Pourquoi ProtonMail a dû révèler l'adresse IP d'un militant ?
L’état français a forcé l’entreprise ProtonMail à révéler l’adresse IP d’un militant écologique au nom de la lutte antiterroriste. Pour en comprendre l’importance, il faut rappeler qu’une adresse IP permet au gouvernement de remonter au domicile de l’internaute, brisant son anonymat. ProtonMail a donc contribué à l’arrestation du militant. Or ProtonMail est une entreprise de mails suisse se proclamant protectrice de la vie privée et ne collectant par défaut aucune donnée personnelle.
Ce par défaut est au coeur de l’affaire qui ternit l’image de l’entreprise, car il montre que certes, l’entreprise ne collecte aucune donnée en temps normal, mais peut s’y voir obligée sur demande du gouvernement.
En effet, que ce soit aux États-Unis après le 11 septembre 2001 (Patriot Act) ou en Fance après le 13 novembre 2015 (Loi Rensignements), les gouvernements ont voté des lois obligeant les entreprises à livrer les données de leurs utilisateurs en cas de menace terroriste. Or la définition est très vague, le Code pénal définit l’acte terroriste comme un acte se rattachant à une entreprise individuelle ou collective ayant pour but de troubler gravement l’ordre public par l’intimidation ou la terreur.
Ainsi, l’état se retrouve maintenant en position de forcer la collecte de donnée chez les entreprises du numérique pour de vagues prétextes.
Que peuvent faire les entreprises pour résister ?
Déjà peu d’entreprises tentent d’y résister. On peut citer quand même Signal, ProtonMail ou Apple comme entreprises essayant de s’opposer à l’intrusion de l’état dans leurs données. Mais la loi est très claire: les entreprises ont obligation de collaboré (LSCPT Suisse).
Les entreprises résistantes ont donc opté pour le chiffrement du bout en bout. Ainsi, tout ou partie des données qui transitent sur leur serveur sont illisibles même pour l’entreprise, seul l’utilisateur possède le mot de passe de déchiffrement. En soi, l’entreprise peut toujours les collecter et les partager à l’état, mais comme personne ne dispose du mot de passe, les données restent illisibles.
L’entreprise peut aussi proposer son service à travers TOR ou un service VPN pour éviter de connaître l’adresse IP de ses utilisateurs. C’est ce que propose ProtonMail, mais qui n’a pas été utilisé par le militant.
En soi, l’histoire de ProtonMail est un exemple d’entreprise résistante, puisqu’ils n’ont pu donner que une adresse IP. Si le militant utilisait Gmail, LaPoste ou Orange, alors le gouvernement aurait mis la main sur l’ensemble de ses mails et de ses correspondants. Or grâce au chiffrement mis en place, ProtonMail se retrouve techniquement incapable de livrer toutes ces données.
Contre-attaques étatiques.
Évidemment, cette sensation d’impuissance agace le désir de contrôle absolu de nos gouvernements. Ils pensaient s’arroger légalement une surveillance de masse, mais voilà que des technologies comme le chiffrement, le réseau TOR, les services VPN ou même Bitcoin réduisent la portée de leurs lois.
Nous assistons donc en France, en Australie ou aux États-Unis à une volonté des gouvernements d’interdire le chiffrement et d’autres technologies, afin que plus aucune entreprise ni aucun citoyen ne puissent résister face à la surveillance.