Contrairement à ses promesses d'ultraconfidentialité, le service de messageries et d'e-mails chiffré ProtonMail a livré l'adresse IP d'activistes aux autorités de police française. La firme Proton Technologies y aurait été contrainte par la loi suisse.   


au sommaire


    À l'instar de Signal avec son système de chiffrement et son strict respect des données personnelles, du côté des e-mails, il y a ProntonMail. Basée en Suisse, la société ProtonProton Technologies se targue de localiser ses serveurs sur ce territoire pour garantir la confidentialité des données personnelles, selon les principes des lois helvétiques. Là aussi, le chiffrement se fait de bout en bout. Mais voilà, depuis dimanche, la firme vient de mettre un grand coup de canif à sa réputation. Proton Technologies a effectivement été contrainte de fournir les adresses IPadresses IP d'un groupe d'activistes aux services de police française. Une réquisition émanant d'Europol et qui visait des militants de l'association Youth for Climate. Les membres de cette dernière utilisaient le service pour communiquer de façon sécurisée dans le cadre de l'occupation jugée illégale de locaux situés à Paris dans le Xe arrondissement. Comment Proton Technologies, qui assure ne pas collecter de données personnelles et notamment les adresses IP, a-t-elle pu les transmettre aux autorités françaises ? En tout cas, cette affaire scandalise les utilisateurs de la messageriemessagerie qui compte maintenant 30 millions de membres.

    Contraint par la justice helvète

    Pour se justifier, Andy Yen, le patron de la firme a dû monter au créneau. Il a expliqué que le Département fédéral de la justice suisse a contraint Proton Technologies à fournir l'identité du possesseur d'une adresse e-mail. La firme s'est alors contentée de fournir l'adresse IP de l'utilisateur, la date de création, le type d'appareil et support employé pour cette adresse. Cela revient pratiquement à livrer son identité. Ainsi, si le chiffrement garantit dans tous les cas la confidentialité des échanges, les adresses IP peuvent en revanche être enregistrées, du moins temporairement sur demande de la justice.

    Et c'est bien ce que l'on reproche au service ProtonMail : ne pas avoir expliqué au client que son adresse IP allait être enregistrée et transmise. Cette affaire rappelle encore une fois que, malgré ses promesses d'ultra-confidentialité, n'importe quelle entreprise doit se conformer à la loi du territoire sur lequel elle est basée, sous peine de sanctions. Pour aller plus loin, le service explique que, pour ajouter un cran de plus à la sécurité et masquer l'adresse IP, il reste possible d'utiliser la messagerie via le réseau Tor.