ProtonMail : la loi, c'est plus fort que toi
Les promesses d'anonymat n'engagent que ceux qui les écoutent
Cataclysme dans le monde de ceux qui pensaient que leur privacy était protégée avec ProtonMail : le fournisseur de services de mails chiffrés a répondu à une réquisition judiciaire et transmis quelques métadonnées à la police française. Visiblement, en 2021, il y a encore des gens qui n'ont pas compris l'intérêt d'une analyse du risque informationnel pour établir un modèle de menace pertinent...
Mise à jour du 8 septembre 2021
L'affaire de la divulgation d'une adresse IP par Protomail est apparue sur le site Paris-Luttes.info dans un article titré "Récit policier de Sainte Marthe" et publié le 1er septembre.
Coup de tonnerre : le compte Twitter onestla.tech relève que Protonmail a livré à la police française des informations sur des utilisateurs de son service. C'est la douche froide. ProtonMail est très largement utilisé par tous les militants (de tous bords politiques d'ailleurs) qui souhaitent obtenir un niveau de confidentialité acceptable pour leurs échanges par mail. ProtonMail, c'est le chiffrement des emails pour M. Jourdain. On fait de la prose sans même s'en rendre compte. Ou plutôt du chiffrement sans avoir besoin de savoir comment ça marche ou sans avoir à installer des outils de chiffrement. Magique non ? Et ProtonMail a beaucoup surfé sur ce discours pour attirer des utilisateurs désabusés après les révélations d'Edward Snowden. Au delà de la confidentialité des échanges apportée par le chiffrement, ProtonMail a notamment écrit (le site a été modifié depuis) que la société ne conservait pas de traces des utilisateurs permettant de les identifier, comme l'adresse IP utilisée pour accéder à la boite mail.
Une façon d'invoquer le fameux « no logs » promis par de trop très nombreux vendeurs de VPN. Las... la loi, c'est plus fort que toi. En tout cas, plus fort...