Protomail : PGP Support

Avec Protomail, il est désormais possible d’envoyer des messages chiffrés avec PGP

Comment utiliser PGP
PGP est une méthode éprouvée de protection des communications par courrier électronique avec un chiffrement de bout en bout (qui empêche toute lecture de courrier électronique par des tiers, y compris le fournisseur de courrier électronique).
ProtonMail est unique car PGP est entièrement intégré, de sorte que vous ne devez suivre aucune étape supplémentaire pour bénéficier du chiffrement PGP. Cela signifie qu’avec ProtonMail, tout le monde peut utiliser PGP, quelles que soient ses connaissances techniques.
Tous les messages entre les utilisateurs de ProtonMail sont automatiquement chiffrés de bout en bout. De plus, tous les messages dans les boîtes de réception ProtonMail sont protégés par le chiffrement PGP pour nous empêcher (ou quiconque) de lire ou de partager vos e-mails en mode veille, concept appelé chiffrement à accès nul (zero-access encryption).
Par défaut, ProtonMail communique avec des comptes de messagerie externes sans chiffrement de bout en bout. Bien que nous stockions vos courriers électroniques chiffrés, le fournisseur de messagerie externe de l’autre côté pourrait avoir accès aux courriers électroniques envoyés par ProtonMail. Pour fournir un chiffrement de bout en bout entre ProtonMail et les fournisseurs de messagerie externes, ProtonMail propose deux options: le chiffrement pour les utilisateurs extérieurs et le chiffrage PGP.
Utilisation de PGP avec ProtonMail
Vous pouvez utiliser notre fonction Chiffrer pour les utilisateurs extérieurs ou, pour des contacts plus performants, le chiffrage PGP externe de ProtonMail.
PGP fonctionne en générant une paire de clés: une clé publique et une clé privée. La clé publique peut être distribuée à toute personne souhaitant vous envoyer un message et utilisée pour chiffrer un message que vous ne pouvez déchiffrer que. La clé privée est gardée secrète et est utilisée pour le déchiffrage.
Outre le chiffrement, PGP peut également créer des signatures numériques . Les signatures, créées avec votre clé privée, sont la preuve que vous avez écrit le message que vous avez signé. À l’aide de vos clés publiques, d’autres utilisateurs peuvent vérifier ces signatures.
Alors que ProtonMail fait tout cela pour vous automatiquement si les deux parties utilisent ProtonMail, si le destinataire n’utilise pas ProtonMail, mais utilise PGP, il est également possible de le configurer manuellement

One of these decisions was to make encryption key management automatic
and invisible to the user.

Ça m’évoque un point cité par l’ami Zimermann sur la sécurité
informatique.
https://gnuw.arzinfo.pw/permalink/11-2018/2018_10-1984_un_manuel_d-instructions-signal.mp3

Malgré le fait que je constate que GPG a « foiré » au niveau de sa
popularisation, je pense quand même que c’est un bon outil - et que
c’est « les gens » qui ne sont pas prêt (=n’ont pas le temps ni
l’imaginaire positif pour avoir envie de se coltiner l’apprentissage
de GPG).

À mon sens vaut mieux avoir conscience qu’il n’y a pas de sécurité du
tout -et qu’il y aurait un moyen un peu chiant à comprendre pour avoir
beaucoup de sécurité- que de prendre des demi-mesures user-friendly
qui donnent un impression de sécurité sans contrepartie d’effort ou de
compréhension.

C’est un peu prosélyte de dire ça, mais bon… À mon sens c’est mieux
un monde avec des journalistes qui utilises GPG avec leurs lanceurs
d’alertes qu’un monde qui utilise protonmail, et où un jour un état
décide de presser l’entreprise - rien que le fait que protonmail passe
par un webmail permet une grosse variété d’attaque « simple » et
terriblement efficaces en JS en contournant l’obstacle chiffrement…

…Mais j’ai conscience qu’on est dans le monde où les journalistes
utilisent Gmail. Donc non, j’irais pas jusqu’à dire que protonmail
n’est pas une amélioration sur Gmail. Mais c’est quand même un
intermédiaire, et en sécurité chaque intermédiaire est une faille
béante. :frowning:

Tout à fait d’accord et le cas d’Egnima est la preuve qu’il y a toujours moyen de casser ce qui apparaît le plus solide à un moment donné mais cela ne m’empêche pas de fermer ma voiture à clé :smiley:

Il faut aussi voir dans Protomail une garantie de mettre ses données personnelles et privées à l’abri de toutes utilisations marchandes comme avec Gmail

Protonmail est à l’abri économiquement et juridiquement et n’a aucun dev parti pris sur quelque chose ? ^^’

À vrai dire protonmail sera un projet intéressant [pour les paranos, et dieu sait que les journalistes, avocats & co devraient l’être] le jour où on pourra avoir sa propre instance tout en logiciel libre de protonmail à la maison. Ou à la limite une instance sur les serveurs de l’état, ou de l’association de crypto-rigolos du coin. Je serai nettement moins critique envers un “protonlinuxquimper” : ce serait pas idéal, mais au moins on saurait sur qui taper si ça dérapait :wink:

1 « J'aime »

Otyugh,

Les journalistes, avocats, médecins, etc., ont de bonnes raisons de s’assurer de la sécurité de leurs données, pour des raisons tant légales que professionnelles.
Tu n’as sûrement pas envie que tes petites ou grands misères physiologiques soient à tout vent ? Que tes (éventuels !) déboires judiciaires soient sur la place publique, etc.

Il y a ce qui tu considères comme idéalement mieux bien que j’ai des gros doutes sur un serveur mail géré par l’État, et puis il a aujourd’hui et maintenant lorsqu’un utilisateur Lambda d’un ordinateur Lambda me demande avec quoi remplacer sa boite Gmail. Je ne lui propose pas l’auto-hébergement ni l’attente d’un éventuel serveur « protonlinuxquimper » mais d’ouvrir un compte chez Protonmail et si cette personne est un peu plus que lambda je lui propose d’ouvrir un nom de domaine chez Gandi. C’est pas la panacée mais mieux que Gmail ou Outlook même si les serveurs les hébergeant sont sous Linux…:slight_smile:

j’ai des gros doutes sur un serveur mail géré par l’État
Meh, à raison. Je pensais au cas des présidents utilisant Gmail. C’est
clair que si j’étais journaliste, avoir un email chez l’état… Boarf !

aujourd’hui et maintenant lorsqu’un utilisateur Lambda d’un
ordinateur Lambda me demande avec quoi remplacer sa boite Gmail.
Je lui conseille l’asso Gozdata (https://gozmail.bzh), 9€/an pour une
boite de 2Go et prix libre pour 200Mo.
Son principal problème est d’être exclusivement en IMAP et qu’il crée
par le compte mail immédiatement, mais bon…

…Le serveur est avec du logiciel libre et l’adminsys sur Rennes est
sympa, pis c’est une asso loi 1901 ^^’
J’en connais pas beaucoup de ce genre. Tant qu’il restera un « nain » je
trouve ça intéressant.

Tu n’as sûrement pas envie que tes petites ou grands misères
physiologiques soient à tout vent ? Que tes (éventuels !) déboires
judiciaires soient sur la place publique, etc.
Toutafé.

1 « J'aime »

discussion intéressante sur masto à propos des failles de protonmail .

Dans un article, le chercheur Nadim Kobeissi pointe des faiblesses du modèle de sécurité de ProtonMail, qui propose du chiffrement de bout en bout d’emails. Contactée, la société balaie la critique, revendique des choix de conception communs avec d’autres services sécurisés et interroge les intentions derrière cette étude.

Hier, Nadim Kobeissi a publié une analyse formelle de l’architecture de sécurité de ProtonMail (PDF). Professeur à la branche parisienne de la New York University, il est connu pour plusieurs projets, dont Cryptocat et Peerio et pionnier de la cryptographie web (voir notre portrait début 2015). Dans son document, écrit « en quelques jours », il attaque frontalement le service, estimant que son webmail ne fournit pas réellement de chiffrement de bout en bout, pour plusieurs raisons.

« ProtonMail n’a, depuis sa genèse, jamais fourni de garantie de sécurité pour le chiffrement de bout en bout à la majorité de ses utilisateurs », écrit Kobeissi, pensant que la plupart des membres passent par cette version web.

La promesse du chiffrement de bout en bout

L’intérêt de ProtonMail, par rapport aux applications PGP classiques, est que le service gère lui-même le chiffrement et les clés (privée et publique) qui le permettent. ProtonMail conserve la clé privée de l’utilisateur sur ses serveurs, pour la lui fournir sur n’importe quel appareil. Cette clé est chiffrée avec un dérivé du mot de passe de l’utilisateur, inconnu de ProtonMail.

En principe, la clé privée est déchiffrée localement (par exemple dans le navigateur), le serveur n’en ayant que sa copie chiffrée. Toutes les opérations de chiffrement sont effectuées localement, ProtonMail ne voyant que le contenu chiffré des messages ; les métadonnées, dont l’objet, sont tout de même hébergées en clair.

La société a construit une solide réputation sur ce modèle, en devenant par ailleurs la principale responsable d’OpenPGPjs, la bibliothèque qui gère le (dé)chiffrement des données dans le navigateur web. Elle a depuis lancé son propre réseau privé virtuel (VPN), ProtonVPN, promu par Mozilla.

Passons en revue les critiques de Kobeissi, avec les réponses de l’entreprise.

Un outil de chiffrement fourni par le webmail

La principale concerne le webmail, qui permet de consulter les messages en les déchiffrant localement. Problème : OpenPGPjs, la bibliothèque servant à chiffrer et déchiffrer les emails, est fournie par le serveur sans contrôle d’intégrité. En théorie, le serveur pourrait livrer une version compromise d’OpenPGPjs à un utilisateur particulier sans qu’il ne le sache, donc obtenir une copie du mot de passe utilisateur, voire interférer avec les messages.

Pour Kobeissi, le webmail de ProtonMail ne peut pas prétendre fournir du chiffrement de bout en bout, parce que le serveur fournit le code à chaque connexion. Selon lui, l’entreprise doit soit fournir son « webmail » sous forme d’application de bureau (à la distribution certifiée) et retirer la version web, soit arrêter de clamer fournir du chiffrement local.

La société suisse estime que la version web n’invalide pas cette promesse de sécurité. « Le modèle de menace pour la cryptographie web diffère légèrement de celui des applications natives, et nous en convenons. Ce que dit l’article [de Nadim Kobeissi], c’est que la ligne pour le chiffrement de bout en bout devrait être tracée à un autre endroit de celui où nous l’avons tracée. Notre approche [de cryptographie web] était plus controversée en 2014 qu’aujourd’hui, quand les applications en une page sont devenues la norme », nous répond Bart Butler, le directeur technique de ProtonMail.

ProtonMail défend donc son choix, rappelant que les messageries instantanées chiffrées WhatsApp et Wire ont le même modèle sur le web, tout en prétendant fournir un chiffrement local. Interrogé, Nadim Kobeissi refuse d’étendre le débat aux autres services. Il avait pourtant lui-même subi des critiques similaires avec la première mouture de Cryptocat, dont il avait basculé la distribution vers une extension pour navigateur, certifiée par les boutiques officielles d’extensions.

« La vraie solution tient en deux parties. D’une part, il faut un standard dans les navigateurs pour signer des paquets web. Des travaux sont en cours et nous les suivons de près. D’autre part, nous devons stocker des empreintes (checksums ou hashs) de ces paquets web dans un endroit que nous ne contrôlons pas, avec un historique permanent des versions que le navigateur peut vérifier. La blockchain est une option parmi d’autres », ajoute le directeur technique. Il faudrait donc attendre.

Quid des applications mobiles ? Kobeissi rappelle que le code est téléchargé une seule fois à l’installation ou la mise à jour, par le biais d’une boutique d’applications (App Store ou Google Play Store), qui garantit l’intégrité du code. Pas de problème de ce côté, donc. Il groupe avec eux le Bridge, l’application de bureau permettant d’utiliser un client mail local, distribuée directement par ProtonMail.

L’envoi d’emails chiffrés vers des tiers critiqué

En plus du chiffrement d’emails par PGP, entre utilisateurs de ProtonMail ou avec des gens disposant de leurs propres clés PGP, le service permet d’envoyer des emails chiffrés à des tiers sans moyens de chiffrement. À l’écriture du mail, il est possible de le protéger via un mot de passe (« clé prépartagée »), à communiquer au contact par un autre biais. Le destinataire reçoit un message en clair avec un lien vers ProtonMail, qui réclame alors le mot de passe et déchiffre localement le contenu dans une page web.

Selon l’analyse de Kobeissi, le mot de passe peut être récupéré par ProtonMail, une nouvelle fois en envoyant une version compromise d’OpenPGPjs. Il pourrait aussi remplacer la clé publique envoyée au destinataire avec l’email en clair, par une clé publique correspondant à sa propre clé privée, permettant de déchiffrer lui-même le message en toute discrétion.

En outre, le serveur email de réception (par exemple Outlook) pourrait remplacer le contenu de l’email en clair pour rediriger le destinataire vers un site qu’il contrôle, imitant ProtonMail pour obtenir la clé ouvrant le contenu chiffré. Selon Kobeissi, il pourrait même chiffrer et déchiffrer un échange sans être détecté (par une attaque de l’homme du milieu).

« Ce sont des choix de conception délibérés pour faciliter l’utilisation. Cela revient à l’argument plus général sur les applications web. La fonction de chiffrement vers l’extérieur n’est pas appropriée pour les modèles de menace qui incluent les serveurs email tiers comme attaquant actif », répond Bart Butler. Présenter ces choix comme des failles serait donc trompeur, juge-t-il.

Des questions sur la solidité du mot de passe

Kobeissi remarque que les clés des boites de réception, les clés secrètes PGP et les mots de passe des emails chiffrés vers des tiers peuvent être vulnérables à des attaques par dictionnaire. Il est ainsi possible de mettre « 1 », « iloveyou » ou encore « password », assure-t-il.

« Autoriser des mots de passe extrêmement faibles accroit le problème et pourrait permettre l’obtention aisée de la clé privée PGP d’un utilisateur » juge le chercheur. Si un pirate venait à obtenir les emails des clients, il estime qu’il serait possible d’obtenir une bonne part d’entre eux en testant les 100 000 mots de passe les plus communs.

ProtonMail devrait donc imposer une longueur minimale pour les mots de passe, voire utiliser une bibliothèque de contrôle comme zxcvbn. La société pourrait aussi recommander des phrases de passe, argue-t-il.

« La raison pour laquelle nous ne sommes pas plus contraignants sur les mots de passe est que contrairement à beaucoup d’autres services en ligne, les conséquences d’une perte de mot de passe pour ProtonMail sont lourdes. Vous perdez l’accès à tous vos emails, pour toujours. Donc nous voulons vraiment que les internautes utilisent un mot de passe qu’ils peuvent retenir », nous explique l’entreprise.

Concernant les emails chiffrés vers des tiers, le mot de passe peut être donné par de nombreux moyens (comme le téléphone), ce qui justifie cette flexibilité aux yeux du service.

Un mot de passe utilisateur devinable, avec des efforts

Dans sa documentation, ProtonMail détaille la méthode d’authentification sur le serveur, par preuve de mot de passe sans connaissance (Zero Knowledge Password Proof, ou « ZKPP »). Le serveur de ProtonMail n’a aucune connaissance du mot de passe, même pas une empreinte. Par contre, il héberge bien la clé privée PGP de la boite mail, au chiffrement dérivé du mot de passe utilisateur.

Selon l’article, le choix de chiffrer cette clé privée avec un dérivé du mot de passe utilisateur pose un problème de sécurité. « La clé privée chiffrée [avec ce dérivé] agit comme un oracle pour le mot de passe de l’utilisateur. Cet oracle peut être utilisé pour une attaque par force brute ou une attaque par dictionnaire « hors ligne », invalidant donc la promesse de preuve de mot de passe sans connaissance (ZKPP) » écrit Kobeissi.

Pour lui, ProtonMail ne doit plus héberger les clés privées PGP de ses utilisateurs, ce qui enlèverait une bonne part de son intérêt au service.

Réponse de ProtonMail : « Cette partie n’a aucun sens ». La ZKPP n’aurait pas de rapport direct avec la sécurité du serveur mail, qui serait un problème traité à part.

« La ZKPP fournit des garanties sur la poignée de main entre le client et le serveur. Cela ne veut pas dire, et n’a jamais voulu dire, que le serveur lui-même ne pourrait pas monter une attaque par force brute contre le mot de passe utilisateur. Ce serait possible avec n’importe quelle [méthode d’authentification de l’utilisateur], y compris SRP que nous utilisons. Chiffrer la clé privée avec un dérivé du mot de passe n’y change rien », élabore Bart Butler.

Pour protéger les utilisateurs, dans l’idée que le serveur peut être compromis, « nous rendons [cette attaque contre le mot de passe] très coûteuse pour le serveur, en utilisant des empreintes de mots de passe lentes ».

Des accusations croisées

En conclusion, l’article pointe « des défaillances sérieuses dans l’architecture de sécurité de ProtonMail », qui demanderaient une correction urgente. Même dans le cas où ProtonMail assumerait ces points.

La publication de l’analyse, hier, a déclenché une passe d’armes entre Nadim Kobeissi et ProtonMail sur Reddit. Pour la société, l’étude est motivée par un accrochage la semaine dernière sur Twitter, après que le chercheur a relayé une prétendue faille de ProtonMail, associée à une demande de rançon. « Cette tentative d’extorsion est une intox, et nous n’avons aucune preuve qui indique le contraire », nous avait répondu l’entreprise sur le coup.

Le PDG de ProtonMail, Andy Yen, nous décrit l’analyse de Kobeissi comme un article-choc (« hit piece »), déguisé en vérification formelle. Pour la société, l’article n’est pas assez sérieux pour en être véritablement une. Sur Reddit, Kobeissi s’est défendu de donner son avis, estimant que le format ne laissait pas de place à des appréciations personnelles.

Note : Nadim Kobeissi nous a transmis son analyse le 19 novembre au soir, la veille de la publication, répondant alors à de premières questions. Nous avons contacté Jean-Philippe Aumasson, cryptographe reconnu, cité dans les remerciements de l’analyse, sans réponse pour le moment. Lors de nos discussions, ProtonMail estimait que l’affaire ne méritait pas d’article.

Je vous propose de faire une key signing party à la prochaine install-party !
Préparez vos empreintes de clés (fingerprint) sur un bout de papier ou en photo pour qu’on puisse se vérifier une fois sur place !

1 « J'aime »

Il faudra renouveler à la future install cette paper-party pour les absents de Quimperlé
Faudra-t-il bouffer le papier après présentation :slight_smile:

1 « J'aime »

J’ai bien lu l’article de NextInpact et j’avoue n’avoir pas tout compris :tired_face:

Je suis chez Protonmail un peu pour le fun car mes communications chiffrés ne touchent que 2 ou 3 personnes et comme je ne suis pas un lanceur d’alerte réfugié en Russie je crois que ça ne changera pas surtout si mes amis restent chez Gmail :grinning:

En tout cas, c’est un bonne chose de chiffrer ses communications (comme on le fait maintenant partout pour le https). Il faut banaliser cela le plus possible. Sans cela, ça voudrait dire que tout trafic chiffré contient des données sensibles et donc intéressant pour certains à décrypter (par le hack ou par des lois).

1 « J'aime »