Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

ProtonMail offre maintenant la cryptographie à courbe elliptique,
Pour une sécurité et une rapidité accrues

Le , par Stan Adkens

96PARTAGES

7  0 
L’équipe responsable de ProtonMail, a annoncé jeudi, dans un billet de blog, que le service de courrier électronique sécurisé prend désormais en charge la cryptographie à courbe elliptique (ECC) pour une sécurité et une rapidité accrues. Selon le billet de blog, l'entreprise travaille depuis plusieurs mois à la mise en place d'un support pour les nouvelles méthodes cryptographiques qui offrent une expérience plus rapide avec une sécurité égale ou supérieure. La cryptographie à courbe elliptique est le système cryptographique le plus avancé disponible, et l’équipe ProtonMail met désormais cette technologie à la disposition de tous les utilisateurs dans toutes les applications web, mobiles et de bureau du service de courrier électronique.

ProtonMail s’est bâti une réputation centrée sur la sécurité des emails, le respect de la vie privée ainsi que la facilité d’utilisation. La société a pris la décision d'inclure la cryptographie par courbe elliptique en plus du chiffrement RSA. Cependant désormais, l'ECC deviendra la norme par défaut pour toutes les nouvelles adresses sur ProtonMail, et l’équipe ProtonMail donne aux utilisateurs existants, dès la publication de leur billet de blog, la possibilité de mettre à jour leurs adresses RSA.


L’ECC est l'un des types de cryptographie les plus puissants. Elle est la prochaine génération de la cryptographie à clé publique, et est basée sur les mathématiques. Elle fournit une base beaucoup plus sûre que les systèmes de cryptographie à clé publique de première génération comme RSA. De plus en plus de sites Web utilisent l'ECC pour tout sécuriser, depuis les connexions HTTPS des clients jusqu'à la façon dont ils transmettent les données entre les centres de données. Selon l’équipe ProtonMail, si vous êtes soucieux d'assurer le plus haut niveau de sécurité tout en maintenant la performance, l'ECC est un choix judicieux. Selon le billet de blog, les internautes utilisent peut-être déjà cette cryptographie dans d'autres services, tels que WhatsApp, Chrome, Firefox, Opera, et Tor.

Le système de cryptographie à clé publique RSA, basé également sur les mathématiques, a été pendant des décennies la norme dans le domaine. Mais au fur et à mesure que les ordinateurs deviennent plus rapides, le chiffrement RSA nécessite des nombres de plus en plus grands pour rester sécurisé. Les grands nombres ralentissent les choses, en particulier sur les appareils mobiles avec moins de puissance de calcul, a écrit l’équipe dans son billet de blog. L'ECC repose également sur une équation mathématique, mais il faut des nombres beaucoup plus petits pour atteindre le même niveau de sécurité.

C’est pour ces raisons qu’au cours des dernières années, de plus en plus de produits et de protocoles ont mis en œuvre ce système cryptographique, pour plus de sécurité et performance. Ces mêmes raisons ont poussé ProtonMail, reconnu pour sa protection de vie privée, à mettre l’ECC à la disposition des utilisateurs de son service de courrier électronique.

L’équipe ProtonMail a écrit dans son billet de blog :

« En utilisant la cryptographie à courbe elliptique, les processus de génération de clés, de chiffrement et de déchiffrement deviennent beaucoup plus rapides. Cela permet d'économiser de la puissance de traitement (vous permettant de vous connecter et de charger des e-mails plus rapidement), de la mémoire (libérant ainsi de l'espace pour que d'autres applications puissent fonctionner) et de l'énergie (ce qui vous donne une plus grande autonomie de la batterie). »

La cryptographie à courbe elliptique (ECC) est plus sécurisée

Selon l’équipe PrtonMail, les systèmes cryptographiques à clé publique - qu'il s'agisse de courbes RSA à bit élevé ou de courbes elliptiques - sont extrêmement sûrs. Toutefois, les attaquants pour parvenir à pirater pour tout système chiffré, le seul moyen pratique est d'exploiter les faiblesses de sa mise en œuvre, a écrit l’équipe. « Avec ECC, il n'y a que deux attaques connues, l'une qui tire profit des générateurs de nombres aléatoires et l'autre qui exploite des choses comme la consommation d'énergie des appareils pour glaner des indices sur les clés. Ces deux éléments sont bien compris et ont été atténués il y a des années », a écrit l’équipe.

« Nous avons choisi un système de courbe elliptique particulier appelé X25519, qui est rapide, sûr et particulièrement résistant aux attaques de synchronisation. Il est simple à mettre en œuvre et, pour ce qu'il vaut, ne fait l'objet d'aucune revendication de brevet », a ajouté l’équipe.

Pour répondre à certaines préoccupations des utilisateurs en ce qui concerne la capacité de résistance du chiffrement existant aux ordinateurs quantiques, l'équipe a écrit :

« Certains utilisateurs peuvent également être curieux d'en savoir plus sur les ordinateurs quantiques, qui seront incroyablement rapides et promettent d'améliorer les systèmes de chiffrement existants. La cryptographie à courbe elliptique sous sa forme actuelle n'aurait aucune chance contre un ordinateur quantique. Mais cette technologie n'est pas encore disponible pour au moins plusieurs années, et tout comme ProtonMail s'est adapté à la nouvelle norme ECC, nous continuerons à évoluer en même temps que les nouveaux défis. Il existe aujourd'hui une recherche active sur les algorithmes de chiffrement à résistance quantique que nous suivons de près. »

En attendant l’arrivée des ordinateurs quantiques, la société a adopté les clés ECC qui deviendront les clés par défaut pour toutes les nouvelles adresses dans ProtonMail. La société invite les utilisateurs ayant déjà un compte ProtonMail à mettre à jour leurs clés RSA pour chaque adresse e-mail. Afin de procéder à la mise à niveau, suivez ces instructions :

  • se connecter à son compte ProtonMail existant
  • aller dans Paramètres
  • accéder au menu des clés
  • cliquer sur le bouton Ajouter une nouvelle clé et sélectionnez l'adresse pour laquelle vous souhaitez ajouter des clés ECC et cliquer sur Suivant
  • sélectionner ensuite X25519 (Moderne, rapide, sécurisé) et cliquer ensuite sur Générer les clés. Il vous sera demandé d'entrer le mot de passe de votre compte.
  • Dans la rangée de touches ECC, cliquer sur le menu déroulant et sélectionnez Make Primary. Cela fera de votre nouveau ECC la clé par défaut pour cette adresse e-mail.


La société recommande de ne pas effacer les anciennes clés RSA, car en le faisant, vous perdrez la capacité de déchiffrer tous vos courriels existants.

Vous pouvez continuer à utiliser le chiffrement RSA qui continue à sécuriser les e-mails, cependant votre boîte aux lettres pourrait tourner plus lentement, en particulier sur les appareils mobiles. Pour la grande majorité des utilisateurs, l'ECC est la meilleure méthode, d’après l’équipe ProtonMail.

Toutefois, selon un utilisateur d’un site Web, l’annonce est digne d’un coup de pub en se basant sur certains précédents choix de la société qui n'ont pas marché comme promis. « Il y a beaucoup de choses qu'ils font qui semblent très bien sur le matériel de marketing, mais à l'examen, sont un théâtre de sécurité ». Selon lui, ProtonMail pourrait utiliser d’autres options. « Ils auraient pu utiliser quelque chose avec un bon timing de résistance aux attaques de WebCrypto. »

Source : ProtonMail

Et vous ?

Que pensez-vous de la prise en charge de l’ECC par ProtonMail ?
ProtonMail a choisi le système ECC X25519. Quel commentaire avez-vous à ce propos ?

Lire aussi

Après Telegram, la Russie bloque le fournisseur de messagerie chiffrée ProtonMail, évoquant une mesure de sécurité nationale
Proton Technologies, l'entreprise mère de ProtonMail et ProtonVPN, reçoit 2M€ de l'UE, pour le développement d'une suite de services chiffrés
ProtonMail : le service de messagerie chiffrée basé en Suisse atteint 5 millions d'utilisateurs, 4 années après son lancement
France : le gouvernement va lancer sa propre application de messagerie chiffrée, pour un meilleur contrôle des communications sensibles

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de weed
Membre éprouvé https://www.developpez.com
Le 27/04/2019 à 20:02
Citation Envoyé par BufferBob Voir le message
mais sauf erreur on ne peut pas attaquer les bal par pop/imap, on est cantonné au webmail
du coup mes mails sont ultra-sécurisés c'est cool mais en tant que pékin moyen qui ne travaille pas avec des secrets d'état je me sens un peu moins concerné par l'outil...
Il semblerait qu'il faille que tu installes un petit logiciel qui s'intercalerait pour crypter à la volée les mails. Fonctionne sous Thunderbird mais uniquement sous Windows/OSx pour le moment.
https://protonmail.com/support/knowl...pple-mail-ect/

Ne pas oublier que la sécurisation ne s'applique qu'avec des correspondants ProtonMail.
Du coup pour moi, je trouve cela trop contraignant pour le moment. Je n'ai pas encore sauté le pas chez Prontonmail, peut être qu'un jour.
1  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 26/04/2019 à 12:50
mais sauf erreur on ne peut pas attaquer les bal par pop/imap, on est cantonné au webmail
du coup mes mails sont ultra-sécurisés c'est cool mais en tant que pékin moyen qui ne travaille pas avec des secrets d'état je me sens un peu moins concerné par l'outil...
0  0 
Avatar de Fagus
Membre actif https://www.developpez.com
Le 26/04/2019 à 18:59
bal = boîte aux lettres ?

Non, ils n'ont pas pop/imap, mais ils ont un client que tu installes chez toi et qui fait ce genre de service pour interfacer un client mail classique. (service payant). Leur webmail est pas trop mal honnêtement, et il évite les problèmes d'implémentation du client comme ceux qui ont exposé la chaîne de GPG.

De toutes façons, on est bien d'accord, vu le niveau des algo utilisés, ce n'est pas le point d'attaque à priori. ça doit être beaucoup plus facile de prendre le contrôle de l'os qui héberge le client.
0  0 
Avatar de cryptonyx
Membre actif https://www.developpez.com
Le 27/04/2019 à 17:59
Ce service de messagerie étant assez récent, on peut plutôt se demander pourquoi ils n'ont pas commencé par la crypto sur courbe elliptique dès le départ.
0  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 29/04/2019 à 10:04
Citation Envoyé par weed Voir le message


Ne pas oublier que la sécurisation ne s'applique qu'avec des correspondants ProtonMail.
Du coup pour moi, je trouve cela trop contraignant pour le moment.
1. Quand on veut crypter ses données à l'envoi, il faut évidemment les décrypter à la réception, non?

Donc tout cryptage nécessite que son destinataire utilise un système compatible pouvant le décrypter... Cela n'est en rien une limitation propre à Protonmail ou à tout autre système.

2. Et oui, la sécurité des données c'est contraignant! Comme c'est contraignant de devoir attacher sa ceinture avant de démarrer sa voiture!

0  0 
Avatar de Montaigne
Membre du Club https://www.developpez.com
Le 03/05/2019 à 10:56
Citation Envoyé par weed Voir le message
Ne pas oublier que la sécurisation ne s'applique qu'avec des correspondants ProtonMail.
Du coup pour moi, je trouve cela trop contraignant pour le moment. Je n'ai pas encore sauté le pas chez Prontonmail, peut être qu'un jour.
Tu as la possibilité de crypter un message par un mot de passe en te débrouillant pour le donner par une autre voie à ton correspondant.
Ou alors, tu convainc tes contacts de se créer une adresse proton pour pouvoir discuter tranquillement
0  0 
Avatar de Le_Duc
Membre à l'essai https://www.developpez.com
Le 08/05/2019 à 9:55
Arrêter de dire "crypter" les gens sérieux !
https://chiffrer.info
0  0