ProtonMail : nouvelle version web en bêta et app iOS open source
Le service d'emails chiffrés ProtonMail a fait deux annonces importantes à quelques jours d'intervalle. Le service a lancé en bêta une mise à jour majeure de sa web app.
Au niveau technique, ProtonMail 4.0 délaisse le framework AngularJS pour le plus récent React, avec à la clé de meilleures performances et plus de flexibilité. Ce changement permettra à l'éditeur de créer plus facilement des thèmes, un thème sombre devant d'ailleurs arriver au cours du bêta test.
L'interface un peu vieillotte a été modernisée, avec des couleurs plus contrastées et globalement une meilleure lisibilité. Pour tester cette version 4.0, il vous suffit de vous rendre sur beta.protonmail.com.
La deuxième annonce est le passage en open source de l'application iOS. C'est une étape importante : ProtonMail faisant de la sécurité et de la confidentialité ses marques de fabrique (les emails sont chiffrés de bout en bout, les serveurs situés en Suisse…), consulter le code source de l'application permet de s'assurer que certaines promesses sont tenues. L'éditeur a également publié un article détaillant les mesures de sécurité prises dans son app iOS.
La formule gratuite de ProtonMail est limitée à 500 Mo de stockage et 150 emails par jour. Les abonnements débutent à 4 €/mois, avec 5 Go de stockage, 1 000 messages par jour et des fonctionnalités supplémentaires.
J’ai été sans doute l’un des 100 premiers clients et je le suis toujours ;)
Je pourrais en dire autant, je fais sûrement partie des 5 premiers :-D
Client et je ne regrette pas. La fonction qui permet de lier un nom de domaine personnel est vraiment bien.
Leur vpn est aussi nickel ! (ProtonVPN)
Quelle est la taille maximale des pièces jointes ? Y a-t-il une fonction similaire à MailDrop pour les fichiers volumineux ?
Le mail est top, et en effet pouvoir héberger son domaine est très pratique!
Plus réservé sur le VPN, pas tjs très stable et avec quelques serveurs saturés.
@Sometime
Pour le VPN je pensais que ça venait de moi.. je suis donc pas le seul à subir de temps en temps les choses que tu décris. En général je deco reco le VPN et ça repars .. ☺️
@MaKRoute
Alors pour le retour d’expérience, j’ai remarqué plusieurs choses qui peuvent expliquer. La première c’est que leur choix automatique de serveur de connection est un peu hasardeux et cela peut mener à connecter tout le monde sur le meme server jusqu’a sa saturation (typiquement aux États-Unis).
La seconde c’est le client MacOS lui même qui est un peu perdu parfois - notamment quand le Kill Switch est activé. En effet relancer le client a tendance a résoudre le problème (bien qu’une fois ou deux j’ai eu l’impression que le-dit client s’était locked-out lui-même avec la fonction KillSwitch)
Enfin leur « core » solution avec double hoping a tendance a être la moins stable
@Sometime
Merci de ton retour. C’est exactement ce que je pensais. Espérons qu’ils corrigent ces petits désagréments ☺️
J’adore Proton pour leurs e-mails et aussi le VPN. Super boîte !
J'y suis depuis 2 ans et suis ravis des services mail et VPN, j'ai bien envi de tester la beta...
Quelqu’un peu m’expliquer colombe si j’avais 10 ans en quoi le fait d’être open source est un gage de sécurité ? Ça ne permet pas au contraire à des gens mal intentionnés de savoir exactement comment tout fonctionne ?
@krully37
Au contraire, ça permet d'assurer la sécurité du code-source et du logiciel : tout le monde peut le vérifier et comparer avec la code source original, donc toute modification est signalée. Comme toute contribution est identifié grâce au développeur qui l'a faite, il est très facile de remonter jusqu'à ceux qui veulent "bidouiller".
@nykk
Oui enfin rien ne prouve que la version de l’AppStore correspond à la version sur github. Il faudrait plutôt faire la compilation et installation via Xcode pour être sur de l’application.
Mode parano off
@creatix
Mais avec une version open source, il est possible de faire ce test et d'éventuellement découvrir que la version sur l'AppStore n'a pas le même comportement que la version open source... ou, au contraire, que c'est bien le cas.
Alors que sans version open source, vous ne pouvez que comparer que... ben, rien. Donc du coup vous ne pouvez pas vérifier quoi que ce soit.
Quand vous mettez le client gratuit de votre service dont la formule premium est la source de vos revenus en open source, vous avez franchement intérêt à le faire en vrai transparence, parce que le bad buzz dans le cas où un curieux découvrirait l'entourloupe vous coutera très très cher, en particulier si votre service est un service lié à la confiance dans la confidentialité et la protection des données privées des clients potentiels ! Un flagrant délit de mensonge, cela donne rarement confiance.
@byte_order
Je ne dit pas le contraire mais comment comparer la version de l’AppStore avec la version github ?
il n’y a pas moyen d’extraire une application de l’AppStore pour compare la signature à ma connaissance.
Après je suis d’accord qu’il y a très peu de chance que cela soit différent (risque en cas de bas buzz énorme) mais sans moyen de comparaison...
@creatix
> comment comparer la version de l’AppStore avec la version github ?
Ben, déjà, en observant le contenu du fichier .ipa de l'application venant de l'AppStore.
Ensuite, en décompilant les exécutables, ce qui est possible sur toute plateforme iOS jailbreaké.
Et, si ni vous ni moi n'avons probablement les compétences pour savoir le faire, des développeurs avec un peu de d'expérience sur iOS, eux, l'ont.
En cas de doute, donc, suite par exemple à la détection de comportements étonnants par rapport à ce que le code source publié laisse penser, un développeur aguerri pourra le faire.
C'est sur que pour l'utilisateur lambda, le code source, cela ne lui sert à rien.
Mais ce n'est pas le public visé. Celui visé, c'est celui des développeurs.
@byte_order
"Et, si ni vous ni moi n'avons probablement les compétences pour savoir le faire, des développeurs avec un peu de d'expérience sur iOS, eux, l'ont.
En cas de doute, donc, suite par exemple à la détection de comportements étonnants par rapport à ce que le code source publié laisse penser, un développeur aguerri pourra le faire."
Ah merci de rectifier.
@krully37
L'accès au code source permet à tout le monde qui le souhaite de découvrir :
- si le code source dissimule un comportement pas clair
- si le code source ne correspond pas au comportement observable du logiciel binaire distribué
Dans ces 2 cas, donc, de voir donc si le développeur et/ou l'éditeur dissimule quelque chose.
Mais cela permet également, en effet, de découvrir :
- des failles de sécurité, ce qui permet de le exploiter ou de les combler, selon le choix moral (ou financier) de la personne.
Il faut noter qu'une faille de sécurité existe que le code source soit public ou pas !
La nuance se joue ailleurs : dans le cas de l'ouverture du source, cela augmente de manière égale leur découverte par des personnes mal intentionnées *et* par des personnes bien intentionnées, ce qui réduit de facto l'avantage pour les personnes mal intentionnées, car elles n'auront pas longtemps pour l'exploiter.
Cela ne supprime pas les failles de sécurité, mais cela limite la durée d'exploitation et ainsi l'ampleur des dégâts, là où l'obscurantisme permet une exploitation bien plus longue.
@byte_order
"L'accès au code source permet à tout le monde qui le souhaite de découvri"
Non pas tout le monde: seulement des devs compétents avec du temps libre.
Faut arrêter avec ce mantra. Et ce n’est pas contre le logiciel libre que je dis ça.
Que vaut il par rapport à Spark ?
Son seul avantage est sa confidentialité non ?
Spark c'est juste un client mail, un logiciel, comme outlook ou mail, le client de base.
Protonmail, comme gmail, icloud et autre, c'est là où tu peux envoyer et recevoir tes mails.
Et là, ils viennent de refaire l'interface web qui te permet d'accéder à tes mails.
Un peu comme la page sur laquelle tu arrives quand tu vas sur gmail.com
@Achylle_
Merci pour les explications
C'est pas juste confidentiel, c'est chiffré et situé en Suisse, donc lois différentes.
Super boite que proton, je vais très certainement basculer ma boite mail chez eux prochainement.
Je ne connaissais pas l'option pour le nom de domaine, c'est un bon point.
Sinon, j'ai déjà leur VPN et j'en suis très satisfait (débits et sécurité).
Une véritable valeur sure !
Je confirme également que c’est un super produit qui ne cesse d’évoluer. Moi, cette boîte elle me redonne confiance en l’humanité!
Je confirme excellent service (mail comme VPN).
Très pratique pour moi professionnellement.
Je n'ai pas encore été voir sur son site web le fonctionnement et ce que propose ProtonMail, mais petite question à ses clients :
Si je comprends bien, ils proposent une messagerie mail sécurisée, sans logs, où vos mails sont chiffrés, avec une connexion chiffrée end-to-end avec votre interlocuteur. Ok, si votre interlocuteurs est aussi sur ProtonMail (ou si son prestataire mail utilise les mêmes protocoles (en Open Source ?) que ProtonMail. Çà c'est dans l'idéal.
Mais généralement vos interlocuteurs sont sur d'autres messageries (gmail, outlook, etc.). Or le principe même du mail est celui de la carte postale, lisible et interceptable assez facilement pour ceux qui savent, etc. À moins que le contenu même du mail soit chiffré (façon PGP par exemple, avec clé privé et clé publique) — et je ne parle même pas des métadonnées qui restent lisibles et qui donnent déjà pas mal d'infos — utiliser ProtonMail est un peu inutile.
Dites-moi, avant d'aller étudier cela sur leur site, si je me trompe…
@vincentn
Hello,
Assez rapidement:
- Alors il y a des logs il me semble.
- Pour le reste c’est en gros en effet du GPG user-friendly. Avec quelques nuances pour justement répondre a la problématique des communications depuis/vers des adresses non-proton:
- gestion de GPG avec des adresses non-proton
- ré-encryptage des emails reçus d’adresses non-proton
- envoi de message chiffré avec un système de mots de passe.
De mémoire, donc a ré-vérifier sur le site pour avoir les informations officielles bien-sur.
@Sometime
@PierreBondurant
Merci. Effectivement, dans les grandes largeurs, un GPG friendly avec un niveau d’opacité accru entre usagers ProtonMail et des raffinements supplémentaires comme le message avec date de péremption.
Je viens rapidement checker sur leur site.
À priori, pour les envois de mails chiffrés vers des usagers non ProtonMail, type iCloud ou Gmail, ils envoient juste un mail de notification avec un lien pour se connecter via un navigateur sur une page. Et de là il faut entrer un MdP/Clé privée pour pouvoir lire le message.
@vincentn
Si un utilisateur connaît le comportement du serveur email pour l’envoi vers des mails non GPG (iCloud, Hotmail...) je serais intéressé aussi. Merci!
@PierreBondurant
Pas certain que ce soit bien ce que tu cherches mais voir le mode d emploi ici https://protonmail.com/support/knowledge-base/encrypt-for-outside-users/ ou également ce récap des différents scénarios possibles https://protonmail.com/support/knowledge-base/what-is-encrypted/