ProtonMail : Un service sécurisé, mais pas au-dessus des lois
ProtonMail se défend bec et ongles, mais le mal est fait : mercredi dernier, le site Paris-luttes.info relayait plusieurs documents et procès-verbaux policiers retraçant l’enquête visant des membres du groupe d’activistes Youth for Climate. Ces derniers occupent plusieurs lieux autour de la place Sainte-Marthe, à Paris, dans une démarche visant à lutter contre la gentrification du quartier. Au détour d’un paragraphe, le rédacteur du rapport indique que les autorités françaises se sont tournées vers Europol pour demander des informations sur un compte ProtonMail apparemment utilisé par le collectif pour communiquer. Et ProtonMail s’est plié à la demande, livrant l’adresse IP utilisée par le détenteur du compte ainsi que l’appareil utilisé pour la connexion.
Protonmail, droit dans ses bots
Questionné sur cet épisode, ProtonMail a confirmé les informations révélées par le PV dans un post publié sur Reddit. La société, basée en Suisse, explique avoir reçu un ordre de la part des autorités suisses l’obligeant à transmettre les informations demandées à la justice. ProtonMail explique qu’il n’a pas pu contester cet ordre, le ministère de la Justice suisse ayant déterminé qu’un acte contraire à la loi suisse avait été commis dans cette affaire. On ne sait pas quel acte précisément enfreindrait la loi suisse, mais la justice du pays ayant jugé que c’était le cas, ProtonMail s’est retrouvé dans l’incapacité de contester la décision, et contraint de collecter les adresses IP des utilisateurs du compte concernés par la demande.
« Comme détaillé dans notre rapport de transparence, notre modèle de menace, ainsi que notre politique de confidentialité, en vertu de la loi suisse, ProtonMail peut être contraint de collecter des informations sur des comptes appartenant à des utilisateurs faisant l’objet d’une enquête pénale suisse », résume la société sur Reddit.
En l’occurrence, l’enquête portant sur des militants occupant des locaux à Paris, il ne s’agit pas directement d’une enquête pénale suisse, mais d’une demande de coopération entre Etats ayant accepté de collaborer au sein d’Europol. La Suisse, bien que non-membre de l’Union européenne, dispose d’accords de coopération avec l’organisation policière européenne, et la justice du pays peut approuver ou non les demandes émanant d’Europol. Comme l’explique Andy Yen, dirigeant de ProtonMail, la société n’était à aucun moment en mesure de savoir que l’enquête visait des militants français.
ProtonMail en profite pour rappeler que ses conditions générales d’utilisation et son rapport de transparence expliquent clairement que la société peut être contrainte par les autorités du pays à livrer des données sur ses utilisateurs, en l’occurrence l’adresse IP. La société assure lutter contre les abus et contester les demandes qui ne paraissent pas suffisamment motivées : en 2020, elle a ainsi contesté plus de 750 demandes jugées illégales. Elle rappelle également que sa technologie de chiffrement l’empêche d’accéder au contenu des messages échangés via son service, et que les garde-fous mis en œuvre lui permettent simplement de collecter les adresses IP des utilisateurs du compte.
La carte et le territoire
Si l’affaire fait tant réagir, c’est parce que ProtonMail se présente volontiers comme un refuge pour les militants, lanceurs d’alertes et autres internautes qui souhaitent échapper à la surveillance. Sur sa page, l’éditeur promet ainsi que « les données des utilisateurs sont protégées par les lois suisses, parmi les plus strictes en matière de protection de la vie privée » et que, par défaut, la société ne conserve pas dans ses logs les adresses IP utilisées pour se connecter aux comptes.
Toute la contradiction tient là : si ProtonMail estime que le droit suisse est « le plus protecteur en matière de vie privée », il est néanmoins obligé de se soumettre aux demandes des autorités suisses qui lui demandent des informations sur les utilisateurs de son service. ProtonMail n’est pas un fournisseur “bulletproof” – terme utilisé dans le jargon de la cybersécurité pour désigner les fournisseurs de services qui ne répondent pas aux réquisitions judiciaires. On voit parfois apparaître ce type de structures, souvent lors des opérations de démantèlement et de saisies des serveurs annoncées par les forces de l’ordre. Ce type de société se fait donc plutôt discret, contrairement à un acteur comme ProtonMail qui opère en toute légalité et coopère avec les forces de l’ordre. Comme le résume le dirigeant dans un post en réaction à l’affaire : « quel que soit le service que vous utilisez, à moins qu’il ne soit basé à 15 miles au large dans les eaux internationales, une entreprise devra se conformer à la loi ».
ProtonMail, du fait de son architecture, livre une réponse à minima, en se contentant d’indiquer aux autorités l’adresse IP et le support utilisé pour réaliser la connexion. L’éditeur rappelle également qu’il propose un accès à son service au travers du réseau Tor, ce qui l’empêche de collecter l’adresse IP utilisée pour accéder au compte. Les conseils de sécurité informatique arrivent un peu tard pour les militants de Youth For Climate, mais d’autres utilisateurs de ProtonMail pourraient en prendre bonne note.
