Proton va aussi sécuriser vos mots de passe avec son propre gestionnaire
On connaissait les activités de Proton dans les mails, avec une solution fondée sur du chiffrement de bout en bout.
Proton Pass : le gestionnaire de mots de passe de Proton
L'entreprise suisse dévoile ce jeudi 20 avril 2023 une nouvelle offre logicielle, qui désire concurrencer les solutions déjà établies. Son nom ? Proton Pass. Actuellement, l'application comporte les fonctionnalités courantes que l'on est en droit d'attendre pour un produit de ce type :
Remplissage automatique des informations de connexion (identifiant et mot de passe) dans les champs de saisie adéquats ;
Création de mots de passe sécurisés, par exemple lors de l'ouverture d'un compte sur un service en ligne ;
Enregistrement automatique des nouvelles connexions sur les sites que l'internaute visite afin de mémoriser les accès pour les fois prochaines ;
Fourniture d'une zone pour faire de la prise de note, pour conserver des codes de récupération ou d'autres informations sensibles.
Mais Proton Pass comporte aussi des mécanismes plus inhabituels. C'est le cas de la prise en charge du remplissage automatique de l'authentification à deux facteurs (2FA) pour les comptes qui l'utilisent. On trouve aussi le chiffrement des données gravitant autour du mot de passe, qui peuvent être riches d'enseignement pour un pirate en cas de compromission. C'est le cas, par exemple, de l'identifiant ou du service que l'internaute fréquente.
Il s'agit d'un projet récent chez Proton, même si la demande était ancienne au sein de la communauté des utilisateurs. « C'est l'une des demandes que nous avons reçues le plus régulièrement », indique à Numerama le fondateur et patron de Proton, Andy Yen. Aller sur ce marché s'avère la suite logique de la démarche initiée en 2014 par Proton avec les mails chiffrés de bout en bout, lancés dans la foulée des révélations d'Edward Snowden sur la surveillance en ligne.
« Le chiffrement ne peut être efficace si les mots de passe des utilisateurs sont compromis, et les récents piratages de gestionnaires de mots de passe ont montré que le risque était réel », observe Andy Yen. Autrement dit, il ne suffit pas de protéger les comptes : il faut aussi bien sécuriser les « clés » qui y donnent accès. On l'a vu dans l'histoire récente. Les gestionnaires, bien que préférables aux mots de passe notés sur un post-it, ne sont pas infaillibles.
C'est en 2022 qu'a lieu le tournant de Proton, même si les requêtes de sa clientèle remontaient à 2014 pour les plus anciennes. Au printemps dernier, Proton a racheté la startup française SimpleLogin, fondée et dirigée par Son Nguyen. Celle-ci était spécialisée initialement dans la fourniture d'une solution d'alias d'email, avant de réorienter ses efforts dans le développement de Proton Pass, avec l'appui des équipes de la société suisse.
Signe, d'ailleurs, qu'il s'agit d'un programme relativement nouveau dans le plan de développement de Proton, le lancement de ce gestionnaire de mots de passe se fait aujourd'hui en version bêta. Les applications sont disponibles à la fois pour les deux principaux écosystèmes sur mobile (Android et iOS), ainsi que sur le web, pour les internautes passant par un ordinateur. La sortie de Proton Pass en version définitive aura lieu ultérieurement, tout comme la présentation de la feuille de route globale.
« Le chiffrement ne peut être efficace si les mots de passe des utilisateurs sont compromis »
Andy Yen
Reste maintenant à convaincre les internautes de basculer sur Proton Pass. Pour cela, la société basée en Suisse mise d'abord sur un argument très pragmatique : la gratuité du logiciel, en tout cas pour les fonctionnalités de base. « Nous pensons que tout le monde doit pouvoir accéder à un Internet sécurisé et respectueux de la vie privée », défend Andy Yen. Cependant, Proton ne s'interdit pas d'introduire plus tard des fonctionnalités plus avancées, mais payantes.
Elle compte aussi sur la notoriété qu'elle s'est forgée au fil des années, issue de ses principes clairs en matière de protection de la vie privée. Le gestionnaire de mots de passe est ainsi chiffré de bout en bout, comme le webmail de Proton. En outre, elle inclut la 2FA pour sécuriser davantage l'accès au gestionnaire, elle met à disposition son code source, et commande également des audits indépendants pour évaluer sa sécurité.
D'ailleurs, Proton joue sur l'argument d'avoir tout un écosystème homogène. En se lançant dans Proton Pass, les internautes font aussi un pas vers le reste des outils de l'entreprise : un webmail, un VPN, un hébergeur, un calendrier... et certainement davantage, à l'avenir. « Proton Pass fait partie intégrante de l'écosystème Proton, et nous pensons que cela constitue une offre intéressante et convaincante pour les utilisateurs », défend Andy Yen.
Mais Proton mise aussi sur la défiance d'une partie des internautes à l'égard des géants américains, depuis l'affaire des révélations d'Edward Snowden, mais aussi en raison de leur modèle économique. Andy Yen place ainsi Proton en « alternative européenne et indépendante » de la Big Tech, où les « notions de respect de la vie privée [sont] fondamentalement plus fortes ». En somme, la philosophie est de « faire passer les utilisateurs avant les profits », tranche le patron de Proton, en laissant aux individus le contrôle de leurs données, sans aucun regard indiscret.
Quid des passkeys qui doivent tuer les mots de passe ?
Inévitablement, l'arrivée de Proton dans l'arène des gestionnaires de mots de passe en 2023 interroge avec l'émergence des passkeys. En effet, ce nouveau mécanisme est présenté par ses promoteurs comme le fossoyeur des mots de passe. Pourquoi ? Parce que ces derniers sont considérés comme l'éternel point faible de l'internaute en matière de sécurité informatique. De ce fait, il est temps de les tuer. C'est en tout cas la position de Google, Apple et Microsoft, très favorables aux passkeys -- et moteurs, du fait de leur place dans l'écosystème informatique.
Est-ce que Proton ne se lance pas trop tard dans les gestionnaires, de ce point de vue ? Et par ailleurs, quelle est la position de l'entreprise suisse face à ce procédé tout nouveau ? Va-t-elle suivre le mouvement ? À ces interrogations, Andy Yen est plutôt dans une position attentiste : c'est prometteur, mais c'est pour le moment très confidentiel encore. Pourtant, d'autres gestionnaires sont en train de se préparer à cette transition.
« Les passkeys étant encore relativement niche, cela n’est pas inclus dans notre feuille de route immédiate », prévient Andy Yen, même si ses équipes suivent de près leur développement. « Nous pensons cependant que les mots de passe ne disparaîtront pas de sitôt, car l'adoption des passkeys ne se fera pas du jour au lendemain et l'utilisation du mot de passe sera toujours pertinente à l’avenir ». Mais à long terme, les passkeys sont sur les radars de Proton.