Protonmail livre finalement les adresses IP de militants écolos objets d’une enquête à Paris

Thibaut Keutchayan

17 septembre 2021 à 18h24

La messagerie cryptée ProtonMail est au coeur de la tourmente après qu'une collaboration entre autorités françaises et suisses ait conduit la firme helvète à devoir fournir certaines informations à propos d'utilisateurs et utilisatrices.

Le collectif « Youth For Climate », qui échangeait par le biais de ce service de messagerie cryptée, fait l'objet d'une enquête consécutive à l'occupation de certains lieux du quartier Sainte-Marthe, à Paris.

Ce n'est pas le contenu d'e-mails qui est demandé par les autorités françaises

La firme suisse Proton Technologies se trouve au coeur d'une sacrée polémique. Au départ, l'entreprise est principalement connue pour avoir mis au point et commercialisé le service de messagerie chiffrée ProtonMail, qui permet, en théorie, de garantir un haut niveau de confidentialité concernant le contenu échangé par le biais du service. Mais voilà, Proton Technologies n'est pas au dessus des lois.

Twitter tweet

Tout part d'une enquête dirigée par la police française à l'encontre de plusieurs individus se réclamant du collectif « Youth For Climate », consécutive à plusieurs semaines d'occupation au sein du quartier Sainte-Marthe, à Paris, qui auraient eu pour conséquences divers vols et dégradations.

Ayant pour objectif de rejeter une politique de gentrification menée au sein de Sainte-Marthe, les actions ont notamment conduit divers individus au cœur de l'enquête à échanger par le biais de ProtonMail. Une pratique remarquée par la police, qui a souhaité en savoir davantage sur certaines personnes ciblées.

Proton Technologies ne fait que se conformer à la loi

Mais Proton Technologies, la société pourvoyant le service, n'est pas française, mais suisse. Par le biais d'une requête transmise à EUROPOL, la police française a ainsi souhaité connaitre l'identité du créateur d'un compte du collectif, les adresses IP ainsi que l'empreinte du, voire des, appareil(s) utilisé(s).

Autant de données que la société est forcée de transmettre. Comme le précise Proton Technologies dans un post publié sur le blog de ProtonMail en date du 6 septembre 2021 : « En règle générale stricte, ProtonMail ne se conforme qu'aux ordres juridiquement contraignants qui ont été approuvés par les autorités suisses. De plus, en vertu de l'article 271 du Code pénal suisse, le fait de se conformer à des demandes étrangères qui n'ont pas été approuvées par les autorités suisses constitue un délit. »

La firme poursuit : « Par conséquent, ProtonMail ne se conforme qu'à deux types d'ordres : les ordres des autorités suisses et les demandes étrangères dûment instruites et validées par les autorités suisses dans le cadre d'une procédure d'entraide judiciaire internationale et jugées conformes au droit suisse. »

Twitter tweet

Comme les autorités suisses ont approuvé la demande de leurs homologues français, ProtonMail a donc été contraint de transmettre l'ensemble des informations demandées. Le contenu des mails n'en ferait pas partie, celui-ci étant crypté de bout en bout. Mais pour ce qui est par exemple des adresses IP, si ProtonMail ne collecte pas de données à ce propos par défaut, elle peut y recourir lorsque les autorités le demandent. Vous aurez donc beau utiliser un service de messagerie crypté, certaines de vos données ne pourront échapper aux enquêtes judiciaires.

Sources : Twitter , ProtonMail , Collectif Secours Rouge

Commentaires (31)

soaf78

En espérant qu’ils avaient un vpn…

jvachez

Donc un service nolog peut activer les log à la demande de la justice ?

ultrabill

Protonmail a des obligations de conservation des journaux (qualité et durée). Ce n’est pas incompatible avec une offre « sans collecte de données » car ces journaux n’ont pas d’utilité commerciale.

Droz

On peut le prendre dans le sens qu’on veut ils ont menti.

titus72

Dada Protonmail, Mailfence propose la même chose, je passe chez eux!

exoje

N’importe quel service similaire est soumis aux lois du pays où ils résident, n’importe quelle entreprise aurait coopérer, tu ne vas pas à l’encontre des lois quand ton nom est inscrit en gras sur internet.

avandoorine

Un service nolog soyons honnête ca n’existe pas et ca n’existera jamais. Ne serait-ce que pour l’administration d’un système, la protection contre d’éventuelle attaque, … N’importe quel système conservera des logs plus ou moins détaillés pour a minima assuré son fonctionnement.

ultrabill

Droz: On peut le prendre dans le sens qu’on veut ils ont menti. Non.

Agikyw

C’est tout à fait normal - et d’ailleurs très positif - que Proton Mail se conforme à une décision de justice. Ce qui me choque plus ce sont les commentaires Twitter insinuant qu’ils n’auraient pas dû le faire.

lithium

Il y a une différence entre obéir à l’ordonnance d’un tribunal et répondre aux demandes de la moindre administration, voir connecter directement la NSA/DGSI/whatever en live.

Squeak

Service de messagerie sécurisée ne signifie pas passer outre la loi tout simplement. Je trouve ça normal aussi qu’en cas d’enquête un service se doit de fournir toute information qui pourrait être utile dans ce cadre. Ce qui est désolant, c’est surtout quand ce genre de services a mauvaise réputation justement à cause des personnes qui l’utilisent à mauvais escient.

Nervantoss

ils auraient du utiliser telegram. Ironiquement c’est en passant par un service Russe que votre privé sera surement le mieux protégé. Dans l’activisme politique c’est toujours le gouvernement ou vous résidez qui peut vous causer des ennuie si vos n’allez pas dans le sens de ses intérêts.

jeanlucesi

Cet article « tombe » bien . J’avais l’intention de prendre un VPN Suisse mais là c’est fini plus d’intention.

jcc137

La vie devient difficile pour les gens malintentionnés. Mais pour eux seulement… Proton mail a décidé de ne pas devenir un repère de brigands et on lui tire dessus à boulets rouges. C’est pourtant la loi, et cela s’est toujours fait, tout comme lorsque la police demande une géolocalisation pour laquelle tous les fournisseurs coopèrent, et personne n’a jamais trouvé à redire.

newseven

Messagerie cryptée . Est-ce que Proton technologie va donner les clés où c’est des clés customisées par l’utilisateur. Bonne chance pour le décodage surtout si c’est une clé de 512 bits. Ou encore si Proton technologie garde en stock les donnés des utilisateurs ? Pratiquement tout site internet fait déjà de la géolocalisation des visiteurs donc plus on est de fous, plus on rit Bravo Nervantoss pour ton commentaire c’est tellement vrai

Popoulo

Les gens qui pensent être anonymes en utilisant… internet.

wellsofine

Voici ce qui est proposé aux utilisateurs, et c’est précisé dans leur présentation: « Aucun accès aux données de l’utilisateur », l’adresse IP est une donnée utilisateur, ils ont trahis leur engagemen et trompé des utilisateurs On ne saurait que trop conseiller l’utilisation d’un VPN, mais pas celui qui est proposé chez protonmail

darkkanga

Bonjour, Il y a deux jours Protonmail indiquait sur son site (page d’accueil) ne pas lier l’IP aux comptes. Cette information n’apparait plus par contre il parle d’utiliser Tor. Protonmail induisait ses clients en erreur avec ces fausses déclarations en page d’acceuil. Protect Your Privacy No personal information is required to create your secure email account. By default, we do not keep any IP logs which can be linked to your anonymous email account. Your privacy comes first.

ultrabill

darkkanga: No personal information is required to create your secure email account. By default, we do not keep any IP logs which can be linked to your anonymous email account. Your privacy comes first. Le diable se cache dans les détails : « By default »

darkkanga

Bonjour, Je suis d’accord mais l’idée et ce qui est mis en avant c’est de ne pas lier le compte à l’IP. Cette affaire ne va pas leur faire de la publicité.

Popoulo

Ces activistes étaient sous le coup d’une enquête, raison pour laquelle Protonmail a été obligé de log les IP et les fournir aux autorités suisses. Les 3/4 n’ont strictement rien compris… Encore moins le twitter au qi d’huitre alias Onestla.tech.

heauton

D’une certaine manière, c’est logique. Une autorité existe pour que la loi soit pour tous et chacun. Secondement, naïf si je pense que jamais, jamais, jamais l’électronique sera protectrice.

UpsiloNIX

@newseven Chiffrée* ( https://chiffrer.info/ ) Il suffit d’aller sur le site de proton pour savoir comment ça fonctionne, la clé privée est générée côté client, puis chiffrée avec le mot de passe de l’utilisateur avant d’être stockée sur leur serveur. Dans l’article il est bien précisé que les mails (chiffrés) ne seront pas fournis aux autorités mais uniquement les IPs de connexion. Dans le scénario où Proton donnerait les mails : 1/ Sans les clé privées, il faut être capable de casser un AES-256 => Théoriquement impossible aujourd’hui 2/ Avec clé privée ==> Il faut casser la clée en trouvant la passphrase, si les mecs sont malin et ont un clé d’entropie supérieure à 128bits, pareil, impossible aujourd’hui, s’ils ont leur date de naissance en passphrase ce sera cassé en quelques heures. Une clé de 512 bits ?? De quoi tu parles, l’AES n’existe pas avec une taille de clé supérieure à 256 (et sont déjà largement suffisant pour du symétrique), et le RSA en 512 est pété depuis longtemps (1028 est considéré comme faible, aujourd’hui on vise 2048 voire 4096). Une longueur de clé sans l’algo associé n’a que peu de valeur sécuritaire.

Araldwenn

@jeanlucesi Les VPN en Suisse ne sont pas soumis aux mêmes obligations légales que les services de messagerie.

Araldwenn

@jcc137 La vie devient difficile pour tout le monde… Depuis quand utilise-t-on des lois anti-terroristes pour des affaires concernant des militants écologistes ? A quand l’utilisation de ces même lois pour « pratique d’une religion dont l’état ne veut pas entendre parler » ? Je pense que dans cette affaire, on « tire à boulets rouges » sur les mauvaises personnes. Alors oui, pour l’instant en France, nous sommes dans un pays encore un tout petit peu démocratique, mais le jour où un taré se retrouvera au pouvoir, il aura déjà tous les outils en main pour faire absolument tout ce qu’il veut. Quand le peuple aura compris que toutes ces « petites privations de liberté - mais moi je n’ai rien à cacher » nous entrainent vers une vie à la 1984 de George Orwell… Continuons à encourager toutes ces atteintes à notre vie privée, et bientôt nous n’en aurons plus.

petitpadawan

La question que je me pose c’est : Est ce que s’ils utilisaient proton mail et proton vpn cela couvrait leur adresse IP ou alors les deux services appartenant à la même entreprise, les autorités n’ont besoin que d’une demande pour les deux ? Ce qui impliquerai qu’il faudrait un vpn indépendant…

Araldwenn

Comme je le disais plus haut, les VPN ne sont pas soumis aux mêmes obligations légales que les services de messagerie… Donc tout ce que proton mail aurait donné suite à l’injonction, c’est l’adresse IP du VPN… Et en cas de demande, proton VPN aurait dit m…

lithium

Vie privée protégée ? aux yeux des autorités occidentales certainement mais pas à ceux des services russes ni de leurs alliés. Le scandale créé par Snowden a bien fait rire Poutine, Jinping et Kim Jong. Ensuite pour qu’une ordonnance d’un tribunal d’un pays européen soit acceptée par les autorités suisses, il faut que l’affaire soit d’ordre criminelle, grave. Donc si vous craignez pour vos données chez Proton, j’aimerais pas être ami avec vous.

Clubux

Bonsoir, Content que la majorité soit scandalisé par un tel mensonge. Militant dans des assos, j’ai jusqu à présent prôné l’utilisation de protonmail et je voulais prendre protonVPN. Maintenant je vais aller voir tutanota qui me semble plus strict. A tout les légalistes à tout crin. Heureusement que des activistes ont menés des actions illégales pour faire avancer le droit des femmes, des minorités, des homosexuels … Les actes légitimes mais ponctuellement illégaux doivent pouvoir être protégés. Comme ce n’est pas par la loi, il est nécessaire de trouver d’autres moyens en France comme en Chine !

lithium

Je viens de survoler rapidement l’affaire du squat de Ste Marthe et ça semble beaucoup plus compliqué que quelques gentils écolos. De ce que j’ai lu certains voudraient en faire une ZAD au coeur de Paris et des violences de tous genres apparaissent de toutes parts (locataire du local, extrême droite et ZADistes). Il ne s’agit pas de terrorisme mais l’affaire est quand même sérieuse et ça va au delà d’un simple militantisme. Et ce n’est pas ponctuel, ça fait 1 an que ça dur

sandalfo

Si tu as un VPN : Une fois que la police a l’IP qui relie le compte au VPN, si c’est un VPN européen ils demandent les logs par voie légale et ils retrouvent la personne. Si c’est un VPN non européen c’est peut-être plus difficile, mais on n’y a pas avantage au niveau des perf.

GRITI

Et avec double multihop comme le proposent certains VPN + TOR ça doit être plus compliqué non? Ou c’est pareil?

lithium

TOR n’est pas inviolable non plus mais les ressources à mettre en œuvre pour tracer des communication dans l’oignon sont telles qu’elles sont utilisé que pour des groupes de criminels organisés. Si vous êtes membre d’un groupe activiste, journaliste, chercheurs, … qui ne commettent pas de délits graves ou de crimes vous êtes protégé par les VPN et services chiffrés européens ou suisses. Si vous comptez commettre des actes d’ordre criminels alors oui il vaut mieux vous tourner vers la russie et la chine. Et si vos intentions peuvent déstabiliser les gouvernements occidentaux vous y serez accueillis comme des princes.

Voir tous les messages sur le forum