Le gestionnaire de mots de passe Proton Pass est-il sécurisé ? Un nouveau rapport d’audit mené par des experts indépendants apporte des éléments de réponse concrets pour répondre à cette question. Spoiler : des vulnérabilités ont été corrigées. Voici l’essentiel à savoir.

Une évaluation rigoureuse sur l’ensemble de Proton Pass

Pour éprouver la solidité de Proton Pass, les experts de Recurity Labs (un organisme certifié ISO 27001) ont passé au crible quasiment toutes les composantes de la solution. Le périmètre de l’évaluation comprenait l’interface en ligne de commande (CLI), l’application de bureau, les applications mobiles pour Android et iOS, ainsi que les extensions de navigateur. Le backend quant à lui, a fait l’objet d’un audit de type “boîte noire”, c’est-à-dire que les auditeurs n’ont pas eu accès au code source ni à l’infrastructure.

Cet audit s’est déroulé entre janvier et avril 2026 et Proton vient de le rendre publique (saluons au passage cet effort de transparence). La première phase de l’audit a permis de mettre en lumière 8 problèmes de sécurité dans Proton Pass. Cependant, il s’agirait de problèmes mineurs :

• La majorité de ces problèmes de sécurité sont associés à un impact faible.
• Cinq failles de sécurité ont été découvertes au niveau de l’interface en ligne de commande (CLI).
• Une vulnérabilité a été identifiée sur l’application iOS, liée à la classe de protection utilisée pour les données stockées dans le trousseau (Keychain).
• Du côté des extensions Proton Pass pour les navigateurs, une observation a été formulée concernant l’absence de correspondance stricte du nom de domaine (FQDN), ce qui pourrait permettre le remplissage automatique d’identifiants entre sous-domaines.

De son côté, dans son article, Proton met en évidence deux points importants :

• Aucune faille exploitable à distance n’a été détectée : le coffre-fort des utilisateurs ne peut pas être piraté simplement en visitant un site web malveillant ou en cliquant sur un lien.
• Aucun contournement du chiffrement n’a été identifié : les pirates ne peuvent pas utiliser de raccourcis, de portes dérobées ou de clés pour contourner la couche de chiffrement.

Une vulnérabilité liée à la suppression des données sous Android

Le rapport d’audit évoque une faille de sécurité (sévérité moyenne) au niveau de l’application Android. Les auditeurs ont en effet découvert que lorsqu’un utilisateur se déconnectait de l’application mobile et demandait la suppression de ses données, cette opération était partielle.

Concrètement, des traces des données d’un précédent utilisateur pouvaient être conservées sur l’appareil dans les fichiers de base de données de l’application. Un nom de fichier est spécifié : .

“Les entrées de la base de données étant chiffrées, il n’y a pas de risque direct de fuite de mots de passe entre les utilisateurs, mais les incohérences concernant la suppression des données des utilisateurs doivent néanmoins être corrigées.”, précise le rapport.

Corriger cette vulnérabilité (et les autres), c’est ce qui a été fait par les équipes de Proton. En effet, lors de la phase de contre-audit menée à la fin du mois d’avril 2026, Recurity Labs a pu confirmer que ce problème avait été corrigé. Si vous souhaitez vous protéger de cette vulnérabilité, vous devez utiliser à minima la version 1.39.2 de l’application Proton Pass pour Android.

Un problème dans la gestion de la mémoire

Terminons par le point le plus chaud : un problème de sécurité lié à la gestion des données stockées en mémoire. Mais avant de l’évoquer, précisons que lors de l’évaluation initiale, il avait été déterminé ce qui suit au niveau du périmètre de l’audit : “Lors de l’évaluation initiale, il a été établi que la mémoire de l’application n’entrait pas dans le champ d’application du modèle de menace ; les observations relevant de ce domaine n’ont donc pas été notées. Toutefois, les observations consignées ont tout de même fait l’objet d’un traitement approprié.”

Ce problème de sécurité concerne la gestion de la mémoire au sein de l’application de bureau Proton Pass. Les chercheurs ont découvert qu’un attaquant disposant d’un accès local à la mémoire pouvait récupérer le nom d’utilisateur et le mot de passe maître en clair, ainsi que reconstruire les secrets obfusqués présents dans la mémoire du processus.

Cette vulnérabilité découlait notamment des limites liées à l’immuabilité des chaînes de caractère dans la sandbox et à l’utilisation d’une méthode d’obfuscation par XOR jugée inadaptée pour des données sensibles. Bien que ce type d’attaque ciblant la mémoire applicative ait été initialement exclu du modèle de menace de Proton, l’éditeur a fait le choix fort d’écouter les recommandations des auditeurs et de revoir sa position.

Et heureusement, que Proton a pris cette menace au sérieux en apportant le correctif nécessaire, alors que c’était en dehors du périmètre défini initialement.

Terminons par une précision à propos de la vulnérabilité dans l’application iOS : “Dans le cadre de la nouvelle série de tests de l’application iOS, Recurity Labs a été informé qu’un correctif pour la seule vulnérabilité découverte, liée à l’utilisation de classes de protection faibles, avait été développé, mais qu’il ne serait pas déployé car il s’agissait d’une modification à haut risque, et que la version iOS devait être exclue de la nouvelle série de tests.”

Enfin, malgré la détection de plusieurs problèmes au cours de l’audit, Recurity Labs juge que la posture de sécurité globale de Proton Pass est “bien supérieure à la moyenne”. Le point positif, c’est que Proton prend la sécurité de ses applications au sérieux, comme le montre cette belle réactivité pour patcher les vulnérabilités relevées.

Vous pouvez consulter le rapport d’audit en suivant ce lien.