🔴 French Days en direct 🔴 French Days en direct

Proton publie le code source de son gestionnaire de mots de passe pour montrer qu'il n'a rien à cacher

Camille Coirault
22 juillet 2023 à 18h00
7
© Bacho / Shutterstock
© Bacho / Shutterstock

Proton Mail, la messagerie suisse connue pour son service crypté, vient de publier l'intégralité du code source de son gestionnaire de mots de passe. Une belle preuve de son engagement envers la sécurité et de sa transparence.

Cette nouvelle initiative est plutôt remarquable. Après avoir traversé une période légèrement compliquée, l'entreprise a choisi de montrer patte blanche pour cette fois. L'initiative de publier le code source de Proton Pass est clairement une main tendue à ses utilisateurs pour renforcer leur confiance.

Proton Pass en open source

Ce gestionnaire de mots de passe intégré au service proposé par la société est un peu plus costaud qu'un gestionnaire classique. Il peut évidemment générer des mots de passe sécurisés pour faciliter la connexion. Proton Mail le présente également comme un « gestionnaire d'identité ». Il est en effet capable de créer des alias d'adresse mail uniques pour que votre véritable adresse ne soit pas connue ou tracée sur le Web. De cette manière, s'il y a une fuite de données par un site tiers, elle ne pourra pas être utilisée comme cible.

Cette décision de passer son gestionnaire en open source permettra à quiconque de pouvoir inspecter le code afin de vérifier que Proton respecte bien ses engagements, et que ses applications fonctionnent en respectant ceux-ci. Un geste à saluer dans un contexte où le vol de données est de plus en plus fréquent.

© Pixabay
© Pixabay

Un audit indépendant demandé en parallèle

Tout le monde n'a pas les compétences pour inspecter un code source. C'est pour cela que Proton Mail a mandaté une société allemande spécialisée dans les audits de cybersécurité pour passer à la loupe les applications intégrées à Proton Pass. La société en question, Cure53, l'a examiné de manière approfondie : API, applications mobiles et extensions de navigateur.

Le rapport d'audit a conclu que Proton fait les choses sérieusement. Proton Pass présente un niveau de sécurité jugé satisfaisant, mais quelques aspects mériteraient une attention supplémentaire et des modifications. Tous les problèmes identifiés ont été résolus immédiatement par Proton, à l'exception d'un seul, mais celui-ci relève d'une limitation imposée par l'OS Android.

Même si son service n'est pas parfait, on ne peut pas nier que Proton prend la sécurité de ses utilisateurs au sérieux. Son souhait de transparence est clair. Premièrement, cela avantage l'entreprise lorsqu'il s'agit de régler des problèmes potentiels. Proton a en effet développé un programme de recherche de bugs par lequel quiconque peut aider à l'identification de vulnérabilités. Deuxièmement, les personnes qui utilisent la messagerie peuvent être rassurées quant au fonctionnement sain des services offerts par l'entreprise.

Proton Mail Gratuit
Voir l'offre
Lire l'avis 9.1
Proton Mail Gratuit
  • Infrastructure robuste et sécurisée
  • Simplification extrême du cryptage
  • Localisé en Suisse

Proton Mail est une sérieuse alternative à Gmail. Elle redéfinit le cryptage en le plaçant à la portée de tout le monde. Certes, il faudra probablement adopter le plan payant pour en profiter au maximum, mais c'est un excellent premier choix pour quiconque souhaite commencer à s'affranchir des services des GAFAM en étant assuré que les communications restent privées.

Proton Mail est une sérieuse alternative à Gmail. Elle redéfinit le cryptage en le plaçant à la portée de tout le monde. Certes, il faudra probablement adopter le plan payant pour en profiter au maximum, mais c'est un excellent premier choix pour quiconque souhaite commencer à s'affranchir des services des GAFAM en étant assuré que les communications restent privées.

Sources : Proton, Ghacks

Camille Coirault

Camille Coirault

Une fois réveillé dans le bateau arrivé en Morrowind, j’avais mis le doigt dans l'engrenage. Un autre de mes doigts fut lui aussi coincé entre les pages des livres d’auteurs classiques : Charles Baud...

Lire d'autres articles

Une fois réveillé dans le bateau arrivé en Morrowind, j’avais mis le doigt dans l'engrenage. Un autre de mes doigts fut lui aussi coincé entre les pages des livres d’auteurs classiques : Charles Baudelaire, Émile Zola, Choderlos de Laclos ou Victor Hugo pour ne citer qu’eux. Vingt ans après, quelques milliers d'heures à jouer, à lire, et me voilà ! Mon coeur balance toujours entre ma passion de la tech, des jeux vidéo et mon amour incommensurable pour les Lettres. Spoiler : je n’ai pas choisi et cela ne risque pas d’arriver de sitôt.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (7)

Caramel34
Donc du coup si on a le code source on peu facilement trouver les mots de passe non ?<br /> Je demande je n’y connais rien
Werehog
Eh bien… pas du tout ! On peut juste chercher les failles plus facilement (pour ceux qui s’y connaissent vraiment très très bien) mais c’est à double sens : la société sera prévenue plus facilement pour aider à les corriger. Beaucoup de sociétés font ça désormais.
Afk
Heureusement non. En fait, faut voir ça comme une machine à chiffrer des messages.<br /> La machine en elle-même permet de chiffrer et traduire les messages mais elle a besoin de paramètres ainsi que d’une clé ou d’un code qui influe sur le résultat produit par la machine. Et avoir le contenu à chiffrer/déchiffrer bien entendu.<br /> Si on a pas l’ensemble de ces éléments, ça n’est pas exploitable. (à la condition que la machine soit bien conçu)<br /> Et en soit, un gestionnaire de mot de passe a un fonctionnement proche.<br /> Pour un cas concret, il y a un exemple très bien documenté qu’est le système de chiffrement des échanges utilisés par les Allemands pendant la seconde guerre mondiale : Enigma (machine) — Wikipédia<br /> (l’article Wikipédia est très complet mais il y a des vidéos ou des articles qui résument l’histoire de façon vulgariser.)
Caramel34
Donc en fait dévoiler le code source ne sert strictement à rien car il peut très bien y avoir « des mouchards » dans la clé ou le code<br /> Comme vouloir passer quelque chose en contrebande dans une voiture, le code source c’est la voiture et le clé c’est le moteur. Je planque ma contrebande dans le moteur. Je démonte la voiture pour montrer que je n’ai rien mais hors de question d’ouvrir le moteur, car c’est la clé qui permet à la voiture de rouler.
MattS32
Caramel34:<br /> Donc en fait dévoiler le code source ne sert strictement à rien car il peut très bien y avoir « des mouchards » dans la clé ou le code<br /> Non, la clé c’est « inerte », c’est comme un mot de passe, ça ne contient pas de code exécutable.<br /> Et cette clé n’est pas fixée par Proton Pass de toute façon : pour chaque utilisateur, soit le code (celui qui est publié) génère une clé aléatoire, et cette clé est ensuite stockée en la chiffrant avec le mot de passe maître défini par l’utilisateur, ce qui fait que seul quelqu’un qui a le mot de passe maître de l’utilisateur peut accéder à la clé, soit le code génère une clé dérivée du mot de passe maître (et donc là encore, si on ne connait pas le mot de passe maître, on ne peut pas avoir la clé).<br /> Si tu fais l’analogie avec la voiture, la clé n’est pas le moteur, mais bien juste… la clé qui permet de démarrer la voiture.
Caramel34
Merci
Catstom
Publier le code source c’est bien mais qu’est-ce qui prouve que l’application compilée qui tourne sur le serveur correspond bien au code source publié ?
MattS32
La partie « sensible » de l’application, celle qui a accès aux mots de passe en clair, ne tourne pas sur le serveur, mais sur la machine de l’utilisateur.<br /> Donc il « suffit » de vérifier que :<br /> le code n’envoie pas d’informations sensibles au serveur : il ne doit lui envoyer que des données chiffrées, sans aucune information permettant de les déchiffrer (donc pas d’envoi du mot de passe maître au serveur),<br /> l’application téléchargeable (Android, iOS et extensions de navigateurs) est conforme à ce code source (pas trivial à vérifier, mais pas impossible non plus, surtout s’ils fournissent les scripts de build, il suffit alors de les exécuter puis d’étudier les différences entre la version qu’on a compilée et celle fournie par Proton, différences qui doivent normalement être minimes).<br /> C’est d’ailleurs uniquement le code des applications qui a été publié, pas le code côté serveur.
Ashgan
Si on va par là … et en suivant ton raisonnement.<br /> La liste des ingrédients sur la nourriture c’est pareil, tout comme les composants d’un médicament, …<br /> Bref au bout d’un moment c’est bien de chercher la petite bête mais pas que cette recherche devienne ridicule …
Voir tous les messages sur le forum
Les tendances

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Proton : le cap symbolique des 100 millions d'utilisateurs est atteint. Que nous réserve la société ? Proton : le cap symbolique des 100 millions d'utilisateurs est atteint. Que nous réserve la société ?
Proton Mail facilite votre migration depuis Gmail Proton Mail facilite votre migration depuis Gmail
Proton annonce un prochain gestionnaire de mots de passe Proton annonce un prochain gestionnaire de mots de passe
Proton ce n'est pas qu'un VPN ; comment le service veut vous aider à oublier Google & cie Proton ce n'est pas qu'un VPN ; comment le service veut vous aider à oublier Google & cie
À bas les GAFAM ! Vous pouvez maintenant migrer en famille vers Proton À bas les GAFAM ! Vous pouvez maintenant migrer en famille vers Proton