» Solutions » Communication Chiffrée » Notre avis sur ProtonMail

Notre avis sur ProtonMail

  • Pypo 

Si vous êtes à la recherche d’une solution sécurisée pour vos courriels, mais que votre modèle de menace n’est ni celui d’un lanceur d’alertes, d’un journaliste d’investigation ou d’un opposant politique, alors ProtonMail pourrait être le service de messagerie sécurisée adapté à vos besoins. Il utilise les normes de cryptage PGP, est basé en Suisse et jouit d’une solide réputation parmi les défenseurs de la vie privée.

ProtonMail positionne son service comme l’une des options de courrier électronique les plus sécurisées qui soient parmi les offres de messagerie alternative sécurisée. Et, bien qu’il demeure un chef de file dans son domaine, il a également suscité une controverse ces derniers temps, que nous examinerons plus loin.

Dans cet examen complet de ProtonMail, nous vous délivrons nos impressions et les résultats de nos tests pratiques de l’utilisation de ce fournisseur de messagerie électronique.

NomProtonMail
Pays Suisse
Stockage500 Mo
CryptageOui
@perso.comOui
Prix Gratuit
Offre GratuitOui
Site WebProtonmail.com

les plus / les moins

Selon le niveau de confidentialité que vos recherchez et vos besoins spécifiques, ProtonMail pourrait bien être votre prochain webmail. Voyons cela plus en détails.

Vue d’ensemble

ProtonMail utilise des normes strictes de chiffrement de bout en bout pour le courrier électronique et stocke tous les messages et pièces jointes chiffrés au repos (mais pas les lignes d’objet des messages). En plus du chiffrement de bout en bout, ProtonMail possède plusieurs caractéristiques intéressantes, notamment :

  • La possibilité d’envoyer des messages “éphémères”, à délai d’expiration qui sont automatiquement supprimés à l’expiration du délai spécifié par l’expéditeur au moment de sa composition.
  • Vérification d’adresse, un moyen de s’assurer qu’une clé publique reçue d’un autre utilisateur n’a pas été altérée depuis que vous l’avez vérifiée pour la première fois.
  • Prise en charge complète de PGP.
  • Des comptes Premium avec une gamme d’avantages supplémentaires, y compris un compte professionnel personnalisable.
  • La possibilité d’envoyer des emails chiffrés à des utilisateurs en dehors de ProtonMail.
  • Applications mobiles Android et iOS.
  • ProtonMail Bridge, qui permet l’intégration de ProtonMail avec des logiciels de messagerie (Outlook, Apple Mail etc.) qui supportent les protocoles IMAP et SMTP. Il permet également d’importer des e-mails dans votre compte ProtonMail à partir d’autres services de messagerie.

Dans l’ensemble, il s’agit d’une gamme de fonctionnalités relativement complète pour un webmail.

Note : Au moment de cette revue, la version bêta de ProtonMail 4.0 devait être mise en ligne “bientôt”. Bien qu’il ne semble pas y avoir de liste officielle des fonctionnalités 4.0, la feuille de route de ProtonMail 2019 indique que leurs objectifs incluent :

  1. Recherche chiffrée
  2. Vue Conversation
  3. Support multi-utilisateurs sur les appareils mobiles
  4. Calendrier chiffré
Présentation de ProtonCalendar (courant 2020)

La société ProtonMail

ProtonMail et d’autres services associés sont gérés par Proton Technologies AG, une société basée à Genève, en Suisse. Les fondateurs se sont rencontrés alors qu’ils étaient scientifiques au CERN et ont eu l’idée de ProtonMail à la cafétéria du CERN, pour la petite histoire.

L’entreprise a été financée à l’origine par une campagne de crowdfunding Indiegogo qui a rapporté près d’un demi-million d’euros à ce jour, dépassant largement leurs objectifs. Comme ils l’ont expliqué pendant la campagne,

Nous croyons fermement que ProtonMail ne peut réussir dans sa mission que si elle reste indépendante. En recueillant des fonds auprès du public, nous pouvons nous assurer que notre première et unique priorité est de protéger la vie privée de nos utilisateurs.

Paradoxalement, en 2015, ProtonMail a accepté un “investissement” de 2 millions de dollars d’une société américaine appelée Charles River Ventures (CRV). Aujourd’hui, l’entreprise est financée par des sociétés de capital-risque, des organismes gouvernementaux, divers investisseurs et des utilisateurs qui passent du plan de services gratuits à l’un des trois forfaits payants.

Un autre investissement intéressant est venu de l’Union européenne. En mars 2019, ProtonMail a accepté 2 millions d’euros de l’Union Européenne pour “développer une suite de services chiffrés“.

En 2016, en réponse à des accusations liées à leur implication avec Radware, ProtonMail a expliqué que l’entreprise recevait également un soutien financier du gouvernement suisse :

ProtonMail bénéficie d'un soutien financier de la part de la Confédération suisse, et nous adhérons également à une politique de stricte neutralité.

ProtonMail ne chiffre pas les lignes d’objet des e-mails

Une de nos préoccupations est que ProtonMail ne crypte pas les lignes d’objet des messages :

Toutes les données de ProtonMail au repos et en transmission sont cryptées. Toutefois, les lignes d'objet de ProtonMail ne sont pas cryptées de bout en bout, ce qui signifie que si une ordonnance judiciaire suisse valide nous est signifiée, nous avons la possibilité de transmettre les sujets de vos messages. Le contenu de votre message et les pièces jointes sont cryptés de bout en bout.

Les métadonnées relatives à l’adressage doivent rester non chiffrées pour permettre à un message d’atteindre sa destination. L’approche ProtonMail les rend conformes à la spécification PGP, mais laisse ces données privées importantes exposées à des tiers.

Nous reviendrons plus loin sur cet important sujet.

Serveurs ProtonMail et sécurité des données

Tous les serveurs ProtonMail sont physiquement situés en Suisse dans des locaux sécurisés. Cela signifie que les données des utilisateurs sont protégées par la loi suisse, qui prévoit généralement une meilleure protection de la vie privée que la loi américaine ou européenne.

Cependant, ProtonMail indique clairement qu’il transmettra aux autorités suisses toutes les informations qu’il détient sur vous si ProtonMail pense que vous violez les lois suisses. C’est là que l’absence de cryptage pour la ligne Objet des messages peut devenir un problème.

Bien que le corps des messages et toutes les pièces jointes soient chiffrés en toute sécurité, les informations d’adressage et les lignes d’objet des messages sont stockées en clair et seront transmises aux autorités. Cette information est suffisante pour donner à toute personne qui la possède une bonne idée des sujets qu’elle peut écrire en clair et avec quelle personne…

Certains se demandent également dans quelle mesure les États-Unis et l’Union Européenne n’ont pas d’influence sur Proton Technologies. Ils disposent de deux centres de soutien internationaux, l’un à San Francisco, Californie (USA), et l’autre à Skopje, Macédoine (la Macédoine est candidate à l’adhésion à l’UE).

Cela dit, le document du modèle de menace de ProtonMail indique clairement :

"Nous ne pouvons garantir votre sécurité contre un adversaire puissant."

Comprenez la NSA, par exemple. Les agences de renseignement au service des États-Unis et de l’Union Européenne se qualifient définitivement d’adversaires puissants. Donc, si vous décidez de vous attaquer à l’un des Five Eyes, de violer les lois suisses, ou quelque chose dans ce genre là, l’utilisation de ProtonMail ne vous mettra probablement pas à l’abri.

Spécifications techniques

ProtonMail utilise une variété d’algorithmes de cryptage pour protéger vos messages. Tous les messages sont cryptés de bout en bout et restent cryptés dans votre boîte aux lettres jusqu’à leur lecture active. Les algorithmes qu’ils utilisent sont des versions open source d’AES et RSA ainsi que des algorithmes OpenPGPjs :

  • AES-128
  • TLS 1.0
  • DHE RSA
  • SHA 3

QuoVadis Trustlink Schweiz AG signe des certificats SSL pour ProtonMail.

Les caractéristiques de sécurité des certificats comprennent :

Tests pratiques

Si vous utilisez un service de messagerie comme Microsoft Outlook ou Gmail, alors vous trouverez ProtonMail aussi facile à utiliser. Pour cette revue, nous ferons nos tests exclusivement via le webmail : le client gratuit, basé sur un navigateur, qui est la version que vous êtes aussi le plus susceptible d’utiliser.

S’inscrire

Comme beaucoup de services en ligne, créer un compte ProtonMail va totalement de soi. Vous pouvez obtenir un compte gratuit en quelques minutes en créant un nom d’utilisateur et un mot de passe, puis en passant par les étapes de vérification.

Sélection de la formule gratuite ProtonMail
Création de l’adresse email ProtonMail

Ensuite, vous devrez passer par un processus de vérification, mais vous avez différentes options de vérification que vous pouvez sélectionner, captcha, sms, email etc.

Beaucoup de personnes reprochent à ProtonMail son système de vérification par téléphone (SMS) lors de l’inscription, si vous êtes connecté via un VPN ou sur le réseau Tor. Malheureusement, c’est encore un des meilleurs moyens pour eux de protéger le service contre les spammeurs et les robots.

Se connecter

Se connecter à ProtonMail est facile et direct. Il vous suffit d’aller sur la page d’accueil, de cliquer sur le gros bouton “Se connecter” et de saisir vos identifiants de connexion.

Connexion ProtonMail

Lorsque vous utilisez ProtonMail, vous avez la possibilité de créer une boîte de réception électronique de récupération, qui peut être utilisée si vous perdez votre mot de passe.

L’interface

ProtonMail dispose d’une interface assez standard, avec une mise en page classique en colonnes à 3 volets, ainsi que l’option d’une vue des messages présentés en ligne comme ici :

Vue en ligne de ProtonMail

Ci-dessous la mise en page par défaut de la vue Colonne. Vous pouvez modifier la mise en page de la boîte de réception ProtonMail à l’aide des deux boutons situés en haut à droite ou dans les Paramètres > Apparence > Mode d’affichage > puis sélectionner la mise en page et le style de composition.

Vue en colonnes de ProtonMail

Avec la vue en colonnes, les dossiers habituels sont situés dans le volet le plus à gauche, avec la possibilité d’ajouter tous les dossiers personnalisés que vous souhaitez. Au centre se trouve la liste des messages, le corps du message sélectionné étant affiché dans le volet le plus à droite. Vous remarquerez (dans la capture d’écran ci-dessus) que, comme pour les autres services de messagerie destinés à accroître la confidentialité, ProtonMail bloque le contenu distant comme les images par défaut, vous donnant l’option de les charger tout en haut de la fenêtre.

La sélection du lien Dossiers/Labels dans le volet de gauche vous offre un large éventail de paramètres et d’autres options, notamment des filtres, des règles, des listes blanches et des listes noires.

Filtres Personnalisés ProtonMail

Les utilisateurs de la version gratuite peuvent créer un filtre, tandis que les utilisateurs payants obtiennent un nombre illimité de filtres.

Envoi et réception de messages

Pour envoyer un nouveau message, vous cliquez sur le bouton “composer” dans le volet latéral gauche. Une fenêtre pop-up (que vous pouvez agrandir) s’ouvre avec toutes les options de formatage HTML, y compris la possibilité d’insérer des images depuis des urls.

Au pied de la fenêtre du message, vous pouvez chiffrer votre message pour un utilisateur n’ayant pas ProtonMail, lui définir un délai d’expiration ou lui joindre un fichier. Dans le menu à droite, vous pouvez également demander une confirmation de lecture et attacher une clé publique.

Fenêtre de composition d’un message ProtonMail

Il existe quelques raccourcis clavier pour vous aider à composer vos messages. Mais vous ne trouverez pas de fonctions d’édition plus avancées comme des macros et des suggestions automatiques.

Envoi d’un message chiffré à un utilisateur n’ayant pas ProtonMail

Comme d’autres services de messagerie sécurisés, tels que Tutanota et Mailfence, ProtonMail vous donne la possibilité d’envoyer des messages cryptés aux personnes qui n’utilisent pas ProtonMail. Le destinataire devra connaître le mot de passe partagé que vous utilisez, de sorte que cela devra être organisé en dehors du système.

Ces messages chiffrés expirent automatiquement après 28 jours (mais vous pouvez fixer une date plus courte si vous le souhaitez).

Chiffrement d’un message ProtonMail

Le destinataire reçoit un message comme celui -ci dans sa boîte de réception.

Message reçu ProtonMail

En cliquant sur le bouton “View Secure Message” le destinataire est invité à saisir le mot de passe convenu, pour déchiffrer le message.

Mot de Passe pour déchiffrer le message ProtonMail

Si le mot de passe est correct, le message sécurisé est ensuite affiché dans une fenêtre ProtonMail et le destinataire a 28 jours pour y répondre (ou moins, si le délai d’expiration par défaut a été modifié).

Message chiffré ProtonMail

Rechercher des messages

ProtonMail a une capacité limitée de recherche de vos messages. En effet, parce que les messages sont toujours chiffrés sauf quand vous les visualisez, le logiciel ne peut pas rechercher dans le corps des messages. Bien sûr, cela peut s’avérer frustrant et limite votre capacité à trouver le message que vous recherchez.

Recherche ProtonMail

La version 4 de ProtonMail est censée avoir une capacité de recherche améliorée, donc si vous avez impérativement besoin de rechercher dans un grand nombre de messages du texte inclus dans le corps des messages, cette nouvelle mouture devrait y répondre bientôt.

En comparaison avec Tutanota (un autre fournisseur de messagerie entièrement cryptée) qui offre des capacités de recherche plein texte depuis 2017, vous trouverez sans doute celle de ProtonMail un peu frustrante. Pour ce faire, Tutanota crée un index de recherche crypté qui peut ensuite être recherché localement sur l’appareil de l’utilisateur.

Le client ProtonMail fonctionne très bien, à ceci près qu’il y a un peu de latence à l’ouverture d’un message, étant donné que le message doit être décrypté avant que vous puissiez le lire. Comme le client est basé sur un navigateur, au lieu d’une application autonome, vous constaterez peut-être que ce délai augmente à mesure que le nombre de messages présents dans vos dossiers augmente également.

Applications ProtonMail

ProtonMail est disponible sous :

Comme beaucoup d’applications de messagerie sur iPhone, celle de ProtonMail offre une interface en français, similaire à celle des plateformes concurrentes. Le menu est accessible par un glissement du bord gauche vers la droite où vous trouverez l’accès à tous les dossiers et aux paramètres de l’application. Sont présents les gestes de balayage sur les messages pour les archiver ou les supprimer (gestes à configurer dans les réglages), la gestion des labels associés aux messages (étiquettes, tags, façon Gmail), l’expiration des messages etc.

Seul bémol, les options de mise en forme d’un message lors de sa composition. Il vous faudra vous contenter des simples commandes gras, italique, souligné accessibles uniquement par les fonctions d’édition iOS donc pas d’indentation, pas de liste numérotée ou à puces, pas de couleurs, pas de liens, pas d’images à intégrer etc. En revanche, vous retrouverez les 3 fonctions de chiffrement, expiration du message et fichier à joindre.

Application ProtonMail iPhone

Vous aurez sans doute déjà noté qu’il n’y pas de version bureau pour l’instant et que les applications mobiles ProtonMail ne sont pas open source et la version Android n’est disponible que sous le Play Store de Google pas sous F-Droid.

ProtonMail est-il vraiment sécurisé ?

Avec le succès croissant que rencontrent les différents produits de la sphère ProtonMail, il était inévitable que surviennent quelques interrogations, notamment en matière de sécurité.

Outre les préoccupations concernant les connexions avec les États-Unis et l’UE dont nous avons discuté plus tôt, le service a également fait l’objet de critiques pour d’autres raisons.

  1. Le client du navigateur utilise des bibliothèques de chiffrement JavaScript. Celles-ci sont considérées comme moins sûres que les bibliothèques utilisées dans les applications mobiles de ProtonMail.
  2. Laisser le champ Objet en clair (pour la compatibilité PGP) signifie aussi plus de données exposées à toute personne espionnant le trafic de messages.
  3. Un article publié fin 2018 critiquait l’architecture cryptographique de ProtonMail pour plusieurs raisons. Cependant, ces mêmes critiques pourraient s’appliquer à n’importe quel client de messagerie basé sur un navigateur (pas seulement ProtonMail). ProtonMail y a répondu ici.
  4. En mai 2019, une publication de Steiger Legal affirmait que ProtonMail offrait volontairement son assistance au gouvernement suisse pour la surveillance en temps réel des utilisateurs, au-delà de toute coopération requise par la loi.

Examinons ce dernier point en détail.

ProtonMail coopère-t-il volontairement à la surveillance en temps réel ?

Comme Martin Steiger l’a d’abord affirmé sur son site Web.

Le fournisseur de services de messagerie ProtonMail, basé en Suisse, offre une assistance pour la surveillance en temps réel : Volontairement !

Cette information provient du procureur Stephan Walder, qui dirige le Centre de compétence en matière de cybercriminalité dans le canton de Zurich en Suisse :

Le 10 mai 2019, M. Walder a présenté un exposé sur les possibilités et les limites des poursuites pénales lors d'une formation continue sur la numérisation du droit pénal et de la procédure pénale. M. Walder a mentionné comme exemple positif ProtonMail, comme offrant volontairement son aide pour la surveillance en temps réel. Le procureur Walder s'attendait (plutôt) à devoir obtenir une décision du tribunal fédéral.

Sur Twitter, ProtonMail a évité à plusieurs reprises de répondre à la question de savoir pourquoi la surveillance en temps réel était volontairement effectuée. Au lieu de cela, ProtonMail a souligné que le contenu de la communication ne pouvait pas être surveillé en raison du cryptage de bout en bout.

Après avoir publié ces informations, le procureur de la République a affirmé que ses propos avaient été mal interprétés, tandis que ProtonMail a réfuté officiellement ces accusations.

Par souci de clarté, nous allons simplement examiner le rapport de transparence de ProtonMail. (Note : ProtonMail a modifié le libellé de son rapport de transparence peu après que ces accusations aient été portées.)

Surveillance en temps réel des utilisateurs

ProtonMail est tenu de fournir, dès réception d'une décision judiciaire, toute information d'utilisateur facilement disponible qui permettrait d'identifier un utilisateur qui fait l'objet d'une enquête pénale validée par les autorités suisses. En plus des éléments énumérés dans notre politique de confidentialité, dans les cas criminels extrêmes, ProtonMail peut également être tenu de surveiller les adresses IP qui sont utilisées pour accéder aux comptes ProtonMail qui sont engagés dans des activités criminelles. 

Et aussi :

En avril 2019, à la demande de la justice suisse dans un cas de conduite criminelle claire, nous avons autorisé l'enregistrement IP contre un compte d'utilisateur spécifique qui est engagé dans des activités illégales qui enfreignent la loi suisse. Conformément au droit suisse, l'utilisateur concerné sera également informé et aura la possibilité de se défendre devant les tribunaux avant que les données ne puissent être utilisées dans une procédure pénale.

Tout service de messagerie peut être forcé de surveiller le trafic de ses utilisateurs en vertu d’une ordonnance valide d’un tribunal. Ceci n’est pas limité à ProtonMail.

Cependant, si vous utilisez un bon service VPN qui cache votre adresse IP et votre emplacement, vous serez toujours protégé contre l’enregistrement et la surveillance des adresses IP.

Assistance volontaire aux autorités

Au cours du deuxième trimestre de 2016, nous avons reçu une demande d'informations des autorités suisses au nom des autorités allemandes dans un cas où un mineur était en danger. Après consultation avec l'avocat, nous avons appris qu'une décision judiciaire suisse contraignante est inévitable dans cette affaire. Par conséquent, nous avons transmis les données disponibles dans cette affaire sans attendre une décision de justice afin de ne pas entraver l'enquête. ProtonMail a pour politique de toujours aider les autorités dans les cas de pédophilie ou de terrorisme.

ProtonMail a apporté des clarifications supplémentaires sur ces questions d’assistance volontaire aux autorités dans son rapport sur la transparence.

Pour être honnête, ça reste une question difficile. Nous voulons tous, en effet, protéger les personnes contre les criminels, et en particulier les enfants, mais cela peut aussi être une pente glissante avec la violation de la vie privée et le ciblage systématique des utilisateurs sur une base volontaire.

Cela va donc bien au-delà du simple domaine technique. Où se situe la juste collaboration d’un service dont l’existence même se justifie par la confidentialité qu’il offre à chacun de ses utilisateurs ? Si un service de messagerie sécurisée ne garantit plus à tous (y compris malheureusement les contrevenants) le plein respect de sa vie privée, alors la question se pose de savoir s’il vaut vraiment la peine d’avoir recours à un tel service plutôt qu’à un service classique non sécurisé.

Il semble également y avoir un certain désaccord juridique sur les interprétations exactes de la loi suisse sur la protection de la vie privée et sur la manière dont elle pourrait être appliquée à ProtonMail. Par conséquent, nous vous laissons le soin de décider de cette question, tout en vous fournissant la réponse de ProtonMail à Martin Steiger ici.

Note : Tous les services de courriel (et toutes les entreprises) doivent respecter les lois de la juridiction dans laquelle ils sont situés, y compris les ordonnances légales des tribunaux. Tout comme ProtonMail, d’autres fournisseurs de messagerie sécurisée publient également des rapports de transparence détaillant ces cas pour leurs utilisateurs. Voir par exemple avec Mailfence, Tutanota et Posteo.

ProtonMail Entreprise

ProtonMail offre également un service pour les entreprises qui fournit un ” chiffrement de bout en bout pour sécuriser vos communications d’affaires “.

Ce service comprend des outils de migration et un support dédié pour transférer votre entreprise de son hébergement actuel vers l’infrastructure ProtonMail. Il intègre une hiérarchie d’utilisateurs permettant à vos administrateurs de messagerie de gérer les comptes utilisateurs de manière appropriée.

Tarifs et forfaits

ProtonMail ne se rémunérant pas avec des publicités ou de la vente du contenu de vos messages aux annonceurs, celui-ci facture ses services. Comme vous pouvez le voir ici, ProtonMail a quatre offres tarifaires, dont un forfait gratuit.

Prix ProtonMail

Par expérience, le forfait Gratuit, avec 500 Mo de stockage, 150 messages par jour, et 3 dossiers / étiquettes peut largement suffire à un très grand nombre d’utilisateurs, compte tenu qu’aujourd’hui, nombre des communications se font via les messageries instantanées chiffrées telles que Wire ou Signal. Un tel forfait de 500 Mo nécessite en revanche une certaine discipline pour trier et archiver ses emails et gérer les pièces jointes qu’il vous faudra enregistrer ailleurs pour les plus importantes, si vous ne voulez pas atteindre rapidement le plafond du 1/2 GB.

Dans le cas contraire, l’un des trois abonnements payants répondra probablement à vos besoins. Notez que tous les forfaits offrent ProtonVPN en option, et celui à 30 € par mois l’intègre dans son offre.

Alternatives à ProtonMail

Bien qu’il existe plusieurs services de messagerie sécurisée sur le marché, dont ProtonMail fait office de leader, Tutanota reste, à ce jour, notre première recommandation. Plutôt que d’utiliser PGP et S/MIME, Tutanota a déployé son propre standard de chiffrement incorporant AES et RSA, qui crypte la ligne d’objet et supporte PFS.

Tutanota a également déployé une fonctionnalité de calendrier entièrement chiffré et semble meilleur en termes d’applications avec une version pour ordinateurs Linux, Mac et Windows.

Notre avis : Tutanota est une meilleure alternative à ProtonMail en matière de sécurité et de spectre de fonctionnalités et d’applications.

Il existe aussi d’autres alternatives à ProtonMail qui offrent un moindre degré de cryptage et de sécurité, mais avec plus de fonctionnalités. Mailfence et Posteo, par exemple, sont deux autres bonnes options.

Conclusion

ProtonMail est un service de messagerie chiffré de bout en bout, efficace, simple à mettre en œuvre et à utiliser, très populaire sans aucun doute, qui répondra aux besoins de nombreux utilisateurs réguliers.

En tant que service de courriel sécurisé leader sur le marché, avec un forfait de base gratuit, c’est une excellente option pour des communications chiffrées régulières avec des amis, des partenaires d’affaires et d’autres personnes qui veulent se protéger contre la surveillance de masse et le pistage publicitaire devenu banal.

Pour ceux qui recherchent un maximum de sécurité, avec un cryptage complet des lignes d’objet et une forte sécurité des données, Tutanota pourrait être un meilleur choix.

Cet article vous a t-il été utile ?