Avis ProtonMail (2021) : que vaut la messagerie mail chiffrée ?

17 octobre 2021 à 14h28
15
Avis Protonmail

Est-il possible de concevoir une suite d'outils en ligne alternative à celle de Google tout en misant sur la vie privée ? C'est le défi que s'est lancée l'équipe de Protonmail. Nous passons ici au crible de ce test les fonctionnalités de la messagerie mail chiffrée et sécurisée .

ProtonMail
  • Infrastructure robuste et sécurisée
  • Simplification extrême du chiffrement
  • Localisé en Suisse
  • Version gratuite limitée en stockage
  • Développement très lent
  • Expérience mobile perfectible

En juin 2013, le lanceur d'alerte Edward Snowden dévoilait les pratiques de surveillance massive mises en place par les agences de renseignements gouvernementales aux États-Unis, mais aussi en Europe. Nous apprenions par exemple que les hackeurs de la NSA s'étaient introduit au sein des serveurs des plus grandes sociétés pour collecter des données.

Google, Microsoft, Yahoo, Apple, toutes ces entreprises ont nié avoir collaboré avec le gouvernement. Dans le cas du géant de Mountain View, la NSA et le FBI avaient collecté les métadonnées de messages stockés dans Gmail. C'est ainsi que d'anciens ingénieurs du CERN ont relevé le défi de démocratiser le chiffrement des emails en proposant une solution simple ne nécessitant pas une gestion complexe de clés publiques et privées. Alors huit ans après le lancement en bêta de Protonmail, que vaut cette messagerie sécurisée qui fait aujourd'hui figure de référence ?

Protonmail : la sécurité au premier plan

Pendant longtemps le principe de chiffrement des emails était réservé au utilisateurs les plus avertis. D'ailleurs le dispositif ne fonctionnait qu'au travers d'un logiciel dédié de type Mozilla Thunderbird couplé à un gestionnaire de clés privées et publiques (eg. Enigmail).

En bref, le chiffrement comment ca marche ?

La technologie repose sur une paire composée d'une clé publique et une autre privée, toutes deux complémentaires. Le principe consiste à employer la clé publique de son destinataire pour crypter un message. Ce dernier ne pourra être lisible que par le destinataire puisque lui seul détient la clé privée associée.

Des échanges simplifiés entre utilisateurs

Le principal avantage de Protonmail est de déporter ce mécanisme de chiffrement / déchiffrement directement au sein du navigateur. D'une part, cela permet de ne plus avoir à utiliser un client mail dédié. D'autre part, cela simplifie le processus pour les utilisateurs non avertis.

Tous les messages envoyés entre les utilisateurs de Protonmail sont protégés par défaut. Le chiffrement est effectué sur le navigateur de l'expéditeur et déchiffré sur la machine du destinataire. Cela signifie donc que les emails transitant via les serveurs de la société sont illisibles. Seul le destinataire disposant de sa clé privée pourra consulter le message.

À la réception d'un message provenant d'un nouvel utilisateur de Protonmail, nous sommes invités à stocker automatiquement la clé publique de celui-ci pour sécuriser tous les futurs échanges.

Avis Protonmail

Une approche universelle

Protonmail se montre toutefois très flexible en matière de chiffrement. Il n'est en effet pas nécessaire que le destinataire dispose d'un compte pour envoyer ou recevoir un email chiffré.

Le type d'usage le plus répandu consiste probablement à vouloir sécuriser une communication avec un contact n'utilisant pas Protonmail. Dans ce cas, le service propose une approche originale. Celle-ci consiste à héberger l'email sous la forme d'une page Web sur les serveurs de la société. Avant l'envoi du message, il sera nécessaire de paramétrer un mot de passe. Ce code devra être communiqué au destinataire par une autre moyen (via SMS par exemple) afin qu'il puisse consulter ce message. Le lien de ce message est quant à lui automatiquement généré et envoyé par email de manière classique.

Autre option bienvenue : il est également possible de paramétrer une auto-destruction du message en question après un certain nombre d'heures ou de jours

Avis Protonmail
Avis Protonmail

A l'inverse il possible d'envoyer un message à une personne disposant d'une autre solution de chiffrement d'email reposant sur la technologie PGP/GPG - par exemple Thunderbird + Enigmail. Dans ce cas, l'utilisateur doit créer un nouveau contact puis importer la clé publique de ce dernier. Elle sera par la suite utilisée par défaut pour l'envoi des messages.

Avis Protonmail

C'est donc véritablement par la simplification du chiffrement des emails que Protonmail se distingue des autres messageries. L'objectif est bien entendu de démocratiser au maximum la technologie. Dans un but de transparence, la société met régulièrement en place des audits de sécurité externe et a publié le code source de son infrastructure.

Localisation

Protonmail se distingue également par sa localisation géographique. La société est en effet située en Suisse. Et c'est un argument de taille. Cela signifie qu'elle n'est pas assujettie aux lois de surveillance américaines, européennes ou françaises pouvant potentiellement permettre à un tiers de récupérer légalement des informations sur les utilisateurs.

En pratique cela signifie que la procédure est considérablement rallongée pour un organisme gouvernemental. Ce dernier doit ainsi soumettre une requête auprès des autorités suisses. Le principe n'est toutefois pas infaillible. La société a récemment dû répondre à une requête basée sur le droit criminel suisse ayant conduit à l'arrestation d'un activiste.

Notons en revanche que le contenu des messages est bien entendu chiffré, puisque la société elle-même n'a pas accès aux clés privées des utilisateurs. Finalement, dans le cas susmentionné, c'est l'adresse IP que Proton a été obligé de partagée.

Interface et fontionnalités

La messagerie

Depuis son lancement l'interface de Protonmail a bien évolué. Celle-ci est passée en version 4 l'année dernière introduisant un tout nouveau design system basé sur la bibliothèque Javascript React. Cette dernière est censée faciliter les mises à jour ultérieures et améliorer les performances globales du webmail.

L'interface est reponsive et moderne avec plusieurs options d'affichage ainsi que des raccourcis clavier. Notons que Protonmail fait à la fois usage de libellés (comme Gmail) mais également de dossiers classiques. Ce double dispostif devrait donc répondre aux méthodes de tri de chacun. Bien entendu, l'application Web ne présente aucune publicité.

Côté utilisateur, celle-ci apporte toutefois une peu moins de flexibilité pour les power users. Les versions antérieures permettaient par exemple de développer son propre thème en injectant directement des propriétés CSS dans les options du service. Quelques templates sont toutefois proposés par défaut.

Le service dispose d'un moteur de recherche. Cependant ce dernier présente des failles inhérentes au chiffrement des emails : il n'est pas en mesure d'analyser le contenu des messages. Face à ce paradoxe et pour apporter un certain équilibre, l'équipe a fait le choix de ne pas chiffrer l'objet des emails.

Avis Protonmail

L'affichage classique en trois volets pourrait être un peu plus optimisé, notamment en permettant de redimensionner la largeur de la liste des messages ou de réduire le panneau latéral de gauche listant les dossiers et libellés. Depuis la dernière mouture de Protonmail, le service ne dispose plus d'une section de contact dédiée. Toutefois l'intégration du carnet d'adresses est plutôt réussie avec un accès direct et une vue détaillée des informations s'affichant en premier plan.

Notons qu'à l'instar de Gmail il est possible d'enregistrer automatiquement les nouveaux contacts et nous retrouvons bien entendu des options d'import et d'export.

Avis Protonmail

C'est sur mobile que Protonmail pêche un peu. L'application iOS et Android ne s'avère pas très efficace. D'ailleurs, cette dernière ressemble davantage à une web app mobile encapsulée plutôt qu'un véritable client email natif. On constate également un problème de notifications et de synchronisation de l'état de lecture des emails depuis plusieurs années. À la longue, l'expérience multi-plateforme s'en trouve affectée. Et c'est plutôt dommage dans un monde mobile first.

Avis Protonmail

Le calendrier

Initialement destiné aux abonnés payants, le calendrier est disponible auprès de l'ensemble des utilisateurs. Il faut dire qu'à ses débuts, ce dernier était relativement sommaire. L'équipe explique avoir pris le temps de concevoir une architecture sécurisée afin de chiffrer les données relatives à un événement, qu'il s'agisse du titre, de la localisation mais également des invités.

Notons que s'il est possible d'importer un calendrier via un fichier ICS, aucune fonctionnalité ne permet de s'abonner à un flux externe. Cela peut potentiellement rendre difficile une migration depuis Google Agenda ou Outlook. Une application mobile compatible Android et iOS est également disponible en version bêta.

L'application reste toutefois très fonctionnelle avec des notifications directement sur le navigateur et des options d'événements récurrents. Soulignons cependant que pour les utilisateurs avancés, il n'y a pas de moteur de recherche intégré.

Avis Protonmail

L'équipe de Proton semble ainsi tenir sa promesse visant à démocratiser le chiffrement en proposant une solution gratuite et clé-en-main. Toutefois la limite des 500 Mo de stockage pourra être atteinte relativement rapidement. Notons également que l'internaute ne pourra créer plus de trois dossiers et trois libellés pour filtrer ses emails entrants.

Il s'agit donc plutôt d'un avant-goût du service avant de passer à une offre payante débloquant plusieurs fonctionnalités.

Les formules payantes

ProtonMail Plus

À partir de 4 euros par mois, ProtonMail Plus cible les utilisateurs avertis du service ou les freelances souhaitant une solution sécurisée.

Cette option fait d'emblée passer le stockage à 5 Go et propose 5 adresses email (rattachées au même compte) à distribuer pour faciliter l'organisation de la boite mail. Notons également que s'il est possible d'activer une adresse de type @pm.me gratuitement, l'option Plus permet d'envoyer des messages depuis cette dernière.

Proton propose un outil de migration permettant d'importer ses messages depuis une autre boite mail. D'ailleurs, à l'inverse, il est aussi possible de les exporter.

De son côté, la limite des dossiers et des libellés passe de 3 à 200. Mais surtout, l'utilisateur peut configurer son propre nom de domaine en paramétrant les CNAME, MX et SPF sur la zone DNS de son hébergeur.

Avis Protonmail

L'offre payante inclus en outre un accès à ProtonMail Bridge. De part sa nature sécurisée, ProtonMail n'active pas les traditionnels protocoles POP et IMAP pour les clients mail . Compatible avec Mozilla Thunderbird, Apple Mail, et Microsoft Outlook, Bridge permet ainsi que créer un "pont" sécurisé pour faire transiter les messages chiffrés, lesquels peuvent alors être consultés en local.

ProtonMail Plus permet dans une certaine mesure de gérer des listes de diffusion avec une limite d'envoi plafonné à 300 messages par heure et 1000 emails par jour

Il est intéressant de noter que cette souscription présente plusieurs granularités pour un forfait à la carte. Quelques euros supplémentaires permettront par exemple d'ajouter de l'espace disque ou de configurer des noms de domaine supplémentaires.

Avis Protonmail

Protonmail Professional et Visionary

Les entreprises se tourneront de leurs côtés vers les souscriptions Professional et Visionary, lesquelles ne présentent aucune limite au niveau des dossiers, libellés ou limite d'envoi. L'entreprise pourra configurer jusqu'à 5000 utilisateurs. L'offre Visionary couple un abonnement à ProtonVPN

ProtonMail

9

ProtonMail est une sérieuse alternative à Gmail pour quiconque souhaite retrouver sa vie privée. Surtout Protonmail redéfinit le chiffrement en le plaçant à la portée de tout le monde. Certes, il faudra probablement adopter la version payante pour en profiter au maximum mais c'est un excellent premier choix pour quiconque souhaite commencer à s'affranchir des services des GAFAM en étant assuré que les communications restent privées.

Les plus

  • Infrastructure robuste et sécurisée
  • Simplification extrême du chiffrement
  • Localisé en Suisse

Les moins

  • Version gratuite limitée en stockage
  • Développement très lent
  • Expérience mobile perfectible

Prise en main 10

Fonctionnalités 9

Sécurité 10

Mobile 7

Modifié le 17/10/2021 à 14h56
Cet article contient des liens d'affiliation, ce qui signifie qu'une commission peut être reversée à Clubic. Les prix mentionnés sont susceptibles d'évoluer. 
Lire la charte de confiance
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
15
13
weedhopper
Reporterre, le quotidien de l'écologie<br /> Réputé sûr, Protonmail a livré à la police des informations sur des militants...<br /> Le fournisseur de courriers électroniques chiffrés suisse Protonmail a fourni sous contrainte légale des informations sur des militants français de Youth for Climate, qui ont par la suite été perquisitionnés. Cette procédure illustre « l’acharnement...<br />
Necron
Rien de plus normal, ils ne sont pas au-dessus de la loi.<br /> C’est même rassurant je dirais de savoir qu’ils ne gênent pas volontairement des enquêtes qui pourrait toucher au terrorisme ou autre.<br /> PS : je précise que j’utilise Proton mail tout les jours et que cette fausse polémique ne me fera pas changé pour d’autres
Gauron91
A propos de la possibilité de rechercher dans le contenu des emails: cette fonctionnalité est en cours de deploiement sur les comptes Visionary. Et a termes chez tous les comptes payants.<br /> C’était de mon point de vue, LA fonction qui manquait véritablement à Protonmail.
Biggs
Est-ce qu’avec Protonmail on peut envoyer des mails en utilisant des comptes différents ? Gmail le fait très bien, on peut envoyer des mails comme si on était sur Yahoo, Outlook, Laposte, etc.
Iceslash
Ah ! le spectre de la lutte anti-terrorisme !<br /> Youth for Climate doit être un branche dissidente d’ISIS.<br /> Ce qui a été reproché à Proton, c’est leur information mensongère.<br /> «&nbsp;Qui ment une fois, mentira deux fois !&nbsp;»
Necron
Je ne parlais pas forcément des YfC mais plutôt du principe général.<br /> Protonmail n’a pas menti : il est clairement dit que la société ne répondait qu’à la justice suisse, celle-là même qui a autorisé la justice française à accéder aux informations des militants.<br /> Croire que le fait d’utiliser un service de messagerie tel que Protonmail exonérait les utilisateurs de répondre à la justice, est une erreur.<br /> Il existe des messageries décentralisées qui pourrait répondre à cette problématique de sécurité, même si l’utilité pour un français qui ne fait rien d’illégal par rapport à quelque chose de déjà bien sécurisé comme Protonmail est assez discutable.
ccvman
J’utilise un service russe, c’est beaucoup mieux
totocaca123
Le problème, c’est protonmail prétend ne pas enregistrer les log… C’est de la publicité mensongère. La Suisse a des accords d’échange automatique de données avec l’union européenne. Ils transmettent les infos encore plus facilement que les GAFAM!!!<br /> Celui qui cherche une forme d’anonymat, qu’il se créer une boite mail hors de l’union européeenne (yandex…).
totocaca123
Si le mec avait ouvert un compte mail chez les GAFAM, la justice francaise aurait eu plus de difficulté à obtenir l’adresse ip que si cela avait été chez proton!!! Leur marque de fabrique c’est la protection des données, et à la première affaire, ils livrent très facilement les données!!! Cette affaire leur fera très mal et ils peuvent proposer ce qu’ils veulent, ce sera sans effet
ultrabill
totocaca123:<br /> Le problème, c’est protonmail prétend ne pas enregistrer les log…<br /> Ça c’est ton interprétation. Protonmail affirme ne pas activer les logs par défaut. Habile, Bill.<br /> Ils proposent un stockage chiffré des mails dans le respect des lois. Ils assurent ni immunité ni impunité à leurs clients.
MattS32
totocaca123:<br /> Leur marque de fabrique c’est la protection des données, et à la première affaire, ils livrent très facilement les données<br /> Non, ils n’ont pas livré les données. Que des méta-données. Leur marque de fabrique, c’est bien la protection des données, par un chiffrement «&nbsp;zero knowledge&nbsp;» qui fait que jamais leur serveur ou quelqu’un qui l’aurait corrompu n’a la possibilité de déchiffrer les données.<br /> Et ce point n’est absolument pas remis en cause par cette affaire : tout ce qu’ils ont communiqué, c’est des bouts de logs, logs activés uniquement après une demande de la justice en bonne et dûe forme.<br /> Il est totalement faux de prétendre que la justice aurait eu plus de difficultés avec les GAFAM. Non seulement les GAFAM répondent directement à la justice française, sans que ça doive obligatoirement être validé par la justice locale, mais en plus les GAFAM remontent beaucoup plus d’informations à la justice, et peuvent entre autres remonter le contenu des mails, qui ne sont pas chiffrés en zero knowledge.<br /> Sur les dix derniers mois de 2020, Google a reçu 113 602 requêtes judiciaires, concernant 261 238 comptes. 76% de ces requêtes ont reçu une réponse favorable de Google. Là-dedans, il y avait 9 414 demandes venant des autorités françaises, concernant 13 354 comptes et ayant obtenu 84% de réponses favorables.
Popoulo
Les gens qui n’ont toujours rien compris à l’affaire Protonmail. Vous êtes fatigants.
idhem59
totocaca123:<br /> Le problème, c’est protonmail prétend ne pas enregistrer les log… C’est de la publicité mensongère.<br /> Protonmail n’enregistre pas de logs.<br /> Mais en cas de demande par la justice, ils doivent les activer afin de livrer les informations. C’est une obligation par la loi.<br /> Mais cet enregistrement de logs ne se fait qu’à postériori. Si toi tu as un compte chez eux, absolument rien n’est enregistré tant que la justice ne frappe pas chez eux en te ciblant.<br /> Et on parle ici uniquement de méta-données, il n’est absolument pas question de tracer les mails au complet et ce genre de choses.<br /> C’est comme ça que fonctionne n’importe quel SI légal en Europe, même au sein des entreprises d’ailleurs.
MattS32
idhem59:<br /> Et on parle ici uniquement de méta-données, il n’est absolument pas question de tracer les mails au complet et ce genre de choses.<br /> Cela dit, si la justice le leur demande (et si la loi Suisse l’autorise, je ne sais pas si c’est le cas), ils devront aussi fournir le contenu des mails. Mais ils ne pourront pas le faire pour tous. Ils pourront le faire uniquement pour les mails postérieurs à la demande, et sous certaines conditions.<br /> Les mails dont le contenu peut être accessible, sont :<br /> ceux qu’on reçoit dans une boîte ProtonMail depuis un autre service de mails,<br /> ceux qu’on envoie depuis une boîte ProtonMail vers un autre service de mail.<br /> Dans ces deux cas, les mails sont chiffrés «&nbsp;définitivement&nbsp;» par le serveur ProtonMail avant de les y stocker, mais ils transitent dessus en clair, car il n’existe pas dans les standard du mail de système permettant de garantir le chiffrement de bout en bout.<br /> Les mails envoyés d’un compte ProtonMail vers un autre compte ProtonMail sont par contre chiffrés de bout en bout, à aucun moment le serveur ProtonMail n’y a accès en clair.<br /> Et bien sûr dans le cas de mails échangés avec d’autres services de mail, il est possible d’avoir un chiffrement de bout en bout en passant par un chiffrement externe, par exemple PGP. Dans ce cas, la seule information qui sera accessible aux serveurs de ProtonMail, c’est le fait que tu as chiffré tes mails en externe.
Hadory
Bon si c’est pour utiliser un PGP autant utiliser un gmail
MattS32
Sauf que PGP s’intègre beaucoup mieux à ProtonMail, qui le supporte nativement, qu’à Gmail.<br /> Et ProtonMail assure le chiffrement zero-knowledge par défaut entre utilisateurs de ProtonMail, ce qui est déjà pas mal, notamment pour une entreprise, où ça permet d’assurer la sécurité de tous les mails internes.
Voir tous les messages sur le forum
Haut de page