Des documents judiciaires obtenus par TechCrunch indiquent que la police espagnole a réussi à identifier un activiste sous pseudonyme grâce à des informations transmises par les messageries chiffrées Wire et Proton.
Enquêtant sur les personnes impliquées dans le mouvement indépendantiste en Catalogne, la Guardia Civil a en effet demandé, par l’intermédiaire de la police suisse, « toutes les informations d’identification » liées à certains comptes Wire et Proton.
Ses demandes, qui mentionnaient le « crime organisé » et le « terrorisme » comme motifs de l’enquête, visaient à « découvrir qui sont les auteurs des faits qui se sont déroulés lors des émeutes de rue en Catalogne en 2019 ».
En réponse, Wire lui a transmis l’adresse email Proton utilisée par l’un des utilisateurs de sa messagerie, et Proton son adresse email de récupération, liée à un compte iCloud. Les documents obtenus par TechCrunch montrent qu’Apple, sollicitée à son tour, lui a alors « fourni un nom complet, deux adresses personnelles et un compte Gmail lié », précise TechCrunch.
« Proton n’exige pas d’adresse de récupération, mais dans ce cas, le terroriste présumé en a ajouté une de son propre chef », a déclaré le porte-parole de Proton dans le courriel. « Nous ne pouvons pas chiffrer ces données car nous devons être en mesure d’envoyer un courriel à cette adresse si le suspect terroriste souhaite lancer le processus de récupération », a ajouté la société.
« Ces informations peuvent en théorie être demandées par les autorités suisses dans les cas de terrorisme, et cette décision est généralement prise par l’Office fédéral de la justice suisse. Proton fournit la confidentialité par défaut et non l’anonymat par défaut, parce que l’anonymat nécessite certaines actions de l’utilisateur pour assurer une [sécurité opérationnelle] appropriée, comme ne pas ajouter votre compte Apple comme méthode de récupération optionnelle, ce qui semble avoir été fait par le suspect terroriste présumé. »
Proton précise en effet, dans sa section Support, que « Proton n’a pas accès à votre mot de passe, nous ne pouvons donc pas le réinitialiser si vous l’oubliez ou le perdez » :
« Si vous ne définissez aucun moyen de récupérer votre compte Proton et que vous oubliez votre mot de passe, vous perdrez l’accès à votre compte et à tous vos courriels, contacts et autres fichiers chiffrés. »