Chez Proton, nous souhaitons que vous puissiez choisir ce qu’il advient de vos informations personnelles, c’est pourquoi nous avons développé une suite de services chiffrés qui vous donnent le contrôle. Une partie intégrante de ce contrôle est de vous expliquer précisément comment nos services fonctionnent, y compris la manière dont ils protègent vos informations. C’est la seule manière pour vous de prendre une décision éclairée sur qui confier les détails de votre vie.
Étant donné les informations sensibles que vous protégez avec votre gestionnaire de mots de passe, il est crucial que vous sachiez exactement ce qui se passe à l’intérieur. Puisque Proton Pass est open source, quiconque peut inspecter notre code et s’assurer que les applications fonctionnent comme décrit.
Vous pouvez trouver le code source de Proton Pass ici :
- Extensions de navigateur Proton Pass(nouvelle fenêtre)
- Application Proton Pass pour iOS/iPadOS(nouvelle fenêtre)
- Application Proton Pass pour Android(nouvelle fenêtre)
Examinez le code de toutes les applications Proton
Proton Pass a passé un audit de sécurité indépendant
Bien que le fait d’être open source signifie que n’importe qui peut auditer notre code, tout le monde n’a pas le temps, l’expertise technique ou l’intérêt de se plonger dans le code de nos applications. C’est pourquoi nous commandons et publions également régulièrement des audits de sécurité indépendants pour toutes nos applications.
Le code de Proton Pass a fait l’objet d’un audit de sécurité par la société allemande de sécurité Cure53(nouvelle fenêtre) au cours des mois de mai et juin. Nous avons choisi Cure53 pour réaliser l’audit de Proton Pass car nous voulions nous assurer que Proton Pass recevait les tests les plus rigoureux possibles, et Cure53 a une grande expérience dans l’investigation des extensions de navigateur et des gestionnaires de mots de passe. Ils ont testé toutes les applications mobiles Proton Pass, les extensions de navigateur et notre API.
Cure53 a déclaré à propos de Proton Pass : « L’évaluation de sécurité approfondie et minutieuse de Proton par Cure53 a mis en évidence leur engagement à maintenir un haut niveau de sécurité. Avec un nombre modéré de découvertes et la plupart des vulnérabilités de sécurité limitées en gravité, l’état général de la sécurité à travers les applications et plateformes de Proton est louable ».
Ces résultats reflètent la profonde ADN de sécurité de Proton et aident à valider de nombreuses décisions architecturales que nous avons prises avec Proton Pass. Il y a aussi des considérations spécifiques à la gestion de mots de passe que cet audit a aidé à porter à notre attention. Par exemple, nous avons manqué un cas où un attaquant pourrait contrôler un sous-domaine sur un domaine où l’utilisateur a un compte et ainsi tromper un utilisateur qui ne fait pas attention en saisissant par erreur ses identifiants.
Tous les problèmes signalés dans l’audit de sécurité ont été résolus à l’exception du problème de gravité moyenne PRO-01-003 WP1, qui malheureusement ne peut pas être résolu pour le moment en raison d’une limitation de la plateforme Android (le système d’exploitation Android ne fournit pas actuellement les informations nécessaires pour résoudre ce problème). Vous pouvez lire le rapport d’audit de Proton Pass(nouvelle fenêtre) vous-même. Vous pouvez également trouver les rapports d’audit pour tous les services Proton.
Sécurité digne de confiance et vérifiable
En tant qu’entreprise dirigée par des scientifiques (Proton a été fondée par des scientifiques qui se sont rencontrés au CERN), nous croyons fermement dans l’éthique scientifique de la transparence et de l’examen par les pairs. Les affirmations de Proton en matière de sécurité et de confidentialité peuvent être vérifiées de manière indépendante par d’autres, et notre code open source permet à nos affirmations d’être constamment testées, vérifiées et même améliorées.
Au lieu de cacher les vulnérabilités et de compter sur le secret pour maintenir une « sécurité » comme d’autres entreprises, nous soumettons tous nos services à un examen public rigoureux, nous permettant de trouver et de résoudre rapidement tout problème.
Pour cette raison, nous encourageons également activement l’inspection et la vérification du code de Proton par le biais de notre programme de recherche de bugs public. Si vous avez des questions ou des commentaires concernant Proton Pass, son audit de sécurité ou notre approche de l’open source, partagez-les avec nous ! Rejoignez la conversation sur Twitter(nouvelle fenêtre) et Reddit(nouvelle fenêtre).
