ProtonMail a enregistré l’adresse IP d’un militant français après l’ordre des autorités suisses – TechCrunch


ProtonMail, un service de messagerie hébergé axé sur les communications cryptées de bout en bout, a fait l’objet de critiques après une rapport de police a montré que les autorités françaises avaient réussi à obtenir l’adresse IP d’un militant français qui utilisait le service en ligne. La société a largement communiqué sur l’incident, déclarant qu’elle n’enregistre pas les adresses IP par défaut et qu’elle se conforme uniquement à la réglementation locale – dans ce cas, la loi suisse. Alors que ProtonMail n’a pas coopéré avec les autorités françaises, la police française a envoyé une demande à la police suisse via Europol pour forcer l’entreprise à obtenir l’adresse IP d’un de ses utilisateurs.

Depuis un an, un groupe de personnes a investi une poignée de locaux commerciaux et d’appartements près de la place Sainte Marthe à Paris. Ils veulent lutter contre la gentrification, la spéculation immobilière, Airbnb et les restaurants haut de gamme. Alors qu’il a commencé comme un conflit local, il est rapidement devenu une campagne symbolique. ils ont attiré la une des journaux lorsqu’ils ont commencé à occuper les locaux loués par Le Petit Cambodge, un restaurant ciblé par les attentats terroristes du 13 novembre 2015 à Paris.

Le 1er septembre, le groupe publié un article sur Paris-luttes.info, site d’information anticapitaliste, résumant différentes enquêtes policières et affaires judiciaires contre certains membres du groupe. Selon leur récit, la police française a envoyé un Europol demande à ProtonMail afin de découvrir l’identité de la personne qui a créé un compte ProtonMail – le groupe utilisait cette adresse e-mail pour communiquer. L’adresse a également été partagée sur divers sites Web anarchistes.

Le lendemain, @MuArF sur Twitter partagé un résumé d’un rapport de police détaillant la réponse de ProtonMail. Selon @MuArF, le rapport de police est lié à l’enquête en cours contre le groupe qui occupait divers locaux autour de la place Sainte-Marthe. Il dit que la police française a reçu un message sur Europol. Ce message contient des détails sur le compte ProtonMail.

Voici ce que dit le rapport :

  • La société PROTONMAIL nous informe que l’adresse email a été créée le … L’adresse IP liée au compte est la suivante : …
  • L’appareil utilisé est un … appareil identifié par le numéro …
  • Les données transmises par la société sont limitées à celles dues à la politique de confidentialité de PROTONMAIL TECHNOLOGIES.

Le fondateur et PDG de ProtonMail, Andy Yen, a réagi au rapport de police sur Twitter sans mentionner les circonstances particulières de cette affaire en particulier. « Proton doit se conformer au droit suisse. Dès qu’un crime est commis, la protection de la vie privée peut être suspendue et la loi suisse nous oblige à répondre aux demandes des autorités suisses », a-t-il écrit.

En particulier, Andy Yen tient à préciser que son entreprise n’a coopéré ni avec la police française ni avec Europol. Il semble qu’Europol ait servi de canal de communication entre les autorités françaises et suisses. À un moment donné, les autorités suisses ont repris le dossier et ont envoyé une demande directement à ProtonMail. La société qualifie ces demandes de « demandes étrangères approuvées par les autorités suisses » dans son rapport de transparence.

TechCrunch a contacté le fondateur et PDG de ProtonMail, Andy Yen, pour lui poser des questions sur l’affaire.

Une question clé est de savoir quand exactement le titulaire du compte ciblé a été informé que ses données avaient été demandées par les autorités suisses puisque, selon ProtonMail, la notification est obligatoire en vertu du droit suisse.

Cependant, Yen nous a dit que – “pour des raisons de confidentialité et juridiques” – il n’est pas en mesure de commenter les détails spécifiques de l’affaire ou de fournir “des informations non publiques sur les enquêtes en cours”, ajoutant: “Vous devrez adresser ces enquêtes au autorités suisses.

En même temps, il nous a indiqué cette page publique, où ProtonMail fournit des informations aux autorités chargées de l’application de la loi à la recherche de données sur les utilisateurs de son service de messagerie crypté de bout en bout, notamment en définissant une « politique de notification des utilisateurs ProtonMail ».

Ici, la société réitère que la loi suisse “exige qu’un utilisateur soit informé si un tiers fait une demande pour ses données privées et que ces données doivent être utilisées dans une procédure pénale” – mais elle note également que “dans certaines circonstances” une notification « peut être retardé ».

Selon cette politique, Proton dit que les retards peuvent affecter les notifications si : Il y a une interdiction temporaire de notification par le processus juridique suisse lui-même, par une décision de justice suisse ou « la loi suisse applicable » ; ou lorsque « sur la base des informations fournies par les forces de l’ordre, nous pensons, à notre entière discrétion, que la notification pourrait créer un risque de blessure, de mort ou de dommage irréparable pour un individu ou un groupe d’individus identifiables ».

“En règle générale, cependant, les utilisateurs ciblés seront finalement informés et auront la possibilité de s’opposer à la demande de données, soit par ProtonMail, soit par les autorités suisses”, ajoute la politique.

Ainsi, dans le cas spécifique, il semble probable que ProtonMail était soit en vertu d’un ordre juridique pour retarder la notification au titulaire du compte – étant donné ce qui semble s’être écoulé jusqu’à huit mois entre l’ouverture de la journalisation et la divulgation de celle-ci – ou il avait reçu informations des autorités suisses qui l’ont amenée à conclure que le report de la notification était essentiel pour éviter un risque de « blessure, mort ou dommage irréparable » à une ou plusieurs personnes (NB : on ne sait pas ce que « dommage irréparable » signifie dans ce contexte, et si elle pouvait être interprétée au sens figuré — comme un « dommage » aux intérêts d’une personne/d’un groupe, par exemple, comme une enquête criminelle, pas uniquement des lésions corporelles — ce qui rendrait la politique considérablement plus large).

Dans l’un ou l’autre scénario, le niveau de transparence accordé aux individus par la loi suisse ayant une obligation de notification lorsque les données d’une personne ont été demandées semble sévèrement limité si les mêmes autorités légales peuvent, essentiellement, bâillonner les notifications – potentiellement pendant de longues périodes (apparemment plus de la moitié un an dans ce cas précis).

Les divulgations publiques de ProtonMail enregistrent également une augmentation alarmante des demandes de données par les autorités suisses.

Selon son rapport de transparence, ProtonMail a reçu 13 commandes des autorités suisses en 2017 – mais ce chiffre est passé à plus de trois mille cinq cents (3 572 !) D’ici 2020.

Le nombre de demandes étrangères adressées aux autorités suisses qui sont en cours d’approbation a également augmenté, mais pas aussi fortement – ProtonMail déclarant avoir reçu 13 demandes de ce type en 2017 – pour atteindre 195 en 2020.

La société affirme qu’elle se conforme aux demandes légitimes de données d’utilisateurs, mais elle affirme également qu’elle conteste les commandes lorsqu’elle ne pense pas qu’elles soient légales. Et ses rapports montrent une augmentation des commandes contestées – avec ProtonMail contestant trois commandes en 2017, mais en 2020, il a repoussé 750 des demandes de données qu’il a reçues.

Par ProtonMail’s politique de confidentialité, les informations qu’il peut fournir sur un compte d’utilisateur en réponse à une demande valide en vertu du droit suisse peuvent inclure des informations de compte fournies par l’utilisateur (telles qu’une adresse e-mail) ; activité/métadonnées du compte (telles que les adresses e-mail de l’expéditeur, du destinataire ; les adresses IP d’où proviennent les messages entrants ; les heures auxquelles les messages ont été envoyés et reçus ; les sujets des messages, etc. ); nombre total de messages, stockage utilisé et heure de la dernière connexion ; et les messages non cryptés envoyés par des fournisseurs externes à ProtonMail. En tant que fournisseur de courrier électronique chiffré de bout en bout, il ne peut pas déchiffrer les données de courrier électronique et est donc incapable de fournir des informations sur le contenu du courrier électronique, même lorsqu’il est signifié avec un mandat.

Cependant, dans son rapport de transparence, l’entreprise signale également une couche supplémentaire de collecte de données qu’elle peut être (légalement) obligée d’effectuer – en écrivant que: “En plus des éléments énumérés dans notre politique de confidentialité, dans les cas criminels extrêmes, ProtonMail peut également être obligé de surveiller les adresses IP qui sont utilisées pour accéder aux comptes ProtonMail qui sont impliqués dans des activités criminelles.

En général cependant, à moins que vous ne soyez basé à 15 milles au large dans les eaux internationales, il n’est pas possible d’ignorer les décisions de justice. Andy Yen

C’est ce composant de surveillance IP qui a suscité tant d’inquiétude parmi les défenseurs de la vie privée à l’heure actuelle – et ce n’est pas une petite critique des allégations marketing de Proton en tant qu’entreprise « centrée sur la confidentialité des utilisateurs ».

Il a été particulièrement critiqué pour les allégations marketing de fourniture d’un « e-mail anonyme » et pour le libellé de la mise en garde dans sa divulgation de transparence – où il parle de la journalisation IP ne se produisant que dans des « cas criminels extrêmes ».

Peu de gens conviendraient que les militants anti-gentrification respectent cette barre.

En même temps, Proton fournit aux utilisateurs une adresse d’oignon – ce qui signifie que les militants préoccupés par le suivi peuvent accéder à son service de messagerie crypté à l’aide de Tor, ce qui rend plus difficile le suivi de leur adresse IP. Il fournit donc aux utilisateurs des outils pour se protéger contre la surveillance IP (ainsi que protéger le contenu de leurs e-mails contre l’espionnage), même si son propre service peut, dans certaines circonstances, être transformé en outil de surveillance IP par la loi suisse. mise en vigueur.

Dans le contrecoup de la révélation de la journalisation IP des militants français, Yen a déclaré via Twitter que ProtonMail fournirait un lien plus important vers son adresse oignon sur son site Web :

Proton propose également son propre service VPN – et Yen a affirmé que la loi suisse ne lui permet pas d’enregistrer les adresses IP de ses utilisateurs VPN. Il est donc intéressant de se demander si les militants auraient pu échapper à la journalisation IP s’ils avaient utilisé à la fois le courrier électronique crypté de bout en bout de Proton et son service VPN…

“S’ils utilisaient Tor ou ProtonVPN, nous aurions pu fournir une adresse IP, mais ce serait l’adresse IP du serveur VPN ou l’adresse IP du nœud de sortie Tor”, a déclaré Yen à TechCrunch lorsque nous l’avons interrogé à ce sujet.

“Nous protégeons contre ce modèle de menace via notre site Onion (protonmail.com/tor)”, a-t-il ajouté. “En général, cependant, à moins que vous ne soyez basé à 15 milles au large dans les eaux internationales, il n’est pas possible d’ignorer les ordonnances du tribunal.”

« Le système juridique suisse, bien qu’il ne soit pas parfait, offre un certain nombre de freins et de contrepoids, et il convient de noter que même dans ce cas, l’approbation de trois autorités dans deux pays était requise, et c’est une barre assez haute qui empêche la plupart (mais pas tous) abus du système.

Dans un réponse du public sur Reddit, Proton écrit également qu’il est “profondément préoccupé” par l’affaire – réitérant qu’il n’a pas pu contester l’ordonnance dans ce cas.

“Les poursuites dans cette affaire semblent assez agressives”, a-t-il ajouté. « Malheureusement, c’est un modèle que nous avons de plus en plus observé ces dernières années dans le monde (par exemple en France où les lois antiterroristes sont utilisées de manière inappropriée). Nous continuerons à faire campagne contre de telles lois et abus.

Zoom arrière, dans un autre développement inquiétant qui pourrait menacer la vie privée des internautes en Europe, les législateurs de l’Union européenne ont indiqué qu’ils voulaient travailler pour trouver des moyens de permettre un accès légal aux données cryptées – même s’ils prétendent simultanément prendre en charge un cryptage fort.

Encore une fois, les militants de la protection de la vie privée sont inquiets.

ProtonMail et un certain nombre d’autres services cryptés de bout en bout avertis dans une lettre ouverte en janvier que les législateurs de l’UE risquent de mettre la région sur une voie dangereuse vers le cryptage par porte dérobée s’ils continuent dans cette direction.





Source link