Examen du Pass Proton

Proton Pass est le nouveau gestionnaire de mots de passe de Proton Technologies, qui est sécurisé et couvre les bases, avec un niveau gratuit très solide et des abonnements bon marché, mais il n’a pas encore déployé une gamme complète de fonctionnalités avancées.

Introduction

Proton Technologies est bien connu pour ses services de messagerie sécurisée et Proton VPN.

L’entreprise s’est diversifiée dans le domaine du calendrier et du stockage sécurisés, auxquels vient désormais s’ajouter Proton Pass, un nouveau concurrent dans le monde de la gestion de mots de passe en ligne.

Lancé en juin 2023, il est effectivement très nouveau. J’aime, utilise et recommande un certain nombre de services de Proton. Voyons si Proton Pass est prêt à rejoindre notre catalogue des meilleurs gestionnaires de mots de passe aussi tôt dans son développement.

Tarifs

Le niveau de base Proton Pass, comme ceux des autres services de l’entreprise, est gratuit. Pour cela, vous pouvez stocker et synchroniser un nombre illimité de mots de passe sur un nombre illimité d’appareils.

De plus, vous bénéficiez de 10 alias de messagerie gratuits fournis par SimpleLogin, société d’anonymat en ligne appartenant à Proton. L’utilisation d’un alias différent pour différents services en ligne rend plus difficile l’utilisation d’attaques de type credential stuffing contre vous en cas de violation d’un service auquel vous vous êtes inscrit, et rend également plus évident le fait qu’un fournisseur de services vend vos informations personnelles à des spécialistes du marketing.

À l’heure actuelle, vous pouvez souscrire un abonnement Proton Pass Plus autonome pour 12 €/12 $ (environ 10 £) par an, et Proton vous garantira ce prix pendant toute la durée de vie de votre abonnement. Si l’entreprise a du sens, elle conservera ces frais d’abonnement pour tout le monde, ce qui la rendra compétitive par rapport aux niveaux payants très économiques de Bitwarden.

Vous pouvez également vous abonner pour 4,99 $/4,99 € (environ 4 £) par mois, mais cela n’a vraiment aucun sens pour un gestionnaire de mots de passe, même si les frais annuels n’étaient pas aussi compétitifs. Les abonnés Proton Unlimited existants, qui paient environ 100 £ par an pour un accès groupé à tous les services de Proton, trouveront Proton Pass déjà inclus dans leur abonnement.

Les utilisateurs payants bénéficient d’un certain nombre de fonctionnalités supplémentaires, notamment un nombre illimité d’alias de messagerie, un authentificateur 2FA intégré et 20 coffres-forts de mots de passe différents.

Caractéristiques

• Facile à utiliser et clairement conçu
• Accessible uniquement via les plugins de navigateur et les applications mobiles
• Il manque actuellement de coffre-fort Web, d’historique des mots de passe et de partage de mots de passe.

Proton Pass permet de générer, enregistrer et saisir automatiquement des mots de passe, notamment sur le web. Il le fait très bien, offrant l’attention habituelle aux détails de Proton Technologies en matière de sécurité.

Les bases de données de mots de passe sont à connaissance nulle et leurs données cryptées sont stockées exclusivement sur les propres serveurs de Proton en Suisse et en Allemagne. Proton Pass utilise une clé utilisateur pour tout crypter, créée à l’aide d’un hachage bcrypt de votre mot de passe principal ainsi que d’une vente de compte. Ceci est ensuite utilisé pour chiffrer une clé de coffre-fort de 32 octets. Chaque élément que vous générez reçoit également une clé aléatoire, qui est ensuite cryptée – avec les données de l’élément – ​​à l’aide d’AES-GCM 256 bits.

Il existe également des formulaires pour stocker des notes et des cartes de paiement cryptées, ainsi que pour créer et enregistrer des alias de courrier électronique et des mots de passe supplémentaires. Ceci est moins étoffé que les formulaires très variés proposés par 1Password et Dashlane, et n’inclut pas d’image ou d’autres fichiers joints, mais couvre les bases. Les abonnés payants peuvent également ajouter des générateurs de clés TOTP – à vos propres risques, car cela signifie que votre deuxième facteur et votre mot de passe sont désormais au même endroit – et tout le monde peut ajouter des champs personnalisés et des notes aux entrées selon vos besoins, dont le contenu peut être masqué si vous le souhaitez. .

Le gestionnaire de mots de passe est actuellement accessible via des plugins de navigateur pour Firefox et pour les navigateurs basés sur Chromium, notamment Chrome, Brave et Edge. Les utilisateurs de macOS doivent savoir que Safari n’est actuellement pas pris en charge. Il existe également des applications mobiles pour iOS et Android. Vous pouvez télécharger directement un APK Android depuis Proton, ce qui en fait un bon choix pour ceux qui utilisent des forks Android dé-Google. Il n’existe actuellement aucune application de bureau, bien que les utilisateurs de Mac exécutant des PC basés sur Apple Silicon aient la possibilité d’installer l’application iOS. Proton indique qu’une application de bureau multiplateforme est actuellement sur la feuille de route.

Plus inhabituel, il n’existe pas non plus d’application web. Alors que presque tous les autres gestionnaires de mots de passe basés sur des services vous offrent la possibilité d’accéder à vos mots de passe à partir d’un coffre-fort Web, cela figure toujours sur la liste de tâches de Proton, qui devrait arriver plus tard en 2023. Le partage de mots de passe n’est pas non plus une fonctionnalité actuellement, mais est dont la sortie est prévue « dans les mois à venir » et Proton a déjà détaillé comment les coffres-forts partagés seront sécurisés. Bien que Proton Pass puisse vous indiquer lorsque vous avez modifié une entrée, il n’existe actuellement aucun historique des versions pour les mots de passe, ce qui est légèrement terrifiant si vous modifiez accidentellement un mot de passe dans l’application.

Votre mot de passe principal est géré un peu différemment de certains autres services de gestion de mots de passe. Alors que, par exemple, NordPass et le gestionnaire de mots de passe de Norton ont des mots de passe distincts pour votre compte et pour déverrouiller vos mots de passe, Proton suppose que vous avez suivi ses conseils pour définir un mot de passe principal fort sur votre compte Proton lui-même, et n’exige pas une seconde connectez-vous ou déverrouillez le code pour vos mots de passe. Les comptes Proton fonctionnent tous sur une base de connaissance nulle, vous devez donc vous assurer de ne pas perdre ou oublier votre mot de passe. Vos paramètres d’authentification multifacteur (MFA) s’appliquent également à l’ensemble du compte : vous pouvez utiliser une application d’authentification mobile ou une clé de sécurité U2F ou FIDO2 telle qu’une Yubikey pour cela.

Cela a du sens et est moins irritant que les services concurrents qui vous obligent à vous connecter deux fois, mais vous devez vraiment prendre au sérieux la création et l’hygiène de votre compte Proton. Par extension, cela signifie que toutes vos options de récupération de compte et 2FA sont liées à votre compte Proton, plutôt qu’à votre base de données de mots de passe. Il s’agit notamment de l’accès d’urgence au compte et de la récupération via une adresse e-mail ou un numéro de téléphone désigné, ou une phrase secrète ou un fichier qui peut être transmis à quelqu’un d’autre. C’est moins élégant qu’un contact d’urgence désigné ou un système de poignée d’homme mort, mais peut être efficace si vous êtes bien préparé.

Bien que vous ne puissiez pas définir de phrase secrète dédiée, vous pouvez éventuellement définir un code de verrouillage pour Proton Pass. Une fois activé, cela vous permet de verrouiller manuellement les extensions et les applications, et vous serez également invité à le saisir à nouveau lorsque vous fermez et rouvrez votre navigateur ou l’application Proton Pass. Par défaut, votre session est également verrouillée après 15 minutes d’inactivité, mais vous pouvez définir cette valeur sur une plage d’autres périodes allant de 30 secondes à une heure. Vous pouvez le désactiver entièrement, mais le verrouillage par défaut est un comportement par défaut fort que je recommande de conserver.

Les utilisateurs mobiles peuvent également utiliser des données biométriques telles que des analyses d’empreintes digitales pour déverrouiller leurs données, mais ce n’est pas une option de haute sécurité. Votre coffre-fort de mots de passe est mis en cache localement par les applications mobiles et les extensions de navigateur, mais si vous définissez un code PIN, vous ne pourrez pas ouvrir une extension de navigateur déconnectée à moins que vous ne disposiez d’une connexion Internet active. L’application mobile vous donne cependant un accès hors ligne à vos mots de passe, même avec un code PIN activé.

Proton a publié le code source pour les clients mobiles, mais n’a pas encore publié le code source complet à l’instar des efforts de Bitwarden et KeePass.