ProtonMail : le service de messagerie chiffrée basé en Suisse atteint 5 millions d'utilisateurs
4 années après son lancement

Le , par Coriolan, Chroniqueur Actualités
ProtonMail est une messagerie web chiffrée créée en 2014 au CERN par Jason Stockman, Andy Yen et Wei Sun. Ce service de messagerie se différencie des autres services proposés au grand public par le fait qu’il est automatiquement chiffré, sans que l’utilisateur ait besoin de quelque connaissance des techniques de cryptographie. Le service s'utilise aussi simplement que tout autre service, en garantissant un très haut niveau de confidentialité.


Depuis son lancement, plusieurs facteurs ont contribué à la montée de popularité de ProtonMail, notamment le piratage massif de Yahoo et la victoire de Donald Trump dans les élections présidentielles américaines.

L’argument de vente de ProtonMail est le chiffrement, c’est ce qui le singularise des autres services de messagerie gratuits (Gmail, Yahoo!, etc.). Cette caractéristique permet à ProtonMail de chiffrer les messages et garantir qu’il est impossible d’explorer les données. Le chiffrement permet aussi de protéger les emails des tiers lorsqu’ils sont envoyés d’un compte ProtonMail vers un autre.

« Nous voulons être en mesure de complètement de-Googler votre vie, » dit Yen. « Utilisez ProtonMail et profitez de toutes les fonctionnalités, plus la sécurité et la confidentialité que Google ne vous assure pas. C’est notre vision à long terme. »

Pour Yen, chaque nouvel utilisateur qui s’enregistre dans le service compte pour la croissance de l’entreprise qui est passée de 2 millions d’utilisateurs en janvier 2017 à plus de 5 millions en septembre 2018. Le succès de ProtonMail lui a permis d’attirer des utilisateurs de haut profil, notamment des journalistes du New York Times, The Atlantic, Daily Caller et CBS, qui affichent publiquement leur adresse email protonmail.com sur leurs biographies.

Malgré ce succès, ProtonMail reste une goutte dans un océan comparé à Gmail avec ses 1,2 milliard de comptes. Mais il représente une alternative pour toute personne ne souhaitant pas voir ses emails scannés par Google pour afficher des publicités ciblées, c’est ce qui explique sa croissance continue depuis son lancement au public en mai 2016.


Évolution des recherches de ProtonMail sur Google depuis 2014 (Google Trends)

Dans une interview livrée à Inverse, Yen a expliqué que la croissance de ProtonMail est liée à une combinaison de facteurs. Le scandale Cambridge Analytica a constitué un coup de semonce pour les gens qui sont commencés à se rendre compte quel modèle économique ont Facebook et Google. Ceci a fait que plus de gens donnent la priorité aux services qui assurent la sécurité et la confidentialité en ligne.

« Sur internet, vous voulez partager quelque chose, les médias sociaux ont certainement une valeur, mais il y a aussi des choses que vous voulez garder privées, et c’est ce qui amène de la croissance à des services comme ProtonMail, » a dit Yen.

De plus en plus de gens veulent payer pour assurer leur confidentialité

Bien que les utilisateurs particuliers constituent l’essentiel de la base d’utilisateurs de ProtonMail, le service de messagerie attire de plus en plus des médias et de petites entreprises pour l'hébergement de leurs emails. Selon Yen, cette tendance est due au fait que les entreprises sont plus accoutumées à payer pour les emails et utilisateurs, ils représentent donc un vecteur de croissance important. Ainsi, des entreprises qui auraient choisi Google Apps ou Microsoft 365 auparavant, vont avec ProtonMail en raison des préoccupations de sécurité et de confidentialité.

ProtonMail est proposé en version gratuite et en différentes versions payantes. Yen pense que rien ne doit être gratuit, et pense que « si un produit est gratuit, c’est donc vous le produit. » Yen pense que si vous ne voulez pas que vos données soient revendues, vous avez intérêt à payer pour les services que vous utilisez. De plus en plus de gens se rendent compte de cette réalité, et cela aide ProtonMail à gagner de l’argent des comptes payants pour financer les comptes gratuits, un modèle fermium qui reste efficace selon Yen. Mais pour garder son efficacité, ProtonMail entend rester indépendant. Le service ne s’attend pas à être racheté ou financé par des investisseurs, et espère que la communauté d’utilisateurs va représenter les seules parties prenantes pour remplir son objectif à long terme.

ProtonMail est constamment la cible de cyberattaques

Du fait de sa notoriété, ProtonMail est souvent la cible d’attaques. Yen pense que c’est une chose prévisible. « ProtonMail constitue une cible difficile et bien connue, ». « Je ne connais pas une seule entreprise de notre taille qui fait face à autant d’attaques ». Selon Yen, les gens aiment cibler le service pour vanter leur exploit. « ProtonMail est bien défendu. Si vous pouvez le frapper et causer des difficultés, c’est quelque chose pour laquelle vous pouvez être fier ».

Ceci dit, l’entreprise à une politique de tolérance zéro, à chaque fois qu’elle est attaquée, elle part à la poursuite des attaquants sous le couvercle de la justice. Selon Yen, cette politique envoie un message fort aux attaquants qui savent que s’ils causent des problèmes, il y aura des conséquences pour eux.

ProtonMail et la criminalité

Du fait qu’il est basé en Suisse, ProtonMail adhère à la loi de ce pays qui a une tradition de confidentialité et de sécurité. En cas d’une affaire criminelle, ProtonMail agit selon le verdict de la justice qui considère si cette affaire est légitime ou non. Par exemple si un gouvernement va à l’encontre de ses dissidents, les tribunaux suisses ne vont pas approuver. Mais si c’est une affaire criminelle légitime, ProtonMail répond à la requête dans la mesure du possible.

En effet, en raison de l’utilisation du chiffrement, il n’y a pas moyen de dévoiler et extraire le contenu des messages. Tout ce que le service peut faire est de fournir des informations comme quand la dernière fois le compte a été actif, et s’il est toujours utilisé. C’est ces metadata que le service peut fournir à la police en cas de besoin.

Les plans de ProtonMail

S’il parait satisfait de la hausse du nombre d’utilisateurs de ProtonMail, Yen pense que le développement du service va continuer à se concentrer sur la sécurité et atteindre un niveau de parité avec Gmail en termes de fonctionnalités. Le service entend appliquer la même recette de l’email sur d’autres services comme l’agenda, le stockage de fichiers, les documents, etc. À long terme, ProtonMail espère devenir une suite de productivité complète qui place la sécurité et la confidentialité comme sa priorité. Cette vision ne pourra devenir une réalité que si le service offre une alternative aux services de Google, Yen assure travailler pour accomplir cet objectif.

ProtonMail reste un peu cher

ProtonMail représente 150 % le prix de G Suite, tout en ayant des limites comme le nombre d’alias et de domaines. D’autres services de messagerie beaucoup moins chers offrent les mêmes qualités, on peut citer Tutanota qui est accessible pour juste 1$ par mois, OTOH (8 euros), Soverin (4$/mois).

Une autre limite de ProtonMail est qu’il ne supporte pas SMTP ou IMAP sans utilisation d’applications propriétaires et payantes supportées seulement sur quelques plateformes. Il requiert aussi une application propriétaire pour lire les emails sur votre téléphone.

Source : Inverse

Et vous ?

Qu’en pensez-vous ?
Utilisez-vous ProtonMail ? Comment le trouvez-vous ?
Si non, quels sont les autre services de messagerie que vous recommandez pour garder la sécurité et la confidentialité des utilisateurs ?

Voir aussi

Protection de la vie privée : Proton Technologies lance un nouveau service de VPN baptisé ProtonVPN accessible au grand public
ProtonMail déploie ses services sur Tor pour anticiper d'éventuelles censures d'État, une première étape naturelle selon son cofondateur
ProtonMail : explosion du nombre d'inscriptions après l'annonce du piratage de Yahoo, une performance que le service dédie à ses mesures de sécurité


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de marc.collin marc.collin - Membre éclairé https://www.developpez.com
le 18/09/2018 à 14:09
ils ont la clé... donc faut leur faire confiance...
Avatar de benjani13 benjani13 - Membre chevronné https://www.developpez.com
le 18/09/2018 à 14:15
J'ai déjà testé Protonmail, c'est propre, les comptes gratuits sont tout à fait suffisant (500Mo de stockage, 150 mail/jour). De plus aucun info perso ni vérification par téléphone ou autre n'est exigée. Pour ceux, dont moi, qui trouve que le "@protonmail.com" est un peu long à écrire, on peut activer l'alias "@pm.me" dans les options de son compte. Les options sont très clairs, quelques fonctions sympa, possibilité de supprimer son compte. Votre compte vous donne aussi accès à ProtonVPN (VPN gratuit, jamais essayé). Bref je conseille.

Concernant le chiffrement des messages, deux choses à dire. Premièrement le chiffrement étant gérer de façon transparente pour vous (le serveur génère vos clés PGP et les utilise à la demande), je ne vois pas comment il serait impossible pour eux d’accéder aux mails, d'un simple point de vue technique (ou pas, voir EDIT). Deuxièmement, pensez bien que même si vous quittez Gmail pour protonmail, si vous envoyez un mail à un @gmail.com, Google l'aura tout de même.

EDIT: Un début d'information : https://protonmail.com/support/knowl...te-key-stored/

Au premier abord ça tiens la route. Clées PGP générées coté client à la création du compte, chiffrées avec le password du compte (ou son hash? à vérifier) toujours côté client, le chiffré est envoyé au serveur. Le serveur n'ayant pas le password en clair (ou le même type de hash) dans sa BDD, il est incapable de déchiffrer la clé privée.
Avatar de 4sStylZ 4sStylZ - Membre éclairé https://www.developpez.com
le 18/09/2018 à 16:20
J’utilise Protonmail pour mes mails les plus confidentiels.
Cet article dit que c’est un peu cher. C’est cher si l’offre gratuite ne suffit pas. Hors dans mon cas c’est parfait !

Le service est très bien même si on est loin de la G-Suite. J’ai juste un peu de mal à personaliser mes E-Mails de temps en temps mais je n’en demande pas trop à ce service.
Avatar de yannickt yannickt - Membre à l'essai https://www.developpez.com
le 18/09/2018 à 17:24
Personnellement, j'ai préféré mailfence : Pour moins cher, ils fournissent plus de services (IMAP/POP, agenda, espace de stockage, etc) et je trouve leur interface plus efficace.
Avatar de nikau6 nikau6 - Membre confirmé https://www.developpez.com
le 18/09/2018 à 19:48
Citation Envoyé par marc.collin Voir le message
ils ont la clé... donc faut leur faire confiance...
Non, les équipes de ProtonMail n'ont pas accès aux emails de leurs clients. Ils n'ont pas accès á la clé.

Zero Access to User Data
Your encrypted data is not accessible to us

ProtonMail's zero access architecture means that your data is encrypted in a way that makes it inaccessible to us. Data is encrypted on the client side using an encryption key that we do not have access to. This means we don't have the technical ability to decrypt your messages, and as a result, we are unable to hand your data over to third parties. With ProtonMail, privacy isn't just a promise, it is mathematically ensured. For this reason, we are also unable to do data recovery. If you forget your password, we cannot recover your data.

source : https://protonmail.com/security-details
Et ca n'est pas si chère que ce qu'en dit l'article. Seulement 4 euros par mois pour 5go de stockage et 5 adresses mail, plus bien évidement la sécurité. Pour ce prix ont a également accès á leur VPN. Et bientôt on pourra également synchroniser les smartphone sur leurs serveurs : Contacts, agenda, sauvegarde, etc... Ça vaut vraiment le coup pour ceux qui ne peuvent plus encadrer omniprésence de Google sur leur smartphone.
Avatar de alexetgus alexetgus - Membre régulier https://www.developpez.com
le 22/09/2018 à 11:44
@nikau6
Tu fais erreur, Proton possède les clés.




Si il y a bien un service qui m'a déçu, c'est bien celui de ProtonMail.
Seuls les messages entrants chiffrés PGP sont acceptés. Les messages sortants ne bénéficient pas de PGP, seul un mot de passe est proposé.

Et c'est comme ça depuis toujours !

J'ai testé ce service pour ceux que ça intéresse :
https://chez-oim.org/index.php/topic,2135.0.html

Du marketing, rien que du marketing. La sécurité n'est qu'un concept chez ProtonMail, certainement pas une réalité... Tout du moins, pas au niveau promis.
Avatar de Le_Duc Le_Duc - Futur Membre du Club https://www.developpez.com
le 22/09/2018 à 12:53
Citation Envoyé par nikau6 Voir le message
Non, les équipes de ProtonMail n'ont pas accès aux emails de leurs clients. Ils n'ont pas accès á la clé.
Bien sûr que si, cette vérité est facilement trouvable sur Internet. Exemple, voici une réponse d'un membre de l'équipe ProtonMail :
We generate the private key in the browser. Then it is encrypted with AES 256 before it is sent to our server. Since it is encrypted with your mailbox password which never gets set to the server, we are unable to decrypt your private key. When you log in on a different device, the encrypted private key is sent to that device and then your mailbox password decrypts the private key.
Sur Wikipedia :
(..The public key and the encrypted private key are both stored on ProtonMail servers
Avatar de nikau6 nikau6 - Membre confirmé https://www.developpez.com
le 22/09/2018 à 17:56
Citation Envoyé par Le_Duc Voir le message
Bien sûr que si, cette vérité est facilement trouvable sur Internet. Exemple, voici une réponse d'un membre de l'équipe ProtonMail :

Sur Wikipedia :
Peut importe. Ils n'ont pas accès aux mails des clients, et c'est la le principal. C'est ce que je voulais notifier.
Avatar de Le_Duc Le_Duc - Futur Membre du Club https://www.developpez.com
le 22/09/2018 à 18:26
Citation Envoyé par nikau6 Voir le message
Peut importe. Ils n'ont pas accès aux mails des clients, et c'est la le principal. C'est ce que je voulais notifier.
Bien qu'étant moi même utilisateur de ProtonMail, j'émets un certain doute personnellement, surtout en lisant ce genre de choses :

ProtonMail & Apophis Squad :
(...) To fulfill this commitment, we are willing to commit all necessary financial, legal, and technical resources
ProtonMail Privacy Policy :
If a request is made for encrypted message content that ProtonMail does not possess the ability to decrypt, the fully encrypted message content may be turned over. (...)
Et ce même s'ils disent le contraire :
https://www.reddit.com/r/ProtonMail/...e_for_attacks/
https://old.reddit.com/r/ProtonMail/...f_giving_away/

Par contre de mémoire, et ce n'est pas du tout un secret je crois, ils ont totalement accès aux en-têtes des emails. Donc déjà...
Avatar de nikau6 nikau6 - Membre confirmé https://www.developpez.com
le 22/09/2018 à 18:31
En dehors d'un contexte, il faudrait la conversation entière, tous ces messages ne signifient rien. On peu leurs faire dire tout et son contraire.

Exemple :
If a request is made for encrypted message content that ProtonMail does not possess the ability to decrypt, the fully encrypted message content may be turned over.
Un requete faite par qui et pourquoi ?
Le message crypté sera renvoyé á qui et pourquoi ?

Ce message á lui seul ne veut rien dire, il n'a aucune signification.

L'équipe de Protonmail nous dit qu'elle ne peut pas avoir accès au contenu des mails et jusqu'à PREUVE du contraire je ne vois pas de raisons d'en douter.
Surtout que si cela s’avérait faux ce serait terrible pour eux, ils perdraient la plupart de leurs clients. Ce serait également une violation de la loi pour publicité mensongère.
Tes accusations sont sans fondements aucun !
Contacter le responsable de la rubrique Accueil