ProtonMail a communiqué l'adresse IP de plusieurs utilisateurs dans le cadre d'une enquête française

Félix Cattafesta |

La messagerie ProtonMail a récemment communiqué l'adresse IP de militants écologistes aux autorités françaises dans le cadre d'une enquête. Une révélation qui passe mal auprès de certains utilisateurs alors que ProtonMail met en avant la confidentialité de son service. La « confidentialité suisse » est notamment utilisée comme argument, en plus d'une absence de logs et d'un chiffrement des données.

Page d'accueil de Protonmail.

L'affaire concerne le « camp climat » monté en 2020 dans le Xe arrondissement de Paris. Des militants écologistes du groupe Youth for Climate avaient alors occupé des bâtiments privés dans le but de lutter contre la gentrification de la capitale. Ils avaient ensuite été délogés par la police.

Pour communiquer, les manifestants passaient par ProtonMail, souvent cité comme une référence en matière de confidentialité. Cependant, l'entreprise a tout de même été forcée de partager l'adresse IP de ces utilisateurs dans le cadre d'une enquête française. Les autorités tricolores sont passées par l'intermédiaire de l'agence européenne Europol afin de demander au gouvernement suisse d'ordonner à ProtonMail la communication de ces informations.

Sous le coup de la loi suisse, ProtonMail a été obligé de coopérer. Si l'éditeur se défend d'enregistrer l'historique de connexion de ses clients, il a rappelé sur Reddit à cette occasion qu'il est légalement obligé de le faire à partir du moment où une démarche judiciaire suisse est enclenchée :

Dans ce cas, Proton a reçu une injonction juridique obligatoire du Département fédéral de la justice suisse à laquelle nous sommes tenus de nous conformer. Il n'y avait aucune possibilité de faire appel ou de contester cette demande particulière, car un acte contraire à la loi suisse a effectivement eu lieu.

En vertu de la loi suisse, Proton peut être contraint de collecter des informations sur des comptes appartenant à des utilisateurs faisant l'objet d'une enquête pénale suisse. Cela n'est évidemment pas fait par défaut, mais seulement si Proton obtient un ordre légal pour un compte spécifique. En aucun cas, cependant, notre chiffrement ne peut être contourné, ce qui signifie que les emails, pièces jointes, calendriers, fichiers et autres ne peuvent être compromis par des demandes légales.

ProtonMail juge l'utilisation de cette loi abusive et inappropriée, et a contesté plus de 700 demandes de ce genre en 2020. L’entreprise rappelle également être un des seuls fournisseurs de messagerie proposant un site en .onion pour une utilisation via le réseau décentralisé TOR.


avatar YetOneOtherGit | 

@EricBM1

"Donc tu ne nies pas qu’ils ont été malhonnête"

Je le nie absolument, ils sont parfaitement honnête.

Ce n’est pas parce que certains imaginent ce qui n’est nullement dit et écrit que c’est malhonnête.

Tout est parfaitement clair dans leur offre pour qui ne se contente pas de lire très vaguement les gros titres.

Rien que dans la capture d’écran de l’article de MacGe il y a largement assez d’éléments pour voir clairement ce qui est proposé.

Tu confonds Honnêteté et idiot-proof 😉😜

avatar EricBM1 | 

@YetOneOtherGit

Justement non, dans la capture d’écran que tu cites c’est écrit que la messagerie est anonyme. Ben du coup non, ce n’est pas anonyme. Et le « par défaut » est volontairement ambiguë. Encore un manque d’honnêteté dans le but de tromper les gens

avatar jcp25 | 

@EricBM1
@YetOneOtherGit

Et le « par défaut » est volontairement ambigu
--
Oui comme les contrats d'assurance.
C'est à toi de lire les CGV et surtout les petites lignes.

avatar EricBM1 | 

@jcp25

Oui, je l’ai dit plusieurs fois, ils sont dans les clous avec la loi. MAIS, ils ont été volontairement malhonnêtes. Et quand tu joues toute ta stratégie commerciale en étant plus honnête que tous les autres ça fait que tu es carton rouge. Fin de partie

avatar jcp25 | 

@EricBM1

Oui, je l’ai dit plusieurs fois, ils sont dans les flou avec la loi. MAIS, ils ont été volontairement malhonnête. Et quand tu joue toute ta stratégie commerciale en étant plus honnête que tous les autres ça fait que tu es carton rouge. Fin de partie
--
Tu dois être jeune. Pas du tout une insulte.
Car sinon, tu saurais qu'il faut toujours lire les CGV, partout, tout le temps.
Tu as lu les CGV de icloud, ios, etc...

avatar YetOneOtherGit | 

@jcp25

"Car sinon, tu saurais qu'il faut toujours lire les CGV, partout, tout le temps. "

Même sans ça les éléments sont assez clairs sur ce que signifie la tutelle juridictionnelle de la Suisse ou le sens de “par défaut” qui n’est absolument pas équivoque.

On le voit couramment ici : les ravages du biais de confirmation, ils ne lisent pas vraiment ce qui est écrit mais ce qu’ils veulent y trouver.

Sur les commentaires ça fait dire des conneries, dans la vie ça fait faire des choix ineptes.

On à la même chose couramment dans un cadre académique où de plus en plus d’étudiants ne lisent pas réellement les consignes et les énoncés.

avatar jcp25 | 

@YetOneOtherGit
...les ravages du biais de confirmation...
---
M'en parle pas !
Terrible.
Le pire est que même si on connaît les "biais", on va toujours être une "victime" des biais.
De temps en temps, au niveau professionnel, on va étudier notre "solution" via les biais. Mais cela prend tellement de temps !
D'un autre côté, les posts ici sont une bonne solution pour voir "nos biais" quand on relis ce que nous avons écrit.
JC

avatar YetOneOtherGit | 

@jcp25

"Le pire est que même si on connaît les "biais", on va toujours être une "victime" des biais."

C’est ce qu’il y a de plus beau et de plus effrayant: ce n’est en rien une question de capacités cognitives.

Mais une perpétuelle lutte pour les éviter le plus et les connaître.

avatar EricBM1 | 

@jcp25

Tu dois être jeune toi aussi 😉, tu sais très bien que les gens ne lisent pas les CGV qui peuvent parfois être treeeees long. Et surtout eux aussi le savent bien et en ont joué. Sauf que, et c’est là que ça change tout, ils ne vendent pas des poires ou des torchons, mais ils vendent de l’anonymat, de la vie privée, de la non traçabilité, etc… tout en disant que eux sont honnête contrairement aux autres. Et dans ce cas là ce n’est pas acceptable.

PS :
Merci pour la cure de jouvence😉

avatar jcp25 | 

@EricBM1

Tu dois être jeune toi aussi 😉
--
Pas vraiment !
Cela fait 40 ans que je travaille dans la sécurité informatique.
J'ai 67 ans et j'ai commencé à travailler en 1978 dans XXXXX

avatar YetOneOtherGit | 

@EricBM1

"Sauf que, et c’est là que ça change tout, ils ne vendent pas des poires ou des torchons, mais ils vendent de l’anonymat, de la vie privée, de la non traçabilité, etc… tout en disant que eux sont honnête contrairement aux autres. Et dans ce cas là ce n’est pas acceptable. "

Fais un bilan de ce qu’ils offrent par rapport aux autres offres.

Pas grand monde pour offrir l’équilibre d’une structure sérieuse et respectable implantée dans un état de droit et issue d’une structure clairement identifiée et lisible et de nombreuses garanties d’un cadre légal sérieux.

Tu peux te jeter dans des bars qui te semblent plus “honnête” mais il est loin d’être certain qu’ils le soit.

Rien que sur le marché du VPN je t’invite à questionner avec un rien de profondeur la nature des acteurs du marché.

Tout est ici affaire de compromis entre divers paramètres et le compromis offert par Proton est pour moi parmi les meilleurs.

Le radicalisme utopique et manichéens est toujours un aveuglement

avatar EricBM1 | 

@YetOneOtherGit

« Le radicalisme utopique et manichéens est toujours un aveuglement »

Sympa. Merci 😂😂😂
Alors déjà que depuis le début tu ne fais que mélanger des choses qui n’ont rien à voir pour brouiller les pistes avec la technique du mille feuille argumentatif, mais alors là c’est énorme. Là c’est de la pure connerie 😂. Où comment essayer de discréditer les autres à défaut d’avoir des arguments justes. S’il te plaît, je suis sûr que toi aussi tu peux accepter les avis contraire. Pour moi l’argent ne justifie pas tout, il y a la morale et l’éthique surtout dans leur cas. Mais je peux comprendre que certains préfèrent se dire qu’ils ont la loi avec eux donc c’est bon. Pas besoin de me faire passer pour un demeuré parce qu’on n’est pas du même avis et que tu manques d’arguments pour me répondre. On n’a pas le même avis, ce n’est pas grave

avatar YetOneOtherGit | 

@EricBM1

"Sympa. Merci 😂😂😂"

Propos de portée générale ne te visant pas particulièrement, juste un état d’esprit assez courant ici 🖖😉

avatar YetOneOtherGit | 

@EricBM1

"Alors déjà que depuis le début tu ne fais que mélanger des choses qui n’ont rien à voir pour brouiller les pistes avec la technique du mille feuille argumentatif"

😳

A bon ?

Les arguments sont assez constants et peu nombreux.

avatar YetOneOtherGit | 

@EricBM1

"Là c’est de la pure connerie 😂. Où comment essayer de discréditer les autres à défaut d’avoir des arguments justes. "

Si tu veux, tu aimes bien prêter des intentions.

Nul volonté de discrédit ayant valeur d’argument, juste un constat assez général ici : c’est blanc ou c’est noir.

Dans le cas qui nous intéresse ici : L’offre demande un minimum de réflexion pour comprendre de quoi il s’agit, donc c’est malhonnête.

avatar YetOneOtherGit | 

@EricBM1

"Pour moi l’argent ne justifie pas tout"

Tu l’aimes bien ce mentra 😄

Et il est sensé justifier quoi ici ?

Une “malhonnêteté” fantasmée ?

Une intolérable exigence d’utiliser son cerveau et savoir lire ?

Cette façon de déresponsabiliser le pauvre utilisateur qui devrait être traité comme un enfant ignorant à qui il faut expliquer tout 😳🙄

avatar YetOneOtherGit | 

@EricBM1

"On n’a pas le même avis, ce n’est pas grave"

Nullement et on explore tranquillement nos divergences 😉

avatar YetOneOtherGit | 

@EricBM1

"il y a la morale et l’éthique surtout dans leur cas"

Défini ce que sont tes conceptions de la morale et de l’éthique.

Je ne vois strictement rien qui soit moralement ou éthiquement condamnable dans les offres de Proton.

Sauf à considérer que traiter le client en adulte intelligent capable de lire une offre clairement défini est aujourd’hui un acte immoral.

Tu présupposes qu’il y a une volonté de tromperie dans l’offre de Proton ce qui n’est absolument pas le cas, tout est transparent et particulièrement la nature de l’entreprise, son pays d’implantation et le cadre légal dans lequel elle opère.

avatar YetOneOtherGit | 

@EricBM1

"Pour moi l’argent ne justifie pas tout"

Et dernier point Proton Technologies est très loin d’être une entreprise capitaliste classique.

“ProtonMail est soutenu par plus de 10 000 personnes du monde entier qui ont participé à notre campagne de crowdfunding, qui a battu tous les records. Parmi les autres bailleurs de fonds figurent la Commission européenne et la Fondation Genevoise pour l'Innovation Technologique (FONGIT), une fondation à but non lucratif financée par la Commission fédérale suisse pour la technologie et l'innovation pour le bien du public.”

Le grand capital dans toutes sa splendeur 😉🤑

avatar YetOneOtherGit | 

@EricBM1

"Justement non, dans la capture d’écran que tu cites c’est écrit que la messagerie est anonyme. Ben du coup non, ce n’est pas anonyme. Et le « par défaut » est volontairement ambiguë. Encore un manque d’honnêteté dans le but de tromper les gens"

Elle l’est par défaut et par défaut n’est en rien ambigüe pour qui connaît le sens des mots: “Jusqu’à avis contraire” 😎

La encore tu confonds honnêteté et idiot proof 😎

avatar instantcook | 

J’aimerai bien un article complet sur comment utiliser Tor avec son Mac :-)

avatar jcp25 | 

@instantcook

J’aimerai bien un article complet sur comment utiliser Tor avec son Mac :-)
---
TOR si tu en a besoin doit être utilisé via Tails.
TOR sur un Mac, un iPad... No good
Mais tu peux t'amuser sur TOR en installant un TOR Browser sur ton Mac ou ipad.
La seule chose à savoir est que les adresses TOR se terminent en ".onion" et ne sont utilisables que sur un browser TOR.

Si tu veux aller plus loin, crée une clé USB avec Tails dessus (tails.com) et boot dessus.
Tu vas t'amuser car c'est du LINUX pur et dur.
Et même si tu ne l'utilises jamais pour faire des choses "bizarres", tu auras appris beaucoup de choses sur LINUX et sur la sécurité.
Un dernier truc : c'est très lent car le système est sur une clé USB et l'internet ne marche QUE via TOR.
En plus, quand tu termines ta session, tout est perdu car Tails ne fonctionne qu'en RAM. Et efface tout quand tu quittes.
MAIS... Tu verras qu'il y a la possibilité de créer un pseudo disque chiffré de façon monstrueuse sur la clé USB... et tu auras appris plein de choses que tu pourras utiliser sur tes ordinateurs (Mac, PC, ios, etc)

avatar powergeek | 

@jcp25

Tails est très facile à utiliser. Pas besoin de connaître Linux ! Faut juste savoir créer une clé USB bootable avec un disk image de Tails.

avatar jcp25 | 

@powergeek

Tails est très facile à utiliser
--
Je pense que tu n'as jamais utilisé Tails !
Peut être pour voir comment cela marche...

avatar powergeek | 

@jcp25

J'ai utilisé Tails pendant très longtemps quand j'en ai eu besoin... J'en parle en parfaite connaissance.

avatar jcp25 | 

@powergeek

J'ai utilisé Tails pendant très longtemps quand j'en ai eu besoin... J'en parle en parfaite connaissance
--
Super
Justement, j'ai une question à poser à un spécialiste Tails
Donnes nous la commande terminal qui permet de créer sur la clé USB le fichier chiffré qui va contenir les données et réglages.
Pour un specialiste Tails, c'est extrement simple
Nous attendons...
Merci

avatar powergeek | 

Je ne comprends pas le communiqué de Proton quand ils disent qu'un acte contraire à la loi Suisse à eu lieu. Les faits ont eu lieu en France. Quelle loi Suisse a été violée? Celle d'utiliser Proton en dehors de son usage normal ?

avatar Kainam | 

@powergeek

Oui c’est aussi ce qui m’a fait bizarres… et il serait interessant d’en savoir plus.

avatar YetOneOtherGit | 

@powergeek

"Je ne comprends pas le communiqué de Proton quand ils disent qu'un acte contraire à la loi Suisse à eu lieu. Les faits ont eu lieu en France. Quelle loi Suisse a été violée? Celle d'utiliser Proton en dehors de son usage normal ?"

Dans les principes de l’entraide juridique internationale il faut que l’acte motivant la demande soit aussi délictueux dans le pays où est effectué la demande.

Par exemple une demande concernant un avortement par un pays l’interdisant ne pourra être reçu et traité par un pays l’autorisant.

Ici le type de délit ayant motivé la demande française et serait aussi un délit en Suisse et est suffisamment motivé.

En schématisant il faut que le délit présumé soit d’un niveau de motivation qui aurait déclenché une procédure sur le territoire Suisse s’il était advenu sur ce territoire 😉

C’est très loin d’être une réponse automatique et un open bar pour les pays étranger.

Et c’est une des garanties de proton, les demandes d’exemptions à nos règles de confidentialité ne pourront être motivées que par des potentiels délits reconnus par l’extrêmement démocratique système Suisse et les réponse à ces demandes seront traités avec sérieux et exigence.

Un gouvernement au système juridique et policier douteux n’obtiendra pas gain de cause sur de vagues motivations.

Là encore ce n’est pas rien

Et je ne parle même pas de l’immunité aux contraintes hallucinantes du patriot act et du cloud act 😎

avatar powergeek | 

@YetOneOtherGit

Merci pour cette précision capitale !

avatar powergeek | 

A moins de se connecter de chez soi avec sa box ou avec son mobile et une carte sim à son nom, je ne vois pas comment ils vont exploiter les adresses IP.

avatar jcp25 | 

@powergeek

A moins de se connecter de chez soi avec sa box ou avec son mobile et une carte sim à son nom, je ne vois pas comment ils vont exploiter les adresses IP.
--
Oui...
Mais il faut que tu (et tes correspondants) ais créé ton compte sur une IP intractable et que n'utilises (toi et tes correspondants) que des IPs intracables.
Car la "police" pour faire simple, va récupérer toutes tes IPs et celles de tes correspondants et va te retrouver par simple recoupement.
D'où l'utilité de TOR via Tails.
C'est un jeu. Et le boulot sur la sécurité informatique est uniquement un jeu. Au sens de la théorie des jeux.
Si tu veux t'amuser, réfléchis comment tu pourrais être "anonyme"
Tu vas passer des heures et des jours pour comprendre çe qu'est la sécurité informatique.
Mais... Tu auras appris plein de choses !
JC

avatar powergeek | 

@jcp25

Même Ben Laden qui n'utilisait aucun moyen de communication électronique, il utilisait une chaîne de messagers humains, a fini par se faire coincer ! Pendant la 1ère guerre mondiale on abattait les pigeons voyageurs pour récupérer les messages. Il n'y a rien d'inviolable. Dans de nombreuses affaires, le FBI a réussi à remonter les échanges sur Tor.

avatar NORMAN49 | 

Rien d'inviolable dans le monde secret ? Si Mata Hari lol

avatar kitetrip | 

Au moins ils n’ont pas fourni la clef de déchiffrement… pas comme Apple !

avatar pagaupa | 

Qui peut croire à la confidentialité de l’informatique ?
Il faut vraiment être naïf !...

avatar YetOneOtherGit | 

@pagaupa

"Qui peut croire à la confidentialité de l’informatique ?
Il faut vraiment être naïf !..."

Un concept qui t’est étranger : le compromis pragmatique.

Proton offre :

- la possibilité d’être en dehors de la juridiction du patriot act et du cloud act
- une structure clairement identifiée sur ses dirigeants, son financement et le cadre juridique dont elle dépend
- un filtre sérieux sur les demandes de cooperation juridique via la justice Suisse qui est très loin de répondre favorablement à n’importe quoi venant de n’importe qui
- un niveau d’informations partageables avec les autorités restreint
- des tarifs plus que raisonnables

Sur les VPN et le service mail il y a peu d’offres offrant ces diverses garanties et cet équilibre.

Pour aller plus loin il faut sortir de l’internet standard pour aller vers Tor.

Pour le reste ton assertion de base est inepte: la confidentialité est avant tout affaire de choix, de pratiques, de contraintes et de connaissances de la surface d’exposition au diverse risques.

avatar toto_tutute | 

Alors ne vaut-il pas mieux d’utiliser des services équivalents dans des pays dont est sur qu’ils ne coopéreront pas avec les autorités françaises ? 🤔

Je pense à la Russie, Cuba, des pays insulaires exotiques, etc.

Quelle idée d’utiliser un service hébergé en Suisse ! C’est peut-être un pays « démocratique », «  État de droit » toussa mais dans le cas de nos compatriotes, ça ne leur a été d’aucune utilité.

avatar YetOneOtherGit | 

@toto_tutute

“Je pense à la Russie, Cuba, des pays insulaires exotiques, etc. “

Tu oublies que l’équation a de nombreux paramètres 😉

Et bien d’entres eux sont plus que délicats dans les territoires que tu évoques.

avatar kitetrip | 

Comme Signal qui doit communiquer ses fichiers logs, ProtonMail doit aussi se soumettre à la loi en communiquant... ce qu'ils ont en leur possession. C'est à dire une liste d'IPs. Et c'est tout. Rien d'autre. Pas de fichiers, ni de mails. Rien.
Espérons que les activistes ont utilisé un VPN.

avatar YetOneOtherGit | 

@kitetrip

« Comme Signal qui doit communiquer ses fichiers logs, ProtonMail doit aussi se soumettre à la loi en communiquant... ce qu'ils ont en leur possession. C'est à dire une liste d'IPs. Et c'est tout. Rien d'autre. Pas de fichiers, ni de mails. Rien. »

Il semblerait que les log ne soient crée qu’après l’injonction et n’existent pas par défaut.

A confirmer.

avatar YetOneOtherGit | 

@kitetrip

« Espérons que les activistes ont utilisé un VPN. »

La première personne du pluriel est peut-être de trop.

L’idée d’une société où le travail de la police et de la justice est rendu extrêmement difficile à cause du numérique me semble devoir être fortement questionné.

Où placer le curseur ?

avatar Cyrille50 | 

1. Que ProtonMail se plie à une injonction légale émise par un juge dans le cadre d'une procédure juridictionnelle ne me choque pas (c'est le cas des autres commentateurs si je comprends bien).

2. Ce qui m'intéresse en revanche, c'est que ma correspondance soit à l'abri de la NSA, de la CIA et du FBI. Je n'ai rien à leur cacher, mais mes correspondances me regardent. Elles ne les regardent pas.

En d'autres termes, je distingue les actes judiciaires (légitimes) des actes d'espionnage (illégitimes). Et c'est précisément sur ce point que ProtonMail me propose une protection de mes données.

avatar ClownWorld 🤡 | 

CyberGhost a mis en garde dans sa newsletter contre l’utilisation de ce service il y a plusieurs mois déjà…

avatar YetOneOtherGit | 

@ClownWorld 🤡

« CyberGhost a mis en garde dans sa newsletter contre l’utilisation de ce service il y a plusieurs mois déjà… »

Une boîte qui met en garde contre l’utilisation d’un concurrent 🤣🤣🤣🤣🤣

Ça c’est une information de grande valeur 🤯🤯🥳

avatar CorbeilleNews | 

Cool, a ce rythme on va bientôt pouvoir connaître les identités de tous les détenteurs de comptes bancaires suisse qui font de l’exil fiscal !!!

Mais qu’est-ce ce qui bloque cette recherche de cols blancs qui mettent à gauche ???

😀😀😀

avatar Kainam | 

@CorbeilleNews
Le secret bancaire suisse ne s’applique plus pour les étrangers. Uniquement les résidents.
Si une demande de coopération est demander à la justice suisse les banques devront répondre.
Les petits fraudeurs ont déplacer leur comptes d’ailleurs, ex Cauzac.

avatar YetOneOtherGit | 

@CorbeilleNews

"Cool, a ce rythme on va bientôt pouvoir connaître les identités de tous les détenteurs de comptes bancaires suisse qui font de l’exil fiscal !!!"

Tu vas dire que je suis méchant, mais encore une fois tu parles de ce que tu connais très vaguement et très mal.

Depuis plus de 10 ans le secret bancaire Suisse est tombé.

En simplifiant un rien, les USA ont proposé un deal basique: Vous supprimez le secret ou vos banques et leurs filiales n’ont plus le droit d’opérer sur nos territoires.

Quand on sait l’importance des activités financières dans l’économie des banques et le poids des USA sur ce marché… le choix à été vite fait.

Ton pb c’est que quasiment tous tes propos reposent sur ce type de connaissances approximatives 😉

avatar YetOneOtherGit | 

@CorbeilleNews

"Mais qu’est-ce ce qui bloque cette recherche de cols blancs qui mettent à gauche ???
😀😀😀"

Encore un charabia qui ne veut rien dire 🤯

avatar macbete | 

Dis donc YetOne machin-truc, personne t'a jamais dit que tu deviens fatigant à te répéter sans cesse et vouloir prouver à ce point ton esprit cartésien, condescendant et verbeux mais réellement omniprésent, comme les gaz qui occupent tout le volume disponible. "Il y a deux façons d'enc.ler une mouche, avec ou sans son consentement" (Boris Vian)

Pages

CONNEXION UTILISATEUR