Dans l’univers des messageries électroniques, ProtonMail cherche à se différencier par une approche très orientée sécurité, avec deux principales promesses : le chiffrement de bout en bout des messages entre utilisateurs ProtonMail et l’architecture « zero accès », ce qui signifie que le fournisseur ne dispose d’aucune connaissance lui permettant de déchiffrer les messages de ses utilisateurs.
Mais le cryptographe Nadim Kobeissi vient maintenant de porter un sérieux coup à ces promesses marketing en publiant une « analyse de l’architecture cryptographique de ProtonMail ». Sa conclusion est sans appel : « Nous avons trouvé que pour la majorité des utilisateurs de ProtonMail, le chiffrement de bout en bout n’a jamais été garanti par le service, et que les preuves à divulgation nulle de connaissance permettant de valider les mots de passe sont invalidés par le fonctionnement intrinsèque du service », peut-on lire dans ce document.
L’interface web, talon d’Achille de ProtonMail
Sur le premier point, le chercheur part de l’hypothèse de risque que ProtonMail a lui même édictée, à savoir que l’ensemble de ses serveurs pourraient être compromis par un attaquant. Le fournisseur estime qu’en dépit d’une telle situation, la confidentialité des messages est maintenue, grâce au chiffrement de bout en bout. « ProtonMail présume de manière conservatrice que tous les serveurs de messagerie peuvent éventuellement être compromis. Aussi, ProtonMail utilise un chiffrement de bout en bout pour garantir que les données de courrier électronique en texte brut ne sont jamais envoyées au serveur. Si un serveur ne contient que des messages chiffrés, les risques de violation du serveur central sont atténués », explique ProtonMail dans un livre blanc.
Mais pour Nadim Kobeissi, ce raisonnement ne tient pas debout dans le cas d’une utilisation de l’interface Web, qui est pourtant la plus utilisée. Celle-ci, écrite en JavaScript, provient directement du serveur de ProtonMail et son code ne peut pas être authentifié. Un serveur piraté peut donc « compromettre de manière arbitraire et intraçable n’importe quelle information que l’utilisateur envoie dans le cadre de sa session ProtonMail. Cela inclut le clé secrète PGP de l’utilisateur et n’importe quel e-mail envoyé ou reçu ». Oups.
A propos de l’architecture « zero accès », Nadim Kobeissi constate que la clé privée de l’utilisateur est stockée de manière chiffrée (AES 256 bits) sur les serveurs de ProtonMail. Par conséquent, il est théoriquement possible de lancer des attaques en force brute ou par dictionnaires et, ainsi, de récupérer la clé privée. Ce qui invalide donc sur le plan mathématique le principe de connaissance nulle.
Une position d’extrémiste ?
Contacté par 01net, ProtonMail ne partage pas l’analyse du chercheur. « Le raisonnement de Nadim est que le développeur d’application Web pourrait la modifier secrètement afin de compromettre l’utilisateur sans qu’il n’en soit conscient. Pour les applications mobiles, par contre, il n’y aurait pas de problème. Cela n’a pas beaucoup de sens. En ce qui concerne les applications mobiles, par exemple, la situation n’est pas différente (…) Selon cette logique, il faudrait également dire que le chiffrement de bout en bout n’est pas possible sur les applications mobiles. C’est pourquoi cette position particulière est si extrême », nous explique Andy Chen, PDG de ProtonMail.
Un argument que Nadim Kobeissi réfute en bloc. « La section 4.1 de mon document explique les différences significatives entre les modèles de sécurité de l’application Web ProtonMail et les applications pour smartphone ProtonMail. La situation avec les applications mobiles est en effet différente en raison des numéros de version incrémentiels et des fichiers binaires signés de manière cryptographique et distribués indépendamment (…) Il est impossible d’authentifier ou de vérifier la sécurité de l’application Web ProtonMail telle qu’elle est actuellement proposée. Avec les applications pour smartphone, toutefois, les versions peuvent être isolées, identifiées et comparées sur la base de manifestes signés, de numéros de version, de signatures et de sommes de contrôle. Ils peuvent ensuite être analysés et vérifiés », nous explique Nadim Kobeissi dans un e-mail.
L’EFF est du même avis que le chercheur
Au final, que faut-il penser de tout cela ? Au regard de ces différents arguments, il nous semble bien que ProtonMail survend l’efficacité de son service. Pour une personne qui recherche une sécurité béton pour ses échanges, ProtonMail n’est probablement pas le meilleur choix. Il vaut mieux utiliser le service Signal, qui n’existe que sous forme d’application mobile et qui ne stocke pas les clés privées des utilisateurs.
C’est d’ailleurs également l’avis de l’association de défense des droits citoyens Electronic Frontier Foundation. « Le problème, c’est que ProtonMail stocke votre clé privée. Même si cette clé est d’abord chiffrée en local par l’application Web de ProtonMail avant d’arriver sur leurs serveurs, il est toujours possible que cet éditeur soit contraint par les forces de l’ordre de modifier son code pour quand même accéder à votre clé privée. Pour avoir un bon niveau de protection, il faut que le clé privée reste sur le terminal. Certes, ProtonMail est meilleur que Gmail au niveau de la protection des données personnelles, mais ce service donne une fausse impression de sécurité », nous avait expliqué Eva Galperin, responsable cybersécurité chez l’EFF, il y a quelques semaines.
Mais pour ceux qui ne sont pas forcément à la recherche d’un tel niveau de sécurité, ProtonMail peut être un bon choix. Comparé aux autres webmails, ce service propose quand même une meilleure protection pour les données personnelles. Ce qui n’est pas négligeable.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
