ProtonMail a communiqué l'adresse IP de plusieurs utilisateurs dans le cadre d'une enquête française

Félix Cattafesta |

La messagerie ProtonMail a récemment communiqué l'adresse IP de militants écologistes aux autorités françaises dans le cadre d'une enquête. Une révélation qui passe mal auprès de certains utilisateurs alors que ProtonMail met en avant la confidentialité de son service. La « confidentialité suisse » est notamment utilisée comme argument, en plus d'une absence de logs et d'un chiffrement des données.

Page d'accueil de Protonmail.

L'affaire concerne le « camp climat » monté en 2020 dans le Xe arrondissement de Paris. Des militants écologistes du groupe Youth for Climate avaient alors occupé des bâtiments privés dans le but de lutter contre la gentrification de la capitale. Ils avaient ensuite été délogés par la police.

Pour communiquer, les manifestants passaient par ProtonMail, souvent cité comme une référence en matière de confidentialité. Cependant, l'entreprise a tout de même été forcée de partager l'adresse IP de ces utilisateurs dans le cadre d'une enquête française. Les autorités tricolores sont passées par l'intermédiaire de l'agence européenne Europol afin de demander au gouvernement suisse d'ordonner à ProtonMail la communication de ces informations.

Sous le coup de la loi suisse, ProtonMail a été obligé de coopérer. Si l'éditeur se défend d'enregistrer l'historique de connexion de ses clients, il a rappelé sur Reddit à cette occasion qu'il est légalement obligé de le faire à partir du moment où une démarche judiciaire suisse est enclenchée :

Dans ce cas, Proton a reçu une injonction juridique obligatoire du Département fédéral de la justice suisse à laquelle nous sommes tenus de nous conformer. Il n'y avait aucune possibilité de faire appel ou de contester cette demande particulière, car un acte contraire à la loi suisse a effectivement eu lieu.

En vertu de la loi suisse, Proton peut être contraint de collecter des informations sur des comptes appartenant à des utilisateurs faisant l'objet d'une enquête pénale suisse. Cela n'est évidemment pas fait par défaut, mais seulement si Proton obtient un ordre légal pour un compte spécifique. En aucun cas, cependant, notre chiffrement ne peut être contourné, ce qui signifie que les emails, pièces jointes, calendriers, fichiers et autres ne peuvent être compromis par des demandes légales.

ProtonMail juge l'utilisation de cette loi abusive et inappropriée, et a contesté plus de 700 demandes de ce genre en 2020. L’entreprise rappelle également être un des seuls fournisseurs de messagerie proposant un site en .onion pour une utilisation via le réseau décentralisé TOR.


avatar YetOneOtherGit | 

@NORMAN49

" il y aura un loi pour l'obliger à communiquer les données."

Il n’est ici nullement question de communication des données échangées via le service 😉

Ce qui peut être communiqué suite à une demande passée par le crible de la justice helvétique ce limite à :

- Date de création du Compte
- Adresse IP qui lui est Liée
- IPs Connexion (sur combien de temps, on ne sait pas)
- Empreinte de l’appareil utilisé pour la (les) connexions (smartphone / PC, app native, interface web, etc.)

avatar EricBM1 | 

@YetOneOtherGit

« Il n’est ici nullement question de communication des données échangées via le service 😉 »

Puis après tu listes toutes les nombreuses choses qu’ils communiquent. Alors certes ils ne communiquent pas le contenu de l’email, mais c’est pas bien grave, ils fournissent tellement d’informations qu’ils est possible de tout regrouper pour faire les liens entre les personnes, avoir l’historique des échanges entre les personnes, etc… bref, c’est suffisamment précis pour que ça ne soit plus confidentiel. Dans le cas présent ça leur permet d’avoir suffisamment d’éléments pour coincer ces personnes qui ont simplement manifesté en occupant des locaux. Ah oui c’est vrai, sous le motif de « terrorisme » lol

avatar YetOneOtherGit | 

@EricBM1

"Puis après tu listes toutes les nombreuses choses qu’ils communiquent."

Qui ne sont certainement pas les données au sens que beaucoup entendent : ce qu’ils peuvent être amenés à transmettre est fort limité.

Mais bon tu es énervé contre cette immonde malhonnêteté de ces gens seulement intéressés par l’argent 😄

avatar YetOneOtherGit | 

@EricBM1

"qui ont simplement manifesté en occupant des locaux. "

Jugement de valeur tout personnel, qui n’a rien à faire ici.

Il y a une action juridique motivée.

Après tu rêves peut-être d’un monde sans police, sans loi, sans justice, sans état …

Mais c’est tout autre chose

avatar Kainam | 

@YetOneOtherGit

La seule vrais interrogation c’est, pour quel motif les services français peuvent demander à Europol de faire cette démarche à la justice suisse. Cela serait vraiment étonnant que ce soit juste pour l’occupation d’un bâtiment. Mais je ne suis pas très au courant des procédure judiciaire comme toi. T’as réponse m’intéresse.
Le reste c’est tout à fait normal qu’une entreprise doit ce soumettre aux lois de sont pays…

avatar YetOneOtherGit | 

@Kainam

"La seule vrais interrogation c’est, pour quel motif les services français peuvent demander à Europol de faire cette démarche à la justice suisse. "

Ça c’est une autre interrogation qui n’a rien à voir avec Proton.

La justice Suisse a estimé la requête légitime le reste n’est que des considérations d’ordre politique.

avatar YetOneOtherGit | 

@Kainam

"Mais je ne suis pas très au courant des procédure judiciaire comme toi. "

Relativisons mes connaissances basiques en la matière. J’ai fait une contribution sur le cadre général de la coopération juridique, tu y trouveras peut-être quelques éléments de mise en perspective

avatar Kainam | 

@YetOneOtherGit

Oui merci j’avais vs et tu été le seul à l’expliquer.
Quand je parlais du seul point intéressant ce n’était pas concernant Proton. Mais justement de la coopération internationale, de quel genre de délit il faut pour obtenir cette coopération.
Si c’est des simple délit d’ordre ou beaucoup plus grave.
Ces gents devait déjà être surveillé et avoir commis d’autres délit pour que Europol entre en scène je pense 🤔

avatar YetOneOtherGit | 

@Kainam

"Ces gents devait déjà être surveillé et avoir commis d’autres délit pour que Europol entre en scène je pense 🤔"

Les activistes politiques et sociaux peuvent assez souvent passer de légitimes mouvements de contestation à des formes de désobéissance civile qui n’ont plus rien de non violents.

C’est pour cela qu’ils sont souvent dans le collimateurs quelques soient leur obédience.

L’histoire nous montre que la bascule vers des actions délictueuses ne sont pas rare.

Dans ce cas je ne sais absolument pas de quoi sont soupçonnés les membres de ce mouvement, mais le fait qu’un état tiers comme la suisse est acceptée de collaborer montre qu’il doit y avoir des éléments de motivation assez sérieux.

Après attention cette procédure ne signifie même pas qu’il y aura au final une poursuite des personnes et donc encore moins une condamnation.

Pour finir le jugement sur les mouvements potentiellement subversifs est une question de vision politique personnelle.

avatar Kainam | 

@YetOneOtherGit

Merci d’avoir pris le temps Repondre.

avatar YetOneOtherGit | 

@Kainam

"Merci d’avoir pris le temps Repondre."

En espérant t’avoir donné des éléments de mise en perspective pour te faire ton opinion 😉

avatar EricBM1 | 

@YetOneOtherGit

« Après tu rêves peut-être d’un monde sans police, sans loi, sans justice, sans état … »

Et voilà, comme dans tous tes commentaires tu dis n’importe quoi. Tu interprètes à ta manière, tu mélanges tout… bref, pas facile de réfléchir pour tout le monde on dirait

avatar YetOneOtherGit | 

@EricBM1

"Et voilà, comme dans tous tes commentaires tu dis n’importe quoi."

A bon ? 🤩

Je réponds à "qui ont simplement manifesté en occupant des locaux. "
En disant que l’on tombe là sur un jugement de valeur tout personnel: “Jugement de valeur tout personnel, qui n’a rien à faire ici.”

Et en rappelle que nous sommes dans un cadre légal absolument controlé : “Il y a une action juridique motivée.”

Et face à ton jugement de valeur je fini sur une mise en perspective ironique de ta posture : “Après tu rêves peut-être d’un monde sans police, sans loi, sans justice, sans état …
Mais c’est tout autre chose”

Quand on en est à contester la légitimité d’une action juridiquement contrôlée et encadrée sur une simple procédure il est légitime de pousser un peu la posture.

Si tu déni la légitimité d’une procédure, pourquoi s’arrêter là ?

Désolé strictement rien qui relève du n’importe quoi.

C’est parfaitement logique de poser ironiquement cette question face à une remise en question d’une action de procédure légale et encadrée.

avatar YetOneOtherGit | 

@EricBM1

"Tu interprètes à ta manière, tu mélanges tout… bref, pas facile de réfléchir pour tout le monde on dirait"

Il n’est jamais fragile de réfléchir et justement il faut hiérarchiser et structuré :

- Rappeler ce qu’est de façon clair et univoque la proposition de valeur de Proton
- Rappeler en détail les avantages compétitifs de l’offre de Proton
- Rappeler les concepts de base de l’acceptation d’une assistance juridique par la Suisse
- Rappeler le sens des termes utilisés par Proton qui n’est pas équivoque
- Rappeler la nature de l’entreprise
- Rappeler la liste restreintes de ce qui peut être communiqué après la validation de la demande par la justice
- Rappeler que nous sommes dans le cadre d’une enquête et non d’une procédure juridique et encore moins d’un jugement
- Rappeler qu’une société à besoin de l’exercice des fonctions régaliennes

Bref tu vois du n’importe quoi juste parce que je n’abonde pas dans ton sens sur:
- La malhonnêteté de Proton motivée par l’appât du gain.
- La dimensions scélérate de ces investigations
- Nos visions de l’état de droit
- Nos visions de la “morale”

Mais ma position est cohérente, structurée et j’ai partagé nombre d’éléments permettant d’éclairer les enjeux et de se faire une opinion personnelle.
😎

avatar Sometime | 

@Sgt. Pepper

Confidentialité ne veut pas nécessairement dire anonymat.
Enfin vous pouvez tout a fait considérer qu’il s’agit de marketing abusif puisque cela n’est pas mis en avant, mais Proton pour le service mail n’a jamais dit qu’ils ne pouvaient pas être contraint de révéler les adresses IPs du service utilisé en temps réel.

avatar jcp25 | 

@Sometime
Confidentialité ne veut pas nécessairement dire anonymat. Etc
--
Tu as tout à fait raison.
Il ne faut pas mélanger les deux.

avatar EricBM1 | 

Alors là c’est carton rouge pour ProtonMail. Quand tu bases ton business sur la confidentialité, le respect de la vie privée etc et que tu fais payer ce service, la moindre des choses c’est de respecter ton engagement pour laquelle tes clients payent. S’ils ne peuvent légalement le faire alors ils ont trompés leurs clients dès le début en leur faisant croire ça. J’ai faillit aller chez eux. J’ai bien fait de ne pas le faire (c’était trop cher à mon goût). Mais si j’étais allé chez eux je partirai direct

avatar idhem59 | 

@EricBM1

ProtonMail ne fait que respecter la loi...

avatar Krysten2001 | 

@idhem59

Il ne fallait pas faire croire n’importe quoi aux clients alors 😉

avatar r e m y | 

Ils respectent la loi en fournissant des logs d'adresse IP alors qu'ils affirment "par défaut nous ne conservons aucun log d'IP...".

avatar dodomu | 

@r e m y

La phrase est correcte, il faut juste bien lire le « par défaut ». Mais je comprends l’idée : la phrase est correcte, mais elle n’est pas aussi explicite qu’elle le devrait pour ne pas être accusée de cacher des informations allant en partie à l’encontre des slogans marketing…

avatar r e m y | 

Oui le "par défaut" doit probablement être compris comme "sauf si vous êtes un opposant notoire aux autorités de votre Pays, auquel cas on conservera les logs IP, au cas où la justice nous les demande " 🥴

avatar YetOneOtherGit | 

@r e m y

"Oui le "par défaut" doit probablement être compris comme "sauf si vous êtes un opposant notoire aux autorités de votre Pays, auquel cas on conservera les logs IP, au cas où la justice nous les demande " 🥴"

Nope: sauf si une demandes considérée comme légitime par l’exigeante justice Suisse nous contraint à activer des mécanismes de log 😎

Ce qui n’est pas rien par rapport à la plus grande part des services 😎

avatar Lameth | 

@r e m y

Les logs d’IP ne sont pas conservés. C’est la demande officielle suisse qui a forcé la mise en place des logs d’IP par proton. Ils n’étaient pas en place avant.

avatar jcp25 | 

@r e m y

Oui le "par défaut"...
--
Regarde mon dernier post. Il explique le fonctionnement de Proton.
"Par défaut" est dans les CGV avec explication.
Mais, nous ne lisons jamais les CGV.
Et ensuite...

avatar YetOneOtherGit | 

@r e m y

"Ils respectent la loi en fournissant des logs d'adresse IP alors qu'ils affirment "par défaut nous ne conservons aucun log d'IP...". "

“par défaut” 😎

avatar EricBM1 | 

@idhem59

Oui et ? Ils ont trompé leur clients en s’engageant à faire quelque chose qu’ils ne pouvaient pas faire. Il y a tromperie, pour ne pas dire escroquerie car c’était leur fond de commerce, et ils font payer les clients pour ça. S’ils ne pouvaient légalement pas le faire dans ce cas il ne fallait le garantir aux clients et leur prendre l’argent

avatar 0MiguelAnge0 | 

@EricBM1

Tu es gros naif ou tu le fais exprès?! Tu comprends que la Suisse se doit de respecter la LOI.

On parle d’addresse IP comme Orange devrait aussi communiquer sur injonction les numéros appelés par n’importe quel abonné.

Par contre tu peux aussi utiliser un pigeon pour tes communications. C’est pas infaible non plus mais au moins faut déjà attraper le pigeon portant son message.

avatar EricBM1 | 

@0MiguelAnge0

Ah toi aussi t’es en mode insulte, à prendre les gens pour des cons etc ? T’as raison, fais semblant de ne pas avoir compris ce que j’ai dit. Ou alors t’es juste trop crétin pour ne pas réussir à comprendre (histoire de me mettre dans le même mode que toi)

avatar marc_os | 

Le problème, c'est que si ProtonMail se doit de répondre à la justice, elle a également menti à ses utilisateurs.
En effet, à moins que la justice ait demandé à ProtonMail d'enregistrer les adresses IP avant l'action des écologistes, ce qui serait en soit douteux question légalité, ça veut dire qu'au moment où ProtonMail a reçu la requête de la justice, ils avaient déjà enregistré l'IP leur permettant ainsi de fournir des informations.
Ou bien ces militants ont continué à utiliser ProtonMail après l'action et la demande de la justice. Dans ce cas aussi, ProtonMail a menti à ses utilisateurs.

avatar Lameth | 

@marc_os

Non, en lisant l’article Reddit (réponse officielle de proton) on se rend compte que la demande de la justice concerne justement l’enregistrement de l’IP, ils ne le faisaient pas avant mais ont été contraint de le faire par décision de justice. Ils n’enregistrent pas les IP par défaut.

avatar YetOneOtherGit | 

@marc_os

"Dans ce cas aussi, ProtonMail a menti à ses utilisateurs."

Ils indiquent quelques part : “en violation des lois vous serez immédiatement prévenu si la justice Suisse s’intéresse à vous” ?

avatar guyotlo | 

@marc_os

Relisez l.artixle c'est indiqué

avatar Antara | 

C'est là où tu rends compte que ces lois anti terroriste peuvent être utilisées à tout va. Là ça sort dans la presse. Mais combien de fois est-ce utilisé contre des journalistes, des opposants politiques etc...

avatar thierry37 | 

ProtonMail vend du chiffrement. Non ?

Ils vendent aussi une adresse IP anonyme cachée derrière des VPN?

Il faudra attendre le VPN à la sauce Apple, pour avoir du "double VPN doublement caché " 😉

avatar r e m y | 

"Par défaut nous ne conservons pas les log d'IP..." cette affirmation de ProtonMail est donc fausse puisqu'en cas de requête de la justice, ils sont capables de les ressortir.

avatar Sometime | 

@r e m y

Vous n’en savez rien. Ils disent d’ailleurs bien que les adresses peuvent être gardées temporairement. Dans l’absence de détails il est difficile de dire ce qui s’est réellement passé. Si les autorités suisses ont légalement demandé a la compagnie de fournir les activités IP d’un compte en temps réel cela ne semble pas violer leurs termes d’utilisation. S’ils ont été capables de fournir des adresses IP du passé, alors là oui c’est plus problématique.

avatar guyotlo | 

@Sometime

La réponse est dans l.article

avatar mikeosx | 

@r e m y

En fait, je pense que les IP on été pistées à partir du moment où il y a eu procédure judiciaire et injonction auprès de Protonmail... Je ne pense pas que les logs d'avant la procédure aient été récupérés après coup ) puisqu'ils ne devraient pas exister d'après Protonmail). Si je comprends bien la fin de l'article.

avatar fousfous | 

Tiens c'est drôle ça, les lois crée afin de "lutter contre le terrorisme" sert à viser les opposants... Personne ne pouvait le prévoir...

avatar Sometime | 

En l’absence de plus d’informations, l’article me semble un peu court et sujet a beaucoup d’interprétations - bien qu’il faille bien suivre le flot de l’actualité j’en conviens.

Sans savoir s’il s’agit d’un historique de l’activité ou d’une activité en temps plus ou moins reel, et sans non plus connaitre ni la temporalité, ni les détails de la requête fédérale, il est difficile de se faire une opinion.

- ProtonMail a t il gardé des historiques d’IPs ou fournit l’activité en temps plus ou moins réel?
- Ces personnes ont-elle utilisées la fonction keep me logged in (ou l’IP est explicitement gardée par Proton, c’est dans leurs conditions)?
- La loi prévoit je crois que les utilisateurs soit prévenus, sauf dans un certain cadre légal. Cela a til été bien respecté?

avatar EricBM1 | 

@Sometime

« Confidentialité ne veut pas nécessairement dire anonymat. Etc »

Ça c’est un peu n’importe quoi. Si on n’est pas anonyme par définition ce n’est plus confidentiel

avatar Sometime | 

@EricBM1

Je ne pense pas. Une correspondance peut-être confidentielle, donc son contenu secret et protégé, sans pour autant que les participants soient anonymes.

C’est d’ailleurs ce qui se passe lorsque vous utilisez un site internet en https. Votre FAI ne peut pas voir les pages que vous consultez (confidentialité) mais parfaitement vous identifier (non-anonymat).

Une information confidentielle est une information secrète, mais pas nécessaire anonyme.

Après on peut tjs utiliser d’autres définitions. Mais cette distinction ne me parait pas tirée par les cheveux outre mesure.

avatar EricBM1 | 

@Sometime

Ben non car même si le contenu est secret, le fait de pouvoir retracer l’historique des échanges avec telle et telle personne casse complètement l’anonymat

avatar Sometime | 

@EricBM1

Oui peut-être, d’ou la distinction que je fais entre confidentialité et anonymat.

avatar Giloup92 | 

Y a-t-il encore des gens qui croient à la confidentialité sur Internet ?

avatar Vetsa | 

@Giloup92

J’allais écrire la même chose!! Nous et notre incrédulité à toute épreuve. A croire qu’on peut être invisible sur le net. C’est du marketing toutes ces histoires de confidentialité.

Il existe des lois qui peuvent contraindre une entreprise X ou Y à divulguer des données. A moins d’être domiciliée sous une autre planète, orbite etc. Je ne vois pas trop où une société pourrait être localisée et pouvoir proposer de la confidentialité à ces clients sans qu’une loi ne l’y contraint…..!!

Au risque de se voir blacklister ou entraver les relations commerciales avec les pays. La géopolitique ce n’est pas que de la fiction on dirait bien.

avatar Krysten2001 | 

@Vetsa

Ça dépend comment tout cela est fait 😉

avatar IceWizard | 

@Sindanárië

C’est un fake. Il esquisse un sourire, alors que Poutine n’a jamais souri de toute sa vie !

Pages

CONNEXION UTILISATEUR