Proton Mail est réputé pour son engagement envers la vie privée grâce à son chiffrement de bout en bout et sa politique stricte de non-conservation des journaux. Cependant, l’entreprise a été mise sous les projecteurs après avoir répondu à une demande légale des autorités espagnoles qui a conduit à l’arrestation d’un membre présumé de l’organisation indépendantiste catalane, Tsunami Démocratique.Proton Mail est un service de courrier électronique sécurisé basé en Suisse, réputé pour son engagement en faveur de la protection de la vie privée grâce au chiffrement de bout en bout et à une politique stricte d'absence d'historique. En 2021, Proton Mail a fait l'objet d'une controverse lorsqu'il s'est conformé à une demande légale qui a conduit à l'arrestation d'un militant français pour le climat. En vertu du droit suisse, Proton Mail a été contraint de collecter et de fournir des informations sur l'adresse IP de l'individu aux autorités suisses, qui les ont ensuite communiquées à la police française.
L'affaire récente, qui implique cette fois la police espagnole, met en lumière les problèmes de protection de la vie privée et les limites des services de communication chiffrées sous prétexte de sécurité nationale, et remet sur le devant de la scène un sujet qui fait depuis longtemps l'objet d'un débat.
Le cœur de la controverse vient du fait que Proton Mail a fourni à la police espagnole l'adresse électronique de récupération associée au compte Proton Mail d'un individu utilisant le pseudonyme « Xuxo Rondinaire ». Cette personne est soupçonnée d'être un membre des Mossos d'Esquadra (la police catalane) et d'utiliser ses connaissances internes pour aider le mouvement Democratic Tsunami.
Après avoir reçu le courriel de récupération de Proton Mail, les autorités espagnoles ont demandé à Apple de fournir des détails supplémentaires liés à ce courriel, ce qui a permis d'identifier l'individu.
Cette affaire est particulièrement remarquable parce qu'elle implique une série de demandes émanant de différentes juridictions et entreprises, mettant en évidence l'interaction complexe entre les entreprises technologiques, la protection de la vie privée des utilisateurs et l'application de la loi. Les demandes ont été formulées sous couvert de lois antiterroristes, bien que les activités principales du Democratic Tsunami aient consisté en des manifestations et des barrages routiers, ce qui soulève des questions quant à la proportionnalité et à la justification de telles mesures.
La Réponse de Proton Mail
Proton Mail a expliqué que, bien que le contenu des e-mails, les pièces jointes et les fichiers soient toujours chiffrés et ne puissent être lus, la loi suisse oblige à coopérer avec les demandes légales internationales formalisées par les canaux appropriés (système judiciaire suisse) :
« Nous sommes au courant de l'affaire de terrorisme espagnole impliquant des menaces présumées à l'encontre du roi d'Espagne, mais en règle générale, nous ne commentons pas les affaires spécifiques. Proton dispose d'un minimum d'informations sur les utilisateurs, comme l'illustre le fait que, dans cette affaire, les données obtenues auprès d'Apple ont été utilisées pour identifier la personne soupçonnée de terrorisme. Proton assure la protection de la vie privée par défaut et non l'anonymat par défaut, car l'anonymat nécessite certaines actions de la part de l'utilisateur pour garantir une sécurité opérationnelle adéquate, comme le fait de ne pas ajouter son compte Apple en tant que méthode de récupération facultative. Notez que Proton n'exige pas l'ajout d'une adresse de récupération, car ces informations peuvent en théorie être communiquées sur ordre d'un tribunal suisse, le terrorisme étant contraire à la loi en Suisse ».
Le rapport de transparence de l'entreprise
La dernière version du rapport de transparence de ProtonMail, dont la première version remonte à 2017, indique qu'en 2023, l'entreprise a donné suite à 5 971 demandes (contre 5 957 en 2022) émises par les autorités suisses pour obtenir des informations personnelles des utilisateurs de l'application. Le nombre total de demandes était de 6 318 (contre 6 995 en 2022) et l'entreprise déclare avoir contesté 407 d'entre elles (contre 1 038 en 2022). Le rapport rappelle aux utilisateurs : « de temps à autre, Proton peut être légalement contraint de divulguer certaines informations sur les utilisateurs aux autorités suisses, comme indiqué dans notre politique de confidentialité. Cela peut se produire en cas d'infraction à la loi suisse ».
Un rapport publié par Forbes début août a relaté une affaire dans laquelle le FBI a pu obtenir des informations sur un utilisateur américain de ProtonMail qui faisait l'objet d'une enquête pour harcèlement (mais qui n'était accusé d'aucun délit). Le mandat a révélé que le FBI avait réussi à obtenir des données de Proton pour lancer la chasse au suspect. Il s'agit d'un exemple rare de demande de données américaines à Proton, qui montre comment de petits éléments de métadonnées provenant de logiciels chiffrés peuvent s'avérer très utiles pour les policiers qui tentent de démasquer des utilisateurs qui pensent être protégés à 100 %.
Le FBI a reçu la récupération et les adresses électroniques associées à l'utilisateur de ProtonMail. Selon le rapport, ces informations se sont avérées cruciales, car elles ont permis au FBI de trouver plus d'informations sur la personne en ligne et d'effectuer un balayage des comptes Internet du suspect, notamment sur Amazon, Apple, Coinbase, Google, PayPal et Spotify. Le FBI n'a pas expliqué clairement dans le mandat pourquoi il avait besoin d'obtenir l'activité des comptes sur les différentes plateformes, mais il est probable qu'il s'agissait de recueillir d'autres preuves. Le suspect n'a pas été inculpé et le rapport ne le nomme pas.
Betsy Jones, porte-parole de Proton, a déclaré : « les activités illégales n'ont pas leur place sur les plateformes de Proton, comme l'indiquent clairement nos conditions générales. Nous employons plusieurs équipes bien dotées en personnel qui traitent les cas d'abus de nos conditions générales et désactivent rapidement et de manière proactive les comptes qui se révèlent être en infraction ». Dans le même temps, Proton laisse entendre que les données qu'il fournit ne sont pas d'une grande utilité aux autorités en raison de leur nature. « Tous les courriels, fichiers et invitations sont chiffrés et nous n'avons aucun moyen de les déchiffrer », a-t-il déclaré.
Avec la multiplication des demandes de données en arrière-plan, il est d'autant plus important de protéger les données que vous partagez avec différents services.
L'importance d'une bonne sécurité opérationnelle
Cette situation nous rappelle l'importance de maintenir une OPSEC (sécurité opérationnelle) rigoureuse. Il faut toujours être conscient des vulnérabilités potentielles liées à l'association d'informations de récupération ou de services secondaires (comme les comptes Apple) qui peuvent ne pas avoir les mêmes garanties de confidentialité qu'un service de courrier électronique chiffré principal.
Pour les utilisateurs soucieux de leur vie privée, en particulier ceux qui participent à des activités sensibles ou politiques, l'OPSEC doit être une préoccupation majeure lors de l'utilisation d'outils de protection de la vie privée. Il est conseillé :
- d'éviter d'associer des courriels ou des numéros de téléphone de récupération qui peuvent être directement liés à des identités personnelles ou à des activités professionnelles principales.
- d'envisager d'utiliser des courriels secondaires, jetables ou des numéros de téléphone virtuels qui offrent une couche supplémentaire d'anonymat.
- d'utiliser un bon service VPN pour masquer son adresse IP dans la mesure du possible (C'est le manquement à cette règle qui a compromis un utilisateur de Proton Mail en France qui a été arrêté après que la police a obtenu des journaux d'adresses IP).
- d'envisager d'acheter des services en utilisant une méthode de paiement anonyme.
- de rester informé des obligations légales et des politiques des fournisseurs de services de communication, en particulier en ce qui concerne leur respect des demandes des forces de l'ordre internationales.
Conclusion
L’incident de Proton Mail en Espagne est un exemple frappant des défis auxquels sont confrontés les services technologiques, la vie privée des utilisateurs et l’application de la loi. Il met en évidence la nécessité pour les utilisateurs de comprendre les implications légales et les limites de la confidentialité lorsqu’ils utilisent des outils de confidentialité, en particulier dans le cadre d’activités sensibles ou politiques.
Bien que Proton Mail et d'autres services similaires offrent des protections substantielles et un chiffrement de bout en bout sur leur plateforme de courrier électronique, ils ne sont pas à l'abri des pressions juridiques et gouvernementales. Les utilisateurs doivent naviguer prudemment dans ces eaux, en équilibrant le besoin de sécurité et les obligations légales potentielles de leurs fournisseurs de services.
Sources : El Nacional, rapport de transparence de Proton Mail
Et vous ?
Quelle est la limite entre la protection de la vie privée et la coopération avec les autorités légales ? Dans quelle mesure les utilisateurs doivent-ils faire confiance aux services de messagerie chiffrée pour protéger leur anonymat ? Comment les services en ligne peuvent-ils équilibrer les demandes de sécurité nationale avec les droits à la confidentialité des utilisateurs ? Quelles mesures préventives les utilisateurs devraient-ils prendre pour assurer leur sécurité opérationnelle (OPSEC) lorsqu’ils utilisent des services de communication en ligne ? La divulgation des données de Proton Mail dans ce cas précis change-t-elle votre perception de la sécurité des services de messagerie électronique chiffrée ? Comment les entreprises technologiques devraient-elles réagir lorsque leurs principes de confidentialité entrent en conflit avec les lois nationales ou internationales ? Quel rôle les utilisateurs ont-ils dans la protection de leur propre vie privée lorsqu’ils utilisent des plateformes en ligne ? 
