Le fournisseur de messagerie cryptée de bout en bout ProtonMail a officiellement confirmé qu’il avait dépassé les 50 millions d’utilisateurs dans le monde à l’âge de sept ans.
C’est une étape importante pour un fournisseur de services qui n’a intentionnellement pas d’activité de données – optant à la place pour un engagement de confidentialité basé sur une architecture d’accès zéro qui signifie qu’il n’a aucun moyen de décrypter le contenu des e-mails des utilisateurs de ProtonMail.
Bien que, pour être clair, le chiffre de 50 millions et plus s’applique au nombre total d’utilisateurs de tous ses produits (qui comprend une offre VPN), pas seulement aux utilisateurs de son courrier électronique crypté e2e. (Il a refusé de séparer les utilisateurs de messagerie par rapport aux autres produits lorsque nous l’avons demandé.)
Commentant dans une déclaration, Andy Yen, fondateur et PDG, a déclaré: «La conversation sur la vie privée a évolué étonnamment rapidement au cours des sept dernières années. La protection de la vie privée est passée d’une réflexion après coup, à l’objet principal de nombreuses discussions sur l’avenir d’Internet. Dans le processus, Proton est passé d’une idée de financement participatif d’un meilleur Internet, à être à l’avant-garde de la vague mondiale de la protection de la vie privée. Proton est une alternative au modèle de capitalisme de surveillance avancé par les géants de la technologie de la Silicon Valley, qui nous permet de donner la priorité aux besoins des utilisateurs et de la société. «
ProtonMail, qui a été fondée en 2014, s’est diversifiée en offrant une suite de produits – y compris le VPN susmentionné et une offre de calendrier (Proton Calendar). Un service de stockage dans le cloud, Proton Drive, devrait également être rendu public plus tard cette année.
Pour tous ces produits, il prétend adopter la même approche «sans accès» aux données des utilisateurs. Bien que ce soit un peu une comparaison de pommes et d’oranges pour comparer les e-mails cryptés e2e avec un service VPN crypté – puisque le problème avec les services VPN est qu’ils peuvent voir l’activité (c’est-à-dire où vont les paquets cryptés ou autrement) et que les métadonnées peuvent résumer à un journal de votre activité Internet (même avec le cryptage e2e des paquets eux-mêmes).
Proton affirme ne pas suivre ni enregistrer la navigation Web de ses utilisateurs VPN. Et compte tenu de sa réputation plus large, dépendante de la confidentialité, c’est au moins une affirmation plus crédible que le service VPN moyen. Néanmoins, vous devez toujours faire confiance à Proton pour ne pas le faire (ou être forcé de le faire, par exemple, par les forces de l’ordre). Ce n’est pas la même garantie technique de «zéro accès» qu’elle peut offrir pour son courrier électronique chiffré e2e.
Proton propose également un VPN gratuit – qui, comme nous l’avons déjà dit, peut être un signal d’alarme pour le risque d’enregistrement des données – mais la société précise que les utilisateurs de la version payante subventionnent les utilisateurs gratuits. Donc, encore une fois, le Réclamer est zéro journalisation, mais vous devez toujours faire un jugement sur l’opportunité de faire confiance à cela.
De Snowden à 50M +
Au cours des sept années de fonctionnement de ProtonMail, la confidentialité a certainement gagné le cache en tant que promesse de la marque – c’est pourquoi vous pouvez maintenant voir des géants de l’exploration de données comme Facebook faire des déclarations ridicules sur le fait de «faire pivoter» leurs empires de surveillance du profilage des personnes vers la «confidentialité». Ainsi, comme toujours, les relations publiques qui sont remplies d’allégations de «respect de la vie privée» exigent un examen très attentif.
Et s’il est clairement absurde pour un géant de la technologie publicitaire comme Facebook d’essayer de masquer le fait que son modèle commercial repose sur la suppression de la vie privée des gens avec des affirmations contraires, dans le cas de Proton, la revendication de confidentialité est en effet très forte – puisque la société a été fondée avec l’objectif d’être «immunisé contre l’espionnage à grande échelle». Espionnage tel que celui pratiqué par la NSA.
L’idée fondatrice de ProtonMail était de construire un système «qui n’exige pas de nous faire confiance».
Alors que l’utilisation du cryptage e2e a énormément augmenté depuis 2013 – lorsque les révélations du lanceur d’alerte de la NSA, Edward Snowden, ont révélé l’étendue de la collecte de données par les programmes de surveillance de masse du gouvernement, qui ont été montrés (il) exploitant généreusement les câbles Internet et les services numériques traditionnels pour saisir les gens. données à leur insu ou sans leur consentement – une croissance qui a certainement été favorisée par des services conviviaux comme ProtonMail rendant le cryptage robuste beaucoup plus accessible – les législateurs de plusieurs juridictions sont en conflit avec l’idée de base et menacent l’accès au cryptage e2e.
À la suite des révélations de Snowden, les pays de «Five Eyes» ont régulièrement intensifié la pression politique internationale sur le cryptage e2e. L’Australie, par exemple, a adopté une loi anti-cryptage en 2018 – qui accorde à la police le pouvoir de publier des « avis techniques » pour forcer les entreprises opérant sur son sol à aider le gouvernement à pirater, à implanter des logiciels malveillants, à saper le cryptage ou à insérer des portes dérobées à la demande du gouvernement. gouvernement.
Alors qu’en 2016, le Royaume-Uni a réaffirmé son régime de surveillance en adoptant une loi qui donne au gouvernement le pouvoir d’obliger les entreprises à supprimer ou à ne pas mettre en œuvre le cryptage e2e. En vertu de la Loi sur les pouvoirs d’enquête, un instrument statutaire appelé Avis de capacité technique (TCN) peut être signifié aux fournisseurs de services de communication pour obliger l’accès décrypté. (Et comme l’ORG l’a noté en avril, il n’y a aucun moyen de suivre l’utilisation car la loi empêche les fournisseurs de signaler quoi que ce soit sur une application TCN, y compris qu’elle existe même.)
Plus récemment, les ministres britanniques ont maintenu la pression publique sur le cryptage e2e – le présentant comme une menace existentielle pour la protection des enfants. Simultanément, ils légifèrent – via un projet de loi sur la sécurité en ligne, dans un projet de loi au début du mois – pour imposer aux fournisseurs de services une obligation juridiquement contraignante de «prévenir que de mauvaises choses ne se produisent sur Internet» (comme l’ORG le résume parfaitement). Et bien qu’ils en soient encore au stade de l’ébauche, les services de messagerie privés entrent dans le champ d’application de ce projet de loi – mettant la loi sur une trajectoire de collision potentielle avec les services de messagerie qui utilisent le cryptage e2e.
Les États-Unis, quant à eux, ont refusé de réformer la surveillance sans mandat.
Et si vous pensez que l’UE est un espace sûr pour le cryptage e2e, il y a aussi des raisons de s’inquiéter en Europe continentale.
Les législateurs de l’UE ont récemment fait pression pour ce qu’ils décrivent comme un «accès légal» aux données cryptées – sans spécifier exactement comment cela pourrait être réalisé, c’est-à-dire sans casser et / ou porte dérobée le cryptage e2e et donc annuler la sécurité numérique qu’ils jugent également vitale.
Dans un autre développement inquiétant, les législateurs de l’UE ont proposé l’analyse automatisée des services de communication cryptés – alias une disposition appelée « contrôle du chat » qui vise apparemment à poursuivre ceux qui partagent du contenu d’exploitation d’enfants – ce qui soulève d’autres questions sur la façon dont ces lois pourraient se recouper avec un « accès zéro » ‘services comme ProtonMail.
Le Parti pirate européen a tiré la sonnette d’alarme – et qualifie la proposition de «contrôle du chat» de «la fin de la confidentialité de la correspondance numérique» – avertissant que «les communications cryptées en toute sécurité sont menacées».
Un vote en plénière sur la proposition est attendu dans les mois à venir – il reste donc à voir sur quelle destination exactement l’UE atterrit.
ProtonMail, quant à lui, est basé en Suisse qui n’est pas membre de l’UE et a l’une des plus fortes réputations pour les lois sur la protection de la vie privée au monde. Cependant, le pays a également soutenu des pouvoirs de surveillance renforcés en 2016 – étendant les capacités de surveillance numérique de ses propres agences de renseignement.
Il adopte également certaines réglementations de l’UE – donc, encore une fois, il n’est pas clair si une analyse paneuropéenne automatisée du contenu des messages pourrait être appliquée aux services basés dans le pays.
Les menaces pesant sur le chiffrement e2e augmentent certainement, même si l’utilisation de tels services correctement privés ne cesse de croître.
Lorsqu’on lui a demandé s’il avait des inquiétudes, ProtonMail a souligné que la proposition actuelle de contrôle temporaire du chat de l’UE est volontaire – ce qui signifie qu’il appartiendrait à l’entreprise en question de décider de sa propre politique. Bien qu’elle accepte, il y a «un certain soutien» au sein de la Commission pour que les propositions de contrôle du chat soient rendues obligatoires.
«Il n’est pas clair pour le moment si ces propositions pourraient avoir un impact spécifique sur Proton [i.e. if they were to become mandatory]», Nous a également dit le porte-parole. «La mesure dans laquelle une entreprise suisse comme Proton pourrait être touchée par de tels efforts devrait être évaluée sur la base de la proposition juridique spécifique. À notre connaissance, aucun n’a été fait pour le moment.
«Nous sommes tout à fait d’accord sur le fait que des mesures doivent être prises pour lutter contre la propagation de matériel explicite illégal. Cependant, nous craignons que le balayage forcé des communications ne soit une approche inefficace et ait plutôt l’effet involontaire de saper de nombreuses libertés fondamentales que l’UE a été créée pour protéger », a-t-il ajouté. «Toute forme d’analyse automatisée du contenu est incompatible avec le chiffrement de bout en bout et, par définition, porte atteinte au droit à la confidentialité.»
Ainsi, bien que Proton célèbre à juste titre qu’un engagement constant en faveur d’une infrastructure d’accès zéro au cours des sept dernières années a aidé son activité à atteindre plus de 50 millions d’utilisateurs, il y a des raisons pour que toutes les personnes soucieuses de la confidentialité soient attentives à ce que les prochaines années de développements politiques pourraient signifier. pour la confidentialité et la sécurité de toutes nos données.