ProtonMail a communiqué l'adresse IP de plusieurs utilisateurs dans le cadre d'une enquête française

Félix Cattafesta |

La messagerie ProtonMail a récemment communiqué l'adresse IP de militants écologistes aux autorités françaises dans le cadre d'une enquête. Une révélation qui passe mal auprès de certains utilisateurs alors que ProtonMail met en avant la confidentialité de son service. La « confidentialité suisse » est notamment utilisée comme argument, en plus d'une absence de logs et d'un chiffrement des données.

Page d'accueil de Protonmail.

L'affaire concerne le « camp climat » monté en 2020 dans le Xe arrondissement de Paris. Des militants écologistes du groupe Youth for Climate avaient alors occupé des bâtiments privés dans le but de lutter contre la gentrification de la capitale. Ils avaient ensuite été délogés par la police.

Pour communiquer, les manifestants passaient par ProtonMail, souvent cité comme une référence en matière de confidentialité. Cependant, l'entreprise a tout de même été forcée de partager l'adresse IP de ces utilisateurs dans le cadre d'une enquête française. Les autorités tricolores sont passées par l'intermédiaire de l'agence européenne Europol afin de demander au gouvernement suisse d'ordonner à ProtonMail la communication de ces informations.

Sous le coup de la loi suisse, ProtonMail a été obligé de coopérer. Si l'éditeur se défend d'enregistrer l'historique de connexion de ses clients, il a rappelé sur Reddit à cette occasion qu'il est légalement obligé de le faire à partir du moment où une démarche judiciaire suisse est enclenchée :

Dans ce cas, Proton a reçu une injonction juridique obligatoire du Département fédéral de la justice suisse à laquelle nous sommes tenus de nous conformer. Il n'y avait aucune possibilité de faire appel ou de contester cette demande particulière, car un acte contraire à la loi suisse a effectivement eu lieu.

En vertu de la loi suisse, Proton peut être contraint de collecter des informations sur des comptes appartenant à des utilisateurs faisant l'objet d'une enquête pénale suisse. Cela n'est évidemment pas fait par défaut, mais seulement si Proton obtient un ordre légal pour un compte spécifique. En aucun cas, cependant, notre chiffrement ne peut être contourné, ce qui signifie que les emails, pièces jointes, calendriers, fichiers et autres ne peuvent être compromis par des demandes légales.

ProtonMail juge l'utilisation de cette loi abusive et inappropriée, et a contesté plus de 700 demandes de ce genre en 2020. L’entreprise rappelle également être un des seuls fournisseurs de messagerie proposant un site en .onion pour une utilisation via le réseau décentralisé TOR.


avatar Sindanárië | 

@IceWizard

En fait c’est l’inverse, ses clones ne sourient pas !

avatar YetOneOtherGit | 

La principale promesse de Proton est une immunité au conséquences du Patriot Act et du Cloud act.

Nullement d’être dans une zone de non droit.

avatar vincentn | 

@YetOneOtherGit

Complètement. Avec la garantie que la demande éventuelle doit passer par une procédure judiciaire et donc un juge, qui accorde cet accès ou pas, suivant les éventuels accords internationaux ou binationaux, et dans le respect de la loi suisse. Les gens semblent découvrir qu’il n’existe pas de « zones de non droits », et que même le pays le plus protecteur pour les individus ou les entreprises ne permet et ne protège pas de toutes démarches telles décrites dans l’article.

avatar YetOneOtherGit | 

@vincentn

"gens semblent découvrir qu’il n’existe pas de « zones de non droits »"

Elles existent mais là c’est la confiance dans le prestataire qui se pose clairement.

Et c’est d’ailleurs la grande question pour bien des solutions de

avatar YetOneOtherGit | 

Il est quand même surprenant que certains qui ne sont nullement gêné par le fait que des intérêts privés prospèrent sur la vente de sévices issus de la valorisation de la vie privée de leur utilisateurs, semblent en même temps rêver d’un monde où nul état légitime ne pourrait exercer ses prérogatives de polices et de justice 😳😳😳

avatar Artefact3000 | 

Que vaut le chiffrement des courriels avec des logiciels comparés à Proton Mail?

avatar jcp25 | 

Les informations que Proton transmet aux autorités en cas de demande Europol sont détaillées dans les CGV :
- Date de création du Compte
- Adresse IP qui lui est Liée
- IPs Connexion (sur combien de temps, on ne sait pas)
- Empreinte de l’appareil utilisé pour la (les) connexions (smartphone / PC, app native, interface web, etc.)

Le contenu des messages entre deux utilisateurs Protonmail est inaccessible car chiffré par une clé sur l'appareil utilisé.

Protonmail est le seul système permettant une utilisation via TOR (adresse en ".onion")
Dans ce cas, il n'y a pas d'adresse IP de connexion enregistrée par Proton.

Si vous voulez vraiment vous anonymiser via Protonmail, il faut que vous et vos contacts :
- créez un compte gratuit à partir d'une IP intracable à partir de Tails
- envoyez et recevez TOUS les mails via Protonmail sur Tails
Un oubli et vous êtes FOUTUS !
C'est comme cela que l'on trace. 999 fois sur 1000, vous allez utiliser Tails et 1 fois sur 1000 vous allez lancer en normal.
Rien de bien nouveau.

Maintenant, pour une utilisation normale :
- envois de mails sur adresses Normales
- envois de mails chiffrés sur adresses Normales
- envois de mails entre personnes sur Protonmail
- mails à durée limitée etc

Il n'y a rien à craindre. Et c'est, pour moi, le meilleur système de messagerie et VPN existant. Cher mais...

Je ne pense pas qu'il y ait ici beaucoup de journalistes et de représentants d'ONGs devant envoyer des mails sécurisés pour se proteger ainsi que leurs sources ou correspondants .

Hope it'll help

avatar YetOneOtherGit | 

@jcp25

"Il n'y a rien à craindre. Et c'est, pour moi, le meilleur système de messagerie et VPN existant. Cher mais..."

Surtout niveau VPN où c’est une des rare offre où l’on puisse avoir confiance sur le fait de ne pas payer un man in the middle.

Une boîte très sérieuse qui offre actuellement une des plus sérieuse protection contre le patriot act.

Après certains semblent rêver d’un monde sans police et sans justice, mais c’est autre chose même si la Suisse à une longue histoire avec les anarchistes 😉

avatar _Lion04_ | 

@YetOneOtherGit

+1

avatar Krysten2001 | 

@YetOneOtherGit

Et quels sont les autres offres selon vous ?🤔😉

avatar YetOneOtherGit | 

@Krysten2001

"Et quels sont les autres offres selon vous ?🤔😉"

Sur quoi VPN ou mail ?

Pour les mails un échantillon rapide:

https://fr.vpnpro.com/blog/les-fournisseurs-mails-les-plus-surs/

avatar Krysten2001 | 

@YetOneOtherGit

VPN 😉🖖

avatar YetOneOtherGit | 

@Krysten2001

"VPN 😉🖖"

Sur des offres grand public je suis d’une part assez circonspect sur la réelle utilité et à titre personnel Proton est pour moi l’offre offrant le plus de transparence sur ses réalités 😉

avatar Krysten2001 | 

@YetOneOtherGit

Et vous en pensez quoi de NordVPN ?😉 Hors du patrioct,…

avatar moitoutsimplement | 

@Krysten2001

Des que je lance le service, peu après je reçois des spams sur mon e-mail d’inscription…

J’avais pris une offre sur 3 ans à 90 euros. Au bout d’un an, j’ai pris NextDNS, 2€ par mois, la même configuration pour toute la famille, et les 7 appareils présents, c’est top

avatar Krysten2001 | 

@YetOneOtherGit

Et express VPN ? Qu’en pensez-vous ?😉

avatar vincentn | 

@jcp25

Oui. Après c’est juste une question d’équilibre, entre ses activités privées et professionnelles. Quel curseur de protection (avec les contraintes et lourdeurs inhérentes pour la respecter) souhaite t’on avoir et « s’infliger ».

avatar jcp25 | 

@vincentn

Oui. Après c’est juste une question d’équilibre, entre ses activités privées et professionnelles. Quel curseur de protection (avec les contraintes et lourdeurs inhérentes pour la respecter) souhaite t’on avoir et « s’infliger ».
--
Je ne suis pas d'accord avec toi ! Et je suis aussi d'accord avec toi.
En professionnel, Protonmail est OK
En perso, Protonmail est OK
MAIS si ton boulot est dans une ONG avec des mails à envoyer pour être "intracables" Protonmail te donne une solution.
Bien sûr, tu vas devoir passer par Tails.
Mais c'est ton boulot...

avatar onclebobby | 

Ne vous croyez jamais impunis, la société doit obéir aux lois du pays où elle est enregistrée.

avatar YetOneOtherGit | 

Encore une fois le manichéisme de certains me laisse sans voix 😳😳😳

avatar vincentn | 

Au-delà de ce qui touche stricto sensu Proton, j’ai quand même connu les autorités françaises moins prompts à réclamer les logs, metadonnées et autres adresses IP, à la Suisse et à des entreprises du type de Proton et assimilés, pour des groupes d’extrême-droite (voire encore plus à droite) ou pour des délinquants financiers que pour ces jeunes écolos simili anarchistes qui ont, pendant quelques semaines, un peu bloqués le business immobilier parisien de ce quartier du Xe par des squats.

avatar YetOneOtherGit | 

@vincentn

"j’ai quand même connu les autorités françaises moins prompts à réclamer les logs, metadonnées et autres adresses IP, à la Suisse et à des entreprises du type de Proton et assimilés, pour des groupes d’extrême-droite (voire encore plus à droite) ou pour des délinquants financiers "

Tu as des éléments pour étayer ces propos?

La lutte contre les groupuscule d’extrême droite a toujours été plutôt très active en France historiquement, quant à la délinquance financière elle n’a clairement jamais été autant traquée et structurée que de nos jours 😎

avatar jcp25 | 

@YetOneOtherGit

La lutte contre les groupuscule d’extrême droite a toujours été plutôt très active en France...
--
Oh oui et depuis des dizaines d'années !
Contrairement à ce que l'ont peut penser.
Oui, il y avait dans l'armée dans la Gendarmerie et dans la Police des gens de la "vraie" extrême droite mais ils étaient bien identifiés.
Aujourd'hui, on a des gens qui sont "RN". Mais, on est sur un parti "légal" qui a pignon sur rue !
Les "dangereux" ont été virés à 90%

avatar YetOneOtherGit | 

@jcp25

"Les "dangereux" ont été virés à 90%"

La tuerie d'Auriol a fait le ménage du SAC (J’ai honte 🤭)

avatar jcp25 | 

@YetOneOtherGit

La tuerie d'Auriol a fait le ménage du SAC (J’ai honte 🤭)
--
Arrête !
J'ai dit 90%
Il y aura toujours des débiles partout
- dans les administrations
- dans les entreprises
- chez des gens normaux
- ici... Peut être...
On parle statiquement et tu le sais.
JC

avatar YetOneOtherGit | 

@jcp25

"Arrête !"

C’était une boutade de très mauvais goût qu’il me semblait avoir bien signalée 😉

avatar jcp25 | 

@YetOneOtherGit

C’était une boutade de très mauvais goût qu’il me semblait avoir bien signalée 😉
--
Bien comprise...
Mais au cas où...

avatar YetOneOtherGit | 

@jcp25

"Mais au cas où..."

L’histoire du SAC ne doit plus parler sans rechercher à grand monde 😉

avatar jcp25 | 

@YetOneOtherGit

...quant à la délinquance financière elle n’a clairement jamais été autant traquée et structurée que de nos jours..
--
La encore, tu as tout à fait raison.
L'obligation des banques à faire des déclarations Tracfin à été une énorme avancée. Surtout pour les dépôts en liquides et en multi cheques.
Plus...
Demain, nous aurons les factures via Chorus Pro. Elles existent déjà pour certains marchés.
Toutes les factures ensuite devront passer via Chorus Pro avant envoi.
Et Chorus Pro fera comme Tracfin la validation sur les bases de données. TVA en premier etc.
Bien sûr, certains diront qu'ils ont le droit de faire du "black" etc au nom de leur "liberté"...
Mais... je pense que l'on va dans la bonne direction.
Et toi ?

avatar YetOneOtherGit | 

@jcp25

"Et toi ?"

Au niveau de ma délinquance financière ? 🤑

blague à part cela se structure et cela se numérise pour s’adapter aux réalités du temps.

Rien que sur la TVA il y a un boulevard

avatar jcp25 | 

@YetOneOtherGit

Au niveau de ma délinquance financière ? 🤑
-- mais non idiot ! 😉
blague à part cela se structure et cela se numérise pour s’adapter aux réalités du temps.
-- oui tout à fait. Et la France est très en avance là-dessus.
Je n'y croyais pas trop il y a 15 ans, mais aujourd'hui je suis bluffé.

Rien que sur la TVA il y a un boulevard
-- une autoroute !
Les plus grosses fraudes sont sur la TVA et depuis le début de la TVA.
Et les micros entreprises sont aujourd'hui les parmi les plus grosses fraudes à la TVA et à l'URSAAF. Pas ceux qui jouent le jeu mais les 33% de micros entreprises qui ne déclarent aucun CA mais qui ont un numéro INSEE leur permettant de faire des "vraies fausses Factures"

Il y a toujours une solution pour "truander"!

Je me rappelle, il y a 20 ans une brasserie qui a 13h00 avait une coupure de courant. Tout ce qu'ils avaient fait avant avait... disparu !

avatar YetOneOtherGit | 

@jcp25

"Il y a toujours une solution pour "truander"!"

Je connais une SARL qui pait tranquillement des taxations d’office sous-estimée rubis sur l’ongle depuis des années et n’a jamais eu de contrôle 😳😳🤯

Les systèmes qui se mettent en place éviteront ce type d’abus et remédierons en partie au paradis fiscal qu’est la France faute de culture forte du contrôle et plus encore de ressources.

Paris était indubitablement un Paradis fiscal de fait avant le déploiement d’outils informatiques performant de détection des potentiels fraude. Le ratio nb de contrôleur/nb d’entreprises y étant affligeant.

Après certains vont certainement trouver à redire sur l’exploitation des approches du big data pour cibler les contrôle, mais ce sont souvent les même qui hurlent contre l’évasion fiscale et le capital.

avatar EricBM1 | 

@YetOneOtherGit

« Après certains vont certainement trouver à redire sur l’exploitation des approches du big data pour cibler les contrôle, mais ce sont souvent les même qui hurlent contre l’évasion fiscale et le capital. »

Là tu mélanges tout. Ces choses sont sans rapport.

avatar YetOneOtherGit | 

@EricBM1

"Là tu mélanges tout"

Nullement 🙄🙄🙄

Une part très conséquente de la lutte contre la fraude fiscale repose sur l’interconnexion des fichiers, les outils du big data, la transparence, et maintenant les outils du ML.

C’est clairement une somme de violation de la confidentialité des données au service des fonctions régaliennes et c’est clairement quelque chose que certains ici assimile à Big Brother (Souvent les mêmes qui ne sont pas choqué par ce que font des intérêts privés de la vie privée de leurs utilisateurs)

Rien que sur la TVA nous sommes sur des enjeux financiers gigantesques. (140B€ / an au niveau de l’UE, bien plus que les petites optimisations fiscales des GAFAM)

avatar EricBM1 | 

@YetOneOtherGit

Je comprends que certains se disent : on s’en fout de la morale. Ils ont mis des petites lignes donc ils sont clean. Mais pour moi le pognon ne justifie pas tout, surtout pour eux plus que pour d’autres. Mais je respecte chaque avis. Je pense que certains seront de mon avis, et qu’ils auront une fuite de clients

avatar YetOneOtherGit | 

@EricBM1

"Je pense que certains seront de mon avis, et qu’ils auront une fuite de clients"

Je crois que tu auras beaucoup de monde pour appuyer ta position, aucun doute la dessus. Il est toujours bien plus populaire ici de stigmatiser les entreprises que de responsabiliser les clients 😎

Quant aux conséquences financière pour Proton attention à ce biais classique ici : imaginer qu’il y a quand même une justice et que l’entreprise paiera cher ce qui nous déplaît.

Et si tel est le cas ici ce serait regrettable, Proton Technologies étant pour mois une des rares valeurs sure ne promettant pas n’importe quoi sur les enjeux de ce type.

avatar YetOneOtherGit | 

@EricBM1

"Je comprends que certains se disent : on s’en fout de la morale"

Ce n’est nullement mon propos.

Mais ta définition de la morale est au final fort discutable, comme toute vision de la morale d’ailleurs.

avatar jcp25 | 

@YetOneOtherGit

"Il y a toujours une solution pour "truander"!"...
--
Grands dieux, moi aussi j'en connais !
Et même aujourd'hui. Mais moins.
Je pense que dans 10 ans, ce sera très difficile. Pas impossible, mais très difficile.
Et il y a toujours l'avenir... Tu truandes et un jour... On te retombe dessus. Sur la TVA, sur Tracfin, sur ton train de vie...
Si tu as 60 ans+ tu vas t'en sortir. Mais si tu as 40 ans... Cela va être très dur.
Qu'en penses-tu ?

avatar YetOneOtherGit | 

@jcp25

"Qu'en penses-tu ?"

Un des gains importants d’un passage à des approches plus,modernes est pour moi de pouvoir réduire le temps d’adaptation à la créativité des fraudeurs.

Les pattern étrange sortent plus facilement 😉

avatar vincentn | 

@YetOneOtherGit

Pas forcément (encore) sorti dans la presse pour certaines choses, mais certains personnages de ces mouvances (on parle là notamment de néonazis ou assimilés, mais pas que, qui s’entraînent dans des camps paramilitaires en Europe, font du business (de choses illégales en France) etc. utilisent pour ça ProtonMail (à son corps défendant) et autres systèmes de communication… Certains (les plus connus et dangereux) sont certes heureusement surveillés par les services (pas tous) mais les demandes auprès de Proton via la justice Suisse sont plutôt rares dans ces cas.

La lutte et surveillance contre ces groupuscules est en fait plutôt variable dans le temps, et nous sommes, heureusement (ou malheureusement) dans une période haute, plus qu’il y a quelques années en tous cas.

Pour la délinquance financière, s’il y a du mieux au niveau législatif et coopération internationale, ce n’est pas encore ça, loin de là. Et puis si les moyens ne sont pas donnés à la justice et aux enquêtes, cela ne sert pas à grand chose malgré la meilleure volonté (apparente) du monde. D’autant plus qu’en face ils sont toujours plus imaginatifs…

avatar YetOneOtherGit | 

@vincentn

Nous ne sommes fort heureusement jamais que sur des pis-aller, les utopies maximalistes sont des abominations.

avatar EricBM1 | 

Je vois que beaucoup ne comprennent pas le gros problème. Le gros problème n’est pas qu’ils ont respecté la loi. Mais qu’ils ont fait de la « pub mensongère » délibérément. Il y a avant tout un énorme problème d’honnêteté de leur part et on fait plus que frôler l’escroquerie. Quand on joue les chevaliers blanc on a intérêt d’avoir le slip propre.

avatar jcp25 | 

@EricBM1

Mais qu’ils ont fait de la « pub mensongère » délibérément.
--
Non, pas du tout
Va lire mon post un peu plus haut qui explique ce qu'ils ont fait.
Bien sûr, il faut lire les CGV surtout dans ce cas.
Et ensuite comprendre ce que veulent dire les CGV.
JC

avatar EricBM1 | 

@jcp25

Alors là je ne suis pas d’accord. Marteler partout sur ce site quelque chose et en faire son principal (et unique) argument commercial et se dédouaner écrit en tout petit dans le CCV est légal mais malhonnête. Et on en est là. Quand on se veut être un chevalier blanc mais qu’on est malhonnête on ne vaut rien. Carton rouge à eux.

avatar YetOneOtherGit | 

@EricBM1

"Alors là je ne suis pas d’accord. Marteler partout sur ce site quelque chose et en faire son principal"

Il n’y a aucune antinomie entre ce qui est annoncé et les conditions générale pour qui sait lire.

Je serai fort surpris qu’une procédure pour publicité mensongère puisse aboutir.

Après les gens lisent se qu’ils veulent voir et n’ont plus le sens de la mesure et du détail.

Pour preuve : les commentaires de MacGe 🤩🥸

avatar EricBM1 | 

@YetOneOtherGit

Halala mais je l’ai dit. C’est légal. Mais là on parle d’honnêteté. Et quand on joue l’entreprise au dessus de tout soupçon qui est mieux et plus honnête que les autres c’est inadmissible. Donc ça ne sert à rien de parler des petites lignes qui font qu’il sont ok avec la loi. Là on parle d’honnêteté, ce qui leur a servi à faire leur business et faire payer leur clients.

avatar YetOneOtherGit | 

@EricBM1

"Mais là on parle d’honnêteté"

Concept douteux et subjectif 😉

Si des gens sont assez cons pour pas comprendre le français et réfléchir 5 minutes.

Proton est une excellente offre de service avec comme principal avantage :

-de ne pas avoir à subir le patriot act et le cloud act qui sont des horreurs en terme d’intrusion digne des régimes les plus durs.
- d’avoir un contrôle juridique très sérieux sur les demande d’entraide juridique via la justice Suisse qui n’est pas la plus complaisante sur ces questions

C’est très loin d’être rien.

Ça me rappelle les crétins qui ont hurlé lors de l’incendie d’OVH parce qu’il ne s’avait pas se qu’ils avaient acheté comme service.

On a un cerveau 🧠 il faut l’utiliser au lieux d’échafauder des films.

avatar EricBM1 | 

@YetOneOtherGit

Donc tu ne nies pas qu’ils ont été malhonnête (logique puisque c’est le cas). Tu ne fais que déplacer l’attention en mettant l’accent sur autre chose. En faisant passer les gens pour des cons parce qu’ils n’ont pas appris par cœur le CCV etc. Mais l’honnêteté, quand c’est le font de commerce, c’est le seul truc important. Peut importe les petites lignes dont on sait qu’on ne lit jamais (on clic ok sinon on ne fait rien. Qui se tape 100 pages avant d’installer Microsoft office ou autre ?). Et ils le savent, et comme ils sont malhonnête, ils ont arnaqué les gens. Ce qu’il va se passer, si ça s’ébruite, c’est que leurs clients dégagent. Et ça, ils l’auront bien cherché

avatar _Lion04_ | 

@EricBM1

Les clients qui ont choisit ProtonMail savent pourquoi ils l’ont choisis et ne vont pas partir de si tôt de chez eux. C’est une des seule boîte qui protège à fond les mails grâce aux chiffrements de bout en bout et c’est pas pour rien que même Snowden le conseille et l’utilise.

avatar EricBM1 | 

@_Lion04_

A mon avis il va dégager dès aujourd’hui. Parce que vu comment ton historique d’échange peut être transmis ça perd tout son intérêt

Pages

CONNEXION UTILISATEUR