En 2026, Proton Pass, le gestionnaire de mots de passe de l’entreprise Proton, a subi un audit de sécurité complet par Recurity Labs. Bien que huit vulnérabilités aient été identifiées, aucune n’a été jugée critique. Cette analyse met en lumière les défis persistants en matière de sécurité des données et les mesures prises pour y remédier.
L’essentiel à retenir
- Proton Pass a recensé huit vulnérabilités lors de l’audit, sans qu’aucune ne soit critique.
- La faille la plus sérieuse, affectant l’application Android, a été corrigée dans la version 1.39.2.
- Proton Pass continue d’évoluer avec de nouvelles fonctionnalités, tout en renforçant sa sécurité globale.
Audit de sécurité de Proton Pass : une analyse détaillée
Proton a confié à Recurity Labs l’audit de son gestionnaire de mots de passe, Proton Pass, pour évaluer sa sécurité. Cette mission, effectuée de janvier à avril 2026, a couvert les applications mobiles, desktop, extensions de navigateur et interface en ligne de commande, utilisant une approche « grey-box ». Huit vulnérabilités ont été mises en évidence, mais aucune n’a été jugée critique.
Correction des vulnérabilités : focus sur l’application Android
La vulnérabilité la plus sérieuse, notée à 4,4 sur l’échelle CVSS, concernait l’application Android. Lors d’une déconnexion, certaines données locales ne s’effaçaient pas correctement. Cette faille a été corrigée dans la version 1.39.2, garantissant une suppression adéquate des données de l’utilisateur.
Gestion des données sur les différentes plateformes
Sur les applications desktop, les auditeurs ont découvert que des identifiants pouvaient être extraits de la RAM malgré le verrouillage ou la déconnexion. Bien que ces observations soient hors du modèle de menace de Proton, elles ont été corrigées pour renforcer la sécurité.
Quant aux extensions de navigateur, elles fonctionnent de manière à proposer automatiquement des identifiants enregistrés pour un sous-domaine sur un autre sous-domaine du même domaine. Ce comportement est commun parmi les gestionnaires de mots de passe et représente un équilibre entre sécurité et confort d’utilisation.
Proton Pass : innovation continue et perspectives d’avenir
Proton Pass poursuit son développement avec des applications natives sur Windows, macOS et Linux, ainsi qu’un mode hors ligne sécurisé. Le gestionnaire de mots de passe propose également une gestion avancée des alias e-mail, ce qui augmente son attrait face aux concurrents du marché. Malgré des extensions de navigateur perfectibles, notamment pour les formulaires complexes, l’expérience utilisateur reste fluide, en particulier sur les appareils desktop.
Sécurité des données personnelles : enjeux pour les gestionnaires de mots de passe
La sécurité des mots de passe est un enjeu majeur pour toutes les entreprises de gestion de données personnelles, comme Dashlane ou LastPass, qui doivent constamment améliorer leurs systèmes face à des cybermenaces de plus en plus sophistiquées. L’évolution technologique et l’intégration de nouvelles fonctionnalités doivent s’accompagner de mesures de sécurité rigoureuses pour protéger les utilisateurs.
Dans ce contexte, le chiffrement de bout en bout et la mise en place de mécanismes de sécurité avancés, tels que les passkeys, deviennent indispensables. Les entreprises de gestion de mots de passe doivent continuer d’innover tout en solidifiant leurs bases de sécurité pour gagner la confiance des utilisateurs et s’assurer une place de choix sur le marché.
