Dans le contexte: Proton AG est mieux connu pour son service de messagerie sécurisé Proton Mail, mais la société propose désormais davantage de services liés à la sécurité, tels qu’un VPN et un stockage en nuage. L’organisation basée à Genève, en Suisse, travaille sur un nouveau produit, qui devrait fournir aux utilisateurs un espace sécurisé pour stocker les mots de passe et autres extraits de texte sensibles.

La société Proton Mail élargit son offre de produits avec un nouveau gestionnaire de mots de passe : Proton Pass sera bientôt disponible sous forme bêta pour les abonnés payants, tandis que la version finale devrait également fournir un niveau gratuit aux utilisateurs non abonnés, comme les autres services Proton (Mail , Lecteur, VPN, Calendrier).

Selon Andy Yen, PDG et fondateur de Proton, un gestionnaire de mots de passe sécurisé est l’une des demandes les plus courantes de la communauté depuis le lancement de Proton Mail. Passe des protons suivra l’approche traditionnelle « zéro connaissance » de l’entreprise en matière de sécurité en utilisant un cryptage de bout en bout pour protéger les identifiants de connexion et tout le reste.

Proton Pass a été programmé par les développeurs de SimpleLogin, une société proposant un service de messagerie anonyme que Proton AG a acquis il y a plus d’un an. SimpleLogin et Proton partageaient un intérêt commun pour résoudre le problème de rendre les connexions « plus sécurisées, plus privées et plus faciles » à utiliser, a déclaré Yen.

Le fondateur de Proton a déclaré que les mots de passe sont devenus des informations si sensibles qu’un gestionnaire de mots de passe non sécurisé pourrait devenir un risque pour l’ensemble de la communauté Proton. Une violation de données pourrait fournir à un attaquant tout ce dont il a besoin pour contourner tout le cryptage avancé de Proton Mail, a déclaré Yen. Par conséquent, protéger correctement les mots de passe des utilisateurs nécessite un haut niveau de compétence en matière de cryptage et de sécurité que « peu d’organisations possèdent ».

2023 04 21 image 9

Le PDG de Proton a souligné comment le risque posé par une violation majeure du gestionnaire de mots de passe est devenu une dure réalité avec le tristement célèbre incident LastPass, où les pirates ont pu voler et compromettre les données utilisateur cryptées en volant les informations d’identification d’un ingénieur senior travaillant pour l’entreprise. À l’époque, la promesse de chiffrement de bout en bout faite par LastPass s’est avérée être des mots vides de sens.

Proton Pass sera différent de « juste un autre gestionnaire de mots de passe », a déclaré Andy Yen. Le service est construit « par une société dédiée au cryptage et à la confidentialité », ce qui devrait faire une différence tangible en matière de sécurité. Par exemple, Proton Pass utilisera un cryptage de bout en bout pour tous les champs (noms d’utilisateur, adresses Web, etc.) et pas seulement pour les mots de passe.

De plus, le nouveau gestionnaire de mots de passe utilisera une implémentation forte de hachage de mot de passe bcrypt – tandis que les implémentations faibles de PBKDF2 ont rendu d’autres gestionnaires de mots de passe vulnérables – et une implémentation renforcée de Secure Remote Password (SRP) pour l’authentification. Proton Pass est également l’un des premiers gestionnaires de mots de passe avec un authentificateur à deux facteurs (2FA) entièrement intégré et une prise en charge du remplissage automatique 2FA, a déclaré Yen.

La version bêta de Proton Pass est disponible pour les utilisateurs d’iPhone/iPad, d’Android et d’ordinateurs de bureau, avec des extensions de navigateur pour Brave et Google Chrome. Une extension pour Mozilla Firefox n’est pas encore disponible, mais elle devrait arriver bientôt.