ProtonMail protège-t-il vraiment la vie privée des internautes ? C’est la question qui vient d’être soulevée par une récente polémique qui a vu l’entreprise suisse communiquer aux autorités des informations personnelles de plusieurs comptes français.

Le dimanche 5 septembre 2021, Proton Technologies s’est retrouvé au milieu d’une importante polémique. L’éditeur du service ProtonMail a en effet transmis à la justice française des informations sur plusieurs utilisateurs et utilisatrices de son service.

La nouvelle a été accueillie très froidement par les utilisateurs et utilisatrices, car ProtonMail est vendu comme une solution d’échange sécurisé, respectueux de la vie privée qui ne garde quasiment aucune information sur sa clientèle. Mais alors, pourquoi cette affaire fait-elle tant de bruit ?

Que s’est-il passé ?

Le 5 septembre en milieu d’après-midi, le site SecoursRouge a publié un article (reprenant une information de Paris-Luttes.info) expliquant que plusieurs militants et militantes françaises du collectif « Youth for Climate » avaient fait l’objet d’une surveillance mise en place par les autorités hexagonales.

Dans le cadre de cette enquête, la police française a envoyé via Europol (l’agence européenne de police criminelle) une demande d’information à ProtonMail, la boite mail utilisée par le collectif. L’entreprise a donc transmis aux autorités suisses (qui ont validé la demande) l’adresse IP des comptes concernés.

ProtonMail conserve-t-il les adresses IP ?

C’est justement sur la question des adresses IP que se sont cristallisées les critiques. En effet, sur son site, l’entreprise affirme que « par défaut, elle n’enregistre aucune métadonnée telle que l’adresse IP utilisée pour se connecter à son compte ». Comment alors les IP des militants et militantes ont-elles pu être transmises à la justice ?

Capture d’écran de la page d’accueil de Proton // Source : Proton

La subtilité se trouve dans la mention de « par défaut ». Comme la firme l’a expliqué dans une publication sur Reddit, « Si nous recevons un ordre juridique concernant un compte spécifique, nous pouvons être obligés de le surveiller. » La justice suisse, en accord avec les autorités françaises, a donc demandé à Proton de surveiller l’activité de certains comptes. Contraint par le département fédéral de justice et police suisse (DFJP), Proton a donc commencé à enregistrer les adresses IP de ces comptes-là.

Cela ne signifie pas que Proton conserve les adresses IP de tous les internautes qui visitent son service. Mais si la justice exige en amont de conserver certains détails des futures connexions, ProtonMail peut se retrouver contraint de le faire. Comme le PDG de l’entreprise l’explique sur Twitter « dans le cas d’affaire criminelle, certains droits à la vie privée peuvent être suspendus par les autorités. »

Mes mails sont-ils en sécurité ?

Dans le rapport de la police judiciaire qui accompagne l’affaire, les informations que Proton a transmises aux autorités sont détaillées. Il est question de la date de création du compte, de l’adresse IP qui lui est liée et de l’empreinte de l’appareil utilisé (smartphone ou PC, application native ou interface web, etc.).

Aucune autre information n’a, semble-t-il, été communiquée, et surtout pas le contenu des mails. Comme l’entreprise le détaille dans son rapport de transparence, « en aucun cas, ProtonMail ne sera en mesure de fournir le contenu des messages chiffrés de bout en bout envoyés via ProtonMail. » Techniquement, la clé de déchiffrement nécessaire pour accéder à sa boite Proton n’est de toute façon connue que par l’utilisateur ou l’utilisatrice du compte. Proton ne peut donc pas avoir accès au contenu des mails.

Faut-il quitter ProtonMail ?

La polémique qui entoure ProtonMail a gonflé, car la solution de messagerie chiffrée s’est justement construite sur des promesses de protection de la vie privée et de défense des données personnelles. Mais comme l’écrit l’entreprise « quel que soit le service que vous utilisez, à moins qu’il ne soit basé à 15 miles au large dans les eaux internationales, la société devra se conformer à la loi » et c’est ce que Proton a fait ici, à reculons à priori.

« Les poursuites judiciaires étaient particulièrement agressives dans ce cas » détaille l’entreprise qui n’hésite pas à tacler les autorités françaises qui utilisent « de plus en plus […] des lois antiterroristes de manière inappropriée ».

Ce n’est d’ailleurs pas la première fois que Proton se voit contraint de transmettre des informations concernant sa clientèle. Dans le rapport de transparence, on peut voir que sur l’année 2020, les autorités suisses ont formulé 3 572 demandes d’accès et que 750 ont été contestées par l’entreprise.

Sur Reddit, l’entreprise rappelle enfin que Proton est le seul fournisseur de mail qui offre une adresse accessible via Tor, le réseau informatique décentralisé qui masque justement votre adresse IP. Malgré la polémique, Proton reste un des services mails grand public qui offre le plus de sécurité. L’entreprise n’est par contre pas au-dessus des lois.

Partager sur les réseaux sociaux

La suite en vidéo