Depuis 10 ans, Proton propose une messagerie chiffrée présentée comme impénétrable. Comment fonctionne un tel service ? À qui est-ce destiné ? Quels sont les limites ?
Créée après les révélations d’Edward Snowden sur la NSA, la société Proton s’adresse notamment aux journalistes d’investigation et aux activistes qui ont besoin de protéger leurs échanges, ainsi qu'aux utilisateurs qui se méfient des plateformes américaines. Basée en Suisse, Proton revendique une sécurité à la fois technique et juridique, car elle n'est pas soumise aux obligations légales européennes ou américaines.
🎙 Entretien avec David Dudok de Wit, Responsable produit & développement chez Proton Mail.
Transcription
Monde Numérique : Bonjour David Dudok de Wit.
David Dudok de Wit : Bonjour Jérôme.
Monde Numérique : Vous êtes responsable produit et développement chez Proton, en charge des produits Mail et Calendar notamment. Proton qui est donc une société basée en Suisse et qui se fait fort depuis plusieurs années d'offrir aux internautes un service de messagerie que vous présentez comme sécurisé et ultra sécurisé. Vous pouvez nous présenter un petit peu l’entreprise ?
David Dudok de Wit : Oui, avec plaisir. Alors Proton a été fondé en 2014 par NDN, dont au CERN qui est le berceau du World Wide Web. Et est ce qu'à un moment intéressant c'était à Genève ? Le contexte de Edward Snowden venait de se passer avec toutes ces révélations sur Bell, sur les gouvernements, sur l'espionnage qui était fait et la prise de conscience sur les sur les données privées finalement qui sont et qui sont très importantes. Et donc ça a démarré en 2014 avec Proton Mail, qui était fondé sur une base de crowdfunding et qui a eu un grand succès, avec pour mission simple de rendre la protection des données privées accessible à tous. Et depuis, Proton a grandi avec plus de produits donc retombées elle en premier et ensuite le VPN. Le calendrier très court pour la protection et le partage de ces documents. Et depuis aujourd'hui, la gestion de mot de passe aussi de l'identité en ligne.
Monde Numérique : De quelle manière est-ce que vous garantissez cette protection de la vie privée ?
David Dudok de Wit : Nous avons une technologie de chiffrement de bout en bout, alors ça peut faire peur parfois, ça a l'air compliqué, mais finalement ça nous permet de garantir que nous proton, n'avons jamais, nous ne pouvons jamais tenir les emails de nos utilisateurs. Et c'est quelque chose, une technologie qu'on a dans chacun de nos produits. Calendrier aussi. Ils sont protégés. Des fichiers qu'on met sur nos services sont protégés aussi. Donc ça, c'est une part. D'autre part, c'est l'aspect de confiance. On ne demande pas à nos utilisateurs de nous faire confiance, mais on a open source que ça veut dire. Ça veut dire que toutes nos applications sont à code ouvert. On n’a rien à cacher. Tout le monde peut aller voir les codes qu'on utilise pour offrir ce chiffrement. Et donc des experts nous recommandent aussi sur la base de de ce code ouvert. Donc finalement, je dirais la dernière partie, c'est une emplacement en Suisse dans un cadre juridique qui est très respectueuse des données privées et c'est une des raisons pourquoi on est ici et pas seulement pour Chocolat, les montagnes et les jolis paysages.
Monde Numérique : Qui sont vos utilisateurs à qui s'adressent vos services ?
David Dudok de Wit : Nos services sont pour toute personne qui a eu pour qui la protection des données privées est importante. Et c'est intéressant parce que ça, c'est quelque chose qui devient important pour le plus grand nombre. Il y a quelques années en arrière, peut-être, vous demandiez dans la rue qui, si la protection des données privées était importante, c'est peut-être il y a eu des réponses à des dépenses parce que Facebook, les grands services sur Internet plus se servaient beaucoup des données des utilisateurs pour fonctionner. Mais aujourd'hui, la tendance est vraiment différente. Nos études montrent que neuf personnes sur dix valorisent la protection de leurs données lorsqu'ils souscrivent un service en ligne.
Monde Numérique : J'imagine que les gens qui viennent aussi c'est pour se protéger, y compris de l'espionnage de manière plus traditionnelle ? En fait, non.
David Dudok de Wit : Oui, tout à fait. En fait, on a même beaucoup de personnes exposées dans des contextes politiques, des activistes, des journalistes, des personnes avec des métiers dangereux qui utilisent Proton mail pour protéger leurs communications. Et avec le chiffrement de bout en bout, c'est garanti. Donc, non seulement nous ne pouvons pas lire ces communications, mais tous les intermédiaires ne peuvent pas non plus. Donc les gouvernements, les fournisseurs d'accès à Internet, les serveurs intermédiaires pour les emails, tous ceux-là n'ont pas accès aux communications. Et c'est extrêmement important pour cette audience qui est plus, plus sensible.
Monde Numérique : Mais puisqu'on est dans ce sujet-là, comment est-ce que vous faites quand vous avez malgré tout des réquisitions de la part de la police ou de la justice dans le cadre d'enquêtes judiciaires ? Parce que ça arrive.
David Dudok de Wit : Oui, tout à fait. Alors, ce qu'il y a, ce qui est important, c'est que pour autant, ne pas havre de paix pour les criminels. Nous, nous nous retirons régulièrement des utilisateurs qui ne respectent pas les conditions d'utilisation des services ou qui ne respectent pas la loi en ce qui concerne la collaboration. Bien sûr, nous respectons le processus judiciaire suisse, comme toute entreprise. Il suisse. Mais cela dit, ce qui est probablement le plus important, c'est que nous misons minimisant au maximum les informations que nous avons sur nos utilisateurs.
Monde Numérique : Des activistes vous avez reproché, je crois, il y a quelques années, d'avoir transmis à la police française des adresses IP par les contenus des messages, mais des adresses IP.
David Dudok de Wit : Oui, effectivement. Alors là encore, on opère dans le cadre de la loi et on est soumis à des lois suisses qui sont de respect plus respectueuses de la la vie privée. Et la seule chose finalement que ce cas a prouvé est que le chiffrement de bout en bout, ça marche. On a été incapable de donner à la police des infos qu'ils n'avaient pas déjà. Et si l'activiste avait utilisé un autre service, ça aurait été toute une autre histoire.
Monde Numérique : Le fait que vous soyez en Suisse, c'est important. On sent qu'il y a plusieurs entreprises suisses qui misent et mettent en avant la confiance.
David Dudok de Wit : Oui, c'est vrai. La Suisse est un monde et un contexte stable historiquement et aussi dans le cadre, dans le cadre juridique direct. Ces deux éléments ensemble font que ça a une valeur ajoutée pour pour les personnes qui nous choisissent.
Monde Numérique : Alors vous l'avez dit, il y a un serveur de mail, il y a maintenant un gestionnaire de mot de passe. Il y a un carnet d'adresses aussi, je crois, un calendrier, un VPN, etc. Tout ça est traité de la même manière, avec du chiffrement de bout en bout.
David Dudok de Wit : Oui, tous ces services ont les mêmes hautes exigences de chiffrement de bout en bout. Et ce, c'est une, c'est une garantie. On saura. Notre but, en fait, c'est d'exceller dans ce qui est la protection des données privées, mais aussi la sécurité. Et ça se fait avec le chiffrement de bout en bout. Ça se fait aussi avec ce qu'on appelle le zero access inscription qui garantit que les données qui sont stockées sur nos serveurs ne sont pas, ne sont pas accessibles. Donc même dans l'éventualité où un jour on se fait hacké, où un tiers a accès à nos serveurs, ce sera impossible de lire ces données.
Monde Numérique : Vos serveurs se trouvent vous en Suisse ?
David Dudok de Wit : Nos serveurs se trouvent. Nous avons des serveurs en Suisse et aussi dans un. Dans quelques autres. Dans quelques autres pays en Europe qui ont aussi un cadre réglementaire important. Mais finalement, ce qui est important ici, c'est que comme c'est du chiffrement de bout en bout, où que soient nos serveurs, finalement les données ne peuvent pas être décryptées. La deuxième chose importante, c'est que aussi, même si on a des serveurs dans d'autres pays, c'est aussi. Nous respectons toujours le cadre judiciaire suisse et pas celui de tous les tous les autres pays. Ce n'est pas le cas.
Monde Numérique : Oui, donc si vous avez des réquisitions venant des autorités françaises, européennes, américaines, vous estimez que vous n'êtes pas tenu d'y répondre. En fait.
David Dudok de Wit : C'est ça, ils doivent passer en fait par les autorités suisses et si c'est une demande valable. Donc on analyse tout ça. Si ça respecte, il y a toutes les hautes conditions pour que, pour qu'on puisse traiter ces demandes. Et c'est à ce moment-là seulement que nous que nos. Nous collaborons.
Monde Numérique : Quand on parle de chiffrement de bout en bout, c'est vraiment de bout en bout, c'est à dire jusqu'au bout de jusqu'au poste de l'utilisateur.
David Dudok de Wit : Oui, parce que c'est une image que j'aime bien utiliser, qui démystifie un peu le chiffrement de bout en bout. C'est la comparaison entre la carte postale et la lettre recommandée. La carte postale on écrit, on écrit à quelqu'un et ensuite on l'envoie à la poste et ailleurs. Finalement, tout le monde peut le lire, tout intermédiaire peut le lire. Pas exactement sur ce type de carte postale ou qu'on va donner des informations financières ou de santé. Par contre, le chiffrement de bout en bout, c'est que la personne en face qui écrit le contenu, qui plus est, qui peut le lire ? Ensuite, ferme l'enveloppe. L'équivalent technologique, c'est de chiffrer donc une série de de symboles et de zéro et de uns qui sont qui font que les données deviennent illisibles. Seulement la personne qui reçoit cette. Ce message, le destinataire peut le décrypter. Donc c'est le. C'est le principe.
Monde Numérique : Est-ce que vous craignez l'informatique quantique qui, dit-on, permettrait dans le futur, eh bien, de faire sauter toutes ces sécurités.
David Dudok de Wit : C'est une excellente question. Alors on regarde les abolitions de près. Quant à l'informatique quantique et la sécurité quantique, nous n'avons rien annoncé pour l'instant. Nous travaillons avec des groupes de recherche sur des nouvelles technologies de sécurité. Régulièrement, on a des équipes de crypto qui se focalisent là-dessus. Le but, c'est d'être toujours notre. Notre mission est d'être toujours à la pointe de la protection des données privées et de la sécurité. Donc, si un jour ce type de l'informatique quantique devient un vrai souci, devienne réalité, nous voulons être à jour.
Monde Numérique : Oui, parce que le problème, c'est qu'on peut aujourd'hui intercepter des communications, par exemple pour les déchiffrer dans cinq ans, dix ans ou peut-être avant.
David Dudok de Wit : Alors ça, ça n'est pas. Nous n'avons pas étudié la question en détail encore. Nous pensons qu'il y a beaucoup de valeur à chiffrer de bout en bout avec les meilleures technologies qu'on a aujourd'hui. Au bout d'un certain stade aussi, ce qui est important de se rappeler, c'est que c'est bien. Si on dépasse un certain niveau d’inscription, on dépasse aussi le cadre légal et ça peut être considéré comme une arme militaire presque. Donc on doit aussi opérer dans le maximum légalement possible pour. Pour chiffrer ces données.
Monde Numérique : Et oui, bien sûr, vous savez, du coup, ça doit être une position un peu difficile à tenir pour une entreprise comme la vôtre, d'être juste sur le fil, à la limite de ce qui est autorisé, sans passer sans passer la barrière.
David Dudok de Wit : Ah oui, alors on n'a pas choisi. Ce métier est assez difficile. On a une mission qui est ambitieuse, on le reconnaît, mais on fait de notre mieux. Nous pensons être parmi les meilleurs aujourd'hui sur le marché et en tout cas, c'est ce que nos utilisateurs le dit. C'est ce que près de 100 millions de comptes nous témoignent aujourd'hui, C'est qu'il y a là, quelque part quand même, confiance avec le ce que l'on fait et dans la bonne direction.
Monde Numérique : Hum. Mais si je suis un utilisateur lambda aujourd'hui utilisateur de Gmail ou de Outlook, ou est-ce que j'ai un intérêt à utiliser un service comme Proton Mail ?
David Dudok de Wit : Je pense oui. Et rien ne vous empêche de garder votre compte Gmail pour accéder toujours à vos services Google, YouTube, etc. Mais il y a un intérêt pour protéger en fait toutes les communications qui sont importantes. Les communications typiquement de santé, de de financière, les ou simplement si on en a marre. En fait on a cette conviction. On en a marre que Gmail nous profile avec nos dos, nos faits et gestes dans leurs services. Si on a assez de conviction, c'est déjà suffisant pour pouvoir se décider à aller chez Proton. Mais cette question est souvent connectée à une deuxième. Que nos utilisateurs nous disent c'est Ah mais est ce que c'est pas compliqué finalement ? Gmail, c'est confortable, j'ai mes habitudes, allez chez Proton Mail, c'est ce que je dois faire, déplacer mes données, etc. Aujourd'hui, c'est C'est beaucoup plus facile que ça l'était il y a quelques années. Migrer de Gmail vers d’autres services, ça peut-être faire en l'espace de quelques clics au moins d'une minute. On peut apporter toute son tout, son historique email, ses contacts, ses calendriers. On peut aussi mettre un service de de ce qu'on appelle des transferts automatiques des nouveaux emails qu'on reçoit dans Gmail chez nous. Donc on essaye de faire tous ces déménagements en quelque sorte.
Monde Numérique : C'est impossible. Vous avez parlé de la santé, est ce que c'est un secteur que vous adressez particulièrement, que vous pensez cibler en particulier ? On sait qu'aujourd'hui il y a beaucoup d'abus de négligence de la part de tout le monde, des patients, des médecins qui envoient de manière libre par mail, des ordonnances, des résultats d'analyse et tout ça navigue joyeusement sur des messageries ouvertes. Est-ce que vous pensez que là, vous auriez une carte à jouer ?
David Dudok de Wit : Nous avons déjà une carte à jouer aujourd'hui. On sait que beaucoup de professionnels de la santé utilisent nos services dans plusieurs, dans plusieurs pays pour les raisons que vous mentionnez et nous pensons qu'il y a encore beaucoup de potentiel. Là, on voit que les outils qui sont mis à disposition des médecins et des docteurs sont. Ils ne sont pas toujours les plus modernes ou. Mais c'est plus simple d'utilisation. Ce qui naturellement fait que quand il y a un, ils se retrouvent à utiliser des messageries non sécurisées. Malheureusement, parce que les données de santé sont très importantes.
Monde Numérique : Est-ce que c'est plus difficile à utiliser du coup, qu'un service de messagerie traditionnelle ? Est ce qu'il y a des actions particulières à faire ?
David Dudok de Wit : Non, c'est ça qui est intéressant, c'est que ça va fonctionner comme tous les grands services, comme en Gmail finalement, on retrouve toutes les fonctionnalités habituelles qu'on utilise tous les jours dans un, dans un calendrier, un aspect de protection et de chiffrement et transparente. Donc si on veut en savoir plus et bien sûr fournir ces informations à l'utilisateur, on protège les emails de trackers par exemple pour éviter qu’il y ait des marketers qui nous envoient des email et ensuite arrivent quand même à pêcher des informations que les autres, les autres services ne font pas. Donc. C'est complètement transparent, mais si on veut en savoir plus, c'est la disposition
Monde Numérique : Qu'est ce qui se passe si j'envoie un message depuis proton Mail vers quelqu'un qui n'est pas abonné à votre service ? Dans ce cas, l'échange n'est pas sécurisé.
David Dudok de Wit : Alors il y a toujours de la sécurité à utiliser. Proton mail, même quand on communique avec n'importe quel autre utilisateur email, que ce soit Gmail ou ailleurs. Et c'est important que les emails soient transmis de manière simple et lisible. Est proton, mais elle offre la fonctionnalité aussi de protéger ses mots de passe avec, protéger ses emails avec un mot de passe et ça permet de communiquer avec n'importe quel fournisseur tiers. Finalement, n'importe quel utilisateur qui n'est pas chez proton Mail avec du chiffrement de bout en bout, gars garanti.
Monde Numérique : D'accord. C'est à dire que je peux envoyer un mail à quelqu'un, un message qui sera verrouillé par un mot de passe que je vais lui adresser par un autre moyen.
David Dudok de Wit : Exactement. C'est le c'est le concept. Ça garantit le même niveau de sécurité. Si c'était un utilisateur de Proton Mail, c'est à dire que Google ne verra jamais le contenu de ce message, ni aucun tiers, et qu'il doit la personne doit avoir ce mot de passe pour pouvoir lire le contenu du message
Monde Numérique : Alors c'est un service qui notamment le proton mail qui est payant à partir d'un certain palier, c'est ça ? Combien ça.
David Dudok de Wit : Coûte ? Alors, c'est un service que nous avons, une version gratuite qui est relativement rare. En fait, non. Ce type d'entreprise est surtout. Ce qui est encore plus rare, c'est qu'on utilise pas de publicité, on monétise pas les utilisateurs, les données aux utilisateurs. Notre modèle d'affaires est simple en fait, on a une version gratuite et on a une version payante. La version payante, qui a un modèle d'abonnement mensuel ou annuel à deux ans, permet d'avoir accès à plus de stockage ou plus de fonctionnalités premium. Et nous avons des plans qui commencent à autour de 3,50 € par mois.
Monde Numérique : Que pour le mail. Et si on veut la totalité des services, c'est plus cher.
David Dudok de Wit : La totalité des services. Oui, c'est un petit peu plus cher, mais on a accès à une multitude de produits avec aussi des rabais importants que si on les prenait individuellement. Et là nous avons un proton, un limited par exemple, qui nous offre le maximum de chaque produit qu'on a à disposition, mais aussi un plan famille. Et par exemple un limited commence à en dessous de 10 € par mois.
Monde Numérique : Est-ce que vous avez un service de messagerie instantanée comme WhatsApp ou Telegram ?
David Dudok de Wit : C'est une demande qu'on a souvent. En fait, on se pose souvent la question. On n'a pas ça aujourd'hui. Une des raisons, c'est qu'on pense que c'est un super marché qui a déjà beaucoup, beaucoup d'utilisateurs, beaucoup de solutions. Et ce n'est pas space plus qu'on offre aussi ce type de service à l'avenir. Ne pensons qu'à l'instant présent. Il y a des signals, il y a des Telegram, il y a des autres services qui offrent aussi le chiffrement de bout en bout de manière efficace.
Monde Numérique : Merci beaucoup David du doc de Wit, chef produit et développement chez Proton à Genève.
David Dudok de Wit : Merci beaucoup.
À écouter
