La messagerie sécurisée ProtonMail s'est fait connaître l'année dernière, peu après les révélations sur les pratiques des agences de renseignement dans le cadre de l'affaire PRISM. Nous avons pu approcher Andy Yen, l'un de ses cofondateurs.
Le service ProtonMail a été conçu pour démocratiser au maximum le chiffrement des emails avec une solution hébergée et clé en main. La société Proton Technologies a récemment obtenu une levée de fonds de 2 millions de dollars afin d'accélérer son développement. L'objectif : garantir la vie privée tout en offrant une solution fonctionnelle, simple et complète.
Andy Yen, cofondateur de la jeune pousse et anciennement au CERN, a accepté de répondre à quelques-unes de nos questions.
Vous avez récemment augmenté la capacité de stockage des boites mail à 1 Go. Pourriez-vous clarifier la date limite du 17 juin pour bénéficier de ce quota ?
Andy Yen :Tous ceux qui s'inscrivent sur la liste d'attente avant le 17 juin auront la garantie d'avoir 1 Go de stockage à vie. Dans la mesure où cela prend un peu de temps de recevoir une invitation après s'être inscrit, nous prenons ce temps d'attente comme date limite. Après le 17 juin, le stockage repassera à 500 Mo pour les nouveaux utilisateurs. Pour le moment, nos ressources sont encore limitées.
Vous envisagez de développer des applications pour iOS et Android. Quid de Windows ?
A.Y : Nous n'avons aucun projet pour l'instant. Malheureusement, le développement sur iOS, Android et sur le Web demande beaucoup de travail. S'il y a des volontaires qui sont intéressés pour concevoir ProtonMail sur Windows, nous serions heureux de soutenir cet effort mais nous n'avons pas les ressources internes pour Windows Phone pour le moment.
Vous avez récemment levé 2 millions de dollars. Comment comptez-vous développer un modèle économique sur le long terme ?
A.Y : Nous espérons développer une stratégie similaire à celle de Dropbox, avec des comptes payants pour plus de stockage ou des fonctionnalités additionnelles. Nous espérons également faire payer des comptes professionnels, ce qui permettra de financer les comptes gratuits destinés au grand public.
Donc vous envisagez une version de ProtonMail pour les entreprises ?
A.Y : Oui, c'est sur la feuille de route mais nous nous concentrons actuellement sur le développement de nos applications pour iOS et Android.
Afin d'augmenter votre base d'utilisateurs, pensez-vous pouvoir autoriser l'ajout d'une adresse email personnelle existante en tant qu'alias aux options de ProtonMail ?
A.Y : Oui nous ferons cela de deux manières. La première est la configuration d'un alias à la manière de Gmail. La seconde est de permettre aux détenteurs d'un nom de domaine d'héberger directement leurs emails sur ProtonMail (en pointant les valeurs MX de leur domaine vers ProtonMail et en passant outre les serveurs mail tiers pour plus de sécurité).
Google et Yahoo! planchent sur leur extension End-to-End. Qu'en pensez-vous ?
A.Y : Cela fait toujours plaisir de voir plus d'efforts dans ce domaine. Cependant, beaucoup de gens ont des doutes sur la sincérité de ces travaux étant donnée la nature incompatible du concept de chiffrement End-to-End avec leur modèle économique (NDRL: Yahoo! et Google ne seraient pas en mesure de scanner le contenu des messages pour retourner de la publicité ciblée.)
Êtes-vous intéressés par le développement d'une extension de type Mailvelope fonctionnant avec toutes les messageries ?
A.Y : Nous y avons songé mais nous nous sommes rendus compte que nos utilisateurs cherchent à quitter complètement Gmail et à faire usage d'un webmail qui ne repose pas sur des infrastructures basées aux États-Unis.
Combien de temps cela prendrait-il pour déchiffrer un message envoyé au travers de ProtonMail ?
A.Y : Si l'on considère la puissance informatique d'aujourd'hui, cela prendrait plus d'un milliard d'années à un ensemble d'ordinateurs pour craquer le chiffrement AES-256 que nous utilisons. Bien sûr, les avancées futures dans l'informatique pourraient amoindrir ce temps mais à l'heure actuelle, AES-256 est considéré comme extrêmement sécurisé.
Certains de nos lecteurs soulèvent le fait que vous ne disposez pas d'un modèle open source et donc que dans une certaine mesure vous manquez de transparence...
A.Y : Ce n'est pas complètement vrai. ProtonMail est basé sur la bibliothèque OpenPGPjs et participe à son développement ; celle-ci est complètement open source. Quelques portions de notre code d'architecture est fermé pour des raisons de sécurité. L'intégralité du chiffrement est opéré en frontend. Le backend ne gère que les données qui sont déjà chiffrées, donc il n'y a pas grand intérêt à publier ce code. Cela donnerait des informations à une personne malveillante sur la manière dont nos serveurs sont configurés, ce qui pourrait rendre ProtonMail plus vulnérable aux attaques de type DDoS.
Comment réagiriez-vous si un jour, un terroriste était arrêté en train de composer un message sur ProtonMail ?
A.Y : Je réagirais de la même manière que s'il avait été arrêté en train d'utiliser Gmail ou un téléphone portable. Que cela plaise ou non, les terroristes utiliseront ces outils comme n'importe qui d'autre. Ce n'est pas parce que les terroristes utilisent le métro que l'on va fermer ce dernier. Si l'on considère la situation de manière rationnelle, les apports du chiffrement pour protéger sa vie privée sont plus importants que le risque qu'un terroriste fasse usage de ProtonMail.
Les terroristes ont utilisé des moyens de communication secrets bien avant l'existence de ProtonMail. Nous n'avons rien changé. En revanche ce que nous avons fait, c'est donner à des millions de gens à travers le monde une manière simple et pratique pour retrouver leur vie privée.
Vous avez récemment introduit plusieurs nouveautés. A quoi pouvons-nous nous attendre pour le reste de l'année 2015 en ce qui concerne l'interface Web ?
A.Y : Pour l'instant c'est secret (Il sourit). Comme certains utilisateurs l'on remarqué, notre rythme de développement s'est accéléré ces derniers mois. La version 1.17 est actuellement en développement et lorsqu'elle sortira, je pense que ce sera une vraie surprise pour beaucoup de gens.
Êtes-vous intéressé par le domaine de la messagerie instantanée ?
A.Y : J'y suis personnellement intéressé mais je pense qu'il y a moins d'urgence sur ce secteur. Il y a déjà actuellement quelques applications pas mal aujourd'hui. Pour le moment nous souhaitons d'abord nous perfectionner sur l'email.
Enfin, pensez-vous que le chiffrement sera un jour adopté massivement ?
A.Y : Je l'espère ! Si vous demandez à n'importe qui s'il souhaite une meilleure vie privée, personne ne répondra "non" à cette question. Ce qu'ils demandent toujours c'est ce dont ils devront se passer pour obtenir plus de vie privée et plus de sécurité. Notre objectif est de réduire au maximum le coût de la vie privée et de la sécurité. Je pense que si nous nous développons au point d'avoir toutes fonctionnalités de Gmail mais sans publicité et avec la garantie d'une vie privée respectée, alors nous deviendrons très populaires puisqu'il n'y aura plus de raison de se passer du chiffrement des emails.
A lire également :