Proton Pass dévoile son code source pour montrer qu'il ne cache rien de malsain
La société Proton publie le code source de son gestionnaire de mots de passe, Proton Pass. Une manière de montrer qu’il n’a rien à cacher, en ligne avec ses précédentes divulgations pour ses autres logiciels.
C’est une caractéristique dont Proton Pass pourra désormais se prévaloir lorsque le logiciel sera mis en concurrence avec d’autres gestionnaires de mots de passe. À compter du 19 juillet, l’application est passée en open source. Autrement dit, son code source est ouvert et peut être désormais consulté par n’importe qui ayant les compétences requises.
Les gestionnaires de mots de passe sont des logiciels spécialisés dans la gestion et la sécurisation des codes secrets, pour éviter d’avoir à les mémoriser. Ils sont comme des coffres-forts sur l’ordinateur ou le téléphone. Si des idées reçues les concernant ont la vie dure, la balance risques / bénéfices penche en leur faveur, dans la mesure où le public a tendance à faire n’importe quoi.
Ne pas quémander la confiance, mais apporter des preuves de confiance
Proton est une entreprise suisse née dans le sillage des révélations sur la surveillance électronique américaine. Après un webmail (ProtonMail, ses activités se sont élargies à un calendrier, à un VPN, à un espace de stockage en ligne et un gestionnaire de mots de passe.
L’ouverture du code source est une pratique courante dans le secteur du logiciel libre. C’est une manière de démontrer que le programme informatique ne comporte pas de bouts de code douteux ou secrets, liés à des fonctionnalités qui ne sont pas documentées. C’est une mesure de transparence et de confiance : on n’a rien à cacher, en somme.
C’est aussi la possibilité de permettre aux personnes armées intellectuellement et techniquement d’analyser le code et de formuler des critiques en vue de l’améliorer. Les dépôts pour l’application iOS, l’application Android et les extensions pour les navigateurs web se trouvent sur GitHub. C’est aussi là que l’on retrouve les dépôts des autres projets de Proton.
« Compte tenu des données sensibles que vous protégez avec votre gestionnaire de mots de passe, il est crucial que vous sachiez exactement ce qui se passe dedans. Proton Pass étant un logiciel libre, tout le monde peut inspecter notre code et s’assurer que les applications fonctionnent comme prévu », écrit Proton. Mais c’est à supposer que cette inspection ait lieu effectivement.
C’est ce que reconnaît Proton : « Tout le monde n’a pas le temps, l’expertise technique ou l’intérêt de se pencher sur le code de nos applications ». D’où l’idée d’accompagner cette ouverture par un audit de sécurité, confié à Cure53, une société de sécurité allemande indépendante. C’est elle qui, par exemple, avait examiné la sécurité du VPN de Mozilla en 2021.
L’interface de Proton Pass avec l’extension pour navigateur. // Source : Proton
Un audit qui a été bénéfique, car huit vulnérabilités ont été identifiées (trois de gravité basse, trois de criticité moyenne et deux de sensibilité élevée). Selon Cure53, « l’état général de la sécurité des applications et des plateformes de Proton est louable ». Les fragilités ont été corrigées depuis, sauf une, ainsi que deux autres soucis périphériques.
La faiblesse qui n’a pas été corrigée est de gravité moyenne et, selon Proton, ce n’est pas de sa faute : en cause, « une limitation de la plateforme Android : le système d’exploitation ne fournit pas actuellement les informations qui seraient nécessaires pour résoudre ce problème ». Il faudra patienter un éventuel mouvement du côté de Google pour que cela change
Dans le cadre de l’audit de sécurité, Cure53 a examiné les deux applications mobiles, les extensions de navigateur et l’API Proton. L’équipe d’examen a consulté l’ensemble du code source de Proton Pass, mais aussi eu « un accès complet aux ingénieurs de Proton Pass ». C’est ce qu’on appelle l’audit de la boîte blanche. L’audit peut être consulté en ligne.
Proton Pass est sorti en version bêta à la fin du mois d’avril 2023. Sa disponibilité générale a eu lieu deux mois plus tard, fin juin. Le logiciel arrive dans un marché déjà occupé par plusieurs poids lourds, comme Bitwarden, KeePass, Dashlane, LastPass ou encore 1Password. Proton Pass est gratuit, mais comporte deux offres payantes incluant des fonctionnalités additionnelles.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
Source: Numerama