.

Ce cryptage symétrique se fait dans le navigateur web de l’utilisateur en utilisant AES-256. Lors de l’enregistrement du compte, il est demandé à l’utilisateur de fournir un mot de passe de connexion pour son compte.

Proton Mail offre également aux utilisateurs la possibilité de se connecter avec un mode à deux mots de passe qui nécessite un mot de passe de connexion et un mot de passe de boîte aux lettres.

  • Le mot de passe de connexion est utilisé pour l’authentification.
  • Le mot de passe de la boîte aux lettres permet de chiffrer la boîte aux lettres de l’utilisateur qui contient les courriels reçus, les contacts et les informations de l’utilisateur ainsi qu’une clé de chiffrement privée.

En se connectant, l’utilisateur doit fournir les deux mots de passe. Cela permet d’accéder au compte et à la boîte aux lettres cryptée et à sa clé de cryptage privée. Le décryptage s’effectue côté client, soit dans un navigateur web, soit dans l’une des applications. La clé publique et la clé privée cryptée sont toutes deux stockées sur les serveurs de Proton Mail. Ainsi, Proton Mail stocke les clés de décryptage uniquement sous leur forme cryptée, de sorte que les développeurs de Proton Mail sont incapables de récupérer les courriels des utilisateurs ou de réinitialiser les mots de passe des boîtes aux lettres des utilisateurs. Ce système absout Proton Mail de :

  • Le stockage des données non cryptées ou du mot de passe de la boîte aux lettres.
  • Divulguer le contenu des emails passés mais pas des emails futurs.
  • Décrypter la boîte aux lettres si cela est demandé ou imposé par une décision de justice.

Proton Mail prend exclusivement en charge HTTPS et utilise TLS avec échange de clés éphémères pour chiffrer tout le trafic Internet entre les utilisateurs et les serveurs de Proton Mail. Protonmail.com a reçu la note « A+ » de Qualys SSL Labs.

En septembre 2015, Proton Mail a ajouté un support natif à son interface web et à son application mobile pour PGP. Cela permet à un utilisateur d’exporter sa clé publique codée PGP de Proton Mail à d’autres personnes extérieures à Proton Mail, leur permettant ainsi d’utiliser la clé pour le chiffrement des e-mails. Proton Mail prend également en charge le cryptage PGP de Proton Mail vers des utilisateurs extérieurs. Proton Mail prend également en charge la recherche dans le contenu des messages chiffrés.

Envoi d’e-mails

Un message électronique envoyé d’un compte Proton Mail à un autre est automatiquement crypté avec la clé publique du destinataire. Une fois crypté, seule la clé privée du destinataire peut décrypter le message. Lorsque le destinataire se connecte, le mot de passe de sa boîte aux lettres déchiffre sa clé privée et déverrouille sa boîte de réception.

Les messages électroniques envoyés par Proton Mail à des adresses électroniques non-Proton Mail peuvent être envoyés en texte brut ou avec un chiffrement de bout en bout. Avec le cryptage, le message est crypté avec AES sous un mot de passe fourni par l’utilisateur. Le destinataire reçoit un lien vers le site web de Proton Mail sur lequel il peut saisir le mot de passe et lire le message décrypté. Proton Mail suppose que l’expéditeur et le destinataire ont échangé ce mot de passe par le biais d’un backchannel. Ces messages électroniques peuvent être configurés pour s’autodétruire après un certain temps.

Localisation et sécurité

Proton Mail et Proton VPN sont tous deux situés en Suisse afin d’éviter toute surveillance ou demande d’information de la part de pays faisant partie des Quatorze Yeux, et/ou sous le coup de lois de surveillance gouvernementale comme le Patriot Act des États-Unis ou en dehors des limites de la loi.

La société affirme qu’elle est également située en Suisse en raison de ses lois strictes en matière de protection de la vie privée.

Proton Mail prend actuellement en charge l’authentification à deux facteurs avec des jetons TOTP pour son processus de connexion. En octobre 2019, selon le blog officiel de Proton Mail, la prise en charge U2F des clés de sécurité physique YubiKey et FIDO est en cours de développement et sera disponible peu après la sortie de la v4.0.

En 2021, la sécurité et l’architecture cryptographique de Proton Mail ont toutes deux été auditées de manière indépendante par Securitum, une société d’audit de sécurité européenne de premier plan, qui n’a découvert aucun problème majeur ni aucune vulnérabilité de sécurité, et les résultats de l’audit ont été publiés.

Portabilité des données

Proton Mail limite la portabilité des données en enfermant la prise en charge des logiciels clients de messagerie externes via les protocoles IMAP et POP3 derrière un mur payant. À partir de 2021, les utilisateurs ne pourront plus sauvegarder leur compte de messagerie localement sans payer.

Centres de données

Proton Mail entretient et possède son propre matériel de serveur et son propre réseau afin d’éviter de faire appel à un tiers. Elle dispose de deux centres de données, l’un à Lausanne et l’autre à Attinghausen (dans l’ancien bunker militaire K7, sous 1 000 mètres de granit) en guise de sauvegarde. Comme les serveurs sont situés en Suisse, ils échappent légalement à la juridiction de l’Union européenne, des États-Unis et d’autres pays. En vertu du droit suisse, toutes les demandes de surveillance émanant de pays étrangers doivent passer par un tribunal suisse et sont soumises aux traités internationaux. Les cibles potentielles de la surveillance sont rapidement informées et peuvent faire appel de la demande devant le tribunal.

Chaque centre de données utilise l’équilibrage de charge entre les serveurs web, mail et SQL, une alimentation électrique redondante, des disques durs avec un cryptage complet du disque, et l’utilisation exclusive de Linux et d’autres logiciels open-source. En décembre 2014, Proton Mail a rejoint le RIPE NCC dans le but d’avoir un contrôle plus direct sur l’infrastructure Internet environnante.

Attaques DDoS

Du 3 au 7 novembre 2015, Proton Mail a subi plusieurs attaques DDoS qui ont rendu le service largement indisponible pour les utilisateurs. Au cours de ces attaques, la société a déclaré sur Twitter qu’elle était à la recherche d’un nouveau centre de données en Suisse, affirmant que « beaucoup ont peur en raison de l’ampleur de l’attaque contre nous ».

En juillet 2018, Proton Mail a indiqué qu’elle subissait à nouveau des attaques DDoS. Le PDG Andy Yen a affirmé que les attaquants avaient été payés par une partie inconnue pour lancer les attaques. En septembre 2018, l’un des attaquants présumés de Proton Mail a été arrêté par les forces de l’ordre britanniques et inculpé en lien avec une série d’autres cyberattaques très médiatisées contre des écoles et des compagnies aériennes.

Bloque

Chine

Le 22 avril 2020, Proton Mail a confirmé sur son Twitter Proton VPN que Proton Mail et Proton VPN sont interdits en Chine car ils ne permettent pas au gouvernement d’espionner.

Biélorussie

Le 15 novembre 2019, Proton a confirmé que le gouvernement de la République du Belarus avait émis un blocage à travers le pays des adresses IP de Proton Mail et de Proton VPN. Le blocage n’était plus en place quatre jours plus tard. Aucune explication n’a été donnée à Proton Mail pour le blocage, ni pour la levée du blocage.

Russie

Le 29 janvier 2020, le Service fédéral russe de supervision des communications, des technologies de l’information et des médias a annoncé qu’il avait mis en place un blocage complet des services de Proton Mail au sein de la Fédération de Russie. Pour justifier ce blocage, il a invoqué le refus de Proton Mail de communiquer des informations relatives à des comptes qui auraient envoyé des spams contenant des menaces terroristes. Proton Mail a toutefois affirmé n’avoir reçu aucune demande des autorités russes concernant de tels comptes. En réponse au blocage, le compte Twitter de Proton Mail a recommandé aux utilisateurs légitimes de contourner le blocage via des VPN ou Tor.

En mars 2020, la société a annoncé que, même si l’interdiction en Russie n’a pas été particulièrement réussie et que le service reste largement disponible en Russie sans l’utilisation d’un VPN, Proton Mail va lancer de nouvelles fonctions anti-censure dans les applications de bureau et mobiles Proton Mail et Proton VPN, qui permettront de contourner automatiquement un plus grand nombre de tentatives de blocage.

Respect des ordonnances des tribunaux suisses

Selon le rapport de transparence de Proton Mail, elle est légalement obligée de suivre les ordonnances des tribunaux suisses si la loi suisse est enfreinte. En 2020, Proton Mail a reçu 3 572 ordonnances des autorités suisses et en a contesté 750. En raison du cryptage utilisé, Proton Mail ne peut en aucun cas remettre le contenu des e-mails cryptés, mais selon la politique de confidentialité de Proton, Proton Mail peut être légalement contraint de consigner les adresses IP dans le cadre d’une enquête criminelle suisse. Pour cette raison, la société suggère fortement aux utilisateurs qui ont besoin de cacher leur identité au gouvernement suisse d’utiliser le service caché/site d’oignon Tor. En mai 2022, Proton a mis à jour sa politique de confidentialité et a explicité une politique de confidentialité distincte pour son service Proton VPN, qui bénéficie d’un traitement différent en vertu de la loi suisse et a une politique stricte d’absence de logs, ce qui a également été confirmé par un audit externe.

Les affaires notables impliquant des ordonnances judiciaires suisses comprennent une affaire de menaces de mort proférées à l’encontre du célèbre immunologiste Anthony Fauci et une affaire contre des citoyens français accusés de vol et de destruction de biens. Après ces affaires, en octobre 2021, Proton Mail a remporté une importante victoire auprès d’un tribunal suisse qui a confirmé que les services de courrier électronique ne peuvent pas être considérés comme des fournisseurs de télécommunications et ne sont donc pas soumis aux exigences de conservation des données imposées aux fournisseurs de télécommunications.

Types de comptes

En date du 25 mai 2022, Proton Mail propose les plans suivants :

Plan Messages par jour Dossiers/Étiquettes Stockage Alias Domaines personnalisés Prix Support
Proton Free 150 3 1 GO 1 Adresse Gratuit Support limité
Mail Plus Illimité Illimité 15 GB 10 Adresses 1 5 € /mois ou 48 € /an Support prioritaire
Proton Unlimited Illimité Illimité 500 GO 15 Adresses 3 12 € /mois ou 120 € /an Support prioritaire

  1. ^ Les domaines personnalisés peuvent utiliser SPF, DKIM et DMARC
  2. ^ ProtonVPN inclus