Contexte : Proton Mail fait face à de nouvelles accusations de transmission des données des utilisateurs aux forces de l’ordre. L’entreprise suisse propose un service de messagerie sécurisé avec cryptage de bout en bout, apparemment pour protéger l’identité de ses clients des regards indiscrets. Cependant, les événements récents suggèrent le contraire.
Proton Mail a récemment été mis sous surveillance pour avoir fourni aux autorités espagnoles suffisamment de données pour identifier et arrêter un membre de l’organisation indépendantiste catalane Démocratique Tsunami. L’entreprise a affirmé qu’elle était obligée de coopérer avec les forces de l’ordre en raison des lois suisses. Ils ont affirmé que le succès de la police espagnole dans l’arrestation de l’individu était en partie dû à l’absence d’une politique de sécurité opérationnelle (OpSec) appropriée.
Le service principal de Proton Mail est une plateforme de messagerie cryptée de bout en bout créée en 2013. La plateforme vise à garantir que le contenu des e-mails reste illisible tant pour les tiers que pour l’entreprise elle-même. Bien que Proton Mail affirme ne pas pouvoir accéder au contenu des messages, certaines données relatives aux utilisateurs transitant par ses serveurs pourraient potentiellement être utilisées pour identifier des individus.
Lors d’un autre incident survenu en 2021, Proton Mail a été tenu de fournir aux autorités suisses l’adresse IP et les détails de l’appareil d’un militant climatique français. Ces informations ont ensuite été utilisées par les autorités françaises pour appréhender le militant. Proton Mail a précisé que même si le contenu des e-mails est crypté, la société est tenue de se conformer aux demandes d’accès légales à toute donnée transitant par ses serveurs dans le cadre de poursuites pénales.
Dans l’affaire récente impliquant la police espagnole, Proton a apparemment été contraint de fournir l’adresse e-mail de récupération Apple utilisée par un client connu sous le nom de « Xuxo Rondinaire ». Le client était soupçonné de collaborer avec la police catalane, les Mossos d’Esquadra, tout en aidant secrètement le mouvement indépendantiste dans la région.
Les autorités ont demandé à Apple des données supplémentaires leur permettant d’identifier l’individu derrière le pseudonyme. Andy Yen, PDG de Proton confirmé que les données personnelles utilisées pour appréhender le « terroriste » présumé ont été fournies par Apple et non par Proton. Yen a souligné que Proton ne peut pas décrypter les données, mais que les tribunaux suisses peuvent imposer le partage d’adresses e-mail de récupération dans les « affaires de terrorisme ».
Dans une déclaration écrite, Proton AG a précisé que son service de messagerie stocke « un minimum d’informations sur l’utilisateur » et ne garantit pas un anonymat complet. Les clients recherchant une sécurité renforcée doivent mettre en œuvre des mesures de sécurité opérationnelle (OpSec) appropriées, comme s’abstenir d’utiliser leur véritable compte Apple comme méthode de récupération facultative. Bien qu’une adresse de récupération ne soit pas obligatoire pour utiliser Proton Mail, la société pourrait être obligée de divulguer ces informations en vertu d’une décision d’un tribunal suisse.
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
