IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Proton Mail a divulgué des données d'utilisateurs, ce qui a conduit à une arrestation en Espagne.
Une situation qui soulève des questions sur la sécurité des services de messagerie chiffrée

Le , par Stéphane le calme
31 commentaires

12PARTAGES

11  0 
ProtonMail a transmis à la police l'adresse IP d'un militant français pour le climat suite à une décision de justice en Suisse,
ce qui a conduit à son arrestation

ProtonMail est un service de messagerie chiffré qui s’est bâti une réputation centrée sur la protection de la confidentialité et la sécurité des e-mails. Le site a connu un essor rapide et compte désormais plus de 20 millions d’usagers. En open source et automatiquement chiffré de bout en bout, Protonmail est particulièrement apprécié par les militants.

Pourtant, cela ne l’a pas empêché de fournir à la police l’adresse IP de militants engagés à Youth for Climate. Depuis un an, ces derniers font l’objet d’une surveillance massive après avoir occupé un local dans le quartier de la place Sainte-Marthe, à Paris. Dans le cadre de cette enquête, la police française a envoyé via Europol (l’agence européenne de police criminelle) une demande d’information à ProtonMail, la boite mail utilisée par le collectif. L’entreprise a donc transmis aux autorités suisses (qui ont validé la demande) l’adresse IP des comptes concernés.

En effet, le 5 septembre, le site SecoursRouge a rapporté les informations suivantes :

« Quelques 20 personnes ont été arrêtées, trois perquisitions ont été menées et plusieurs personnes ont été condamnées à des peines de prison avec sursis ou à des amendes de plusieurs milliers d’euros. Par ailleurs, sept personnes passent en procès début 2022 pour « vol et dégradation en réunion et violation de domicile » suite à l’occupation d’un avec un dossier de plus de 1000 pages. » Durant l’enquête, les policiers se sont concentrés sur le collectif « Youth For Climate ». Ils ont notamment pu exploiter des photos publiées sur Instagram et ce même si elles étaient floutées à cause des vêtements.

« Les policiers ont également remarqué que le collectif communiquait via une adresse mail Protonmail. Ils ont donc adressé une réquisition (via EUROPOL) à l’entreprise suisse gestionnaire de la messagerie afin de connaître l’identité du créateur de l’adresse. Protonmail a répondu à cette réquisition en communiquant l’adresse IP ainsi que l’empreinte du navigateur utilisé par le collectif. Il est donc impératif de passer par le réseau tor (ou au minimum un VPN) lorsque vous utilisez une boite mail Protonmail (ou une autre boite mail sécurisée) si vous voulez garantir une sécurité suffisante ».

C'est la question des adresses IP qui a été à l'origine des critiques. En effet, sur son site, l’entreprise affirme que :

« contrairement aux services concurrents, nous n'enregistrons aucune information de suivi. Par défaut, nous n'enregistrons pas les métadonnées telles que les adresses IP utilisées pour se connecter à des comptes. Comme nous n'avons aucun moyen de lire les courriels chiffrés, nous ne délivrons pas de messages publicitaires ciblés. Afin de protéger la confidentialité des utilisateurs, ProtonMail ne nécessite aucune information personnelle identifiable pour s'inscrire ».


Si, « par défaut, elle n’enregistre aucune métadonnée telle que l’adresse IP utilisée pour se connecter à son compte », comment les adresses IP des militants et militantes ont-elles pu être transmises à la justice ?
Tout est dans « par défaut ». Le service a expliqué que « Si nous recevons un ordre juridique concernant un compte spécifique, nous pouvons être obligés de le surveiller. » En accord avec les autorités françaises, la justice suisse a demandé à Proton de surveiller l’activité de certains comptes. Contraint par le département fédéral de justice et police suisse (DFJP), Proton a donc commencé à enregistrer les adresses IP de ces comptes-là. Le service y a d'ailleurs consacré un billet.

La réaction de ProtonMail

Nous souhaitons apporter des éclaircissements importants concernant le cas du militant pour le climat qui a été récemment arrêté par la police française pour des accusations criminelles. Nous sommes également profondément préoccupés par cette affaire et déplorons que les outils juridiques pour les crimes graves soient utilisés de cette manière. Dans un souci de transparence, nous aimerions fournir un contexte supplémentaire.

Dans ce cas, Proton a reçu un ordre juridiquement contraignant des autorités suisses auquel nous sommes tenus de nous conformer. Il n'y avait aucune possibilité de faire appel de cette demande particulière.

Comme détaillé dans notre rapport de transparence, notre modèle de menace publié, ainsi que notre politique de confidentialité, en vertu de la loi suisse, Proton peut être contraint de collecter des informations sur des comptes appartenant à des utilisateurs faisant l'objet d'une enquête pénale suisse. Ce n'est évidemment pas fait par défaut, mais seulement si Proton obtient une commande légale pour un compte spécifique.

Nous souhaitons apporter les précisions suivantes :
  1. En aucun cas, notre chiffrement ne peut être contourné, ce qui signifie que les e-mails, pièces jointes, calendriers, fichiers, etc. ne peuvent être compromis par des ordres juridiques.
  2. ProtonMail ne donne pas de données aux gouvernements étrangers ; c'est illégal en vertu de l'article 271 du Code pénal suisse. Nous nous conformons uniquement aux ordres juridiquement contraignants des autorités suisses.
  3. Les autorités suisses n'approuveront que les demandes qui répondent aux normes juridiques suisses (la seule loi qui compte est la loi suisse)
  4. La transparence avec notre communauté d'utilisateurs est extrêmement importante pour nous. Depuis 2015, nous publions un rapport de transparence faisant connaître la manière dont nous traitons les demandes des forces de l'ordre suisses.
  5. En vertu de la loi suisse, il est obligatoire pour un utilisateur d'être informé si un tiers fait une demande pour ses données privées et que ces données doivent être utilisées dans une procédure pénale.
  6. En vertu de la loi suisse actuelle, les e-mails et VPN sont traités différemment, et ProtonVPN ne peut pas être contraint d'enregistrer les données des utilisateurs.
  7. En raison de la stricte confidentialité de Proton, nous ne connaissons pas l'identité de nos utilisateurs, et à aucun moment nous n'étions au courant que les utilisateurs ciblés étaient des militants du climat. Nous savons seulement que la commande de données du gouvernement suisse est passée par des canaux généralement réservés aux crimes graves.
  8. Il n'y avait aucune possibilité légale de résister ou de combattre cette demande particulière.

Utiliser Tor pour un accès anonyme

Il y a une différence entre sécurité/confidentialité et anonymat. Comme nous l'avons écrit dans notre modèle de menace publique (publié en 2014), « Internet n'est généralement pas anonyme, et si vous enfreignez la loi suisse, une entreprise respectueuse de la loi telle que ProtonMail peut être légalement obligée d'enregistrer votre adresse IP. Cela ne peut pas être modifié en raison du fonctionnement d'Internet. Cependant, nous comprenons que cela est préoccupant pour les personnes présentant certains modèles de menace, c'est pourquoi depuis 2017, nous proposons également un site en oignon pour un accès anonyme (nous sommes l'un des seuls fournisseurs de messagerie à prendre en charge cela). »

Il y a des lois pires que la loi suisse

Quel que soit le service que vous utilisez, à moins qu'il ne soit basé à 15 milles au large dans les eaux internationales, l'entreprise devra se conformer à la loi. Le système juridique suisse, bien qu'il ne soit pas parfait, offre un certain nombre de freins et contrepoids, et il convient de noter que même dans ce cas, l'approbation de 3 autorités dans 2 pays était requise, et c'est une barre assez haute qui empêche la plupart (mais évidemment pas tous) abus du système. En vertu de la loi suisse, il est également obligatoire pour le suspect d'être informé que ses données ont été demandées, ce qui n'est pas le cas dans la plupart des pays. Enfin, la Suisse n'aidera généralement pas les poursuites engagées dans des pays dépourvus de systèmes de justice équitables.

Source : ProtonMail

Et vous ?

Utilisez-vous un service de messagerie chiffré en général ou ProtonMail en particulier ?
Qu'en pensez-vous ?
Quelle lecture faites-vous de la situation ?
Vous avez lu gratuitement 3 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

31 commentaires
Commenter Signaler un problème
RenarddeFeu
Avatar de RenarddeFeu
Membre averti https://www.developpez.com
Le 08/05/2024 à 0:13
Proton a le mérite d'être transparent sur le sujet.

Dans la même veine, il est fort improbable que les services de VPN qui promettent un anonymat total en ligne laissent leurs usagers échanger de la pédopornographie via leurs serveurs pour ne citer que cet exemple.
1  0 
Anselme45
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 08/05/2024 à 10:49
Proton, pas plus qu'aucune autre entreprise officiellement déclarée dans le monde, n'est au-dessus des lois!

Il faut donc arrêter avec cette fable du "vos secrets seront bien gardés".

Sur demande officielle de la justice, aucune donnée personnelle ne reste protégée. Et cela est une très bonne chose pour tout le monde: Moins il y aura de délinquants sur le web, plus les gens normaux pourront en profiter.

Quant aux opposants qui croient être protégés d'un gouvernement anti-démocratique, il faut qu'il sache que le pseudo-anonymat du web n'est qu'un argument marketing et pas une réalité.

Et là, j'entends déjà le commentaire "C'est faux, il y a Tor!!!!"

Pour votre info, Tor a été développé par l'armée américaine, plus précisément le "United States Naval Research Laboratory", et encore aujourd'hui la fondation Tor est financée en autre par le gouvernement américain... Tor, c'est fait pour protéger les opposants iraniens de leur gouvernement et pas pour se cacher de l'Oncle Sam
1  0 
calvaire
Avatar de calvaire
Expert éminent https://www.developpez.com
Le 10/05/2024 à 10:25
Le meilleur moyen de proteger sa vie privé en france reste d'utiliser VKontakte, yandex etc....
Des services russes ou autre pays anti otan (iran, corée du nord...)
Poutine ne donnera jamais d'info vous concernant a un gouvernement de l'otan, car il n'a aucun intérêt de collaborer avec eux.

La mondialisation on la subit de gres ou de force, autant en profiter.
0  0