Avis Proton Pass (2024) : un gestionnaire de mots de passe prometteur, mais limité

Après un premier semestre prometteur, qui mêle baisses de prix et arrivée de nouvelles applications, Proton Pass continue de s'améliorer et de se faire une place parmi les meilleurs gestionnaires de mots de passe en 2024.

L'année 2024 a bien commencé pour les utilisateurs de Proton Pass. Suite au succès de son gestionnaire, et à contre-courant des tendances actuelles, Proton avait décidé de baisser le prix de l'abonnement annuel, le faisant passer à 1,99 € par mois au lieu des 3,99 € demandés auparavant. En avril, le service continue de s'améliorer et, après la mise en place d'un accès anticipé à la version Windows de son application, la voici désormais disponible. En parallèle, la web app est désormais accessible à tous. L'entreprise a aussi étendu ses offres d'abonnement, en proposant dorénavant des forfaits pour les business.

L’offre

Pour les particuliers

Proton Pass peut être utilisé gratuitement. Dans cette version, vous pourrez enregistrer un nombre illimité de connexions et de notes, ainsi qu’utiliser un nombre illimité d’appareils. Les alias « hide-my-email » seront cependant limités à 10 et le partage du coffre-fort à 3 personnes. Cette offre gratuite pourra donc être utilisée au quotidien et sera une bonne manière de tester le logiciel avant de sortir la carte bancaire.

Côté abonnements, Proton Pass en propose trois. Le premier d’entre eux est Pass Plus, à 4,99 € par mois en paiement mensuel ou 1,99 € par mois pour les utilisateurs prêts à s’engager sur 12 mois. Comme pour la version gratuite, vous pourrez enregistrer un nombre illimité d’éléments sur un nombre illimité d’appareils, tout en profitant d’alias illimités, de plusieurs coffres-forts pour enregistrer vos données, d'un accès à Proton Sentinel ainsi qu'un partage plus étendu.

Le deuxième abonnement disponible est Proton Unlimited, à 12,99 € par mois en paiement mensuel. Cet abonnement donne accès à tous les services premium de Proton, à savoir Mail, Calendar, Drive, VPN et Pass. Enfin, le dernier abonnement est Proton Family, à 29,99 € par mois. Comme Unlimited, il donne accès à tous les services Proton, mais cette fois pour 6 personnes. 

Pour les professionnels

Depuis peu, Proton Pass propose des offres réservées aux entreprises. Pour fêter le lancement de ces nouveaux forfaits, le service offre -50% sur le prix des abonnements pour un temps limité, une réduction qui sera valable à vie pour ceux qui décident d'opter dès maintenant pour le gestionnaire. Il existe deux forfaits :

• Pass Essentials, au prix de 4,99 € par mois et utilisateur en paiement mensuel ou 1,99 € par mois et utilisateur en paiement annuel : nombre illimité d'identifiants, notes, cartes de paiement, appareils, alias "hide-my-email" et coffres partagés avec droits d'accès. Les données sont hébergées en Europe, dans des centres de données appartenant à Proton, et le forfait contient également un support 24/7 ainsi que l'authentification A2F intégrée.
• Pass Business, au prix de 6,99 € par mois et utilisateur en paiement mensuel ou 2,99 € par mois et utilisateur en paiement annuel : tous les avantages de Pass Essentials, auxquels sont ajoutés Proton Sentinel, des demandes d'authentification A2F, une authentification unique ainsi qu'une gestion des groupes. Ces deux dernières fonctionnalités seront disponibles prochainement.

Interface et ergonomie

L’import de données

À peine un an après son lancement, Proton Pass est déjà bien équipé. Il propose une couverture multiplateforme très complète, distribuant des applications pour Windows, macOS, GNU/Linux, Android et iOS (avec une interface optimisée pour iPadOS). On lui doit également une web app, et des extensions pour Chrome, Firefox, Brave, Edge et Safari, ce qui lui permet de s'imposer comme une alternative convaincante aux gestionnaires par défaut des navigateurs, limités en termes de fonctionnalités et de synchronisation cross-plateforme.

Après avoir ajouté l’extension à notre navigateur, le gestionnaire nous propose d’importer les données que l’on a déjà enregistrées au sein d’autres gestionnaires de mots de passe. Le problème étant que l’import est assez rigide, en ne nous permettant que de choisir parmi des gestionnaires prédéfinis par Proton. Un choix logique, puisque tous les fichiers d’import ne se ressemblent pas selon les gestionnaires utilisés, mais nous aurions aimé un template nous permettant d’organiser nos données nous-mêmes pour pouvoir les importer à partir de n’importe quel logiciel.

Par exemple, dans notre cas, notre gestionnaire de mots de passe habituel - Enpass - n’était pas présent dans la liste. Après quelques essais infructueux en tâtonnant et en essayant de sélectionner d’autres gestionnaires avec un format de fichier similaire au nôtre, nous avons dû passer par un import sur Bitwarden, qui prenait en charge notre gestionnaire, puis exporter les données de Bitwarden pour les importer sur Proton Pass. Avec cette technique, l’import de nos identifiants s’est déroulé sans accroche.

L’ajout d’identifiant

Dans sa version pour ordinateur, Proton Pass vit dans la partie de notre navigateur réservée aux extensions. Un clic sur son icône ouvre une petite fenêtre, qui présente nos identifiants déjà présents et nous permet d’accéder à nos différents coffres. On peut choisir d’enregistrer directement des identifiants, des alias, des notes et des cartes de crédit.

Si l’on choisit d’ajouter nous-mêmes un identifiant, Proton nous laisse remplir tous les champs : nom de l’élément, identifiant de connexion (avec possibilité de créer un alias), mot de passe que l’on peut générer, double authentification, URL du site auquel sera lié l’identifiant (qui peut être détectée et ajoutée automatiquement dans certains cas), ainsi qu’une note. Si besoin, nous pouvons ajouter des données supplémentaires, que ce soit du texte ou des informations qui doivent être cachées. La création d’autres éléments se fait de la même façon, avec des champs adaptés au type de donnée que l’on souhaite sauvegarder. Ces ajouts manuels ne sont pas pratiques : la fenêtre qui s’ouvre est assez petite et se referme dès que l’on clique ailleurs sur notre navigateur. Cependant, bonne nouvelle : l'application web est désormais disponible pour tous, et règle une bonne partie de ces problèmes, et l'application pour Windows est en accès anticipé, avec des versions macOS et Linux qui devraient suivre sous peu. En attendant, si vous disposez d'un Mac ARM, il est possible d'installer la version iPad depuis le Mac App Store.

Lorsque l’on se crée un compte sur un site, Proton Pass détecte automatiquement les champs du formulaire qui correspondent aux identifiants et mots de passe. Pour le moment, le service ne nous permet pas de créer des identités complètes, nous devons donc entrer quelques informations manuellement. Pour le mail, il nous propose soit d’utiliser notre adresse mail Proton, soit de générer un alias qui utilise le nom du site sur lequel on s’inscrit.

Pour le mot de passe, même chose, Proton nous en crée un automatiquement et le renseigne sur le formulaire en un clic. Pour le moment, il n’existe pas d’option pour personnaliser ces mots de passe automatiques, par exemple pour faire en sorte qu’ils fassent toujours un certain nombre de caractères ou qu’ils soient plutôt des phrases faciles à mémoriser au lieu de caractères aléatoires. Proton ne génère que des mots de passe de 16 caractères avec lettres, chiffres, symboles, majuscules et minuscules. Pour profiter d’options avancées, il faut aller dans l’extension, appuyer sur le bouton qui permet de créer un nouveau mot de passe et choisir les options que l’on souhaite, avant de copier et d’ajouter manuellement ce sésame à notre formulaire. De cette manière, nous pouvons choisir le type de mot de passe, sa longueur, ce qu’il doit inclure, etc.

La fonctionnalité a tout de même ses limites, notamment si l’on cherche à s’inscrire sur un site qui a un schéma d’inscription plus complexe qu’un simple formulaire sur une seule page où sont présents à la fois le champ pour l’adresse mail et à la fois le champ pour le mot de passe. Par exemple, si le site commence par vous demander de renseigner une adresse mail avant de finalement vous demander un mot de passe après validation du mail, le gestionnaire ne détectera pas correctement qu’il est face à une inscription et qu’il doit donc proposer de générer un alias, il sera nécessaire de le créer manuellement.

La connexion

Si le champ contenant l’adresse du site web lié à votre identifiant a bien été rempli, Proton Pass vous indiquera qu’il possède des éléments de connexion pour ce site et les remplira automatiquement en un clic. Dans le cas contraire, il vous faudra aller les chercher manuellement dans l’extension et les copier-coller vous-même dans les champs de connexion. Malheureusement, l’extension ne détecte pas que vous utilisez des identifiants existants et vous proposera de les réenregistrer dans le gestionnaire en tant que nouvel élément, sans offrir de modifier automatiquement celui déjà présent pour simplement y ajouter l’URL de connexion.

Si vous choisissez de changer l'un de vos mots de passe, Proton Pass n’arrive pas non plus à détecter ces modifications et vous devrez ajouter votre nouveau mot de passe manuellement dans le gestionnaire. Pour ça, vous pourrez profiter de l’historique de mots de passe, qui contient les sésames générés récemment. Une solution imparfaite à une fonctionnalité qui mériterait d’être déjà présente et sur laquelle Proton a indiqué travailler.

Sur mobile

Pour utiliser Proton Pass confortablement sur mobile, il est conseillé d’activer l’option « Remplissage automatique » dans l’application et de sélectionner Proton Pass. La fonctionnalité n’est pas infaillible, mais fonctionne de façon satisfaisante la grande majorité du temps. Si Proton Pass arrive à détecter le site web ou l’application sur laquelle vous souhaitez vous connecter, il vous proposera de remplir automatiquement les informations qu'il possède. Sinon, vous aurez une option pour ouvrir l’application et sélectionner des identifiants existants que vous pourrez lier au site web ou à l’application auxquels vous cherchez à vous connecter pour dire à Proton Pass de toujours les utiliser dans le futur.

Pour la création de compte, vous aurez l’option d’ouvrir Proton Pass. Il vous suffit d’appuyer sur le + et de choisir de créer un identifiant pour que l’application détecte l’app ou le site sur lequel vous souhaitez vous inscrire et vous affiche les champs à remplir pour créer votre nouvel élément dans le gestionnaire. Comme sur l’extension, vous pouvez le laisser remplir automatiquement l’adresse mail avec votre adresse Proton ou un alias, et vous pouvez le laisser générer un mot de passe, avec la possibilité de modifier les options, comme sa longueur.

La sécurité de Proton Pass

Proton a l’habitude de rendre ses applications open source et son gestionnaire ne déroge pas à la règle. Il est possible de consulter le code source des extensions, de l’application iOS et de l’application pour Android. Proton a également demandé à Cure53 de réaliser un audit de son gestionnaire en mai et en juin 2023. Les résultats sont disponibles publiquement et les conclusions sont plutôt positives, avec tout de même des impressions plus mitigées pour l’extension de navigateur. Cependant, Proton a résolu la grande majorité des problèmes soulevés par l’audit, avec des vérifications de Cure53.

Avec la volonté de l’entreprise de créer une galaxie de services unifiés, se connecter à Proton Pass nécessite de se connecter à son compte Proton, ce qui en retour nous connecte à tous les services de l’entreprise et nous permet de bénéficier de la protection Sentinel (système de double surveillance des accès au compte, combinant intelligence artificielle et intelligence humaine). Notre mot de passe maître, qui débloque l’accès à notre gestionnaire, est donc le mot de passe de notre compte, qu'il est nécessaire de sécuriser au maximum si l'on décide d'utiliser Proton Pass. Pour protéger plus en avant l’accès au gestionnaire, nous pouvons ajouter un code PIN ou de la biométrie.

Comme pour le reste des produits Proton, on retrouve un chiffrement de bout en bout de l'ensemble des données enregistrées. Ni l’entreprise ni qui que ce soit d’autre peut donc savoir sur quels sites vous possédez des comptes, même en cas d’attaque sur les serveurs de Proton. À noter également : le recours à l'algorithme de hachage Argon2, particulièrement efficace pour protéger les identifiants contre les intrusions, même en mode hors ligne.

Depuis début 2024, on trouve chez Proton Pass un module baptisé Pass Monitor. Le gestionnaire rattrape ici son retard sur la concurrence en offrant enfin des outils de surveillance en temps réel des compromissions et des fuites de mots de passe sur le Dark Web. Mieux encore, la fonctionnalité est capable de détecter les comptes enregistrés compatibles MFA pour lesquels l'A2F n'a pas été activée. Le cas échéant, Proton Pass vous prévient et vous indique la marche à suivre.

Les fonctionnalités additionnelles

La plus grosse fonctionnalité qui permet à Proton Pass de se démarquer est la création d’alias Hide-my-email – via la filiale française Simple Login, rachetée l'été dernier – dont nous avons déjà parlée au-dessus. Créer des alias lors de l’inscription à des sites présente de nombreux avantages : nous pouvons supprimer facilement l’alias si l’on ne souhaite plus recevoir les mails, sans avoir à se désinscrire manuellement des listes de diffusion, ils permettent de déterminer quel site a communiqué nos informations personnelles à ses partenaires et donc d’éviter le spam, mais également, lors de fuites de données, ce n’est pas votre véritable adresse mail qui fuite. Ainsi, ni vos autres comptes ni votre véritable adresse mail ne pourra être ciblée par d’autres attaques.