ProtonMail partage l’adresse IP d’un activiste avec Europol malgré ses affirmations “No Log”
Malgré sa politique «sans journaux », service de courrier électronique crypté de bout en bout, ProtonMail divulgue l'adresse IP des militants anti-gentrification aux autorités chargées de l'application de la loi, ce qui entraîne des arrestations en France.
Un groupe militant en France lutte contre la gentrification, la spéculation immobilière, etc. Le 1er septembre, le groupe a publié un article sur Paris-luttes.com portant sur les enquêtes policières contre divers membres du groupe. La police française a envoyé une demande à Europol pour ordonner à ProtonMail de découvrir l'identité des membres du groupe.
Selon l'entreprise, elle a reçu une "ordonnance juridiquement contraignante du Département fédéral de la justice suisse" concernant Youth of Climate, un collectif auquel Proton était obligé de se conformer. Le service a remis les adresses IP et les informations connexes utilisées par le groupe d'activistes pour accéder à ProtonMail.
Dans une réponse sur Reddit, la société a déclaré :
« Proton a reçu une ordonnance juridiquement contraignante du Département fédéral de la justice suisse que nous sommes tenus de respecter. Il n'y avait aucune possibilité de faire appel ou de contester cette demande particulière car un acte contraire au droit suisse a effectivement eu lieu (et c'était aussi la décision finale du Département fédéral de la justice qui procède à un examen juridique de chaque cas).
Position de confidentialité de ProtonMail
La société suisse Proton propose un service de messagerie appelé ProtonMail et un VPN appelé ProtonVPN. Sur son site Web, ProtonMail indique qu'ils ne conservent aucune information personnelle ni aucun journal IP. Cependant, nous avons remarqué qu'après cet incident, ils ont complètement changé leur déclaration sur leur site Web.
Image : Thehackernews
Quelques heures après l'incident, nous avons vérifié son site Web et ils ont supprimé la revendication "pas de journaux IP" de leur page d'accueil. Avant l'incident, ProtonMail a annoncé :
"Aucune information personnelle n'est requise pour créer votre compte de messagerie sécurisé. Par défaut, nous ne conservons aucun journal IP pouvant être lié à votre compte de messagerie anonyme. Votre vie privée passe avant tout.
Après l'incident, cependant, ProtonMail a changé sa position concernant l'absence de journaux IP, comme on peut le voir sur leur site Web.
"ProtonMail est un e-mail qui respecte la vie privée et donne la priorité aux personnes (et non aux annonceurs). Vos données vous appartiennent et notre cryptage le garantit. Nous fournissons également une passerelle de messagerie anonyme.
Réponse officielle de ProtonMail à l'incident
Malgré sa déclaration d'absence de journaux, la société a déclaré qu'elle n'avait d'autre choix que de se conformer aux demandes d'agences étrangères comme Europol.
Après l'incident, le PDG et fondateur de ProtonMain Andy Yen a tweeté :
« Proton doit se conformer à la loi suisse. Dès qu'un crime est commis, les protections de la vie privée peuvent être suspendues et nous sommes tenus par la loi suisse de répondre aux demandes des autorités suisses.
Il a en outre ajouté que «ProtonMail doit se conformer aux enquêtes pénales suisses. Ce n'est évidemment pas fait par défaut, mais seulement si la loi l'y oblige.
Après l'incident, les utilisateurs de ProtonMail sont préoccupés par la confidentialité et la visibilité de leur adresse IP même s'ils utilisent un VPNpour le cryptage ou accèdent au service de messagerie via Tor pour l'anonymat.
Après l'incident français, ProtonMail a révisé sa politique de confidentialité indiquant qu'il enregistrera les adresses IP des utilisateurs s'ils sont trouvés en violation de la loi suisse. Leur politique de confidentialité stipule :
« Par défaut, nous ne conservons pas de journaux IP permanents en relation avec votre utilisation des Services. Cependant, les journaux IP peuvent être conservés temporairement pour lutter contre les abus et la fraude, et votre adresse IP peut être conservée de manière permanente si vous êtes engagé dans des activités qui enfreignent nos termes et conditions (spamming, attaques DDoS contre notre infrastructure, attaques par force brute, etc.). La base juridique de ce traitement est notre intérêt légitime à protéger nos Services contre les activités malveillantes. Si vous enfreignez la loi suisse, ProtonMail peut être légalement contraint d'enregistrer votre adresse IP dans le cadre d'une enquête pénale suisse. "
La divulgation publique par ProtonMail de sa politique de journalisation est alarmante car la société a reçu plus de 13 demandes des autorités suisses en 2017. Cependant, les utilisateurs sont incertains car les activités illégales se sont déroulées en dehors de la Suisse, car les manifestations ont eu lieu en France.
De plus, peu de gens croiraient que l'anti-gentrification répond aux critères des «cas criminels extrêmes» dans lesquels ProtonMail enregistre les adresses IP.
Proton propose également un service VPN qui, selon Andy Yen, n'enregistre aucune information IP et ne relève pas de la base juridique de la loi suisse.
Il a également déclaré que si les utilisateurs déployaient à la fois ProtonVPN et Tor, ils ne pourraient pas obtenir l'adresse IP réelle, car elle indique l'adresse IP du serveur VPN auquel l'utilisateur est connecté.
Malgré ces affirmations, les utilisateurs de ProtonMail sont furieux et préoccupés par leur confidentialité et leur anonymat en ligne "annoncés" par le service. Les législateurs de l'Union européenne ont également signalé qu'ils essayaient de trouver un moyen d'obtenir un accès légal aux données cryptées, ce qui soulève des problèmes de confidentialité.