Le service de mail chiffré ProtonMail s'est retrouvé au milieu d’une polémique en septembre 2021 après avoir livré à la police des adresses IP d’activistes pour le climat. Numerama a pu s’entretenir avec le PDG de l’entreprise pour faire le point sur cette controverse.

Difficile de devenir une entreprise populaire sans se retrouver au milieu de polémiques. ProtonMail l’a appris récemment, quand l’entreprise a été accusée de transmettre les informations personnelles de certains de ses utilisateurs et utilisatrices à la police.

Proton livre des adresses IP et créé la polémique

Pour rappel, début septembre 2021, des militants et militantes françaises du collectif « Youth for Climate » avaient été visées par une enquête policière. L’affaire est ensuite remontée jusqu’à Europol, puis à la justice suisse, qui a obligé ProtonMail à transmettre les adresses IP utilisées pour se connecter aux boites mail visées.

Andy Yen, le PDG de Proton Mail // Source : Proton

La polémique avait rapidement enflé en raison des promesses de protection de la vie privée qu’affiche ProtonMail. Contraint par une décision de justice, l’entreprise ne pouvait pas se soustraire aux demandes de la police, mais a ensuite changé un peu son discours pour essayer d’être plus transparente sur les données que ProtonMail conserve. Quelques semaines après la polémique, Numerama a pu s’entretenir avec Andy Yen, le PDG de Proton Technologies, qui est revenu sur cette affaire.

Selon lui, « ce que l’affaire a démontré clairement, c’est qu’il n’y a aucun moyen technique de compromettre le chiffrement de Proton. » Le contenu des mails n’a effectivement jamais été communiqué (puisque Proton n’y a pas accès) et seules les adresses IP ont été enregistrées suite à la demande des services de police. « Nous avons fourni la protection que nous étions censés fournir », ajoute Andy Yen, encore piqué au vif par cette histoire.

La différence entre vie privée et anonymat

Interrogé sur les changements opérés sur la page d’accueil de ProtonMail, qui, avant l’affaire, précisait que le service « n’enregistre par défaut pas les adresses IP », Andy Yen se défend : « Nos conditions d’utilisation n’ont pas changé, notre manière d’opérer n’a pas changé. Nous n’enregistrons pas les adresses IP à moins d’y être forcés. Certaines personnes s’attendaient à ce que l’utilisation de Proton soit synonyme d’immunité contre les poursuites pénales. Je ne sais pas d’où vient cette impression. Ce n’est pas réaliste. »

Selon le PDG, l’affaire illustre bien la différence entre deux concepts qui se confonde assez souvent sur internet : la vie privée et l’anonymat. « Le chiffrement protège votre vie privée, il ne vous rend pas anonyme. Proton est dédié à la protection de la vie privée, pas à l’anonymat », martèle le responsable.

Le premier principe empêche une entreprise de créer un profil publicitaire ou de vous pister sur internet, mais ne brouille pas nécessairement votre adresse IP. L’anonymat, tel qu’on l’envisage aujourd’hui, va un cran plus loin et brouille toutes les informations potentiellement personnelles qui pourraient accompagner votre session de surf sur internet. La différence est peut-être ténue, mais elle recouvre une énorme différence technique. « L’anonymat est une chose que personne ne peut vous fournir. C’est à chacun de suivre les meilleures pratiques en matière de cybersécurité et d’anonymisation » précise Andy Yen. Être réellement anonyme sur internet est une véritable gageure, qui oblige à utiliser des logiciels comme Tor.

Le service Tor est un moyen de renforcer votre anonymat sur internet // Source : TorProject

L’anonymat, un outil délicat à manier

« L’anonymat peut attirer des gens qui se pensent protégés de toutes possibilités de poursuites judiciaires », ajoute le responsable. « Ces outils peuvent être utilisés à mauvais escient », continue-t-il, en citant, sans surprise, des cas comme la maltraitance d’enfant ou les rançongiciels. Dans le billet de blog publié après la polémique Youth for Climate, le PDG de Proton expliquait pourtant que ProtonMail est justement accessible via Tor, pour celles et ceux qui doivent faire face « à certains risques particuliers ».

« Nous ne donnons pas de conseils sur la meilleure manière d’éviter une enquête judiciaire. Nous soulignons simplement que, si vous avez certains besoins, qui peuvent être légitimes, Proton fournit des outils pour ça », nuance Andy Yen. De nombreux opposants politiques vivant sous des régimes autoritaires utilisent des outils comme Tor pour justement rester anonymes. « Nous devons trouver un équilibre », pointe le PDG, en faisant allusion à ces cas-ci.

« Les gens qui pensent à Proton pour mener des activités illégales vont y réfléchir à deux fois  »

Pour Andy Yen, cette polémique n’est pas due à une mauvaise communication de la part de Proton, mais plutôt à une mauvaise compréhension de ce qu’est le chiffrement. « Pour une personne bien renseignée, c’est assez évident. Le chiffrement vous rend privé, pas anonyme. Pour les personnes qui s’y connaissent moins, c’est moins bien compris  », résume-t-il.

Il est donc plus question d’un problème d’éducation, selon le responsable. Un problème qui ne risque pas de s’améliorer, au fur et à mesure que Proton gagne en popularité et touche un public pas forcément aussi bien renseigné sur les nuances du chiffrement, ou des protocoles de communication sur le web. « Lorsque les entreprises se développent, ce genre de polémique est inévitable », pense le PDG. « Aujourd’hui, à cause de cette affaire, les gens qui pensent à Proton pour mener des activités illégales vont y réfléchir à deux fois. Il y a une prise de conscience. C’est probablement bénéfique pour le secteur de la vie privée », philosophe-t-il, en guise de conclusion.

Partager sur les réseaux sociaux

La suite en vidéo