Syndiquer le contenu
Mis à jour : il y a 17 heures 8 min

Campagne de financement participatif pour ProtonMail

19 juillet, 2014 - 18:33

ProtonMail est un service de messagerie web sécurisé créé en 2013 par Jason Stockman, Andy Yen et Wei Sun au CERN, situé à côté de Genève en Suisse. À l'opposé de nombreuses messageries web existantes (gmail.com, outlook.com…), ProtonMail chiffre les courriels avant qu'ils ne soient envoyés au serveur. ProtonMail est actuellement en version bêta.

Depuis le 17 juin, une campagne de financement participative a été lancée par l'équipe de développeur dans le but d'atteindre 100 000$. Deux semaines plus tard, le projet avait déjà reçu 200 000$. La prochaine étape est d'atteindre 500 000$ afin que des applications pour iOS et Android soient développées. La campagne se termine le 31 juillet. ProtonMail accepte les paiements par carte bleue, paypal (voir plus bas) et bitcoin.

Détail de la sécurité

Les développeurs mettent en avant plusieurs points pour justifier de la sécurité de ce nouveau projet.

Tout d'abord, les serveurs de ProtonMail sont localisés en Suisse et dépendent donc de la législation suisse qui est l'une des plus protectrices au monde concernant les données personnelles (d'après les développeurs). Seul le tribunal cantonal de Genève ou le tribunal fédéral peuvent obliger ProtonMail à fournir les données extrêmement limitées qu'ils ont de leurs utilisateurs.

De plus, les données ne sont pas accessibles. Le système repose sur deux mots de passe. Le premier permet de se connecter à la messagerie. Celui-ci est connu par les administrateurs. Une fois connecté, les données sont envoyées chiffrées à l'utilisateur. Il utilise alors le deuxième mot de passe, connu de lui seul, pour déchiffrer les données au sein du navigateur. Ce deuxième mot de passe n'est pas envoyé au serveur, ni les données déchiffrées. Les données sont donc chiffrées de bout en bout et les serveurs de ProtonMail ne contiennent que des données chiffrées.

ProtonMail n'enregistre aucun log. Il ne sauvegarde aucune métadonnée, que ce soit les adresses IP à partir desquelles l'utilisateur se connecte, ou bien le temps durant lequel un compte est consulté. À noter que Google Analytics est utilisé mais uniquement sur la page d'accueil du site. Il n'est pas possible de faire correspondre les données avec un compte utilisateur spécifique.

Il est possible d'échanger des mails avec d'autres services de messagerie. Dans ce cas, votre correspondant recevra un lien vers le message chiffré qu'il pourra déchiffrer grâce à la phrase de passe que vous lui aurez auparavant communiqué par un moyen de communication sécurisé ;)

Enfin, il existe une option pour activer l'autodestruction des courriels au bout d'un certain délai.

Techniquement, sur quoi ça repose ?

Techniquement, le chiffrement des données est réalisé avec AES et RSA implémenté dans OpenPGP. Par ailleurs, des scripts vérifient régulièrement l'intégrité du code en exécution de sorte à détecter toute modification de celui-ci. Enfin, bien que les données transitant depuis le serveur vers votre navigateur web soient déjà chiffrées, la communication s'effectue via SSL pour ajouter une protection supplémentaire (attaque de l'homme du milieu).
Leur certificat SSL est fournit par SwissSign. Les développeurs publieront prochainement le hash SHA3 de leur clé publique SSL.

Enfin, l'équipe a choisi avec attention l'emplacement physique des serveurs. Ils sont situés dans des centres de traitement de données (datacenters) sécurisés et gardés aux côtés des serveurs de banques suisses. Du côté humain, aucune personne ne possède l'ensemble des mots de passe d'accès ; ils sont conservés par différents personnes de nationalités différentes.

Équivalent

À noter que tutanota, basé en Allemagne, propose le même genre de fonctionnalités.

Paypal pense que c'est illégal

En plein milieu de la campagne de financement, le 30 juin dernier, paypal décide unilatéralement de bloquer les dons pour ProtonMail. Paypal se demandait si ProtonMail était légal et s'ils avaient l'autorisation du gouvernement (lequel ?) pour chiffrer les courriels. Le blocage a été levé le lendemain dans l'après-midi.

Télécharger ce contenu au format Epub

Lire les commentaires

Une nouvelle version de l'Agenda du Libre vient d'être déployée!

19 juillet, 2014 - 18:31

En 2013, l'April a repris l'hébergement de l'Agenda du Libre. Afin de faire évoluer le projet, une nouvelle version a été écrite en Ruby on Rails. Celle-ci utilise actuellement rigoureusement la base de données et l'ergonomie de l'ancienne version.

Vous pouvez retrouver le code source dans son intégralité sur son dépôt Gitorious.

La période étant plutôt creuse et le code prêt, nous avons modifié la configuration Apache httpd pour que le site www.agendadulibre.org pointe vers la nouvelle version.

Cette nouvelle version comporte probablement encore beaucoup de bugs et oublis, mais apporte aussi :

  • une meilleure accessibilité ;
  • la validation W3C ;
  • des formulaires html5 ;
  • l'internationalisation ;
  • un outil d'administration ;
  • des dépendances vers des bibliothèques tierces ;
  • un système de migration de la base de données ;
  • des textes modifiables depuis la base de données ;
  • et enfin, des tests unitaires, fonctionnels et de sécurité.

Des tests ont été réalisés ; de plus les flux type RSS et iCal répondent avec les mêmes URL qu'avant, donc idéalement la plupart des sites référençant l'Agenda du Libre français ne devraient subir aucun désagrément.

Le script de soumission automatisée d'événements, en python, a été mis à jour, mais il faudra tout de même que les utilisateurs le téléchargent.

En fonction des remontées reçues, nous verrons pour les versions suisses et belges, qui utiliseront le même code mais une base de données séparée.

Nous sommes joignables par IRC sur #agendadulibre (sur freenode) ou par courriel à devel chez agendadulibre point org si vous avez le moindre souci ou si vous souhaitez des évolutions !

Télécharger ce contenu au format Epub

Lire les commentaires