Émoi après que la messagerie sécurisée ProtonMail a collaboré à une enquête judiciaire

Le service de messagerie chiffrée a fourni aux enquêteurs des données techniques ayant permis d’identifier des suspects. Il y est légalement obligé, mais laissait croire le contraire sur son site.

ProtonMail, qui a fait de la sécurité de ses utilisateurs son principal argument marketing, est actuellement sous le feu des critiques. Le service de messagerie chiffrée a dû fournir des informations sur certains de ses usagers dans le cadre d’une enquête judiciaire.

Dans le viseur des autorités, des militants de l’association Youth for Climate qui ont occupé il y a un an la place Saint-Marthe à Paris. En squattant des espaces privés, ces activistes souhaitaient lutter contre la gentrification du quartier. Ils sont actuellement accusés de «vol et dégradation en réunion et violation de domicile».

Afin d’identifier et interpeller ces suspects, la police française a missionné, via Europol, la justice suisse pour récupérer leurs métadonnées auprès de ProtonMail. En effet, les militants échangeaient sur cette plateforme, dont le siège est basé en Suisse.

Le service de messagerie a transmis aux autorités des informations techniques comme la date de création des comptes, les adresses IP et l’empreinte de l’appareil utilisé (smartphone ou PC, application ou interface Web, etc.)

Or, ProtonMail précisait récemment sur son site que la plateforme «n’enregistrait aucune métadonnée, telle que l’adresse IP utilisée pour se connecter à son compte», une mention depuis retirée de sa page Web. Le service n’a toutefois aucune possibilité de transmettre aux autorités les contenus des échanges, ces derniers étant chiffrés.

«Un échec massif de communication»

«Nous sommes très inquiets concernant cette affaire. ProtonMail a reçu l’ordre juridique du Département fédéral de justice suisse, avec lequel nous sommes dans l’obligation de collaborer. Il n’y avait pas de possibilité pour nous de faire appel ou de combattre cette requête, car un acte violant la loi est effectivement arrivé», a expliqué l’équipe de ProtonMail sur Reddit. En d’autres termes, si l’adresse IP n’est normalement pas conservée, elle peut être récupérée lorsque la justice l’exige.

Sur Twitter, certains utilisateurs dénoncent le manque de clarté des conditions d’utilisation de Protonmail, comme Christina Warren : «Il s’agit d’un échec massif de communication de ProtonMail. Le problème n’est pas qu’il se soit conformé aux lois suisses mais que l’enregistrement secret des adresses IP n’a jamais été mentionné explicitement dans leur marketing.» De son côté, ProtonMail argumente sur le fait que son chiffrement ne peut pas être contourné et que les courriels, les pièces jointes, les calendriers et les fichiers ne peuvent être compromis par des ordres juridiques.

«Rien à voir avec les lois antiterroristes»

Le fondateur de Proton Technologies AG, Andy Yen, va plus loin dans son argumentaire en indiquant que «les accusations, dans cette affaire, semblent être particulièrement agressives. Malheureusement c’est un schéma que nous voyons de plus en plus ces dernières années dans le monde (notamment en France, où les lois antiterroristes sont utilisées de manière inappropriée). Nous continuerons notre campagne contre ce type de lois et leur abus».

«Proton se défend en disant que la France utilise des dispositions antiterroristes. C’est complètement faux», a commenté sur Twitter l’officier de gendarmerie Matthieu Audibert. «La Suisse a signé la Convention de Budapest qui prévoit la collecte des preuves électroniques pour toute infraction pénale. La Suisse a également des accords de coopération avec Europol. Donc en pratique, nous avons une demande de coopération qui part vers Europol, qui arrive en Suisse, la justice suisse dit OK et Proton répond à la demande via la justice suisse et Europol», explique-t-il. «Cela n’a rien à voir avec les lois françaises antiterroristes. C’est du droit commun régissant l’obtention des preuves numériques.»