Les e-mails ne sont pas un moyen de communication sécurisé, car le contenu des e-mails n’est pas chiffré par un chiffrement de bout-en-bout. ProtonMail n’est pas une exception à cette règle.

La société suisse se vente pourtant de proposer une « messagerie sécurisée » et de « sécuriser vos communications avec ProtonMail ». Derrière ces slogans marketing se cachent en réalité une sécurité à deux niveaux :

  • les e-mails échangés avec d’autres utilisateurs de ProtonMail ;
  • et les e-mails échangés avec des utilisateurs utilisant un autre fournisseur, comme Gmail, Hotmail ou YahooMail ;

Seuls les e-mails entre deux adresses ProtonMail sont chiffrés avec un chiffrement de bout-en-bout, en utilisant les mots de passe des utilisateurs pour réaliser ce chiffrement. Ce chiffrement est d’ailleurs appliqué uniquement au corps des e-mails, mais pas à l’objet des e-mails[1].

Les e-mails à destination d’autres fournisseurs ne sont pas chiffrés. À la place, ProtonMail propose de remplacer le contenu de l’e-mail par un lien protégé par un mot de passe[2], que l’utilisateur devra choisir et devra se charger de communiquer au destinataire. Si cette option est activée par l’utilisateur, le destinataire reçoit alors uniquement un lien, qu’il peut consulter avec son navigateur habituel et du mot de passe choisi par l’émetteur de l’e-mail.

Un bouton permet au destinataire de voir le message
Exemple d’un e-mail envoyé à un internaute n’utilisant pas ProtonMail

Pour envoyer un e-mail à un utilisateur n’utilisant par ProtonMail, il faut donc posséder un moyen de communication sécurisé et l’utiliser pour transmettre le mot de passe choisi.

Cette fonctionnalité proposée par ProtonMail pour tenter d’apporter une couche de sécurité aux e-mails sortants apporte en réalité qu’une sécurité limitée, car l’e-mail qui contient le lien n’est pas chiffré et peut donc être altéré par un tiers ou par le serveur de messagerie du destinataire. Un lien malveillant peut être, par exemple, inséré à la place du lien original pour inciter le destinataire à communiquer son mot de passe et permettre à l’attaquant de consulter le contenu de la discussion.

Pour ce qui est des e-mails reçus en provenance d’un autre fournisseur que ProtonMail, leur contenu n’est simplement pas chiffré[3]. Leur contenu peut donc être lu par les intermédiaires qui acheminent les messages ou par ProtonMail.

Par ailleurs, ProtonMail a accès à un certain nombre de métadonnées, que ce soit lorsque les utilisateurs se connectent aux services de ProtonMail ou lorsque les e-mails sont acheminés. Ces données techniques, notamment l’adresse IP des utilisateurs, peuvent permettre à ProtonMail d’identifier les personnes. Ces informations peuvent même être communiquées aux autorités, conformément à la réglementation suisse, pays dans lequel la société ProtonMail est basée.

Pour permettre aux utilisateurs d’utiliser ProtonMail de façon plus anonyme et éviter aux internautes de communiquer leurs adresses IP, la société met à disposition un service Onion. Cette technologie similaire aux sites Web traditionnels permet aux internautes de consulter des pages Internet avec une meilleure confidentialité, en utilisant le navigateur Tor.

En résumé :

  • Pour envoyer et recevoir des e-mails de façon plus sécurisée avec ProtonMail, les internautes devraient envoyer des e-mails uniquement à d’autres adresses ProtonMail et ne pas saisir d’informations dans l’objet des e-mails.
  • Pour utiliser ProtonMail de façon plus anonyme, les internautes peuvent accéder aux services Onion de ProtonMail en utilisant le navigateur Tor.

Pour plus de sécurité et ne pas dépendre uniquement d’un mot de passe, les utilisateurs de ProtonMail peuvent aussi configurer un deuxième facteur d’authentification en utilisant une application d’authentification[4].

Note : une étude a été faite en 2018 (« An Analysis of the ProtonMail Cryptographic Architecture », Nadim Kobeissi, en anglais) sur la sécurité proposée par ProtonMail. Cette étude met en avant certaines faiblesses du service proposé par ProtonMail, notamment : les risques liés à l’utilisation du WebMail, les risques de la fonctionnalité remplaçant les le contenu des e-mails par un lien ou les risques liés au manque de robustesse des mots de passe. ProtonMail a réagi à cette publication dans un article (« Response to analysis of ProtonMail’s cryptographic architecture », en anglais).

Note 2 : ProtonMail a déjà beaucoup été critiquée par le passé, notamment lorsque la société a communiqué aux autorités suisses, en 2021, l’adresse IP d’un activiste français qui a conduit à son arrestation. Il est surtout reproché à ProtonMail son manque de transparence et le caractère trompeur de ses affirmations. Sa page d’accueil indiquait notamment que la société ne stockait pas, par défaut, de logs, ce que les internautes devaient comprendre par : nous ne stockons pas de logs, sauf si les autorités nous y obligent. ProtonMail a réagi à ces critiques dans un article (« Important clarifications regarding arrest of climate activist », en anglais).

Notes et références

  1. Seul le corps des e-mails envoyés entre deux utilisateurs de ProtonMail sont chiffrés avec un chiffrement de bout en bout : « All ProtonMail data at rest and in transit is encrypted. However, subject lines in ProtonMail are not end-to-end encrypted » (source : ProtonMail, en anglais).
  2. Une option (appelée « Encrypt-to-Outside ») permet aux utilisateurs de ProtonMail de remplacer le contenu des e-mails à destination des utilisateurs n’utilisant pas ProtonMail par un lien protégé par un mot de passe (source : ProtonMail, en anglais)
  3. Les e-mails reçus en provenance d’autres fournisseurs ne sont pas chiffrés. Ils peuvent néanmoins être chiffrés en transit, c’est-à-dire entre les serveurs de messagerie, s’ils utilisent des certificats TLS (source : ProtonMail, en anglais).
  4. Le fonctionnement des applications d’authentification est expliqué dans l’article « Utiliser une application d’authentification pour mieux protéger l’accès à ses comptes ».