Protonmail mis sous pression par la France

Photo by Arthur Mazi on Unsplash https://unsplash.com/photos/a8CxRWIu8yw

L’État français a contraint ProtonMail à révéler l’adresse IP d’un militant au nom de l’antiterroriste. Un risque de surveillance de masse.

Par François Jolain.

L’État français a forcé l’entreprise ProtonMail à révéler l’adresse IP d’un militant écologique au nom de la lutte antiterroriste. Pour en comprendre l’importance, il faut rappeler qu’une adresse IP permet au gouvernement de remonter au domicile de l’internaute, brisant ainsi son anonymat.

ProtonMail a donc contribué à l’arrestation du militant. Or, ProtonMail est une entreprise de mails suisse se proclamant protectrice de la vie privée et ne collectant par défaut aucune donnée personnelle.

Ce par défaut est au cœur de l’affaire qui ternit l’image de l’entreprise, car il montre que certes, l’entreprise ne collecte aucune donnée en temps normal, mais peut s’y voir obligée sur demande du gouvernement.

En effet, que ce soit aux États-Unis après le 11 septembre 2001 (Patriot Act) ou en France après le 13 novembre 2015 (Loi Rensignement), les gouvernements ont voté des lois obligeant les entreprises à livrer les données de leurs utilisateurs en cas de menace terroriste. Or la définition est très vague. Le Code pénal définit l’acte terroriste comme un acte se rattachant à une entreprise individuelle ou collective ayant pour but de troubler gravement l’ordre public par l’intimidation ou la terreur.

Ainsi, l’État se trouve maintenant en position de forcer la collecte de données chez les entreprises du numérique pour de vagues prétextes.

Que peuvent faire les entreprises pour résister ?

Déjà peu d’entreprises tentent d’y résister. On peut citer quand même Signal, ProtonMail ou Apple comme entreprises essayant de s’opposer à l’intrusion de l’État dans leurs données. Mais la loi est très claire : les entreprises ont obligation de collaborer (LSCPT Suisse).

Les entreprises résistantes ont donc opté pour le chiffrement du bout en bout. Ainsi, tout ou partie des données qui transitent sur leur serveur sont illisibles même pour l’entreprise, seul l’utilisateur possède le mot de passe de déchiffrement. En soi, l’entreprise peut toujours les collecter et les partager avec l’État, mais comme personne ne dispose du mot de passe, les données restent illisibles.

L’entreprise peut aussi proposer son service à travers TOR ou un service VPN pour éviter de connaître l’adresse IP de ses utilisateurs. C’est ce que propose ProtonMail, mais qui n’a pas été utilisé par le militant.

En soi, l’histoire de ProtonMail est un exemple d’entreprise résistante, puisqu’elle n’a pu donner qu’une adresse IP. Si le militant utilisait Gmail, LaPoste ou Orange, alors le gouvernement aurait mis la main sur l’ensemble de ses mails et de ses correspondants. Or grâce au chiffrement mis en place, ProtonMail est techniquement incapable de livrer toutes ces données.

Contre-attaques étatiques

Évidemment, cette sensation d’impuissance agace le désir de contrôle absolu de nos gouvernements. Ils pensaient s’arroger légalement une surveillance de masse, mais voilà que des technologies comme le chiffrement, le réseau TOR, les services VPN ou même Bitcoin réduisent la portée de leurs lois.

Nous assistons donc en Franceen Australie ou aux États-Unis à une volonté des gouvernements d’interdire le chiffrement et d’autres technologies, afin que plus aucune entreprise ni aucun citoyen ne puisse résister face à la surveillance.

Vous souhaitez nous signaler une erreur ? Contactez la rédaction.