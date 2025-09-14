déclenchant une nouvelle polémique
Proton Mail se décrit comme « un refuge neutre et sûr pour vos données personnelles, engagé à défendre votre liberté ». Mais le service de messagerie chiffrée a essuyé plusieurs scandales liés à la protection des données et des utilisateurs ces dernières années. Un tollé a éclaté le mois dernier après que Proton Mail a suspendu les comptes de deux journalistes. Ces derniers enquêtaient sur des vulnérabilités dans des systèmes informatiques liés au gouvernement sud-coréen. La mesure a été prise à la suite dune demande émanant dune agence de cybersécurité. Bien que les comptes ont depuis été rétablis, les journalistes cherchent toujours des explications.
Proton Mail est un service de messagerie électronique chiffrée géré par la société suisse Proton. Il a été créé à la suite de la révélation de la surveillance globale et des interceptions des courriels par la NSA (National Security Agency), aux États-Unis. Proton Mail promet un niveau de confidentialité et de sécurité « supérieur » à celui des plateformes de messagerie rivales. Il est principalement utilisé par des personnes soucieuses de leur vie privée.
Mais la promesse de Proton Mail est mise à l'épreuve depuis quelques années. La dernière controverse en date est survenue en août 2025 après que Proton Mail a désactivé les comptes appartenant à deux journalistes qui enquêtaient sur des pirates informatiques nord-coréens présumés.
Selon un rapport de The Intercept, les comptes ont été suspendus à la suite d'une plainte déposée par une agence de cybersécurité non identifiée. L'affaire a provoqué un tollé, poussant Proton Mail à réactiver les comptes des journalistes quelques semaines plus tard. Cependant, cela n'a pas suffi à apaiser les critiques. Les reporters et les rédacteurs concernés veulent toujours savoir les raisons pour lesquelles l'entreprise a décidé de fermer leurs comptes.
Martin Shelton, directeur adjoint de la sécurité numérique à la Freedom of the Press Foundation, a déclaré que « plusieurs rédactions utilisent Proton Mail comme alternative à des services tels que Gmail précisément pour éviter ce genre de situations », ajoutant que « même s'il est réjouissant de voir que Proton reconsidère les suspensions de comptes, les journalistes font partie des utilisateurs qui ont le plus besoin de ces outils et d'autres similaires ».
Sur Reddit, le compte officiel de Proton a déclaré : « Proton n'a pas sciemment bloqué les comptes de messagerie électronique des journalistes ; la situation avait malheureusement été exagérée ». Mais certains commentateurs accusent Proton Mail datteinte à la liberté dexpression ou à la liberté de la presse.
Suspendus pour « violation potentielle de la politique »
Les deux journalistes dont les comptes ont été désactivés travaillaient sur un article publié dans le numéro d'août 2025 du magazine Phrack, une revue spécialisée dans le piratage informatique qui existe depuis longtemps. L'article décrivait comment une opération de piratage sophistiquée, connue dans le jargon de la cybersécurité sous le nom d'APT (Advanced Persistent Threat), s'était infiltrée dans de nombreux réseaux informatiques sud-coréens.
Les pirates informatiques auraient infiltré notamment les systèmes du ministère sud-coréen des Affaires étrangères et du Commandement de contre-espionnage militaire (DCC). Les journalistes, qui ont publié leur article sous les pseudonymes Saber et cyb0rg, décrivent ce piratage comme étant conforme aux méthodes de Kimsuky, un groupe APT nord-coréen notoire soutenu par l'État et sanctionné par le département américain du Trésor en 2023.
Alors qu'ils reconstituaient l'histoire, les auteurs auraient suivi les « bonnes » pratiques en matière de cybersécurité et ont procédé à ce que l'on appelle une divulgation responsable : informer les parties concernées qu'une vulnérabilité a été découverte dans leurs systèmes avant de rendre l'incident public.
Ils ont créé un compte Proton Mail dédié pour coordonner les divulgations responsables, puis ont informé les parties concernées, notamment le ministère des Affaires étrangères et le DCC, ainsi que des organisations sud-coréennes de cybersécurité comme la Korea Internet and Security Agency et le KrCERT/CC, l'équipe d'intervention en cas d'urgence informatique soutenue par l'État. Le KrCERT a répondu aux auteurs pour les remercier de leur divulgation.
Une semaine après la sortie de la version imprimée de Phrack, et quelques jours avant la publication de la version numérique, Saber et cyb0rg ont découvert que le compte Proton qu'ils avaient créé pour les notifications de divulgation responsable avait été suspendu. Un jour plus tard, Saber a découvert que son compte Proton Mail personnel avait également été suspendu. Phrack a publié un calendrier des suspensions de comptes en haut de l'article publié, puis l'a mis en évidence dans un message viral sur les réseaux sociaux. Les deux comptes ont été suspendus en raison d'une « violation potentielle de la politique » non précisée.
L'avis de suspension demandait aux auteurs de remplir le formulaire de recours pour abus de Proton s'ils estimaient que la suspension était une erreur. Saber l'a fait et a reçu une réponse d'un membre de l'équipe chargée des abus de Proton Mail, qui se faisait appeler Dante. Dante a informé Saber que « leurs comptes avaient été désactivés en raison d'un lien direct avec un compte qui avait été supprimé pour violation de nos conditions générales d'utilisation et utilisation malveillante ».
Réactions et rétablissement des comptes par Proton Mail
La décision a suscité une vive polémique parmi des défenseurs de la liberté de la presse et des experts en protection des sources. En réponse au tollé, Proton a expliqué avoir suspendu les comptes après avoir été alerté par une agence de cybersécurité que certains comptes étaient utilisés de manière abusive par des pirates informatiques, en violation des conditions d'utilisation de Proton. Cela a conduit à la désactivation d'un groupe de comptes.
Proton a ensuite déclaré qu'il soutient les journalistes, mais qu'il ne peut pas voir le contenu des comptes et ne peut donc pas toujours savoir quand les mesures anti-abus peuvent affecter par inadvertance des activités militantes légitimes. Proton n'a pas précisé publiquement le nom de l'agence à l'origine du signalement.
Andy Yen, cofondateur et PDG de Proton, a déclaré ensuite que les deux comptes avaient été réactivés. Ni Andy Yen ni Proton n'ont expliqué pourquoi les comptes avaient été réactivés, s'ils avaient finalement été jugés conformes aux conditions d'utilisation, pourquoi ils avaient été suspendus au départ, ni pourquoi un membre de l'équipe Proton Abuse Team avait réitéré que les comptes avaient enfreint les conditions d'utilisation pendant la procédure d'appel de Saber.
Phrack a souligné que la suspension des comptes avait eu « un impact réel sur l'auteur. Les rédacteurs de Phrack ont déclaré que « cet incident les inquiète quant à ce quil implique pour dautres lanceurs dalerte ou journalistes. Selon eux, la communauté a besoin dêtre assurée que Proton ne désactive pas des comptes, sauf si Proton dispose dune ordonnance judiciaire ou si linfraction (ou la violation des conditions dutilisation) est manifeste ».
Demandes de données et divulgation de données d'utilisateurs
Des données publiées en août 2023 indiquent que ProtonMail s'est conformé à près de 6 000 demandes de données en 2022. ProtonMail vante souvent sa juridiction suisse, mais dans le même temps, le service se conforme à un nombre record d'ordonnances de demande de données passant par le système juridique suisse. Les demandes proviennent aussi de l'étranger, notamment d'agences de renseignement ou de services de police comme le FBI.
Le rapport de transparence de Proton Mail, dont la première version remonte à 2017, indique qu'en 2022, l'entreprise a donné suite à 5 957 demandes émises par les autorités suisses pour obtenir des informations personnelles des utilisateurs de l'application. Le nombre total de demandes était de 6 995 et l'entreprise déclare avoir contesté 1 038 d'entre elles. Le rapport rappelle aux utilisateurs : « de temps à autre, Proton peut être légalement contraint de divulguer certaines informations sur les utilisateurs aux autorités suisses, comme indiqué dans notre politique de confidentialité. Cela peut se produire en cas d'infraction à la loi suisse ».
Le rapport relate une affaire dans laquelle le FBI a pu obtenir des informations sur un utilisateur américain de ProtonMail qui faisait l'objet d'une enquête pour harcèlement (mais qui n'était accusé d'aucun délit). Le mandat a révélé que le FBI avait réussi à obtenir des données de Proton pour lancer la chasse au suspect. Il s'agit d'un exemple rare de demande de données américaines à Proton, qui montre comment de petits éléments de métadonnées provenant de logiciels chiffrés peuvent s'avérer très utiles pour les policiers qui tentent de démasquer des utilisateurs qui pensent être protégés à 100 %.
L'année dernière, Proton Mail a divulgué des données d'utilisateurs, ce qui a conduit à une arrestation en Espagne. L'affaire avait suscité une vive controverse. Elle met en lumière les problèmes de protection de la vie privée et les limites des services de communication chiffrées sous prétexte de sécurité nationale.
Le cur de la controverse vient du fait que Proton Mail a fourni à la police espagnole l'adresse électronique de récupération associée au compte Proton Mail d'un individu utilisant le pseudonyme « Xuxo Rondinaire ». Cette personne est soupçonnée d'être un membre des Mossos d'Esquadra (la police catalane) et d'utiliser ses connaissances internes pour aider le mouvement Democratic Tsunami. Après avoir reçu le courriel de récupération de Proton Mail, les autorités espagnoles ont demandé à Apple de fournir des détails supplémentaires liés à ce courriel, ce qui a permis d'identifier l'individu.
Cette affaire est particulièrement remarquable parce qu'elle implique une série de demandes émanant de différentes juridictions et entreprises, mettant en évidence l'interaction complexe entre les entreprises technologiques, la protection de la vie privée des utilisateurs et l'application de la loi. Les demandes ont été formulées sous couvert de lois antiterroristes, bien que les activités principales du Democratic Tsunami aient consisté en des manifestations et des barrages routiers, ce qui soulève des questions quant à la proportionnalité et à la justification de telles mesures.
Conclusion
La suspension des comptes de journalistes par Proton Mail a donné lieu à un grand débat dans la communauté. Laffaire soulève des questions sur la transparence des procédures de suspension, sur linfluence que des agences gouvernementales peuvent exercer sur des plateformes de communication sécurisées, ainsi que sur la protection des journalistes et des lanceurs dalerte dans un environnement numérique de plus en plus surveillé.
Bien que Proton Mail et d'autres services similaires offrent des protections substantielles et un chiffrement de bout en bout sur leur plateforme de messagerie électronique, ils ne sont pas à l'abri des pressions juridiques et gouvernementales. Les utilisateurs doivent donc en être conscients et naviguer prudemment dans ces eaux, en équilibrant le besoin de sécurité et les obligations légales potentielles de leurs fournisseurs de services.
Sources : billet de blogue ; Andy Yen, cofondateur et PDG de Proton, département américain du Trésor
