ProtonMail est-il toujours sûr et privé ? Réponse dans cet article…

ProtonMail vante souvent sa juridiction suisse et ses garanties en matière de protection de la vie privée, mais dans le même temps, il se conforme à un nombre record d’ordonnances de demande de données passant par le système juridique suisse. ProtonMail est l’un des services de messagerie électronique sécurisée les plus populaires au monde. Il a été lancé en 2014 par le biais d’une campagne de financement participatif (crowdfunding). Il promet un niveau de confidentialité et de sécurité supérieur à celui des autres plateformes de messagerie et se targue souvent d’appartenir à la juridiction suisse.

Si la Suisse est une bonne juridiction pour les utilisateurs soucieux de leur vie privée, elle n’est certainement pas une garantie pour la sécurité des données.

Sur la page d’accueil de ProtonMail, vous pouvez voir des références à des “lois suisses strictes sur la protection de la vie privée” qui devraient garantir la sécurité de vos données.

Proton fournit des données au FBI et à d’autres services de police

La semaine dernière, Forbes a publié un article sur une affaire dans laquelle le FBI a pu obtenir des données sur un utilisateur américain de ProtonMail qui faisait l’objet d’une enquête pour harcèlement (mais qui n’a été inculpé d’aucun crime).

Le mandat a révélé que le FBI avait réussi à obtenir des données de Proton Technologies, le propriétaire de Proton Mail, pour lancer la chasse à l’expéditeur anonyme. Il s’agit d’un exemple rare de demande de données américaines à Proton, qui montre comment de petits éléments de métadonnées provenant de logiciels cryptés peuvent s’avérer extrêmement utiles pour les policiers qui tentent de démasquer des utilisateurs qui s’attendent à ce que de telles applications protègent fortement leur vie privée.

Dans ce cas, Proton Technologies a fourni au FBI la “récupération et les adresses électroniques associées” de l’utilisateur, ce qui a permis de le découvrir.

Il y a deux ans, RestorePrivacy a publié un article sur une autre affaire d’enregistrement de ProtonMail impliquant un militant français qui était également un utilisateur de ProtonMail. Dans ce cas, la police française a reçu l’adresse IP de l’utilisateur de la part de Proton Technologies, ce qui a conduit à l’arrestation du suspect.

La question qui se pose est la suivante : quelle est la fréquence de ce type d’affaires, en particulier de celles qui ne font pas la une des journaux ?

Près de 6 000 demandes de données “satisfaites” en 2022

À la décharge de ProtonMail, l’organisation publie un rapport de transparence remontant à 2017. On y trouve les statistiques suivantes qui détaillent les demandes légales de données d’utilisateurs.En outre, vous pouvez voir que le nombre pour les trois catégories continue de grimper chaque année. Ceci étant dit, cette croissance n’est pas non plus surprenante étant donné que ProtonMail est une marque populaire avec une base d’utilisateurs croissante. Outre le courrier électronique, l’entreprise propose également Proton VPN et Proton Pass, un gestionnaire de mots de passe.

Proton indique en préambule de son rapport de transparence que les demandes de données doivent passer par les voies légales suisses.

De temps à autre, Proton peut être légalement contraint de divulguer certaines informations sur les utilisateurs aux autorités suisses, comme indiqué dans notre politique de confidentialité. Cela peut se produire en cas d’infraction à la loi suisse.

« Les autorités suisses peuvent de temps à autre aider des autorités étrangères à répondre à des demandes, à condition qu’elles soient valables en vertu des procédures d’entraide judiciaire internationale et qu’elles soient jugées conformes au droit suisse. Dans ces cas, le critère de légalité est à nouveau basé sur le droit suisse » indique Protonmail qui poursuit son explication au site Restoreprivacy.

« L’augmentation du nombre de cas reflète l’augmentation de notre base d’utilisateurs. Proton ayant pris de l’ampleur et comptant désormais 100 millions d’inscriptions à ses services, il n’est pas surprenant que ces chiffres aient augmenté. Toutefois, ces cas ont été traités par les autorités suisses (ce qui permet de vérifier leur validité) et ont également été examinés par Proton afin de s’assurer qu’il est raisonnable pour nous d’y répondre (c’est pourquoi il y a également des cas que nous n’avons pas respectés et qui sont mentionnés dans le rapport de transparence). Veuillez noter que dans tous les cas, le contenu des courriels, les pièces jointes, les fichiers, etc. sont toujours cryptés et ne peuvent pas être lus »

Proton Mail est-il toujours sûr et privé ?

La réponse à cette question se résume à déterminer votre modèle de menace et les adversaires contre lesquels vous essayez de vous protéger.

En bref, la réponse est oui si vous recherchez un service de messagerie sécurisée et cryptée qui n’a pas accès au contenu de votre boîte de réception. Après tout, ProtonMail est bien meilleur que Gmail ou Yahoo en matière de confidentialité.

Si vous faites des choses susceptibles d’attirer l’attention des forces de l’ordre, les données que vous fournissez lorsque vous utilisez ProtonMail, telles que l’adresse IP et l’e-mail de récupération, peuvent être partagées avec les autorités si Proton Technologies est légalement contraint de le faire par un tribunal suisse.

Toutes les entreprises doivent se conformer aux lois des pays dans lesquels elles sont légalement basées. La seule autre option est de fermer, comme nous l’avons vu avec CTemplar en 2022 et Lavabit en 2013.

Tenez compte de votre  Sécurité opérationnelle

Il est également important de réfléchir aux données que vous fournissez lorsque vous vous inscrivez à un service. Dans les affaires ProtonMail mentionnées ci-dessus, les données qui ont exposé les utilisateurs étaient l’adresse IP de l’utilisateur (activiste français) et les “adresses de récupération et adresses électroniques associées” (suspect américain ayant fait l’objet d’une enquête récente du FBI).

En protégeant les données que vous fournissez lorsque vous interagissez avec le service de messagerie, vous pouvez rendre votre compte de messagerie encore plus privé et plus sûr.

Pour l’adresse IP, utilisez un bon service VPN pour masquer votre adresse IP lorsque vous utilisez le service de courrier électronique (ou à tout moment lorsque vous êtes en ligne d’ailleurs).

Pour le courriel de récupération, envisagez d’utiliser un courriel jetable comme courriel de récupération, ou une nouvelle adresse de courriel de récupération inutilisée qui n’est pas liée à votre identité.

Concernant vos méthodes de paiement, l’email est fondamentalement différent d’un service VPN sans logs dans la mesure où il y a toujours des données personnelles stockées (le contenu de votre boîte de réception et d’autres données de votre compte). Il est donc plus important d’utiliser une méthode de paiement anonyme si vous voulez plus de confidentialité.

Il est essentiel de disposer d’une bonne sécurité opérationnelle lorsque vous utilisez des outils de protection de la vie privée.

Crédit photo : DR
[cc] Breizh-info.com, 2023, dépêches libres de copie et de diffusion sous réserve de mention et de lien vers la source d’origine