Contenu

La débâcle ProtonMail qui n'a pas lieu d'être

Quand les autorités de votre pays sonnent à la porte, vous les envoyez se faire voir ?

Depuis quelques jours, on ne parle que de ça dans le milieu. ProtonMail a enregistré les adresses IP d’utilisateurs alors qu’ils avaient promis de ne pas le faire. C’est ainsi que d’aucuns présentent les choses, de manière très réductrice et en omettant complètement les causes de cette collecte des adresses IP.

Tentons de remettre l’église au milieu du village, malgré les informations limitées disponibles.

Les promesses de ProtonMail

ProtonMail a vanté l’anonymat (et la sécurité) de son service, notamment en indiquant qu’il n’est pas nécessaire de fournir une quelconque donnée personnelle pour ouvrir un compte et que les adresses IP ne sont pas journalisées par défaut.

Si on consulte le site web de ProtonMail sur archive.org, tel qu’il se présentait le 31 août 2021, on peut voir exactement ce qui était promis.

Aujourd’hui, ce texte a été remplacé par un autre, qui ne parle plus d’anonymat ou d’adresse IP. Mais j’y reviendrai plus tard.

Petit retour sur les faits ayant mené à cette “débâcle”

Proton Technologies AG est une société suisse soumise au droit et aux autorités suisses. Son siège est à Plan-les-Ouates, dans le canton de Genève. Elle édite, développe et fournit le service ProtonMail, entre autres. Elle indique avoir des centres de support en Californie et en Macédoine.

Dans un article publié sur un “site d’infos anticapitaliste, antiautoritaire et révolutionnaire” (sic), on apprend que des activistes du climat du collectif Youth for Climate ont été arrêtés en septembre 2020 à Paris suite à plusieurs occupations de locaux. Ces activistes communiquaient via une adresse ProtonMail ; les autorités françaises ont donc demandé aux autorités suisses (via EUROPOL) d’exiger de ProtonMail qu’il fournisse les adresses IP et les empreintes (fingerprints) des navigateurs web utilisés pour accéder à l’adresse e-mail. ProtonMail s’est exécuté.

Droit applicable

Entraide pénale internationale

La France a demandé à la Suisse, par le biais de l’entraide internationale, qu’elle l’aide à identifier le détenteur d’un compte ProtonMail qui est accusé d’un délit ou d’un crime dont la poursuite revient aux autorités pénales françaises. Il est probable que celles-ci aient contacté ProtonMail directement pour obtenir ces informations, mais ProtonMail n’étant pas soumise au droit français, elle n’aurait de toute façon pas pu (ou dû) collaborer directement avec les autorités françaises. En effet, agir de la sorte constitue une infraction pénale (art. 271 du Code pénal suisse, CP).

Celui qui, sans y être autorisé, aura procédé sur le territoire suisse pour un État étranger à des actes qui relèvent des pouvoirs publics […] sera puni d’une peine privative de liberté de trois ans au plus ou d’une peine pécuniaire et, dans les cas graves, d’une peine privative de liberté d’un an au moins.

La Suisse, comme la France, est partie à la Convention européenne d’entraide judiciaire en matière pénale du 20 avril 1959 (CEEJ), qui impose aux Etats parties “à s’accorder mutuellement l’aide judiciaire la plus large possible dans toute procédure visant des infractions dont la répression est, au moment où l’entraide est demandée, de la compétence des autorités judiciaires de la Partie requérante”.

Dans le droit suisse, on trouve une loi fondamentale qui concrétise, encadre et limite la coopération des autorités pénales suisses avec des autorités pénales étrangères. Il s’agit de l’EIMP, la loi fédérale sur l’entraide internationale en matière pénale. Deux dispositions sont particulièrement intéressantes à ce stade.

Art. 28 EIMP

1 Les demandes doivent revêtir la forme écrite.

2 Toute demande [d’un Etat étranger] doit indiquer :

a. l’organe dont elle émane et, le cas échéant, l’autorité pénale compétente ;

b. l’objet et le motif de la demande ;

c. la qualification juridique des faits ;

d. la désignation aussi précise et complète que possible de la personne pour­sui­vie.

3 Pour permettre de déterminer la nature juridique de l’infraction, il y a lieu de join­dre à la demande :

a. un bref exposé des faits essentiels, sauf s’il s’agit d’une demande de notifi­ca­tion ;

b. le texte des dispositions légales applicables au lieu de commission de l’infraction, sauf s’il s’agit d’une demande d’entraide visée par la troisième partie de la présente loi.

Art. 63 EIMP

1 L’entraide au sens de la troisième partie de la présente loi comprend la communi­cation de renseignements, ainsi que les actes de procédure et les autres actes officiels admis en droit suisse, lorsqu’ils paraissent nécessaires à la procédure menée à l’étranger et liée à une cause pénale, ou pour récupérer le produit de l’infraction.

2 Les actes d’entraide comprennent notamment : […]

b. la recherche de moyens de preuve, en particulier la perquisition, la fouille, la saisie, l’ordre de production, l’expertise, l’audition et la confrontation de per­sonnes ; […].

Ainsi, les autorités suisses ont jugé, sur la base de la demande française, qu’elles pouvaient accorder l’entraide. On n’en sait pas plus, mais il est probable que l’infraction ou les infractions pénales pour lesquelles le ressortissant français était poursuivi étaient graves, comme on le verra ci-dessous.

Surveillance des télécommunications

En Suisse, les procédures pénales et les actes des autorités pénales (police judiciaire, ministère public, tribunal des mesures de contrainte, tribunaux de première instance, de recours et d’appel) sont régis par le Code de procédure pénale (CPP).

En matière de surveillance des télécommunications, le CPP contient des dispositions précises qui indiquent notamment à quelles conditions une telle surveillance peut avoir lieu.

Art. 269 CPP

1 Le ministère public peut ordonner la surveillance de la correspondance par poste et télécommunication aux conditions suivantes :

a. de graves soupçons laissent présumer que l’une des infractions visées à l’al. 2 a été commise ;

b. cette mesure se justifie au regard de la gravité de l’infraction ;

c. les mesures prises jusqu’alors dans le cadre de l’instruction sont restées sans succès ou les recherches n’auraient aucune chance d’aboutir ou seraient excessivement difficiles en l’absence de surveillance.

2 [Longue liste des infractions graves susceptibles de justifier une surveillance]

Art. 270 CPP

1 Peuvent faire l’objet d’une surveillance la correspondance par poste et télécommuni­cation :

a. du prévenu ;

b. d’un tiers, si des faits déterminés laissent présumer :

1 que le prévenu utilise l’adresse postale ou le service de télécommunica­tion du tiers,

2 que le tiers reçoit des communications déterminées pour le compte du prévenu ou des communications émanant du prévenu, qu’il est chargé de retransmettre à d’autres personnes.

A la fin de la surveillance, le prévenu ou le tiers est informé et un recours contre cette surveillance peut être déposé.

Art. 279 CPP

1 Au plus tard lors de la clôture de la procédure préliminaire, le ministère public communique au prévenu ainsi qu’au tiers qui ont fait l’objet d’une surveillance au sens de l’art. 270, let. b, les motifs, le mode et la durée de la surveillance.

2 Avec l’accord du tribunal des mesures de contrainte, il est possible de différer la communication ou d’y renoncer aux conditions suivantes :

a. les informations recueillies ne sont pas utilisées à des fins probatoires ;

b. cela est indispensable pour protéger des intérêts publics ou privés prépondérants.

3 Les personnes dont la correspondance par poste ou par télécommunication a été surveillée ou celles qui ont utilisé l’adresse postale ou le service de télécommunication surveillé peuvent interjeter recours conformément aux art. 393 à 397. Le délai de recours commence à courir dès la réception de la communication.

L’EIMP contient des dispositions spécifiques concernant la surveillance des télécommunications, notamment à l’art. 18a EIMP. En voici un extrait.

2 […] les autorités désignées ci-après peuvent ordonner une surveillance de la correspondance par poste et télécommunication :

a. le ministère public de la Confédération ou du canton concerné saisi de la demande d’entraide ;

b. l’office fédéral s’il traite lui-même la demande d’entraide.

3 L’ordre de surveillance doit être soumis à l’approbation des autorités suivantes :

a. par les autorités de la Confédération : au tribunal des mesures de contrainte de la Confédération ;

b. par les autorités d’un canton : au tribunal des mesures de contrainte de ce canton.

4 Au surplus, les conditions de la surveillance et la procédure sont régies par les art. 269 à 279 CPP et par la loi fédérale du 6 octobre 2000 concernant la surveillance de la correspondance par poste et télécommunication.

La mise en œuvre de la surveillance des télécommunications est réglée par la Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT), qui impose des obligations notamment aux fournisseurs de services de télécommunication au sens de l’art. 3 let. b de la loi du 30 avril 1997 sur les télécommunications (LTC), ainsi qu’aux fournisseurs de services qui se fondent sur des services de télécommunication et qui permettent une communication unilatérale ou multilatérale (fournisseurs de services de communication dérivés) (art. 2 LSCPT). ProtonMail appartient à cette deuxième catégorie.

L’art. 27 LSCPT prévoit quelques obligations spécifiques – et relativement légères – à ces fournisseurs de services de communication dérivés.

1 Les fournisseurs de services de communication dérivés tolèrent une surveillance […] portant sur des données que la personne surveillée transmet ou enregistre en recourant à des services de communication dérivés. A cet effet, ils doivent sans délai :

a. garantir l’accès à leurs installations ;

b. fournir les renseignements nécessaires à l’exécution de la surveillance.

2 Ils livrent, sur demande, les données secondaires de télécommunication de la personne surveillée dont ils disposent.

La définition des données secondaires de télécommunication est à chercher du côté de l’art. 8 LSCPT : il s’agit des données indiquant avec qui, quand, combien de temps et d’où la personne surveillée a été ou est en communication ainsi que les caractéristiques techniques de la communication considérée. Il ne s’agit donc pas du contenu des communications. A noter que le Tribunal fédéral s’est prononcé en 2018 sur l’enregistrement et la conservation de ces données par les fournisseurs de services de télécommunication (non dérivés) sous l’empire de l’ancienne LSCPT, dans l’ATF 144 I 126 résumé dans LawInside, que je cite ci-dessous :

Les données secondaires de télécommunication ne sont en tant que telles pas particulièrement sensibles. Les recourants font cependant valoir qu’on peut en déduire diverses informations quant aux habitudes des intéressés, le cas échéant par recoupement avec d’autres données. Cela étant, de telles déductions ne peuvent intervenir qu’en cas de remise ultérieure des données secondaires de télécommunication aux autorités pénales conformément aux dispositions du CPP (art. 269 ss CPP). […] En Suisse, les autorités pénales n’obtiennent accès aux données secondaires de télécommunication qu’aux conditions strictes des art. 269 ss CPP, lesquels prescrivent notamment une pesée des intérêts dans chaque cas ainsi que l’intervention d’un tribunal indépendant. […] L’atteinte au droit à la vie privée résultant de l’enregistrement des données secondaires de communication est dès lors conforme aux exigences de l’art. 8 par. 2 CEDH et de l’art. 36 Cst.

Voilà pour le cadre légal. Revenons à ce qu’il s’est passé.

Le contenu des mails a-t-il été fourni ?

Non, si la boîte e-mail est également chiffrée et que les e-mails sont chiffrés de bout en bout, ProtonMail ne peut pas y accéder, qu’ils soient en transit ou at rest.

Under no circumstances will ProtonMail be able to provide the contents of end-to-end encrypted messages sent on ProtonMail.

La surveillance était-elle légitime ?

On peut effectivement se demander si la surveillance était légitime au vu des infractions retenues à l’encontre des activistes ?

Il semblerait que ceux-ci aient été poursuivis pour violation de domicile, vol et dommages à la propriété. La violation de domicile (art. 186 CP) ne fait pas partie des infractions qui, en Suisse, permettent de demander une surveillance ; en revanche, le vol (art. 139 CP) et les dommages à la propriété (art. 144 CP) le permettent. Il n’y aurait donc rien à redire de ce côté.

Il existait visiblement de graves soupçons à l’encontre des activistes relativement à la commission des infractions susmentionnées.

Enfin, comme ProtonMail ne journalisait (et ne journalise toujours) aucune donnée personnelle, notamment les adresses IP, il n’était pas possible pour les autorités françaises, via les autorités suisses, de simplement exiger la remise des logs de ProtonMail, au moyen de la perquisition de documents et enregistrements (cf. art. 246 ss CPP). Il n’y avait donc pas d’autre option que de mettre en œuvre une surveillance pour obtenir ces informations lorsque les activistes se connectaient à leur compte e-mail.

De mon point de vue, rien n’indique que cette surveillance était illégale. Cas échéant, il revient aux personnes surveillées de faire recours contre cette surveillance conformément aux art. 279, et 393 à 397 CPP, afin d’en faire vérifier la légalité.

Comment ProtonMail a-t-il pu fournir des informations qu’il n’avait pas, selon ses déclarations ?

ProtonMail n’avait pas les données éventuellement réclamées par les autorités.

Cependant, au moment où il a reçu l’ordre des autorités pénales de mettre en œuvre une surveillance du compte e-mail, ProtonMail a été contraint d’activer la journalisation des accès à ce compte et a récolté les informations réclamées par les autorités suisses pour le compte des autorités françaises. Cette surveillance a été levée ensuite conformément à l’art. 275 CPP et ProtonMail a pu désactiver la journalisation des accès.

ProtonMail a-t-il menti ?

Non. Peut-être peut-on leur reprocher une communication peu précise sur ce que signifiait “par défaut nous ne conservons aucune adresse IP qui pourrait vous relier à votre compte”. Cet élément a d’ailleurs fait l’objet d’une clarification par ProtonMail et d’adaptations sur leur site web (voir images ci-dessus) et dans leur privacy policy notamment.

Le fait qu’une société, en Suisse, indique voire promette de ne conserver aucune information et de ne rien journaliser ne signifie pas qu’elle peut se soustraire à des demandes spécifiques et justifiées des autorités suisses, notamment les autorités pénales. Une telle société peut (doit) en revanche refuser de collaborer directement avec des autorités étrangères. Si les autorités françaises s’étaient adressées directement à ProtonMail, il n’aurait pas donné suite.

ProtonMail donne d’ailleurs des informations et statistiques sur le nombre de demandes reçues par les autorités suisses et étrangères.

Que faire si je veux laisser le moins de traces possible quand j’accède à ProtonMail ?

Utiliser Tor et accéder à ProtonMail via cette adresse : https://protonmail.com/tor.

En résumé

  1. La France a demandé l’entraide pénale internationale à la Suisse, qui l’a acceptée.
  2. La demande de la France devait apparemment inclure une requête sur la mise en œuvre de la surveillance des communications afin d’obtenir des données secondaires de communication permettant d’identifier le détenteur d’un compte ProtonMail.
  3. Le ministère public genevois ou l’Office de la justice du Département fédéral de justice et police a ensuite ordonné la mise en œuvre de la surveillance, qui a été autorisée par un tribunal des mesures de contrainte.
  4. ProtonMail n’a eu d’autre choix que d’obtempérer et d’activer la journalisation des accès (avec collecte d’adresses IP et empreintes du navigateur web) au compte e-mail.
  5. Ces informations, avec la date de création du compte, ont été communiquées aux autorités suisses qui les ont transmises aux autorités françaises.
  6. ProtonMail n’a pas menti, mais aurait pu être plus clair dans sa communication et ses arguments relatifs à la vie privée et à la sécurité destinés à de potentiels utilisateurs.
  7. Cette affaire fait un buzz qu’elle ne mérite pas.