La réputation de Proton n’est plus à faire, et l’arrivée d’un gestionnaire de mots de passe dans l’écosystème de l’entreprise est aussi bienvenue qu’elle a du sens. Œuvrant depuis 2014 à protéger les données de ses clients, mais aussi à éveiller les consciences sur la cybersécurité, Proton ajoute une corde à un arc qui en compte déjà de nombreuses.
C’est d’ailleurs un très joli coup de la part de Proton : disponible gratuitement et sans (grosse) restriction d’usage, Proton Pass fait figure de beau produit d’appel pour le reste des produits de la marque.
En bref : notre avis sur Proton Pass
Le verdict
On a aimé
- Une formule totalement gratuite avec synchronisation illimitée
- Gestion native des codes temporaires (OTP)
- Fonctionnalité « masquer mon e-mail » pratique (formule payante)
On a moins aimé
- Pas (encore) d’autocomplétion pour les cartes bancaires
- Pas d’appli de bureau (ni d’extension pour Safari)
- Certaines fonctionnalités bonus manquent à l’appel
Proton Pass est un gestionnaire de mots de passe très prometteur, surtout pour la générosité dont il fait preuve dans sa version gratuite (identifiants illimités, synchronisation avec de nombreux appareils). On apprécie particulièrement la fonctionnalité « Hide my email » qui permet de créer, de façon illimitée, des alias de son adresse de courrier électronique pour renforcer la protection de sa vie privée sur le web.
Proton Pass est aussi parmi les rares à prendre en charge nativement les codes temporaires (TOTP) pour la double authentification. Autant de très bons signaux, qui ne doivent pas occulter la jeunesse de cette solution, et sa relative imperfection. En effet, l’interface est encore perfectible, et on regrette l’absence d’une vraie application de bureau autant que celle d’une extension pour Safari.
Mais Proton est une entreprise réactive. Sortant d’un audit de sécurité très encourageant, elle a dévoilé une feuille de route concrète qui laisse entrevoir un avenir radieux pour Proton Pass. Parmi les nouveautés promises, l’inévitable support des passkeys, qui est devenu réalité fin mars 2024. Enfin, n’occultons pas que Proton Pass fait aussi partie d’une famille grandissante de produits qui, mis bout à bout, se présentent comme une suite logicielle dédiée tout à la protection des données personnelles et la cybersécurité. Ce pour moins cher qu’un abonnement Netflix.
Interface de Proton Pass : une extension qui manque de raffinement
L’une des particularités de Proton Pass est que le gestionnaire n’est pas (encore) disponible via des applications sur Windows ou Mac. D’après la feuille de route de l’entreprise, cela arrive prochainement, mais, pour l’heure, tout passe par une extension de navigateur qui, soyons honnêtes, n’est pas la plus raffinée qu’on ait vue. En la matière, 1Password reste très loin devant. D’autant que, pour le moment, Proton Pass n’est tout simplement pas utilisable sur Safari en l’absence d’une extension dédiée.
On pinaille. Concrètement, l’extension reprend les codes esthétiques d’autres produits Proton, et aucune fonctionnalité majeure ne manque à l’appel. On apprécie d’ailleurs que le premier lancement de Proton Pass ouvre une page de bienvenue nous invitant directement à importer des mots de passe.
Le processus d’importation est d’une simplicité déconcertante. Proton Pass prend en charge de nombreux formats de fichiers. Il ne se contente pas d’accepter les fichiers .CSV, et permet un import natif de coffres-forts provenant de 1Password, Bitwarden ou NordPass.
Simplicité du processus mise à part, nous aurions aimé avoir une vue récapitulative des identifiants importés afin de pouvoir, pourquoi pas, effectuer un tri ou actualiser des mots de passe trop peu sécurisés. Nous en reparlerons plus bas, mais la jeunesse de Proton Pass fait que de nombreuses fonctionnalités aperçues ailleurs manquent encore à l’appel.
La version Plus ou Unlimited de Proton Pass permet de stocker ses mots de passe dans différents coffres-forts thématiques. Pratique, si vous êtes du genre organisé.
Pour l’heure, Proton Pass n’offre pas une grande quantité d’options. Langue, verrouillage automatique et quelques indispensables comme l’autocomplétion… on a vite fait le tour, et ce n’est pas plus mal. Surtout pour une solution gratuite ; le gestionnaire de mots de passe a le mérite de rester simple.
La suite de notre découverte de Proton Pass se déroule évidemment sur l’interface de connexion à un site web. Immédiatement, lorsqu’on cherche à se connecter à un site dont l’identifiant est enregistré, une petite icône aux couleurs du logo du gestionnaire nous invite à cliquer dessus pour remplir automatiquement les champs de connexion.
De la même manière, lorsque Proton Pass détecte que l’on se trouve sur une interface de création de compte, l’icône apparaît afin de nous proposer de créer un couple identifiant / mot de passe. Nous y reviendrons plus bas, mais l’une des particularités de Proton Pass (version payante uniquement) est qu’il permet de créer des alias d’adresse mail pour renforcer la confidentialité de ses données.
Du reste, on peut évidemment utiliser l’interface de l’extension pour ajouter manuellement de nouveaux identifiants, ou cartes bancaires. Petit détail concernant ces dernières : Proton Pass ne propose pas encore d’autocomplétion les concernant. Il faudra donc faire un jeu d’aller-retour entre le coffre-fort et le site web pour remplir les informations de paiement. Qu’on se rassure, cette fonctionnalité est parmi les plus hautes dans la liste de priorités de Proton.
Petite particularité de Proton Pass : on peut choisir d’opter pour un mot de passe dit « facile à retenir », c’est-à-dire qui utilise des mots courants. On apprécie d’avoir cette option, mais, la plupart du temps, on recommandera plutôt l’usage du mode « aléatoire » qui rend les identifiants bien plus robustes au quotidien.
C’est encore trop rare parmi les gestionnaires de mots de passe : Proton Pass prend en charge, nativement, les mots de passe temporaires (OTP). Certes, cela est moins sécurisé que d’utiliser une application tierce pour gérer ses connexions à double facteur, mais c’est beaucoup plus commode au quotidien.
Enfin, Proton Pass est évidemment disponible sur mobiles (iOS et Android). L’application est très soignée, et la synchronisation fonctionne parfaitement avec la version web, même en version gratuite — ce qui est rare. On retrouve toutes les fonctionnalités de l’extension, dont celle permettant d’utiliser un alias d’e-mail pour renforcer la confidentialité de ses comptes.
Tout comme sur la version web, les applis Proton Pass prennent en charge les One Time Passwords utilisés dans le cadre d’une authentification à double facteur. Ainsi, pas besoin de multiplier les applis ; tout ce dont on a besoin est présent dans le gestionnaire de mots de passe.
Les principales caractéristiques de Proton Pass
Proton Pass étant encore un gestionnaire assez jeune, il souffre d’un relatif retard face à une concurrence déjà bien établie. Il n’y a pas encore la gestion des passkeys (c’est désormais pris en charge), et on aimerait aussi la possibilité d’avoir une analyse de la robustesse des mots de passe. On note toutefois le système d’alias pour son mail, le partage du coffre-fort ou encore les notes synchronisées.
| Fonctionnalité attendue | Réponse |
|---|---|
| Existe-t-il une offre gratuite ? | ✓ |
| Gère-t-il et stocke les documents sensibles et personnels (pièce d’identité, CB…) ? | X |
| Remplit-il automatiquement les formulaires, y compris sur mobile ? | ✓ |
| Est-ce que l’on peut importer les mots de passe du navigateur ? | ✓ |
| Est-ce que l’on peut importer les mots de passe des gestionnaires de mots de passe concurrents ? | ✓ |
| Analyse-t-il la robustesse et la récurrence des mots de passe ? | X |
| Est-ce que le gestionnaire de mots de passe est sécurisé avec la double authentification (2FA) ? | ✓ |
| Est-il possible de partager des mots de passe et des données à des tiers ? | ✓ |
| Alerte-t-il en cas de fuite de mot de passe ? | X |
Création d’alias, authentification intégrée : quels sont les atouts de Proton Pass face à la concurrence ?
La création d’alias d’e-mails
Proton Pass se targue de ne pas être seulement un gestionnaire de mots de passe, mais un « gestionnaire d’identités ». Concrètement, cela signifie que les internautes peuvent générer des alias d’e-mails de façon illimitée pour créer de nouveaux comptes sur le web.
Une fonctionnalité qui fonctionne sensiblement comme celle baptisée « masquer mon adresse e-mail » inaugurée sur iOS 15. Lors de la création d’un nouveau compte, si l’on choisit d’utiliser un alias, Proton Pass créera une nouvelle adresse mail « jetable » qui fera office de proxy. Ainsi, l’éditeur du site web ne connaîtra jamais votre véritable adresse mail et Proton se chargera de transférer tous les courriels envoyés sur celle-ci à votre véritable adresse.
C’est très astucieux, ça fonctionne parfaitement bien et, surtout, ça ne prend pas plus de temps que si l’on crée un compte traditionnel.
Bien sûr, cette feature est également disponible sur les applications iOS et Android. Son utilisation est tout aussi simple sur mobile.
Support des codes d’accès uniques établis sur le temps (TOTP)
Si vous préférez éviter d’utiliser plusieurs applications pour vous connecter aux comptes où vous avez activé l’authentification à double facteur (2FA), Proton Pass devrait vous ravir. En effet, le gestionnaire de mots de passe prend en charge nativement les mots de passe fondés sur le temps (TOTP).
Sur l’interface de création d’un nouvel identifiant, un champ est réservé à l’enregistrement du jeton permettant la génération d’un code TOTP. Une fois rempli, il ne reste plus qu’à copier et à coller le code pour finaliser la connexion au compte souhaité.
Sur mobile, une option permet même de placer le code TOTP dans son presse-papier immédiatement après l’autocomplétion de son mot de passe, pour gagner du temps.
Partage de coffre-fort
Comme bien d’autres gestionnaires de mots de passe, Proton Pass autorise le partage de coffre-fort. Ce qui est étrange, c’est qu’il est impossible de partager un mot de passe en particulier, il faut forcément accorder l’accès à un coffre-fort dans son intégralité.
Une astuce consiste donc à créer un coffre-fort dédié aux identifiants qui peuvent être partagés, mais cela représente selon nous une étape inutile dans le processus.
Heureusement, l’étape de partage d’un coffre-fort permet de définir un niveau d’accès, un peu comme sur un document Google Drive : lecteur, éditeur, administrateur.
Réputation, audits de sécurité et bug bounty : comment s’en sort Proton Pass ?
Nous l’écrivions plus haut : Proton est une entreprise qui a une excellente réputation et qui n’a jamais été victime d’un piratage. La firme s’assure en outre d’être particulièrement respectueuse des données personnelles de ses clients. Forte d’une riche expertise dans la conception d’applications au chiffrage performant (AES-GCM 256-bit), l’entreprise suisse inspire confiance. Ceci étant, gardons en tête que Proton Pass est un produit encore récent, dont toutes les aspérités n’ont pas encore été lissées.
En l’occurrence, un chercheur en cybersécurité allemand, Mike Kuketz, s’est aperçu que les mots de passe stockés dans la mémoire de l’ordinateur dans une fenêtre de 30 minutes après le déverrouillage du gestionnaire de mots de passe n’étaient pas chiffrés. Après des échanges avec l’équipe de Proton, celle-ci s’est défendue en expliquant que cela était normal dans le cadre d’une application open-source comme la leur. Néanmoins, conscients de l’inquiétude que cela peut soulever, un correctif a été appliqué en septembre 2023.
Dans une évaluation de sécurité menée par Cure 53, Proton Pass a reçu des éloges pour sa robuste infrastructure de sécurité tout en soulignant la nécessité d’améliorations ciblées. L’audit a révélé que, malgré une solide défense contre un large éventail d’attaques, des failles spécifiques existent, en particulier dans l’extension de navigateur de la plateforme. Cure53 a mis en avant la capacité de résolution rapide de ces vulnérabilités par Proton Pass et souligne l’importance de tests continus pour renforcer la sécurité. Les résultats témoignent d’une base solide en matière de sécurité chez Proton Pass, avec un appel à une vigilance continue pour parfaire le système.
Nous l’abordions plus haut, mais les applications et les extensions de Proton Pass sont open-source. Le code peut être consulté librement sur la page GitHub du projet.
Enfin, Proton Pass partage le programme de chasse aux buts des autres produits Proton. Les récompenses vont de 50 € pour les vulnérabilités mineures à 10 000 € pour les vulnérabilités les plus graves compromettant la sécurité des données des utilisateurs. Le jury de Proton évalue chaque signalement au cas par cas. Voici le type de vulnérabilités recherchées en priorité par l’équipe :
– défauts d’authentification ou d’autorisation ;
– cross-site scripting ;
– nugs d’exécution de code au niveau du serveur ;
– vulnérabilités de l’API REST ;
– exploits SMTP.
Quel est le prix d’un abonnement à Proton Pass ?
Proton Pass est un gestionnaire de mots de passe totalement gratuit. N’importe qui peut se créer un compte et commencer à enregistrer des mots de passe, identifiants et cartes bancaires gratuitement, sans limites d’aucune sorte.
Les formules payantes permettent d’accéder à des fonctionnalités additionnelles (mais optionnelles), ou de rejoindre la grande famille de produits Proton dans le bouquet le plus coûteux.
- Proton Pass : gratuit.
- Proton Pass Plus : 4,99 € par mois, soit 119 € pour un abonnement de deux ans.
- Proton Unlimited (comprend toute la suite Proton) : 12,99 € par mois, soit 311,76 € pour un abonnement de deux ans.
Il est possible de s’abonner à Proton de façon mensuelle, ou via un abonnement annuel. La formule deux ans reste dans tous les cas la plus avantageuse.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
Certains liens de cet article sont affiliés. On vous explique tout ici.
