Proton Mail suspend des comptes de journalistes à la demande d’une agence de cybersécurité

 (theintercept.com)
4 points par GN⁺ 2025-09-14 | 1 commentaires | Partager sur WhatsApp
  • Proton Mail a temporairement suspendu des comptes de journalistes qui enquêtaient sur le piratage de systèmes du gouvernement sud-coréen, à la demande d’une agence de cybersécurité
  • Après la restauration des comptes, les journalistes demandent toujours des explications claires sur le processus décisionnel de Proton et ses justifications
  • De nombreux médias dans le monde utilisent Proton Mail comme alternative à Gmail, et cette affaire soulève des inquiétudes sur la confidentialité et la fiabilité du service
  • Proton a reconnu avoir pris des mesures sur ces comptes à la suite d’un signalement externe, sans toutefois révéler le nom précis de l’organisme ni les motifs invoqués
  • Cet incident suggère la nécessité de renforcer les politiques de protection pour les utilisateurs vulnérables tels que les journalistes, les lanceurs d’alerte et les chercheurs en sécurité

Proton Mail suspend des comptes de journalistes à la demande d’une agence de cybersécurité

L’identité de Proton et la suspension de comptes de journalistes

  • Proton est un service d’e-mail qui se présente comme « un espace neutre et sûr qui protège les données personnelles, engagé dans la défense de la liberté »
  • Le mois dernier, à la demande d’une agence de cybersécurité, les comptes Proton Mail de deux journalistes qui couvraient le piratage de systèmes informatiques du gouvernement sud-coréen ont été désactivés
  • Après une forte réaction de l’opinion publique et un long délai, les comptes ont été rétablis, mais les journalistes et la rédaction demandent toujours une explication claire sur le processus ayant conduit Proton à suspendre ces comptes

Protection des journalistes et portée de cette affaire

  • Martin Shelton, de la Freedom of the Press Foundation, souligne que de nombreux médias choisissent Proton Mail comme alternative à Gmail et à d’autres services, précisément pour éviter des situations comme celle-ci
  • Certains estiment que lorsque des journalistes utilisent les services de Proton, les sujets sensibles comme les suspensions de compte devraient donner lieu en priorité à une communication non publique
  • Sur Reddit, le compte officiel de Proton a affirmé que l’affaire était « exagérée » et a soutenu qu’il n’avait pas bloqué délibérément des comptes de journalistes

Contexte de la suspension des comptes de journalistes

  • Les journalistes dont les comptes ont été désactivés sont Saber et cyb0rg, auteurs dans le numéro d’août de Phrack d’un article d’enquête sur des attaques APT (menaces persistantes avancées) liées au piratage d’agences gouvernementales sud-coréennes
  • Ils ont suivi un piratage similaire à celui attribué à « Kimsuky » et, conformément à la Responsible Disclosure, ont informé à l’avance les organismes concernés et des entités de sécurité telles que la Korea Internet and Security Agency et KrCERT/CC des vulnérabilités découvertes
  • KrCERT leur a répondu en les remerciant

Explication du système CERT et des signalements en cybersécurité

  • Un CERT (Computer Emergency Response Team) est une organisation spécialisée dans la réponse aux incidents de sécurité
  • Il existe des CERT dans plus de 70 pays ; ils peuvent être publics ou privés et être spécialisés dans différents domaines
  • Aux États-Unis, la Cybersecurity and Infrastructure Agency est un organisme représentatif dans ce domaine

Processus de suspension et controverse sur les valeurs affichées

  • Environ une semaine après la publication de l’édition imprimée de Phrack, les comptes Proton Mail ouverts par les journalistes pour divulguer les vulnérabilités ont été suspendus
  • Les comptes ont été suspendus pour « possible violation des politiques », et la Proton Abuse Team a répondu en refusant de les rétablir, en invoquant des liens entre les comptes et un « usage malveillant »
  • La rédaction de Phrack a contesté cela en affirmant que les données de piratage n’avaient jamais transité par des comptes Proton, soulignant que les craintes de mésusage d’informations étaient infondées, mais elle n’a pas obtenu de réponse

Réaction publique et controverse sociale

  • Sur le compte X (ex-Twitter) de Phrack, des publications critiques à l’égard de la communication de Proton et de ses standards moraux se sont largement diffusées, dépassant les 150 000 vues
  • Le compte officiel de Proton a expliqué avoir suspendu plusieurs comptes sur la base d’un signalement d’un CERT, puis examiner chaque cas individuellement
  • Tout en affirmant être « aux côtés des journalistes », Proton a reconnu que l’impossibilité d’accéder aux comptes limitait sa capacité à éviter les faux positifs
  • L’entreprise n’a pas révélé quel CERT avait effectué le signalement, ni le nom précis de l’organisme

Rétablissement des comptes et suites de l’affaire

  • Andy Yen, fondateur et CEO de Proton, s’est contenté d’annoncer que les comptes avaient été rétablis, sans fournir d’explications supplémentaires sur les raisons précises de la suspension et du rétablissement ni sur la procédure suivie
  • Phrack affirme que cette suspension a causé un préjudice concret, en empêchant notamment les journalistes de collaborer avec d’autres médias et de répondre à l’actualité liée à leur article
  • Le média exprime aussi une vive inquiétude quant au message que cet épisode envoie à l’avenir aux groupes vulnérables, comme les lanceurs d’alerte ou les journalistes
  • Il est également demandé que Proton ne suspende des comptes qu’en présence d’une décision de justice, d’un crime manifeste ou d’une violation avérée des conditions d’utilisation

À lire aussi

1 commentaires

 
GN⁺ 2025-09-14
Avis sur Hacker News

  • Je suis cette affaire de près sur X/Twitter, et je pense que le fait que Proton ait ignoré plusieurs prises de contact privées de la part de Phrack est un problème vraiment grave. Proton n’a réagi et rétabli les comptes qu’après que Phrack a soulevé publiquement la question et que l’affaire est devenue virale sur X/Twitter. Avant cela, un auteur avait directement fait appel auprès de Proton, mais sa demande avait été rejetée, et aucune mesure n’a été prise avant que l’affaire ne fasse du bruit sur X/Twitter. Autrement dit, Proton a bloqué immédiatement les comptes dès qu’un CERT a signalé un problème, mais ne s’en est absolument pas soucié tant qu’il n’y avait pas de controverse publique.

    • Proton permet d’ouvrir des comptes e-mail sans même exiger de preuve qu’il s’agit d’une vraie personne. Je ne dis pas ça pour le critiquer, car je pense que c’est nécessaire pour un outil de protection de la vie privée. Mais j’ai trouvé assez effrayant que la sécurité soit à ce point laxiste que je pouvais automatiser la création de centaines d’adresses Proton Mail en quelques secondes. Le captcha est aussi beaucoup trop simple, au point d’être facilement contournable par script. C’est presque étonnant qu’ils ne soient pas sur toutes les listes anti-spam du monde. Ils devraient au minimum renforcer leur système anti-abus, et s’ils ne sont pas capables de réagir rapidement sur des sujets sensibles comme celui-ci, il vaudrait mieux qu’ils opèrent avec davantage de prudence.

    • Quitte à avancer une hypothèse un peu risquée, je pense que l’agence américaine de cybersécurité est impliquée dans cette affaire. Le CEO de Proton a affiché un soutien très marqué à l’administration américaine actuelle (voir un post supprimé du compte Reddit officiel de Proton, article connexe ici). Je n’ai pas de preuve concrète, mais rien qu’avec les déclarations publiques du CEO, on en vient à se demander si Proton n’est pas une sorte de Crypto AG du XXIe siècle.

    • Les fans sur Reddit ne cessent de tordre la situation dans tous les sens pour la justifier ou la défendre, mais on ne peut pas découper les faits en deux.

    • Cela dit, vu sous un angle positif, c’est intéressant de voir qu’on vit désormais à une époque où le pouvoir des réseaux sociaux permet de résoudre ce genre de problème.

    • Si l’on regarde la réponse officielle de Proton sur Reddit, l’affirmation selon laquelle Phrack aurait contacté huit fois l’équipe juridique est fausse. En réalité, ils disent n’avoir reçu que deux e-mails, dont le dernier a été envoyé un samedi à la boîte de réception du service juridique avec une demande de réponse sous 48 heures, ce qui serait irréaliste pour une grande entreprise comme Proton. Ils soulignent aussi que le message n’a pas été envoyé via un canal officiel du support client. Réponse originale (lien)

  • La vraie valeur d’une entreprise se voit dans sa capacité à communiquer. Si elle ne communique que quand l’impact public devient important, quelle image cela donne-t-il de cette société ? Je me pose sérieusement la question suivante : parmi les entreprises qui fournissent des services e-mail, Proton Mail est-il vraiment le meilleur choix ? J’héberge mes e-mails moi-même et je compte continuer, mais si j’avais besoin d’un service e-mail pour d’autres personnes, j’aimerais savoir si Proton Mail est réellement l’option la plus convenable. Je serais curieux d’avoir vos avis.

    • Mon expérience est limitée, mais j’aurais tendance à répondre non. Il y a Fastmail, Runbox, Purelymail (développé par 1 à 2 personnes), Mailbox (support client médiocre, mais système stable, c’est celui que j’utilise), Migadu (je n’en ai entendu parler que de nom), Tuta (m’inspire personnellement une certaine méfiance, IMAP/POP désactivés comme chez Proton, même si Proton les autorise un peu par bricolage), MXRoute a aussi bonne réputation sur le forum LET, etc. Zoho est également correct si l’on n’utilise que l’e-mail, mais quitte à prendre Zoho, la différence avec Google ou MSFT se résume surtout au coût. Il y a beaucoup d’options. À titre personnel, je ne me sens déjà pas capable d’auto-héberger correctement ne serait-ce qu’une seedbox sur un VPS, donc l’e-mail, je n’essaie même pas.

    • J’ai auto-hébergé pendant 20 ans sans aucun problème, puis j’ai arrêté à cause des questions de sécurité. J’aimerais y revenir un jour. Question : comment gérez-vous la sécurité sur ce type de serveur ? De mon côté, il y avait tellement de correctifs que le système cassait souvent pour des raisons sans rapport, et il arrivait fréquemment que le courrier ne fonctionne plus pendant un ou deux jours.

    • Je partage cette idée que la valeur d’une entreprise se mesure à sa capacité de communication, mais beaucoup de gens semblent s’en moquer. C’est un peu comme les cas où des gens dépensent sans compter chaque mois pour Claude tout en étant incapables d’atteindre l’équipe support d’Anthropic (Claude). Tutanota mérite peut-être aussi d’être envisagé.

    • J’aimerais vraiment que vous partagiez rapidement votre stack d’auto-hébergement e-mail, ce message m’a soudain donné envie de m’y intéresser.

  • Réponse officielle de Proton sur Reddit Notre équipe a reçu une alerte du CERT indiquant que certains comptes étaient exploités de manière abusive par des hackers, ce qui nous a conduits à désactiver plusieurs comptes pour violation des ToS. Comme nous fonctionnons selon une architecture zero-access qui ne nous permet pas de voir le contenu des comptes, nous savons que nos systèmes anti-abus peuvent aussi affecter des activités légitimes. Nous avons examiné individuellement les cas susceptibles de donner lieu à une restauration de compte, puis rétabli deux comptes ; les comptes présentant des violations manifestes des ToS ne peuvent pas être restaurés. L’affirmation selon laquelle Phrack aurait contacté huit fois notre équipe juridique est également fausse. Nous n’avons en réalité reçu que deux e-mails sur l’adresse juridique, et le dernier a été envoyé le samedi 6 septembre avec une demande de réponse sous 48 heures, ce qui est difficilement gérable pour une grande entreprise (et ce n’était pas non plus un canal officiel du support client). Nous pensons que cette affaire a pris une ampleur excessive sans nous laisser l’occasion d’apporter une réponse appropriée. Merci de votre compréhension. — Équipe Proton

    • Il y a un point que je ne comprends pas bien : si vous dites ne pas pouvoir savoir s’il y a réellement violation des règles, comment pouvez-vous décider de suspendre des comptes sur simple demande d’un CERT, et sur quelle base deux comptes ont-ils finalement été rétablis ?

    • Cette réponse est encore plus décevante. Un CERT n’est pas une entité dotée d’un pouvoir légal contraignant. Prendre ce type de mesure sans analyse a posteriori rapide et minutieuse est très inquiétant pour la clientèle principale de Proton. Plus une base d’utilisateurs grossit, plus il est facile de baisser la garde, et cette attitude en est exactement le mauvais exemple. Je me demande ce qu’il serait advenu de ces comptes si l’affaire n’avait pas éclaté sur les réseaux sociaux.

  • Depuis l’annonce selon laquelle Proton supprime les comptes qui ne se connectent pas pendant une certaine période, je l’ai retiré de la première place de ma liste des plateformes e-mail « centrées sur l’utilisateur ». Si un fournisseur d’e-mail, de messagerie ou de communication ne peut pas garantir une continuité de service stable pendant la durée que je souhaite — 1 an, 2 ans, 20 ans — je n’ai aucune raison de l’utiliser. Et s’il s’agit d’un service payant, il devrait accepter des moyens de paiement respectueux de la vie privée ; même dans ce cas, cela me gênerait encore. Proton inspirait confiance auparavant parce qu’il compensait le coût des comptes gratuits avec son VPN, ses services business, etc., mais l’annonce de cette politique de suppression a à mes yeux brisé cette confiance de sa propre main. Je ne pense pas faire une demande déraisonnable : il faudrait au minimum une politique différenciée selon l’espace de stockage, ou une approche plus évoluée. Dans le modèle actuel, même un compte gouvernemental qu’on n’utilise qu’une fois tous les quelques années ne peut pas être conservé. On pourrait imaginer un avertissement via une adresse de récupération, mais cela viderait de son sens le principe d’un service mail axé sur la confidentialité. (À titre de comparaison, Google Voice supprime aussi les numéros s’ils ne sont pas utilisés régulièrement, y compris les numéros utilisés pour la 2FA, même lorsqu’il reste 4 $ de crédit sur le compte.)

    • Il était dit que la durée de suppression était floue, mais en réalité c’est 1 an (guide officiel).

    • Cette politique ne concerne que les comptes gratuits : s’il n’y a pas de connexion pendant 12 à 24 mois, ils peuvent être supprimés. Pour les services payants, ils acceptent aussi les paiements en espèces par courrier postal. Je comprends le principe, mais vu la manière dont c’est formulé, cela donne quand même l’impression d’un client aux attentes assez irréalistes.

    • Je suis curieux de savoir qui a pris la première place à la place de Proton.

    • J’ai aussi plusieurs comptes gratuits Proton, et ils sont restés intacts sans aucun problème malgré plus de quatre ans sans usage. J’ai l’impression que l’ambiance consistant à attaquer Proton juste sur cette base est un peu excessive. On dirait presque qu’une forme d’hostilité collective s’est installée. Ce n’est évidemment pas une entreprise parfaite, mais en matière de confidentialité, ça n’a rien à voir avec les services e-mail des géants américains de la tech. J’aimerais qu’on évite de ne voir les choses que sous un angle négatif. On lit aussi souvent que c’est « instable », mais sur desktop comme sur mobile, je n’ai personnellement rencontré aucun problème.

    • Si vous ne payez pas, vous n’êtes pas vraiment un client, vous bénéficiez simplement d’une faveur. Il ne faut pas trop attendre du gratuit.

  • J’étais abonné payant à Proton depuis 2018, mais le service était trop bogué et instable, donc j’ai récemment annulé mon abonnement (expiration en novembre). Je serais preneur de recommandations pour des alternatives, côté e-mail comme VPN. J’ai entendu du bien de Fastmail et de mailbox.org (qui s’est récemment rebrandé en mailbox et a aussi refondu son service). Je me demande aussi s’il existe un moyen simple de migrer les très nombreuses adresses e-mail alias que j’ai créées avec SimpleLogin vers un nouveau service ; les modifier une par une serait un calvaire.

    • Aucun souci avec Fastmail, l’interface est simplement un peu limitée, mais techniquement tout fonctionne parfaitement et rapidement. Il y a très peu d’incidents. Le calendrier, le carnet d’adresses et les intégrations tierces fonctionnent bien aussi. Pour un utilisateur individuel, c’est largement suffisant. Ils ont récemment ajouté le support hors ligne. Pour le VPN, si la confidentialité est vraiment importante, le mieux est probablement de prendre un VPS dans un pays comme l’Estonie, ou d’installer soi-même Wireguard chez soi avec DDNS et ainsi de suite pour monter son propre tunnel.

    • J’ai encore une légère méfiance envers mailbox à cause d’un incident vieux de neuf ans qui me reste en tête lien

    • J’utilise Fastmail et Mullvad, les deux ont un prix raisonnable et fonctionnent bien. Je recommande aussi d’essayer d’héberger soi-même sur un VPS.

    • J’utilise Zoho avec ma famille depuis plus de quatre ans et j’en suis très satisfait. Il n’y a pas de facturation par domaine, donc j’utilise 12 domaines. Les applications web et mobile offrent de nombreux réglages, et le service est rapide et stable. L’interface change peu, ce qui la rend prévisible et pratique.

    • Posteo.de (pas de prise en charge des domaines personnalisés), mailbox.org, runbox.com, mailfence, migadu, cranemail, etc. valent aussi le détour. C’est moins cher que Fastmail, et tous prennent en charge IMAP, ce qui facilite la migration ou les sauvegardes.

  • Je pense que Proton aurait du mal à éviter les critiques quoi qu’il fasse dans une situation comme celle-ci. S’ils disent qu’ils ne suspendront rien sans décision de justice, la presse risque de leur coller de façon malveillante l’étiquette de « refuge pour criminels ».

    • Il n’est pas juste d’appliquer une politique encore pire par crainte. Proton Mail a déjà essuyé ce genre de critiques à plusieurs reprises, donc il vaudrait mieux s’en tenir durablement à une politique raisonnable. J’aimerais qu’ils ne se laissent pas influencer par la presse à clic au point de faire des compromis sans intérêt.

    • Leur position actuelle ressemble surtout à une manière d’éviter leurs responsabilités. De toute façon, ils coopèrent déjà aujourd’hui et se font parfois critiquer par la presse ; même s’ils appliquaient réellement ce qu’ils disent, cela ne changerait probablement pas grand-chose.

    • La plupart des demandes des CERT sont pertinentes et méritent d’être traitées, mais il est tout aussi mauvais d’y obéir aveuglément que de les ignorer totalement. En particulier lorsqu’il s’agit d’un appel ou d’un signalement de sécurité légitime, il faut absolument une revue manuelle. Plutôt que des positions extrêmes, il faut trouver un juste milieu raisonnable.

  • Voici le lien vers la réponse officielle de Proton sur Reddit (original), et j’aimerais aussi avoir davantage d’informations sur le premier contact du CERT.

  • Le silence de Proton me paraît s’être retourné contre lui. L’image d’un service fiable, sûr et ferme en sort affaiblie.

    • À l’inverse, je pense que Ladar Levison et Lavabit ont gagné beaucoup de confiance par la manière dont ils ont géré leur affaire il y a une dizaine d’années. À noter que Lavabit (site) indique actuellement suspendre les nouvelles inscriptions afin de se concentrer sur l’amélioration du service existant.

  • PSA : Proton considère comme « inactif » et supprime un compte sans connexion pendant un an. Les critères restent flous : même recevoir des e-mails sans en envoyer peut être classé comme « inutilisation ». À cause de cela, je me retrouve dans l’impossibilité de récupérer mon compte iCloud. Je vais devoir passer un temps non négligeable à organiser ma sortie du service.

    • Il était dit que les critères d’« inutilisation » étaient flous, mais selon la politique officielle, une seule connexion par an suffit à conserver le compte (lien vers la politique).

    • Je me demande si l’ancien mode de facturation opaque de Proton est toujours en usage. J’avais déjà eu le cas où, après une mise à niveau par coupon, à la fin de la période le compte passait automatiquement en solde négatif et se retrouvait verrouillé jusqu’au paiement. Depuis, je n’utilise plus Proton.

    • Je me demande si cette politique s’applique aussi aux comptes payants. Par exemple, si je paie cinq ans d’avance puis disparais pendant trois ans, est-ce que le compte reste actif ?

  • Croire qu’une entreprise d’e-mail ou de VPN ne respecte pas la loi, c’est vraiment naïf. Sinon, même les prestataires de paiement ne les approuveraient pas. Il faut aussi garder à l’esprit qu’un hébergeur ou un opérateur réseau en amont peut bloquer immédiatement un compte ou une entreprise.

    • Mais concrètement, de quelle loi parle-t-on ici ? Je me demande si vous dites cela en supposant savoir exactement quelles lois ont conduit Proton à agir ainsi à chaque étape, ou si c’est simplement une remarque creuse.