Très strict sur la confidentialité, Proton Mail a dévoilé aux autorités les données de près de 6 000 utilisateurs…
-
…mais pouvait-il faire autrement ?
La réputation de Proton Mail n’est plus à faire. Et pourtant, elle commence à être mise à l’épreuve, puisque l’entreprise suisse révèle de plus en plus de données d’utilisateurs. Elle ne fait pourtant que se conformer à la loi.
Le service de messagerie sécurisé Proton Mail reste aujourd’hui l’un des plus appréciés dans le monde. Bien plus respectueux de la vie privée de ses utilisateurs que ses concurrents, il s’est fait une place en or depuis son lancement en 2014. Mais malgré ses promesses de sécurisation et de chiffrement des données de ses usagers, Proton Mail n’est pas au-dessus des lois. Dépendant de la juridiction suisse, le service ne peut pas garantir une sécurité des données à 100 %. En 2022, ce sont les données d’environ 6 000 utilisateurs qui ont été dévoilées sur ordre légal.
Une confidentialité relative
Comme on peut le voir sur la capture d’écran ci-dessous (issue du rapport de transparence de l’entreprise Proton Technologies), l’entreprise présente trois types de données différentes : le nombre total de données demandées sur ordres légaux, le nombre qui a été refusé par Proton et le nombre que celle-ci a bien voulu céder. Ces trois catégories sont en augmentation entre l’année 2020 et 2022. Cependant, ces chiffres restent tout de même à relativiser. En effet, la part de données divulguées par rapport aux demandes légales n’a connu qu’une très faible augmentation sur trois ans. 80 % en 2020, 78,7% en 2021 et 85,2 % en 2022. Le nombre d’utilisateurs du service étant à la hausse également, il n’est pas étonnant que ces chiffres augmentent eux aussi.
Cependant, même si la Suisse est plutôt réputée pour sa juridiction assez favorable en matière de respect de la vie privée, Proton Mail ne peut quand même pas faire comme bon lui semble. Si des demandes de divulgations issues du gouvernement lui sont faites en vertu de la loi, il doit s’y plier.
Quand le FBI s’en mêle…
Proton Mail ne divulgue pas ses données d’utilisateurs par plaisir ou pour en tirer profit, bien au contraire. Un exemple récent relaté par le magazine Forbes présente un cas où le FBI, entre autres enquêtes, a été impliqué dans une requête de ce type auprès de Proton Technologies. L’agence fédérale enquêtait sur un individu qui était poursuivi pour harcèlement, et Proton a été contrainte de divulguer son adresse mail (de récupération). L’utilisateur a été identifié grâce à cela.
Faut-il s’inquiéter de cette actualité ? A priori, pas vraiment. Proton Mail reste une alternative bien plus sécurisée que d’autres services comme Gmail ou Yahoo, qui se soucient beaucoup moins de la confidentialité de leurs utilisateurs. Proton joue d’ailleurs là-dessus pour récupérer les utilisateurs de ses concurrents. En revanche, si vous avez quelque chose à vous reprocher d’un point de vue légal, sachez que Proton Mail se devra de coopérer avec les autorités judiciaires locales, comme n’importe quelle entreprise.
– Source :
– Avant que certains crient au loup, résumé d’un commentaire intéressant :
Protonmail est techniquement incapables de fournir les mails en clair à posteriori (c’est-à-dire tout ce qui est antérieur à la demande judiciaire). Idem pour les adresses IP de connexion, qui ne sont enregistrées que sur demande, pas avant.
Par contre, une fois qu’une demande est faite concernant un compte, ils peuvent techniquement fournir :
- les adresses IP qui s’y connectent (si la justice leur a demandé d’activer les logs),
- le contenu des mails entrants et sortants, si l’expéditeur ne les a pas chiffrés lui même avec une solution type PGP (fonctionnalité proposée nativement par le webmail Proton). Sur ce point ils ne peuvent pas faire mieux : les mails entrants et sortants doivent obligatoirement transiter en clair sur leurs serveurs pour pouvoir être acheminés correctement. Cela dit, je ne sais pas si la législation Suisse autorise à enregistrer ces données sur demande de la justice, donc le fait qu’ils soit techniquement en mesure de les fournir ne veut pas dire qu’ils les fournissent effectivement.
Ils ne peuvent par contre pas, même après requête de la justice :
- communiquer le contenu des mails entrants et sortants chiffrés par l’expéditeur,
- le contenu des mails « internes »
- les mails échangés entre utilisateurs de ProtonMail, ceux-ci étant chiffrés automatiquement de bout en bout avec PGP, et Proton ne connait que les clés publiques utilisées pour le chiffrement, pas les clés privées nécessaires pour déchiffrer.
-
L’article est tellement complaisant et tolérant, que je me suis demandé si c’est Proton Mail qui l’avait écrit
Mais en fait la source est un site nommé RESTORE PRIVACY, qui tente de sensibiliser aux problèmes de confidentialité et de sécurité, du coup je comprends mieux le ton de l’article, ils ne vont pas jouer contre leur camp, et ils ont raison.De toute façon, que ce soit les serveurs de messagerie, les hébergeurs, les FAI, les RS, etc… Tous sont soumis à la loi et aux décisions de justice. Je pense que les utilisateurs de PM le savaient.
-
@Pollux a dit dans Très strict sur la confidentialité, Proton Mail a dévoilé aux autorités les données de près de 6 000 utilisateurs… :
De toute façon, que ce soit les serveurs de messagerie, les hébergeurs, les FAI, les RS, etc… Tous sont soumis à la loi et aux décisions de justice. Je pense que les utilisateurs de PM le savaient.
Sauf que tous ne chiffrent pas leur email
Et ça fait une grosse différence si on connaît le principe.Concernant la remarque sur la justice, voir l’article ci-dessus, celui de Forbes ainsi que le thread en lui même.
@Pollux a dit dans Très strict sur la confidentialité, Proton Mail a dévoilé aux autorités les données de près de 6 000 utilisateurs… :
L’article est tellement complaisant et tolérant, que je me suis demandé si c’est Proton Mail qui l’avait écrit
Point de tolérance, des faits. C’est pourquoi les utilisateurs un tant soit peu au courant sur les techniques à utilisées sur la vie privée même après une décision de justice utilisent ce genre de service ou encore mieux pour ceux qui ne sont pas trop manchot, utilisent soit même du chiffrement PGP pour leur email et du chiffrement tt court pour tout ce qui est possible de l’être.
-
Ils peuvent être a fond sur la confidentialité le jour ou tu prends un flingue sur la tempe ( c’est une image hein ^^) tu n’as pas le choix malheuresement
Quoi qu’il en soit je trouve ce service assez sécu malgré tout enfin pour mon utilisation ^^
-
En effet @hades quand tu es sommé de donner des infos, tu n’as pas le choix, par contre sans la clé de déchiffrement tu auras beau donné ce que tu veux, ce sera moins embêtant pour toi.
Any information received would be limited to metadata, since email contents, attachments, files, calendar entries, etc. are all end-to-end encrypted and no-one, not even Proton, can access them.
c’est la différence entre ce genre de service utilisant le chiffrement et d’autre ne l’utilisant pas. Et ça les utilisateurs de ce genre de service le savent aussi.
-
Ils n’ont jamais caché qu’ils obéiraient à une injonction de justice, mais qu’ils faisaient le maximum pour fournir un minimum d’info sur les clients, ils ont d’ailleurs publié sur le sujet et j’ai posté cet article ici: https://planete-warez.net/topic/702/proton-mail-peut-être-contraint-à-livrer-des-adresses-ip?_=1692856320129
-
Hadès Trolls DDL Pastafariste Rebelle Windowsien PW Addict Membrea répondu à Violence le dernière édition par
@Violence a dit dans Très strict sur la confidentialité, Proton Mail a dévoilé aux autorités les données de près de 6 000 utilisateurs… :
c’est la différence entre ce genre de service utilisant le chiffrement et d’autre ne l’utilisant pas. Et ça les utilisateurs de ce genre de service le savent aussi.
J’apprends des trucs ^^
Et ce que je ne savais pas non plus c’est ça:
les mails échangés entre utilisateurs de ProtonMail, ceux-ci étant chiffrés automatiquement de bout en bout avec PGP, et Proton ne connait que les clés publiques utilisées pour le chiffrement, pas les clés privées nécessaires pour déchiffrer.
-
-
Hadès Trolls DDL Pastafariste Rebelle Windowsien PW Addict Membrea répondu à Violence le dernière édition par
@Violence merci pour l’article lebigdata intéressant
-
Et l’une des places en vue pour partager sa clé de chiffrement est https://keybase.io/
-
Résumé on est en sécurité nul part
-
–> En effet, tu as raison, mais j’ajouterais qu’on est jamais mieux service que par soit même.
Il ne faut jamais considérer le courrier électronique comme sécurisé, peu importe qui le fourni.
Le fait que Proton ait depuis supprimé sa politique de « NoLog » me fait dire que si vous pensez que vous êtes en sécurité derrière ce service ou un autre, détrompez vous.
Cela vaut aussi pour les fournisseurs de VPN.
– Par contre :
- Si tu n’a rien à te reprocher, Protonmail est un des meilleurs services emails niveau sécu et chiffrement.
- Si tu as des choses à te reprocher stocké chez eux, c’est autre chose.
- C’est aussi je pense, un des meilleurs services concernant la divulgation d’informations aux autorités. Le minima et pas de clés privées divulguées car même Proton n’as pas l’accès donc niveau info, c’est très maigre.
-
@Violence niveau mail ça va, mais c’est le vpn surtout qui reste no log j’espère parce que y’a quelques carabistouilles