Proton Mail est rput pour son engagement envers la vie prive grce son chiffrement de bout en bout et sa politique stricte de non-conservation des journaux. Cependant, lentreprise a t mise sous les projecteurs aprs avoir rpondu une demande lgale des autorits espagnoles qui a conduit larrestation dun membre prsum de lorganisation indpendantiste catalane, Tsunami Dmocratique.
Proton Mail est un service de courrier lectronique scuris bas en Suisse, rput pour son engagement en faveur de la protection de la vie prive grce au chiffrement de bout en bout et une politique stricte d’absence d’historique. En 2021, Proton Mail a fait l’objet d’une controverse lorsqu’il s’est conform une demande lgale qui a conduit l’arrestation d’un militant franais pour le climat. En vertu du droit suisse, Proton Mail a t contraint de collecter et de fournir des informations sur l’adresse IP de l’individu aux autorits suisses, qui les ont ensuite communiques la police franaise.
L’affaire rcente, qui implique cette fois la police espagnole, met en lumire les problmes de protection de la vie prive et les limites des services de communication chiffres sous prtexte de scurit nationale, et remet sur le devant de la scne un sujet qui fait depuis longtemps l’objet d’un dbat.
Le cur de la controverse vient du fait que Proton Mail a fourni la police espagnole l’adresse lectronique de rcupration associe au compte Proton Mail d’un individu utilisant le pseudonyme Xuxo Rondinaire . Cette personne est souponne d’tre un membre des Mossos d’Esquadra (la police catalane) et d’utiliser ses connaissances internes pour aider le mouvement Democratic Tsunami.
Aprs avoir reu le courriel de rcupration de Proton Mail, les autorits espagnoles ont demand Apple de fournir des dtails supplmentaires lis ce courriel, ce qui a permis d’identifier l’individu.
Cette affaire est particulirement remarquable parce qu’elle implique une srie de demandes manant de diffrentes juridictions et entreprises, mettant en vidence l’interaction complexe entre les entreprises technologiques, la protection de la vie prive des utilisateurs et l’application de la loi. Les demandes ont t formules sous couvert de lois antiterroristes, bien que les activits principales du Democratic Tsunami aient consist en des manifestations et des barrages routiers, ce qui soulve des questions quant la proportionnalit et la justification de telles mesures.
La Rponse de Proton Mail
Proton Mail a expliqu que, bien que le contenu des e-mails, les pices jointes et les fichiers soient toujours chiffrs et ne puissent tre lus, la loi suisse oblige cooprer avec les demandes lgales internationales formalises par les canaux appropris (systme judiciaire suisse) :
Nous sommes au courant de l’affaire de terrorisme espagnole impliquant des menaces prsumes l’encontre du roi d’Espagne, mais en rgle gnrale, nous ne commentons pas les affaires spcifiques. Proton dispose d’un minimum d’informations sur les utilisateurs, comme l’illustre le fait que, dans cette affaire, les donnes obtenues auprs d’Apple ont t utilises pour identifier la personne souponne de terrorisme. Proton assure la protection de la vie prive par dfaut et non l’anonymat par dfaut, car l’anonymat ncessite certaines actions de la part de l’utilisateur pour garantir une scurit oprationnelle adquate, comme le fait de ne pas ajouter son compte Apple en tant que mthode de rcupration facultative. Notez que Proton n’exige pas l’ajout d’une adresse de rcupration, car ces informations peuvent en thorie tre communiques sur ordre d’un tribunal suisse, le terrorisme tant contraire la loi en Suisse .
Le rapport de transparence de l’entreprise
La dernire version du rapport de transparence de ProtonMail, dont la premire version remonte 2017, indique qu’en 2023, l’entreprise a donn suite 5 971 demandes (contre 5 957 en 2022) mises par les autorits suisses pour obtenir des informations personnelles des utilisateurs de l’application. Le nombre total de demandes tait de 6 318 (contre 6 995 en 2022) et l’entreprise dclare avoir contest 407 d’entre elles (contre 1 038 en 2022). Le rapport rappelle aux utilisateurs : de temps autre, Proton peut tre lgalement contraint de divulguer certaines informations sur les utilisateurs aux autorits suisses, comme indiqu dans notre politique de confidentialit. Cela peut se produire en cas d’infraction la loi suisse .
Un rapport publi par Forbes dbut aot a relat une affaire dans laquelle le FBI a pu obtenir des informations sur un utilisateur amricain de ProtonMail qui faisait l’objet d’une enqute pour harclement (mais qui n’tait accus d’aucun dlit). Le mandat a rvl que le FBI avait russi obtenir des donnes de Proton pour lancer la chasse au suspect. Il s’agit d’un exemple rare de demande de donnes amricaines Proton, qui montre comment de petits lments de mtadonnes provenant de logiciels chiffrs peuvent s’avrer trs utiles pour les policiers qui tentent de dmasquer des utilisateurs qui pensent tre protgs 100 %.
Le FBI a reu la rcupration et les adresses lectroniques associes l’utilisateur de ProtonMail. Selon le rapport, ces informations se sont avres cruciales, car elles ont permis au FBI de trouver plus d’informations sur la personne en ligne et d’effectuer un balayage des comptes Internet du suspect, notamment sur Amazon, Apple, Coinbase, Google, PayPal et Spotify. Le FBI n’a pas expliqu clairement dans le mandat pourquoi il avait besoin d’obtenir l’activit des comptes sur les diffrentes plateformes, mais il est probable qu’il s’agissait de recueillir d’autres preuves. Le suspect n’a pas t inculp et le rapport ne le nomme pas.
Betsy Jones, porte-parole de Proton, a dclar : les activits illgales n’ont pas leur place sur les plateformes de Proton, comme l’indiquent clairement nos conditions gnrales. Nous employons plusieurs quipes bien dotes en personnel qui traitent les cas d’abus de nos conditions gnrales et dsactivent rapidement et de manire proactive les comptes qui se rvlent tre en infraction . Dans le mme temps, Proton laisse entendre que les donnes qu’il fournit ne sont pas d’une grande utilit aux autorits en raison de leur nature. Tous les courriels, fichiers et invitations sont chiffrs et nous n’avons aucun moyen de les dchiffrer , a-t-il dclar.
Avec la multiplication des demandes de donnes en arrire-plan, il est d’autant plus important de protger les donnes que vous partagez avec diffrents services.
L’importance d’une bonne scurit oprationnelle
Cette situation nous rappelle l’importance de maintenir une OPSEC (scurit oprationnelle) rigoureuse. Il faut toujours tre conscient des vulnrabilits potentielles lies l’association d’informations de rcupration ou de services secondaires (comme les comptes Apple) qui peuvent ne pas avoir les mmes garanties de confidentialit qu’un service de courrier lectronique chiffr principal.
Pour les utilisateurs soucieux de leur vie prive, en particulier ceux qui participent des activits sensibles ou politiques, l’OPSEC doit tre une proccupation majeure lors de l’utilisation d’outils de protection de la vie prive. Il est conseill :
- d’viter d’associer des courriels ou des numros de tlphone de rcupration qui peuvent tre directement lis des identits personnelles ou des activits professionnelles principales.
- d’envisager d’utiliser des courriels secondaires, jetables ou des numros de tlphone virtuels qui offrent une couche supplmentaire d’anonymat.
- d’utiliser un bon service VPN pour masquer son adresse IP dans la mesure du possible (C’est le manquement cette rgle qui a compromis un utilisateur de Proton Mail en France qui a t arrt aprs que la police a obtenu des journaux d’adresses IP).
- d’envisager d’acheter des services en utilisant une mthode de paiement anonyme.
- de rester inform des obligations lgales et des politiques des fournisseurs de services de communication, en particulier en ce qui concerne leur respect des demandes des forces de l’ordre internationales.
Conclusion
Lincident de Proton Mail en Espagne est un exemple frappant des dfis auxquels sont confronts les services technologiques, la vie prive des utilisateurs et lapplication de la loi. Il met en vidence la ncessit pour les utilisateurs de comprendre les implications lgales et les limites de la confidentialit lorsquils utilisent des outils de confidentialit, en particulier dans le cadre dactivits sensibles ou politiques.
Bien que Proton Mail et d’autres services similaires offrent des protections substantielles et un chiffrement de bout en bout sur leur plateforme de courrier lectronique, ils ne sont pas l’abri des pressions juridiques et gouvernementales. Les utilisateurs doivent naviguer prudemment dans ces eaux, en quilibrant le besoin de scurit et les obligations lgales potentielles de leurs fournisseurs de services.
Sources : El Nacional, rapport de transparence de Proton Mail
Et vous ?
Quelle est la limite entre la protection de la vie prive et la coopration avec les autorits lgales ?
Dans quelle mesure les utilisateurs doivent-ils faire confiance aux services de messagerie chiffre pour protger leur anonymat ?
Comment les services en ligne peuvent-ils quilibrer les demandes de scurit nationale avec les droits la confidentialit des utilisateurs ?
Quelles mesures prventives les utilisateurs devraient-ils prendre pour assurer leur scurit oprationnelle (OPSEC) lorsquils utilisent des services de communication en ligne ?
La divulgation des donnes de Proton Mail dans ce cas prcis change-t-elle votre perception de la scurit des services de messagerie lectronique chiffre ?
Comment les entreprises technologiques devraient-elles ragir lorsque leurs principes de confidentialit entrent en conflit avec les lois nationales ou internationales ?
Quel rle les utilisateurs ont-ils dans la protection de leur propre vie prive lorsquils utilisent des plateformes en ligne ?