Proton publie le code source de son gestionnaire de mots de passe pour montrer qu'il n'a rien à cacher

Publié le 22 juillet 2023 à 18h00

Proton Mail, la messagerie suisse connue pour son service crypté, vient de publier l'intégralité du code source de son gestionnaire de mots de passe. Une belle preuve de son engagement envers la sécurité et de sa transparence.

Cette nouvelle initiative est plutôt remarquable. Après avoir traversé une période légèrement compliquée, l'entreprise a choisi de montrer patte blanche pour cette fois. L'initiative de publier le code source de Proton Pass est clairement une main tendue à ses utilisateurs pour renforcer leur confiance.

Proton Pass en open source

Ce gestionnaire de mots de passe intégré au service proposé par la société est un peu plus costaud qu'un gestionnaire classique. Il peut évidemment générer des mots de passe sécurisés pour faciliter la connexion. Proton Mail le présente également comme un « gestionnaire d'identité ». Il est en effet capable de créer des alias d'adresse mail uniques pour que votre véritable adresse ne soit pas connue ou tracée sur le Web. De cette manière, s'il y a une fuite de données par un site tiers, elle ne pourra pas être utilisée comme cible.

Cette décision de passer son gestionnaire en open source permettra à quiconque de pouvoir inspecter le code afin de vérifier que Proton respecte bien ses engagements, et que ses applications fonctionnent en respectant ceux-ci. Un geste à saluer dans un contexte où le vol de données est de plus en plus fréquent.

Un audit indépendant demandé en parallèle

Tout le monde n'a pas les compétences pour inspecter un code source. C'est pour cela que Proton Mail a mandaté une société allemande spécialisée dans les audits de cybersécurité pour passer à la loupe les applications intégrées à Proton Pass. La société en question, Cure53, l'a examiné de manière approfondie : API, applications mobiles et extensions de navigateur.

Le rapport d'audit a conclu que Proton fait les choses sérieusement. Proton Pass présente un niveau de sécurité jugé satisfaisant, mais quelques aspects mériteraient une attention supplémentaire et des modifications. Tous les problèmes identifiés ont été résolus immédiatement par Proton, à l'exception d'un seul, mais celui-ci relève d'une limitation imposée par l'OS Android.

Même si son service n'est pas parfait, on ne peut pas nier que Proton prend la sécurité de ses utilisateurs au sérieux. Son souhait de transparence est clair. Premièrement, cela avantage l'entreprise lorsqu'il s'agit de régler des problèmes potentiels. Proton a en effet développé un programme de recherche de bugs par lequel quiconque peut aider à l'identification de vulnérabilités. Deuxièmement, les personnes qui utilisent la messagerie peuvent être rassurées quant au fonctionnement sain des services offerts par l'entreprise.

Proton Mail

storage1 Go de stockage
securityChiffrement natif par défaut
alternate_emailPas de domaine personnalisé
smartphoneApplications iOS, Android
push_pinJurisdiction Suisse

9.1 / 10

Voir le site

Lire le test

Sources : Proton, Ghacks

Par Camille Coirault

La tech est mon terrain de jeu, la science ma maîtresse capricieuse et le jeu vidéo (malgré mes overdoses récurrentes de AAA) mon péché mignon. Voici votre serviteur, explorant la jungle technologique armé d'un simple PC et salivant comme un bouledogue devant la moindre innovation. Transformer le jargon technique en prose savoureuse, traquer les news ultimes avec les neurones toujours à balle de caféine : voilà ma mission.

Articles de Camille Coirault

Cybersécurité

Logiciels & services

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (9)

Caramel34

Donc du coup si on a le code source on peu facilement trouver les mots de passe non ?
Je demande je n’y connais rien

Werehog

Eh bien… pas du tout ! On peut juste chercher les failles plus facilement (pour ceux qui s’y connaissent vraiment très très bien) mais c’est à double sens : la société sera prévenue plus facilement pour aider à les corriger. Beaucoup de sociétés font ça désormais.

Afk

Heureusement non. En fait, faut voir ça comme une machine à chiffrer des messages.
La machine en elle-même permet de chiffrer et traduire les messages mais elle a besoin de paramètres ainsi que d’une clé ou d’un code qui influe sur le résultat produit par la machine. Et avoir le contenu à chiffrer/déchiffrer bien entendu.

Si on a pas l’ensemble de ces éléments, ça n’est pas exploitable. (à la condition que la machine soit bien conçu)

Et en soit, un gestionnaire de mot de passe a un fonctionnement proche.

Pour un cas concret, il y a un exemple très bien documenté qu’est le système de chiffrement des échanges utilisés par les Allemands pendant la seconde guerre mondiale : Enigma (machine) — Wikipédia

(l’article Wikipédia est très complet mais il y a des vidéos ou des articles qui résument l’histoire de façon vulgariser.)

Caramel34

Donc en fait dévoiler le code source ne sert strictement à rien car il peut très bien y avoir « des mouchards » dans la clé ou le code

Comme vouloir passer quelque chose en contrebande dans une voiture, le code source c’est la voiture et le clé c’est le moteur. Je planque ma contrebande dans le moteur. Je démonte la voiture pour montrer que je n’ai rien mais hors de question d’ouvrir le moteur, car c’est la clé qui permet à la voiture de rouler.

MattS32

Non, la clé c’est « inerte », c’est comme un mot de passe, ça ne contient pas de code exécutable.

Et cette clé n’est pas fixée par Proton Pass de toute façon : pour chaque utilisateur, soit le code (celui qui est publié) génère une clé aléatoire, et cette clé est ensuite stockée en la chiffrant avec le mot de passe maître défini par l’utilisateur, ce qui fait que seul quelqu’un qui a le mot de passe maître de l’utilisateur peut accéder à la clé, soit le code génère une clé dérivée du mot de passe maître (et donc là encore, si on ne connait pas le mot de passe maître, on ne peut pas avoir la clé).

Si tu fais l’analogie avec la voiture, la clé n’est pas le moteur, mais bien juste… la clé qui permet de démarrer la voiture.

Caramel34

Merci

Catstom

Publier le code source c’est bien mais qu’est-ce qui prouve que l’application compilée qui tourne sur le serveur correspond bien au code source publié ?

MattS32

La partie « sensible » de l’application, celle qui a accès aux mots de passe en clair, ne tourne pas sur le serveur, mais sur la machine de l’utilisateur.

Donc il « suffit » de vérifier que :

le code n’envoie pas d’informations sensibles au serveur : il ne doit lui envoyer que des données chiffrées, sans aucune information permettant de les déchiffrer (donc pas d’envoi du mot de passe maître au serveur),
l’application téléchargeable (Android, iOS et extensions de navigateurs) est conforme à ce code source (pas trivial à vérifier, mais pas impossible non plus, surtout s’ils fournissent les scripts de build, il suffit alors de les exécuter puis d’étudier les différences entre la version qu’on a compilée et celle fournie par Proton, différences qui doivent normalement être minimes).

C’est d’ailleurs uniquement le code des applications qui a été publié, pas le code côté serveur.

Ashgan

Si on va par là … et en suivant ton raisonnement.
La liste des ingrédients sur la nourriture c’est pareil, tout comme les composants d’un médicament, …
Bref au bout d’un moment c’est bien de chercher la petite bête mais pas que cette recherche devienne ridicule …