ProtonMail : la loi, c'est plus fort que toi
Les promesses d'anonymat n'engagent que ceux qui les écoutent
Cataclysme dans le monde de ceux qui pensaient que leur privacy était protégée avec ProtonMail : le fournisseur de services de mails chiffrés a répondu à une réquisition judiciaire et transmis quelques métadonnées à la police française. Visiblement, en 2021, il y a encore des gens qui n'ont pas compris l'intérêt d'une analyse du risque informationnel pour établir un modèle de menace pertinent...

Mise à jour du 8 septembre 2021
L'affaire de la divulgation d'une adresse IP par Protomail est apparue sur le site Paris-Luttes.info dans un article titré "Récit policier de Sainte Marthe" et publié le 1er septembre.
Coup de tonnerre : le compte Twitter onestla.tech relève que Protonmail a livré à la police française des informations sur des utilisateurs de son service. C'est la douche froide. ProtonMail est très largement utilisé par tous les militants (de tous bords politiques d'ailleurs) qui souhaitent obtenir un niveau de confidentialité acceptable pour leurs échanges par mail. ProtonMail, c'est le chiffrement des emails pour M. Jourdain. On fait de la prose sans même s'en rendre compte. Ou plutôt du chiffrement sans avoir besoin de savoir comment ça marche ou sans avoir à installer des outils de chiffrement. Magique non ? Et ProtonMail a beaucoup surfé sur ce discours pour attirer des utilisateurs désabusés après les révélations d'Edward Snowden. Au delà de la confidentialité des échanges apportée par le chiffrement, ProtonMail a notamment écrit (le site a été modifié depuis) que la société ne conservait pas de traces des utilisateurs permettant de les identifier, comme l'adresse IP utilisée pour accéder à la boite mail.


Une façon d'invoquer le fameux « no logs » promis par de trop très nombreux vendeurs de VPN. Las... la loi, c'est plus fort que toi. En tout cas, plus fort que ton discours marketing à deux cents d'euro. Le snake oil a toutefois encore de beaux jours devant lui puisque l'on observe que cela a encore marché avec ProtonMail. Il faut toutefois garder en tête, y compris dans le domaine des technologies Internet, que la magie vaudou... ça ne marche pas. Décortiquons cela.
ProtonMail s'est justifié ici et là après la polémique. C'est flou, comme chaque explication d'entreprise s'étant plantée sur quelque chose qui impacte ses clients/utilisateurs.
Il y a plusieurs points à aborder à l'occasion de cette non-affaire :
1) Si vous faites des choses de près ou de loin illégales, n'utilisez pas les outils numériques, en tout cas si vous souhaitez ne pas avoir la visite des hommes en bleu le matin très tôt.
2) Si vous faites des choses légales (comme militer pour une bonne cause) mais que vous êtes pris dans une procédure judiciaire (cela peut arriver à n'importe qui n'importe quand), votre vie entière va atterrir dans un dossier d'instruction. C'est un point que de nombreux activistes ne comprennent pas ou font semblant de ne pas comprendre : une instruction peut être déclenchée alors que l'activité n'est absolument pas répréhensible. Cela ne veut pas dire que l'on vit en dictature ou dans un État policier. Cela veut dire qu'une plainte a été déposée (vous allez peut-être gagner à la fin) et/ou qu'un procureur a estimé qu'il fallait enquêter. Au cours de l'enquête, pour les besoins de la manifestation de la vérité, il est possible (probable) qu'une réquisition auprès d'un fournisseur d'accès à Internet ou un prestataire de services comme ProtonMail soit déclenchée afin qu'ils fournissent les informations dont ils disposent sur la personne visée par l'enquête. C'est ce qui s'est passé ici. Le suspect peut également faire l'objet d'une écoute (téléphones, trafic Internet...). Dans tous les cas, la vie entière du suspect va se retrouver couchée sur le papier. Il est quasiment impossible de passer au dessous des radars de la Justice lorsque l'on devient une cible. Ce point précis doit bien entendu entrer dans le modèle de menace construit par toute personne souhaitant conserver une partie de sa vie loin des yeux indiscrets : rien ne dit que l'on ne sera pas un jour la cible d'une enquête judiciaire et ce jour-là, s'il advient, il faut partir du principe que rien ne pourra être caché. Passé, présent, tout sera épluché.
3) La loi c'est plus fort que toi et que les entreprises. On peut déplorer la nuée de lois liberticides passées dans la foulée des faits divers et des attentats. Il n'empêche, elles ont été votées et à moins qu'un gouvernement courageux n'engage un processus pour les abolir, elles sont là et s'appliquent. Dans la plupart des pays, il existe un texte régissant la rétention de données. C'est le cas en France, mais aussi en Suisse (surprise...) : les FAI et les sociétés offrant des services comme des boites mails se doivent de conserver des données sur les utilisateurs. En Suisse, c'est douze mois.
On ne parle même pas ici des interceptions massives de données organisées par les pays, y compris démocratiques, dans le cadre des activités des services de renseignement. Ce principe de la rétention de données de connexion est débattu régulièrement. La France fait tout ce qu'elle peut pour renverser la jurisprudence de la Cour de justice de l’Union européenne car elle est très gourmande en données de connexion. Une chose est sûre, une réquisition judiciaire pour obtenir une identification d'une personne et des informations sur l'usage qu'elle fait de services Internet ou téléphoniques est désormais un processus très bien rodé et qui fonctionne parfaitement au cours des instructions. Pour en savoir plus sur ce sujet, suivez ce lien.
La loi est toujours désagréable quand l'on n'est pas d'accord avec elle. Mais elle est toujours bienvenue quand on est d'accord avec elle. Le problème, c'est qu'elle est le produit de notre contrat social et qu'elle ne peut forcément pas satisfaire tout le monde. Il faut, soit casser le contrat social, soit accepter de ne pas être content, parfois.
Une entreprise qui vous assène qu'elle n'a pas de logs de vos connexions vous ment. La loi s'impose à elle et elle n'y peut rien. Les VPN, les services de mail conservent des traces plus ou moins détaillées de ce que vous faites. Croire les discours marketing promettant de l'anonymat, c'est croire un bonimenteur. Mieux, il faudrait de la magie vaudou pour qu'une entreprise puisse vous facturer un produit sans qu'elle puisse vous identifier... Une fois que vous avez compris cela, vous avez compris que le no logs est un gros mensonge. Et si elle vous raconte qu'elle n'a pas accès aux données de paiement, pensez « escalier » : une première réquisition auprès du prestataire de service (ProtonMail par exemple), puis une deuxième chez une FAI, puis une troisième chez Google, puis une quatrième chez le prestataire de paiement. You're doomed.
4) En matière de construction d'un modèle de menace, on évitera de suivre les bons conseils de Gérard du Bar des Amis sur Twitter qui est passé en quelques mois d'expert en virologie à politologue avant de devenir expert réseau. Par exemple, les gens qui vous conseillent de souscrire à un service de type ProtonMail en utilisant un VPN ou Tor, sont de mauvais conseillers et comme chacun sait, les conseilleurs ne sont pas les payeurs. Dans votre analyse du risque, vous penserez donc à poser comme l'un des premiers principes, que l'anonymat est quasiment impossible à atteindre lorsque l'on utilise des outils numériques.
5) Alors justement, monsieur le journaliste, c'est complètement faux, il y a Tor pour masquer son adresse IP et d'ailleurs tous les activistes qui s'y connaissent l'utilisent, ce qui montre bien que vous n'y connaissez rien monsieur le mauvais payeur...
Alors... Oui. Mais non.
Bien entendu, il est possible de compliquer la tâche des enquêteurs. Bien sûr, dans le cas d'une infraction mineure, il est possible (mais pas certain, notez-le bien) que les enquêteurs ne déploient pas des moyens démesurés pour obtenir des informations permettant d'identifier l'utilisateur d'un service comme ProtonMail. Pour autant, Tor n'est pas une garantie d'anonymat. Ce détail a longuement été développé sur Reflets lors de l'épisode « Agence H » qui avait démarré ici. L'épisode « Agence H » permet de comprendre qu'au delà de l'adresse IP, certaines méta-données fuitant de votre ordinateur sans que vous en ayez forcément conscience, peuvent permettre de vous identifier par corrélation. C'est le cas, par exemple, du user-agent ou de la version du système d'exploitation. Mais pas seulement. Quand vous consultez une page sur la zoophilie tendance teckels morts sur Youporn, Google est au courant et peut mettre à jour votre profil si vous avez un onglet ouvert et connecté à votre compte Gmail... La privacy policy de ProtonMail reste très vague et ne dit rien sur l'éventuelle collecte de ce type de données. En tout état de cause, on y lit que de nombreuses informations peuvent être collectées et que des tiers peuvent également se servir au passage.
6) Bon nombre d'utilisateurs annoncent sur les réseaux sociaux vouloir mettre un terme à leur utilisation du service de ProtonMail. L'épisode montrerait que l'on « est pas anonyme » en l'utilisant. C'est une évidence (lire ci-dessus) et ce l'était depuis le début. Vous n'utilisez pas ProtonMail parce que cela vous rend anonyme, mais parce que cela vous permet de communiquer de manière chiffrée par mail. Et donc de protéger le contenu de vos échanges des yeux indiscrets qui peuvent traîner sur le chemin entre vous et votre interlocuteur. Encore une fois, si vous êtes une cible désignée d'un service de renseignement ou dans une enquête judiciaire, il n'est pas impossible que ledit service ou un service de police procède à l'installation d'un cheval de Troie sur l'un de vos devices, permettant de lire avant que vous ne chiffriez vos mails ou de lire après déchiffrement les mails reçus... Dans tous les cas, ProtonMail, c'est mieux que rien [ou que Google](chrome://chrome-urls/) comme le montre le lien ou [celui-ci en particulier](chrome://device-log/) (oui, oui, c'est du local, gna, gna, gna...).
Tout cela pour vous dire que si vos pensez que ce qui s'est passé avec ProtonMail est un vrai problème de privacy, c'est que vous n'avez sans doute qu'une perception infiniment réduite du panoptique dans lequel vous évoluez. Vous êtes comme les hommes dans l'allégorie de la caverne exposée par Platon : vous ne voyez du vrai monde que les ombres projetées par la lumière du dehors sur le mur de la paroi du fond. Ce n'est pas la réalité.