Chez oim, forum libreChez oim, forum libre

 

La vie privée est sacrée !

Pages: [1]   En bas

Auteur Sujet: Essai et test de ProtonMail et ProtonVPN - Un résultat très mitigé et décevant  (Lu 857 fois)

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.606
  • Proprio officiel chez oim !



Mise à jour : 20/11/2018
Alléluia ! Suite à un mail reçu le 17 novembre 2018, ProtonMail se décide enfin à chiffrer les mails sortants vers toutes les adresses mail. :)
Il était grand temps que cette nouvelle arrive !

Mise à jour : 18/10/2018
ProtonMail a revu la configuration de ses serveurs SMTP et là, la surprise est bonne. Envolées les faiblesses dans des suites de chiffrages obsolètes. Je suis ravi pour les clients ! :)
Retrouvez ce test ici : https://chez-oim.org/protonmail/proton.html.


Ces derniers temps, alors que j'avais 5 minutes, je me suis dit "Tiens ! Et si je testais ce fameux ProtonMail dont tout le monde parle tant ?"
Chose dite, chose faite. 10 minutes plus tard j'ouvrais un compte.
Dans la foulée, j'avais l'agréable surprise de voir qu'un VPN était offert sous le nom de ProtonVPN.

ProtonMail est un fournisseur mail suisse qui met en avant une sécurité de ses mails renforcée grâce à GnuPG (PGP) et une localisation en Suisse.
Pour faire rapide, pour ceux qui ne veulent pas cliquer sur le lien ci dessus, PGP permet de chiffrer les mails d'une façon hyper fiable et sécuritaire à l'aide de clés RSA (c'est ce qu'on appelle le chiffrement asymétrique).
PGP est un des meilleurs moyens de se protéger des intrusions de la NSA dans notre vie de tous les jours (et du coup, des autres gouvernements).

Vous pouvez retrouver ProtonMail et ProtonVPN à ces 2 adresses qui conduisent au même endroit :
https://protonmail.ch/
https://protonmail.com/

Le .ch est là uniquement pour faire bien Suisse et est redirigé vers le .com.



Essai et test de ProtonMail


Il existe deux formules de compte, l'une gratuite et l'autre payante. C'est la version gratuite qui a été testée ici.

La création d'un compte est très simple.
Il vous est demandé de choisir entre la création d'un mail en @protonmail.ch ou @protonmail.com
Bien entendu, un mail "normal" est réclamé avec votre mot de passe. On ne sait jamais , vous pourriez avoir besoin de ce mail pour récupérer un mot de passe perdu, par exemple.
Cet également ce mail "normal" qui vous servira à vous identifier sur leur site.

Limitations des comptes gratuits :
  • Une seule boite mail
  • 500 Mo de stockage
  • 150 emails émis par jour
  • Pas de serveurs IMAP/POP/SMTP (il faut lire et rédiger ses mails sur le webmail)
Pour ceux qui ne savent pas, un Webmail est un client mail permettant de recevoir et d'envoyer ses mails, mais sur navigateur seulement.
C'est un des plus gros soucis de ProtonMail. Pas possible de rapatrier son adresse mail sur Thunderbird, Outlook, Foxmail, etc.
Seul un compte payant peut se passer du webmail et avoir ses mails sur sa machine.
Bon ben d'accord, on va faire avec...

Tout d'abord, vos clés sont créées. Il s'agit de clés PGP 2048 bit tout ce qu'il y a de plus ordinaire mais vous n'avez accès qu'à la clé publique. Je ne sais pas si en payant on peut récupérer la clé privée, mais si ce n'est pas le cas, ça semble compromis pour envoyer et recevoir des mails chiffrés et signés PGP à domicile.
De toute façon, ProtonMail semble assez clair sur le sujet puisqu'il déclare : Téléchargez vos clés PGP pour les utiliser avec d'autres services compatibles PGP. Seuls les messages entrants au format inline OpenPGP sont actuellement supportés.

  • Mise à jour du 20 novembre 2018 :
    Alléluia ! Suite à un mail reçu le 17 novembre 2018, ProtonMail se décide enfin à chiffrer les mails sortants vers toutes les adresses mail. :)
    Il était grand temps que cette nouvelle arrive !
    Il s'agissait d'un mail comme tous les autres contenant ceci noyé au milieu des autres nouvelles, comme si ça n'avait aucune importance : Finally, we have added support for sending PGP encrypted emails to any address.
    Ce qui veut dire, en français : Enfin, nous avons ajouté un support pour l'envoi d'e-mails cryptés PGP à n'importe quelle adresse.
    Pour les utilisateurs gratuits, ce n'est vraiment pas d'une facilité "intuitive", c'est même plutôt le "truc à trouver". Mais c'est là et ça marche.

    La suite de ce test est donc là pour son historique.

Oui, vous avez bien lu et c'est là une énorme surprise ! "Seuls les messages entrants au format inline OpenPGP sont actuellement supportés"
Si il est tout à fait possible de recevoir un mail chiffré PGP sur le webmail de ProtonMail, il n'est pas possible d'envoyer des mails chiffrés PGP depuis ce même webmail ! De toute façon, il n'est pas possible de récupérer la clé publique d'un destinataire pour chiffrer les mails sortants, même si cette clé est envoyée "inline" dans un mail ("inline" veut dire dans le mail, pas en pièce jointe). N'essayez pas en pièce jointe, ça ne changera rien. Pour une surprise, en voilà une belle...

En guise de chiffrement lorsque vous enverrez un mail, ProtonMail vous proposera de choisir un mot de passe pour votre envoi. Le mail sera donc chiffré avec ce mot de passe et utilisera une connexion SSL (une connexion sécurisée) classique pour arriver à destination. On est très loin de la sécurité offerte par PGP !
En bout de ligne, votre correspondant recevra un mail où il sera invité à cliquer sur un lien pour se rendre sur le site de ProtonMail afin d'y lire son mail. Là, le mot de passe lui sera demandé. Il faut noter que ces mails sont conservés un maximum de 28 jours mais que vous pouvez choisir moins avant l'envoi.
Pas très pratique ni sécuritaire tout ça... Comment envoyer le mot de passe à son correspondant ? Par SMS ? Par courrier ? Quand même pas par mail ?! (un mail chiffré PGP, bien entendu)

Plus fort encore, oh que si c'est possible. Il ne semble pas possible d'envoyer un mail chiffré PGP d'une boite ProtonMail vers une autre boite ProtonMail ! C'est le système du mot de passe qui est proposé. Seule consolation, le destinataire n'a pas à entrer ce mot de passe pour lire le mail.

De plus, il semble que ProtonMail ne diffuse pas votre clé publique sur les serveurs de clés PGP. Il faudra donc penser à publier vous même votre clé si vous souhaitez qu'elle soit simplement accessible aux utilisateurs PGP qui voudraient vous envoyer un mail chiffré.

Pour une déception, c'est une vraie déception. J'imaginais que ProtonMail était une très bonne solution en proposant des emails chiffrés PGP pour les personnes ne comprenant rien à OpenPGP. C'est avec regret que je constate que je me suis lourdement planté.
Une boite mail PGP à sens unique, qui permet de recevoir du PGP mais pas d'en envoyer, on nage en plein délire !

Ceci dit, les gars sont encore en train de développer ProtonMail. On peut donc imaginer que dans le futur l'envoi de mails chiffrés PGP sera possible. On peut même imaginer que c'est LA priorité des priorités.
Je me demande simplement pourquoi sortir un produit à moitié terminé qui n'offre la sécurité que dans un sens seulement. On va imaginer que ce n'est pas par appât du gain, mais plutôt pour faire profiter au plus vite à des utilisateurs ne connaissant pas OpenPGP, un service de réception mail chiffré (c'est pour rester gentil que je dis ça).
Pour ce qui est de la Suisse, mise en avant pour sa neutralité, dites vous bien que là l'objectif est purement marketing.

Quoi qu'il en soit, cet article sera mis à jour dès qu'il y a du neuf. Alors n'ayez crainte, quand ProtonMail proposera un service PGP au complet, vous le saurez.

Mise à jour du 22/09.2018
Voilà du neuf !
Il apparait que désormais les mails sortants peuvent être signés avec PGP. Cela ne veut pas dire qu'ils sont chiffrés, mais juste signés. Ca permet de prouver qu'un expéditeur est bien le bon et que le mail n'a pas été altéré (modifié ou "abimé") durant son transit sur le réseau.
Je ne comprends toujours pas pourquoi le chiffrage PGP des mails sortants n'est pas une priorité. Si il est possible de signer un mail, le chiffrer doit être faisable...




Pour ceux que ça intéresse, les serveurs SMTP utilisés par les clients gratuits au minimum ont été testés.
Après un premier test "peu concluant" il y a un mois, il apparait que Proton a revu sa copie en corrigeant la configuration de ses serveurs.
Le protocole obsolète TLS v1 continue d'être utilisé, mais bon, j'imagine que c'est pour brasser un maximum de clients.
Retrouvez ce test ici : https://chez-oim.org/protonmail/proton.html(1)

(1) Je ne vous cache pas qu'un minimum de connaissances est requis...


Essai et test de ProtonVPN


Ah ! Enfin une agréable surprise ! Il n'était pas prévu que j'aurais un VPN avec ma boite mail, ça fait plaisir.
Alors testons ce VPN !
ProtonVPN propose un fichier à installer pour Windows, Mac, Nunux, iOS et Android ou des fichiers de config pour des clients VPN comme OpenVPN.
Ici, c'est OpenVPN qui a été utilisé. Je ne peux rien vous dire sur le fichier à installer sur sa machine.

Oublions vite ProtonMail et passons à ProtonVPN.
Dans la formule gratuite, ProtonVPN vous propose 5 destinations. Deux aux Pays Bas (la Hollande), une au Japon et deux aux Etats-Unis d'Amérique.

En terme de débit descendant (du net vers votre ordinateur), c'est tout à fait correct.
Les Pays Bas plafonneront à 20/25 Mb, le Japon à 15/20 Mb et les USA à 21/23 Mb. Ce n'est pas exceptionnel, mais c'est très correct pour naviguer sur le web. Même regarder des vidéos avec ce débit est possible.
Oh oui, j'en vois arriver quelques uns qui vont me dire que pour télécharger des fichiers illégaux c'est nul. On est là pour tester un service dans une utilisation quotidienne et "normale". Pour faire le côté illégal du truc, il existe d'autres sites dont certains sont même spécialisés rien que pour ça.

En débit montant (de l'ordinateur vers le net), c'est très petit, mais ça reste correct pour naviguer.
Les pays Bas affichent une moyenne de 2 Mb, le Japon oscille entre 0.5 et 2 Mb et les USA sont à 2/3 Mb.

En conclusion, pour un cadeau qui n'était même pas prévu dans l'emballage de ProtonMail, tomber sur ProtonVPN est plutôt une bonne surprise qui fonctionne relativement bien.

Je reste quand même mitigé. J'étais venu dans l'idée que j'allais essayer un service mail sympa et je repars satisfait pas le service VPN...


alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.606
  • Proprio officiel chez oim !

Du neuf apparait enfin, oh pas grand chose.
Il est désormais possible de signer un mail avec PGP, pas le chiffrer, le signer.
J'en ai profité pour lancer un test sur leurs serveurs SMTP (serveur de mail sortant) afin de grossir un peu la mise à jour.

Tout est au dessus.
IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.606
  • Proprio officiel chez oim !

Un nouveau test des serveurs SMTP a été effectué ce matin.
La surprise est bonne. C'est les clients qui vont être contents qu'on s'intéresse à leurs communications. :)
Le protocole obsolète TLS v1 continue d'être utilisé, mais bon, j'imagine que c'est pour brasser un maximum de clients.

Je vous laisse découvrir, tout est dans l'article (ou en tête d'article pour les fatigués de la fin de semaine).
IP archivée

alex

  • Administrateur
  • Dictionnaire ambulant
  • ********
  • Hors ligne Hors ligne
  • Sexe: Homme
  • Messages: 17.606
  • Proprio officiel chez oim !

Alléluia ! Suite à un mail reçu le 17 novembre 2018, ProtonMail se décide enfin à chiffrer les mails sortants vers toutes les adresses mail. :)
Il était grand temps que cette nouvelle arrive !
IP archivée
Pages: [1]   En haut
 

+ Réponse Rapide

Page générée en 0.116 secondes avec 25 requêtes.