La réputation du service de messagerie chiffré ProtonMail commence à être mise à l' épreuve en raison du fait que le nombre de demandes de données auxquelles l'entreprise satisfait continue d'augmenter. Des données publiées récemment indiquent que ProtonMail s'est conformé à près de 6 000 demandes de données en 2022. ProtonMail vante souvent sa juridiction suisse, mais dans le même temps, l'entreprise se conforme à un nombre record d'ordonnances de demande de données passant par le système juridique suisse. Les demandes proviennent également de l'étranger, notamment d'agences de renseignement ou de services de police comme le FBI.
ProtonMail est l'un des services de messagerie électronique sécurisée les plus populaires au monde. Il a été lancé en 2014 par le biais d'une campagne de financement participatif (crowdfunding). Le service de messagerie est exploité par Proton AG (anciennement Proton Technologies AG), une entreprise cofondée par Andy Yen, Jason Stockman et Wei Sun. ProtonMail promet un niveau de confidentialité et de sécurité supérieur à celui des plateformes de messagerie concurrentes et se targue souvent d'appartenir à la juridiction suisse. Mais les chiffres sur les demandes de données montrent que la Suisse n'est pas une garantie pour la sécurité des données.
Le nouveau rapport de transparence de ProtonMail, dont la première version remonte à 2017, indique qu'en 2022, l'entreprise a donné suite à 5 957 demandes émises par les autorités suisses pour obtenir des informations personnelles des utilisateurs de l'application. Le nombre total de demandes était de 6 995 et l'entreprise déclare avoir contesté 1 038 d'entre elles. Le rapport rappelle aux utilisateurs : « de temps à autre, Proton peut être légalement contraint de divulguer certaines informations sur les utilisateurs aux autorités suisses, comme indiqué dans notre politique de confidentialité. Cela peut se produire en cas d'infraction à la loi suisse ».
Un rapport publié par Forbes au début du mois relate une affaire dans laquelle le FBI a pu obtenir des informations sur un utilisateur américain de ProtonMail qui faisait l'objet d'une enquête pour harcèlement (mais qui n'était accusé d'aucun délit). Le mandat a révélé que le FBI avait réussi à obtenir des données de Proton pour lancer la chasse au suspect. Il s'agit d'un exemple rare de demande de données américaines à Proton, qui montre comment de petits éléments de métadonnées provenant de logiciels chiffrés peuvent s'avérer très utiles pour les policiers qui tentent de démasquer des utilisateurs qui pensent être protégés à 100 %.
Le FBI a reçu la récupération et les adresses électroniques associées à l'utilisateur de ProtonMail. Selon le rapport, ces informations se sont avérées cruciales, car elles ont permis au FBI de trouver plus d'informations sur la personne en ligne et d'effectuer un balayage des comptes Internet du suspect, notamment sur Amazon, Apple, Coinbase, Google, PayPal et Spotify. Le FBI n'a pas expliqué clairement dans le mandat pourquoi il avait besoin d'obtenir l'activité des comptes sur les différentes plateformes, mais il est probable qu'il s'agissait de recueillir d'autres preuves. Le suspect n'a pas été inculpé et le rapport ne le nomme pas.
Betsy Jones, porte-parole de Proton, a déclaré : « les activités illégales n'ont pas leur place sur les plateformes de Proton, comme l'indiquent clairement nos conditions générales. Nous employons plusieurs équipes bien dotées en personnel qui traitent les cas d'abus de nos conditions générales et désactivent rapidement et de manière proactive les comptes qui se révèlent être en infraction ». Dans le même temps, Proton laisse entendre que les données qu'il fournit ne sont pas d'une grande utilité aux autorités en raison de leur nature. « Tous les courriels, fichiers et invitations sont chiffrés et nous n'avons aucun moyen de les déchiffrer », a-t-il déclaré.
Le mandat du FBI n'indique pas en détail la procédure légale utilisée par l'agence pour obtenir les informations sur le suspect. Proton précise toutefois qu'en vertu de la législation suisse, les organisations étrangères qui souhaitent obtenir des informations sur les comptes de Proton doivent passer par les autorités suisses. Dans le cas contraire, les demandes ne sont pas prises en compte par l'entreprise. « En vertu de l'article 271 du Code pénal suisse, Proton ne peut pas transmettre directement des données à des autorités étrangères, et nous rejetons donc toutes les requêtes qui émanent des autorités étrangères », explique Proton.
« Les autorités suisses peuvent ponctuellement assister des autorités étrangères dans leurs demandes, pour autant qu'elles soient valables dans le cadre des procédures d'entraide judiciaire internationale et qu'elles soient jugées conformes au droit suisse. Dans ces cas, le critère de la légalité est à nouveau basé sur le droit suisse. En général, les autorités suisses n'assistent pas les pays ayant des antécédents en matière de violations des droits de l'homme », ajoute l'entreprise. Au regard de tout ce qui précède, de nombreux critiques remettent en cause les garanties en matière de vie privée et de confidentialité mises en avant par ProtonMail.
Selon certains experts, ProtonMail est sûr si vous recherchez un service de messagerie sécurisé et chiffré qui n'a pas accès au contenu de votre boîte de réception. Ils estiment que le service est bien meilleur que Gmail ou Yahoo en matière de confidentialité. Par contre, si vous faites des choses susceptibles d'attirer l'attention des forces de l'ordre, les données que vous fournissez lorsque vous utilisez ProtonMail, telles que l'adresse IP et l'e-mail de récupération, peuvent être partagées avec les autorités si Proton est légalement contraint de le faire. Toutes les entreprises doivent se conformer aux lois des pays dans lesquels elles sont légalement basées.
Par ailleurs, la comparaison des chiffres montre que le nombre de demandes (nombre de requêtes, demandes satisfaites et demandes contestées) augmente chaque année depuis la version du rapport de transparence. Ceci étant dit, cette croissance n'est pas surprenante étant donné que ProtonMail est une marque populaire avec une base d'utilisateurs croissante. Outre le courrier électronique, l'entreprise propose également Proton VPN et Proton Pass, un gestionnaire de mots de passe. Pour expliquer l'augmentation du nombre de demandes, Proton a déclaré : « l'augmentation du nombre de cas reflète l'augmentation de notre base d'utilisateurs».
« Proton ayant pris de l'ampleur et comptant aujourd'hui 100 millions d'inscriptions à ses services, il n'est pas surprenant que ces chiffres aient augmenté. Ces cas ont été traités par les autorités suisses (ce qui permet de vérifier leur validité) et ont également été examinés par Proton afin de s'assurer qu'il est raisonnable pour nous d'y répondre », ajoute l'entreprise. Selon les experts, ma seule autre option est de fermer, comme cela a été le cas avec CTemplar en 2022 et Lavabit en 2013. WhatsApp et Signal menacent actuellement de qui quitter le Royaume-Uni si le pays adopte son projet de loi sur la sécurité en ligne (Online Safety Bill).
Source : Proton
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous du service de messagerie chiffré ProtonMail ?
Selon vous, ProtonMail est-il un service sûr ? Pourquoi ?
Quelle comparaison faites-vous entre ProtonMail et ses concurrents ?
Que pensez-vous des données fournies par ProtonMail aux autorités suisses ?
Voir aussi
ProtonMail a transmis à la police l'adresse IP d'un militant français pour le climat suite à une décision de justice en Suisse, ce qui a conduit à son arrestation
La Russie bloque ProtonMail pour avoir refusé de fournir les informations sur les personnes associées aux fausses alertes à la bombe
ProtonMail a supprimé « nous n'enregistrons pas les métadonnées telles que les adresses IP » de sa politique de confidentialité et annoncé que Sir Tim Berners-Lee rejoint son conseil consultatif
ProtonMail a répondu à 5 957 demandes visant à divulguer des données d'utilisateurs aux autorités en 2022,
Poussant les critiques à remettre en cause ses garanties en matière de sécurité
ProtonMail a répondu à 5 957 demandes visant à divulguer des données d'utilisateurs aux autorités en 2022,
Poussant les critiques à remettre en cause ses garanties en matière de sécurité
Le , par Mathis Lucas
Une erreur dans cette actualité ? Signalez-nous-la !