ProtonMail, WhatsApp : le chiffrement des messages ne garantit pas une confidentialité totale

Félix Cattafesta |

Contrairement à une idée reçue, les messageries chiffrés de bout en bout ne sont pas infaillibles et ne garantissent pas une protection totale de la vie privée. Une longue enquête publiée par ProPublica rappelle bien cet état de fait : des employés de WhatsApp peuvent lire certains messages en dépit du chiffrement de bout en bout mis en place par le service.

La question du signalement

Quand WhatsApp explique ne pas pouvoir lire vos conversations, c'est techniquement vrai, à condition que personne ne les signale. Si un compte est signalé à WhatsApp, une copie des cinq derniers messages de la conversation est transmise par le dénonciateur à l'équipe de modération de WhatsApp pour vérification. Cet ensemble de messages a pour but d'aider les modérateurs à prendre des décisions en connaissant le contexte de la discussion.

En fonction de la nature du contenu, le modérateur décidera de ne rien faire, de bannir l'expéditeur, ou bien de le placer sous « surveillance » pour un examen plus approfondi. Les messages collectés peuvent être réutilisés comme pièces à conviction lors d'une éventuelle enquête judiciaire.

avatar Steve Molle | 

et ProtonMail qui vient de livrer des militants écologistes à la police française utilisant leurs services ? On en parle ? ou ça passe à la trappe ?

avatar YuYu | 

@Steve Molle

« Récemment, plusieurs internautes ont été surpris d'apprendre que ProtonMail avait été révélé aux autorités françaises l'adresse IP de plusieurs de ses utilisateurs… »

Apparemment on en parle 🤷🏻‍♂️

avatar Steve Molle | 

@YuYu

Oui oui sauf que proton mail n’a aucune excuse de se dissimuler derrière une procédure légale quand cette dernière est uniquement « policière » et/ou politique.

avatar Olivier_D | 

@Steve Molle

Sauf qu’aux dernières nouvelles, aussi proche soit une entreprise de la protection de la vie privée des utilisateurs, elle n’est pas au dessus des lois.

Si le gouvernement demande quelque chose, l’entreprise est obligée de le fournir. C’est comme ça que ça marche.

avatar Steve Molle | 

@Olivier_D

Donc on doit répondre aux lois hongroises, Chinoises ou françaises quelque soit les intentions derrière ?

Ok.

avatar Olivier_D | 

@Steve Molle

Pardon ? Il s’agit du gouvernement français qui a demandé au gouvernement suisse d’agir. Celui-ci l’a fait. A partir de la, ce n’est plus du ressort de Proton qui est une société suisse. Ils ne respectent que les demandent de LEUR gouvernement.

avatar Steve Molle | 

@Olivier_D

Désolé mais une société privée n’a pas à répondre à toutes les réquisitions surtout quand celles ci ne sont pas judiciaires mais politiques.

avatar Mageekmomo | 

@Steve Molle

Si tu ne lis pas les articles arrête de t'enflammer tout seul stp

avatar Steve Molle | 

@Mageekmomo

J’ai dit et je répète qu’il faut être précis quand on évoque un sujet aussi grave.

avatar guyotlo | 

@Steve Molle

En fait c'est bien une réquisition judiciaire de la justice
Et pas du gouvernement
Ensuite demande de la justice française à la justice suisse qui a exécuté la requête

Je ne me prononcé pas sur le fond du délit lui même

avatar Steve Molle | 

@guyotlo

Non. Si réquisition judiciaire par juge d’instruction, les concernés ne sont pas placés en GAV mais présentés au dit magistrat.

Zou.

avatar guyotlo | 

@Steve Molle

Ben non
C'est un juge qui gère l'enquête

avatar Steve Molle | 

@guyotlo

Non. Si c’était un juge d’instruction, les personnes ne sont pas placées en GAV comme ils l’ont été mais présentées au juge d’instruction.

Dernière fois que je l’explique.

avatar guyotlo | 

@Steve Molle

Je ne suis pas persuadé. Admettons alors.
Ou est le problème : les policiers ont besoin d'élément pour mener l'enquête, utilisent pour cela des GAV ou pas d'ailleurs et ensuite les personnes sont jugées
Si ces militants n'ont rien fait d'illégal ils seront relaxés

avatar Steve Molle | 

@guyotlo

On parle ici de la possibilité pour de simples flics de trouver les identités de militants grace à la collaboration de sociétés privées étrangères qui collaborent alors qu’aucun juge indépendant n’est impliqué dans cette affaire.

Et le monsieur trouve ça acceptable.

Pauvre pays.

Pas étonnant que Zemmour ou Castaner trouvent des adeptes.

avatar guyotlo | 

@Steve Molle

Je ne vous permet pas de me parler sur ce ton

avatar guyotlo | 

@guyotlo

Et seconde pourquoi le militants se cache s'il est dans son bon droit ?

avatar guyotlo | 

@guyotlo

Si c'est un squat c'est condamnable

avatar guyotlo | 

@guyotlo

Pauvre pays d.ultra

avatar Steve Molle | 

@guyotlo

On y vient !

« Ultra »

Appellation Typique d’un facho bien reac.

avatar guyotlo | 

@Steve Molle

Merci de ne pas m insulter
Si vous préférez extrême à ultra je rejette l'extrême droite et l'extrême gauche qui sont toutes aussi dangereuses

avatar guyotlo | 

@guyotlo

Par contre vous avez l'air d'un bon extrémiste

avatar Steve Molle | 

@guyotlo

Ça tombe bien, c’est bien l’extrême droite qui défend les pouvoirs autoritaires et crache autant que faire se peut sur la justice indépendante.

avatar David Finder | 

@Steve Molle

Aucun juge n’a signé de « mandat » ??? 😳

avatar Cyrille50 | 

Non, une procédure instruite par un juge d'instruction, notamment sur le fondement de commissions rogatoires internationales, peut donner lieu à des réquisitions de données. ces réquisitions n'impliquent le placement de personne en GAV, ni la présentation de qui que ce soit au juge d'instruction (je suis avocat de formation, et des GAV, j'en ai fait plus d'une centaine, comme avocat s'entend).

Sur le fond, je crois me souvenir que ProtonMail indique être basé en Suisse et être placé sous la législation suisse, l'une des plus rigoureuses du monde. Cela ne veut pas dire qu'un juge ne peut rien lui demander. Et cela ne veut surtout pas dire qu'elle peut se soustraire à la demande d'un juge.

Je crois que vous ne faites pas la distinction entre l'espionnage et les informations judiciaires. Le premier est totalement illégal, et c'est contre l'espionnage que des services comme ProtonMail nous protègent (qu'il soit publicitaire en vue d'un profilage, politique, syndical ou autre). Mais aucun service collectant des données ne peut sérieusement protéger ses utilisateurs contre la Justice. Et c'est NORMAL.

avatar Steve Molle | 

@Cyrille50

Personne n’a dit qu’un juge d’instruction ne pouvait PAS récolter des données. Personne.

Ce qui a été dit c’est que ce n’est probablement pas un juge d’instruction qui a œuvré dans cette affaire.

Les concernés ont été placés en GAV et non pas présentés à un juge d’instruction.

Pour le reste, certaines sociétés privées ont déjà refusé de livrer des données jugeant que les motifs avancés ou la procédure n’étaient pas suffisants : Facebook (dans cette même affaire d’ailleurs) ou Apple pour ne citer qu’eux.

avatar David Finder | 

@Steve Molle

Si l’injonction est signée par un juge, peu importe que les raisons soient politiques ou criminelles…
Donc si un juge suisse a signé une injonction pour que Proton donne les données mandatées, Proton n’a en aucun cas le droit de refuser.
La faute ne vient pas de Proton, dans ce cas effectivement purement écologique (donc politique…), mais des lois que les juges font appliquer (un juge peut refuser, mais un autre acceptera 1h plus tard…).

avatar YetOneOtherGit | 

@David Finder

"dans ce cas effectivement purement écologique (donc politique…)"

Nous ne sommes nullement face à un délit d’opinion mais sur des personnes devant répondre devant la justice d’actes délictueux 😎

Que les actions délictueuses est des motivations politiques ne change rien.

Tant de crimes ont été commis dans l’histoire sous le couvert de l’action politique pour défendre une cause.

Une société peut elle admettre la violence et le délit comme moyen d’expression des opinions ?

avatar David Finder | 

@YetOneOtherGit

J’ai compris ça. J’ai lu les articles.
Je répondais à quelque chose de précis.

avatar YetOneOtherGit | 

@David Finder

"J’ai compris ça. J’ai lu les articles. "

Comme certains ne veulent pas comprendre, une petite couche de mise en perspective ne fait pas de mal 😉

avatar David Finder | 

@YetOneOtherGit

C’est vrai 😉

avatar Steve Molle | 

@David Finder

Je parle du côté français.

Le côté suisse ne m’intéresse pas. Dans la tenue cordiale de la collaboration entre les deux gouvernements, pas étonnant que ce genre de demande ait abouti (même si on peut le regretter).

avatar YetOneOtherGit | 

@Steve Molle

"Le côté suisse ne m’intéresse pas."

Ben voyons c’est si pratique de discourir d’une affaire en décrétant que sa clé de voûte ne vous intéresse pas 🤣🤣🤣🤣

Sans l’analyse rigoureuse des motivations de la demande française et de sa compatibilité avec les lois de la si peu,démocratique Suisse, Proton n’aurait pas fourni les informations.

Mais bon c’est un détail 🤪🤪🤪

avatar Chris K | 

Je n’ai pas bien saisi…

Le chiffrement de bout en bout consiste à chiffrer sur l’appareil avant que les informations partent sur le réseau.

Là WhatsApp peut lire les messages signalés ? Comment font-ils ?

avatar Chris K | 

@Chris K

Oui ben j’ai compris… fiou c’est compliqué ce soir lol

avatar maxfremk | 

@Chris K

J’imagine que celui qui signale envoie à WhatsApp les (5 derniers) messages en clair.

avatar Chris K | 

@maxfremk

Oui oui lol

avatar Artefact3000 | 

Je pense que les pigeons voyageurs ou autres volatile savants 🦜sont plus sécuritaires. Au pire, y a l’option gratuite avec les signaux de fumée. 💨

avatar YetOneOtherGit | 

@Artefact3000

"Je pense que les pigeons voyageurs ou autres volatile savants 🦜sont plus sécuritaires. Au pire, y a l’option gratuite avec les signaux de fumée. 💨"

Dans tous ces cas le canal et ouvert et sans chiffrement du message c’est risqué.

L’on n’a pas entendu les transmission sans file pour chiffrer les messages fort heureusement.

avatar raoolito | 

@YetOneOtherGit

c'est la qu'arrive l'indestructible pigeon-ip avec une clef usb cryptée qui peut etre parfois plus rapide que de l'adsl !

avatar Hugualliaz | 

Quid de Telegram ? C’est la seule messagerie qui me paraît vraiment à part… (Signal est basée aux Etats-Unis)

avatar Tomtomrider | 

@Hugualliaz

Olvid est la seule qui me parait sécurisé plutôt. Telegram est même pas chiffré par default, avec un protocole propriétaire non open source il me semble.

avatar Hugualliaz | 

@Tomtomrider

Olvid est française donc soumise à la loi française

Telegram est basé à Dubaï je crois

avatar Tomtomrider | 

@Hugualliaz

Oui mais comme Olvid a un fonctionnement vraiment particulier je me demande ce qu’ils pourraient communiquer quand bien même on le leur demanderai. Il n’y a même pas d’annuaire.

avatar laclouis5 | 

Telegram n'est pas chiffré pour les conversation simples, les chats secret le sont de bout en bout (mais seulement les messages, pas les méta-données). Les canaux ne sont pas chiffrés et sont modérés par Telegram (signalements, ...). Telegram n'échappe pas à la loi, ils répondent régulièrement aux requêtes de la justice et ferment des canaux.

avatar karl59 | 

Certains découvrent la lune ……
C’est ainsi depuis toujours en cas de réquisitions judiciaires ils sont obligés est c’est normal.

Pareil chez apple ils veulent pas entrer dans un iPhone mais en cas de réquisitions apple fournit au autorité la dernière sauvegarde iCloud .

Par définition quand tu utilises internet tu laisse toujours des traces sauf avec certains logiciels bien spécifiques mais si les autorités le veulent ils finiront toujours pas avoir l’adresse ip public.

dura lex, sed lex

https://www.apple.com/legal/privacy/law-enforcement-guidelines-outside-us-fr.pdf

avatar Steve Molle | 

@karl59

Ce n’est pas une réquisition judiciaire mais une demande policière.

Si c’était une réquisition avec un juge d’instruction (donc un juge indépendant) les concernés n’auraient pas été en GAV.

avatar karl59 | 

@Steve Molle

Je connais pas l’affaire dans le détail car cela ne m’intéresse pas .
C’est la différence entre les fantasmes ou légendes urbaines et la réalité des faits .

Je vois pas où est le problème ni même la polémique surtout dans le contexte actuel.

Le pire c’est pour le beau discours marketing de proton .

A la fin des fin n’importe quel service dépend d’un territoire ou d’une région avec une règlementations qu’ils doivent respecter.

Je porte pas de jugement de valeur sur cette affaire juste je suis saisie que certains découvrent que l’anonymat sur internet c’est une utopie .

avatar Steve Molle | 

@karl59

Le problème justement c’est que tu ne vois pas le problème.

Tant pis. La conscience citoyenne ça ne s’improvise pas.

avatar karl59 | 

@Steve Molle

Non c’est toi qui veux pas entendre.
Encore une fois je porte pas de jugement je veux juste te dire que c’est ainsi depuis toujours.
Tout les jours tu as des demandes similaires entre les états notamment dans le cadre d’affaires criminels .

Pages

CONNEXION UTILISATEUR