1 pièce(s) jointe(s)
ProtonMail a répondu à 5 957 demandes visant à divulguer des données d'utilisateurs aux autorités en 2022
ProtonMail a transmis à la police l'adresse IP d'un militant français pour le climat suite à une décision de justice en Suisse,
ce qui a conduit à son arrestation
ProtonMail est un service de messagerie chiffré qui s’est bâti une réputation centrée sur la protection de la confidentialité et la sécurité des e-mails. Le site a connu un essor rapide et compte désormais plus de 20 millions d’usagers. En open source et automatiquement chiffré de bout en bout, Protonmail est particulièrement apprécié par les militants.
Pourtant, cela ne l’a pas empêché de fournir à la police l’adresse IP de militants engagés à Youth for Climate. Depuis un an, ces derniers font l’objet d’une surveillance massive après avoir occupé un local dans le quartier de la place Sainte-Marthe, à Paris. Dans le cadre de cette enquête, la police française a envoyé via Europol (l’agence européenne de police criminelle) une demande d’information à ProtonMail, la boite mail utilisée par le collectif. L’entreprise a donc transmis aux autorités suisses (qui ont validé la demande) l’adresse IP des comptes concernés.
En effet, le 5 septembre, le site SecoursRouge a rapporté les informations suivantes :
« Quelques 20 personnes ont été arrêtées, trois perquisitions ont été menées et plusieurs personnes ont été condamnées à des peines de prison avec sursis ou à des amendes de plusieurs milliers d’euros. Par ailleurs, sept personnes passent en procès début 2022 pour « vol et dégradation en réunion et violation de domicile » suite à l’occupation d’un avec un dossier de plus de 1000 pages. » Durant l’enquête, les policiers se sont concentrés sur le collectif « Youth For Climate ». Ils ont notamment pu exploiter des photos publiées sur Instagram et ce même si elles étaient floutées à cause des vêtements.
« Les policiers ont également remarqué que le collectif communiquait via une adresse mail Protonmail. Ils ont donc adressé une réquisition (via EUROPOL) à l’entreprise suisse gestionnaire de la messagerie afin de connaître l’identité du créateur de l’adresse. Protonmail a répondu à cette réquisition en communiquant l’adresse IP ainsi que l’empreinte du navigateur utilisé par le collectif. Il est donc impératif de passer par le réseau tor (ou au minimum un VPN) lorsque vous utilisez une boite mail Protonmail (ou une autre boite mail sécurisée) si vous voulez garantir une sécurité suffisante ».
C'est la question des adresses IP qui a été à l'origine des critiques. En effet, sur son site, l’entreprise affirme que :
« contrairement aux services concurrents, nous n'enregistrons aucune information de suivi. Par défaut, nous n'enregistrons pas les métadonnées telles que les adresses IP utilisées pour se connecter à des comptes. Comme nous n'avons aucun moyen de lire les courriels chiffrés, nous ne délivrons pas de messages publicitaires ciblés. Afin de protéger la confidentialité des utilisateurs, ProtonMail ne nécessite aucune information personnelle identifiable pour s'inscrire ».
Si, « par défaut, elle n’enregistre aucune métadonnée telle que l’adresse IP utilisée pour se connecter à son compte », comment les adresses IP des militants et militantes ont-elles pu être transmises à la justice ?
Tout est dans « par défaut ». Le service a expliqué que « Si nous recevons un ordre juridique concernant un compte spécifique, nous pouvons être obligés de le surveiller. » En accord avec les autorités françaises, la justice suisse a demandé à Proton de surveiller l’activité de certains comptes. Contraint par le département fédéral de justice et police suisse (DFJP), Proton a donc commencé à enregistrer les adresses IP de ces comptes-là. Le service y a d'ailleurs consacré un billet.
La réaction de ProtonMail
Nous souhaitons apporter des éclaircissements importants concernant le cas du militant pour le climat qui a été récemment arrêté par la police française pour des accusations criminelles. Nous sommes également profondément préoccupés par cette affaire et déplorons que les outils juridiques pour les crimes graves soient utilisés de cette manière. Dans un souci de transparence, nous aimerions fournir un contexte supplémentaire.
Dans ce cas, Proton a reçu un ordre juridiquement contraignant des autorités suisses auquel nous sommes tenus de nous conformer. Il n'y avait aucune possibilité de faire appel de cette demande particulière.
Comme détaillé dans notre rapport de transparence, notre modèle de menace publié, ainsi que notre politique de confidentialité, en vertu de la loi suisse, Proton peut être contraint de collecter des informations sur des comptes appartenant à des utilisateurs faisant l'objet d'une enquête pénale suisse. Ce n'est évidemment pas fait par défaut, mais seulement si Proton obtient une commande légale pour un compte spécifique.
Nous souhaitons apporter les précisions suivantes :
- En aucun cas, notre chiffrement ne peut être contourné, ce qui signifie que les e-mails, pièces jointes, calendriers, fichiers, etc. ne peuvent être compromis par des ordres juridiques.
- ProtonMail ne donne pas de données aux gouvernements étrangers ; c'est illégal en vertu de l'article 271 du Code pénal suisse. Nous nous conformons uniquement aux ordres juridiquement contraignants des autorités suisses.
- Les autorités suisses n'approuveront que les demandes qui répondent aux normes juridiques suisses (la seule loi qui compte est la loi suisse)
- La transparence avec notre communauté d'utilisateurs est extrêmement importante pour nous. Depuis 2015, nous publions un rapport de transparence faisant connaître la manière dont nous traitons les demandes des forces de l'ordre suisses.
- En vertu de la loi suisse, il est obligatoire pour un utilisateur d'être informé si un tiers fait une demande pour ses données privées et que ces données doivent être utilisées dans une procédure pénale.
- En vertu de la loi suisse actuelle, les e-mails et VPN sont traités différemment, et ProtonVPN ne peut pas être contraint d'enregistrer les données des utilisateurs.
- En raison de la stricte confidentialité de Proton, nous ne connaissons pas l'identité de nos utilisateurs, et à aucun moment nous n'étions au courant que les utilisateurs ciblés étaient des militants du climat. Nous savons seulement que la commande de données du gouvernement suisse est passée par des canaux généralement réservés aux crimes graves.
- Il n'y avait aucune possibilité légale de résister ou de combattre cette demande particulière.
Utiliser Tor pour un accès anonyme
Il y a une différence entre sécurité/confidentialité et anonymat. Comme nous l'avons écrit dans notre modèle de menace publique (publié en 2014), « Internet n'est généralement pas anonyme, et si vous enfreignez la loi suisse, une entreprise respectueuse de la loi telle que ProtonMail peut être légalement obligée d'enregistrer votre adresse IP. Cela ne peut pas être modifié en raison du fonctionnement d'Internet. Cependant, nous comprenons que cela est préoccupant pour les personnes présentant certains modèles de menace, c'est pourquoi depuis 2017, nous proposons également un site en oignon pour un accès anonyme (nous sommes l'un des seuls fournisseurs de messagerie à prendre en charge cela). »
Il y a des lois pires que la loi suisse
Quel que soit le service que vous utilisez, à moins qu'il ne soit basé à 15 milles au large dans les eaux internationales, l'entreprise devra se conformer à la loi. Le système juridique suisse, bien qu'il ne soit pas parfait, offre un certain nombre de freins et contrepoids, et il convient de noter que même dans ce cas, l'approbation de 3 autorités dans 2 pays était requise, et c'est une barre assez haute qui empêche la plupart (mais évidemment pas tous) abus du système. En vertu de la loi suisse, il est également obligatoire pour le suspect d'être informé que ses données ont été demandées, ce qui n'est pas le cas dans la plupart des pays. Enfin, la Suisse n'aidera généralement pas les poursuites engagées dans des pays dépourvus de systèmes de justice équitables.
Source : ProtonMail
Et vous ?
:fleche: Utilisez-vous un service de messagerie chiffré en général ou ProtonMail en particulier ?
:fleche: Qu'en pensez-vous ?
:fleche: Quelle lecture faites-vous de la situation ?
1 pièce(s) jointe(s)
ProtonMail a supprimé « nous n'enregistrons pas les métadonnées telles que les adresses IP » de sa politique
ProtonMail a supprimé « nous n'enregistrons pas les métadonnées telles que les adresses IP » de sa politique de confidentialité,
et annoncé que Sir Tim Berners-Lee rejoint le conseil consultatif
ProtonMail est un service de messagerie chiffré qui s’est bâti une réputation centrée sur la protection de la confidentialité et la sécurité des emails. Le site a connu un essor rapide et compte désormais plus de 20 millions d’usagers. En open source et automatiquement chiffré de bout en bout, Protonmail est particulièrement apprécié par les militants.
Pourtant, cela ne l’a pas empêché de fournir à la police l’adresse IP de militants engagés à Youth for Climate. Depuis un an, ces derniers font l’objet d’une surveillance massive après avoir occupé un local dans le quartier de la place Sainte-Marthe, à Paris. Dans le cadre de cette enquête, la police française a envoyé via Europol (l’agence européenne de police criminelle) une demande d’information à ProtonMail, la boite mail utilisée par le collectif. L’entreprise a donc transmis aux autorités suisses (qui ont validé la demande) l’adresse IP des comptes concernés.
Il faut préciser que sur son site, l'entreprise affirmait : « contrairement aux services concurrents, nous n'enregistrons aucune information de suivi. Par défaut, nous n'enregistrons pas les métadonnées telles que les adresses IP utilisées pour se connecter à des comptes. Comme nous n'avons aucun moyen de lire les courriels chiffrés, nous ne délivrons pas de messages publicitaires ciblés. Afin de protéger la confidentialité des utilisateurs, ProtonMail ne nécessite aucune information personnelle identifiable pour s'inscrire ».
Après avoir fourni les métadonnées de l'activiste aux autorités suisses, ProtonMail a supprimé la section qui promettait l'absence de journaux IP, la remplaçant par une autre disant : « ProtonMail est un courrier électronique qui respecte la vie privée et donne la priorité aux personnes (pas aux annonceurs) ».
« Par défaut »
Comme d'habitude, le diable est dans les détails : la politique d'origine de ProtonMail disait simplement que le service ne conserve pas les journaux IP « par défaut ». Cependant, en tant qu'entreprise suisse elle-même, ProtonMail a été obligée de se conformer à une injonction d'un tribunal suisse lui demandant de commencer à enregistrer les informations d'adresse IP et d'empreinte numérique du navigateur pour un compte ProtonMail particulier.
D'ailleurs, le service a expliqué que « Si nous recevons un ordre juridique concernant un compte spécifique, nous pouvons être obligés de le surveiller. » En accord avec les autorités françaises, la justice suisse a demandé à Proton de surveiller l’activité de certains comptes. Contraint par le département fédéral de justice et police suisse (DFJP), Proton a donc commencé à enregistrer les adresses IP de ces comptes-là. Le service y a d'ailleurs consacré un billet.
Ce compte était exploité par la branche parisienne de Youth for Climate, que Wikipedia décrit comme étant un mouvement inspiré de Greta Thunberg :
« un mouvement citoyen implanté en Belgique et en France, s'inscrivant dans l'initiative Fridays for Future initiée par la militante écologiste Greta Thunberg dans le cadre de la lutte contre le réchauffement climatique. Le mouvement, lancé par deux étudiantes belges, est à l'origine de plusieurs grèves scolaires pour le climat en Belgique entre janvier et mai 2019. Il apparaît en France en février 2019 ».
Selon plusieurs déclarations de ProtonMail publiées lundi, la société ne pouvait pas faire appel de la demande suisse de journalisation IP sur ce compte. Le service n'a pas pu faire appel parce qu'une loi suisse avait été enfreinte selon les autorités et parce que des « outils juridiques pour les crimes graves » ont été utilisés. ProtonMail ne pense pas que les outils étaient appropriés pour le cas en question, mais la société était néanmoins légalement responsable de se conformer à leur utilisation.
Utilisation de Tor
En plus de supprimer la référence trompeuse (bien que techniquement correcte) à sa politique de journalisation « par défaut », ProtonMail s'est engagé à souligner l'utilisation du réseau Tor auprès des militants :
« Il y a une différence entre sécurité/confidentialité et anonymat. Comme nous l'avons écrit dans notre modèle de menace publique (publié en 2014), « Internet n'est généralement pas anonyme, et si vous enfreignez la loi suisse, une entreprise respectueuse de la loi telle que ProtonMail peut être légalement obligée d'enregistrer votre adresse IP ». Cela ne peut pas être modifié en raison du fonctionnement d'Internet. Cependant, nous comprenons que cela est préoccupant pour les personnes présentant certains modèles de menace, c'est pourquoi depuis 2017, nous proposons également un site en oignon pour un accès anonyme (nous sommes l'un des seuls fournisseurs de messagerie à prendre en charge cela) ».
L'utilisation de Tor pour accéder à ProtonMail peut accomplir ce que ProtonMail lui-même ne peut légalement : l'obscurcissement des adresses IP de ses utilisateurs. Étant donné que le réseau Tor lui-même cache l'origine du réseau des utilisateurs avant que les paquets n'atteignent ProtonMail, même une assignation valide ne peut pas permettre d'obtenir ces informations de ProtonMail, car l'entreprise ne reçoit jamais les données en premier lieu.
Il convient de noter que l'anonymat offert par Tor repose sur des moyens techniques et non sur des politiques, une situation qui pourrait servir d'exemple classique d'épée à double tranchant. Si une agence gouvernementale ou une autre menace peut compromettre les nœuds Tor que votre trafic traverse d'une manière qui lui offre un moyen de suivre les origines, aucune politique n'empêche ledit gouvernement de le faire ou d'utiliser ces données à des fins d'application de la loi.
ProtonMail exploite également un service VPN appelé ProtonVPN et souligne que la loi suisse interdit aux tribunaux du pays d'obliger un service VPN à enregistrer les adresses IP. En théorie, si Youth for Climate avait utilisé ProtonVPN pour accéder à ProtonMail, le tribunal suisse n'aurait pas pu forcer le service à exposer sa « vraie » adresse IP. Cependant, la société semble pencher davantage pour recommander Tor à cette fin particulière.
Sir Tim Berners-Lee rejoint le conseil consultatif de ProtonMail
La nouvelle a été annoncée dans un billet :
Nous sommes fiers et honorés d'annoncer que Sir Tim Berners-Lee, ancien collègue scientifique de l'Organisation européenne pour la recherche nucléaire (CERN) et inventeur du World Wide Web, rejoindra le conseil consultatif de Proton.
Notre vision est de construire un Internet où la confidentialité est la valeur par défaut en créant un écosystème de services accessibles à tous, partout, tous les jours. C'est ce qui motive tout ce que nous faisons, de notre développement de services transparents et cryptés à notre plaidoyer pour de meilleures lois sur la protection des données.
Nos produits offrent un choix viable pour que les gens n'aient pas à compromettre leur vie privée sur Internet. Notre premier produit, ProtonMail, est désormais le plus grand service de messagerie chiffré au monde, et les produits ultérieurs, tels que ProtonVPN, Proton Calendar et Proton Drive, exploitent le même chiffrement avancé qui donne à nos utilisateurs le choix sur comment et avec qui leurs données sont partagées. .
Le désir de créer un Internet qui sert les intérêts de tous est partagé par Sir Tim, qui travaille depuis plus de 30 ans pour rendre le Web plus sûr, responsabilisant et véritablement pour tous. Après avoir inventé le World Wide Web en 1989, Sir Tim a fondé le World Wide Web Consortium en 1994 pour garantir des normes Web accessibles, internationales, privées et sécurisées. Plus récemment, à travers son travail avec la World Wide Web Foundation, qu'il a cofondée en 2009, et son contrat pour le Web, Sir Tim a plaidé pour la mise en place de protections universelles des données Internet et d'une plus grande accessibilité à Internet.
Le fait que Sir Tim rejoigne notre conseil consultatif est un clin d'œil à notre passé commun au CERN, où nous avons conçu l'idée initiale de ProtonMail, et à notre avenir. Lorsque Sir Tim a inventé le World Wide Web, il a créé un nouveau média par lequel les gens pouvaient se connecter les uns aux autres. Cela a changé le monde. Nous avons un objectif tout aussi audacieux : nous voulons créer un Internet où les gens contrôlent leurs informations à tout moment. Cela rend Sir Tim particulièrement apte à comprendre Proton et à nous conseiller alors que nous essayons de réaliser cette vision ambitieuse.
« Je suis ravi de rejoindre le conseil consultatif de Proton et de soutenir Proton dans son parcours. Je suis un fervent partisan de la confidentialité, et les valeurs de Proton visant à donner aux gens le contrôle de leurs données sont étroitement alignées sur ma vision du Web à son plein potentiel », a déclaré Sir Tim.
Plus de 50 millions de personnes dans le monde ont souscrit à Proton pour sécuriser leurs informations et leur donner le contrôle sur qui peut y accéder. Avec la contribution et les conseils de Sir Tim, Proton a hâte de passer à l'étape suivante et de créer véritablement un Internet où la confidentialité est la valeur par défaut pour tout le monde, partout.
Source : ProtonMail
Et vous ?
:fleche: Que pensez-vous du changement dans les déclarations de ProtonMail ?
:fleche: Que pensez-vous de la nomination de Tim Berners-Lee dans un tel contexte ?
1 pièce(s) jointe(s)
Le groupe de messagerie sécurisée Proton obtient gain de cause en Suisse concernant les règles de surveillance
La société Proton AG obtient gain de cause en Suisse concernant les règles de surveillance et déclare que la décision constitue une victoire pour la protection de la vie privée
La société Proton AG, basée à Genève et à l'origine de ProtonMail et ProtonVPN, a gagné un recours concernant son traitement dans le cadre de la loi suisse régissant la surveillance des télécommunications, a déclaré un tribunal suisse.
Proton se présente comme le plus grand fournisseur de messagerie électronique sécurisée au monde, utilisant un cryptage de bout en bout et des fonctions de sécurité de pointe.
Le tribunal administratif fédéral suisse a confirmé son recours contre le Service de surveillance des postes et télécommunications (SSPT) concernant son statut et ses obligations en matière de surveillance du trafic.
Le tribunal a confirmé que les services de messagerie électronique ne peuvent être considérés comme des fournisseurs de télécommunications en Suisse, et ne sont donc pas soumis aux exigences de conservation des données qui leur sont imposées.
Andy Yen, fondateur et directeur général de Proton, a déclaré que le jugement de vendredi constituait une "première étape importante" dans sa campagne en faveur de la vie privée et de la liberté.
"Nous nous attendons à ce qu'il y ait d'autres tentatives pour forcer les entreprises technologiques à porter atteinte à la vie privée, tant en Suisse qu'à l'étranger, et nous nous engageons à continuer à les contester, à la fois par le biais de notre technologie de cryptage et devant les tribunaux", a-t-il déclaré.
La SSPT avait décidé en septembre 2020 que Proton et ProtonVPN ne pouvaient plus bénéficier d'obligations de surveillance limitées, mais devaient stocker les données nécessaires à la surveillance et être disponibles pour répondre à ses questions 24 heures sur 24.
Le tribunal a annulé cette décision et renvoyé l'affaire pour une nouvelle décision.
Ce verdict fait suite à un arrêt de la Cour suprême suisse, rendu en avril, selon lequel les fournisseurs de services de chat, de messagerie instantanée, de vidéo sur Internet ou de téléphonie, ou encore de services de messagerie électronique, tels que Threema, WhatsApp, iMessage, Zoom, Teams, Chime ou Skype, ne sont pas des fournisseurs de services de télécommunications, mais plutôt des fournisseurs de services "over-the-top" (OTT).
"Ensemble, ces deux décisions constituent une victoire pour la protection de la vie privée en Suisse et une victoire pour les startups technologiques suisses, car elles les exemptent des réglementations onéreuses des opérateurs de télécommunications et de la transmission de certaines informations sur les utilisateurs en réponse à des ordres juridiques suisses", a déclaré Proton dans un communiqué.
Proton a néanmoins fait l'objet de critiques après qu'un rapport de police a révélé qu'elle avait fourni l'adresse IP d'un utilisateur dans le cadre d'une enquête française qui a conduit à l'arrestation d'activistes climatiques.
La SSPT, qui coordonne les démarches de la police, des procureurs ou des services de renseignement suisses auprès des entreprises pour obtenir des informations sur les utilisateurs, n'a pas répondu immédiatement à un appel demandant un commentaire.
Source : Le tribunal administratif fédéral suisse
Et vous ?
:fleche: Que pensez-vous de ce verdict ?
:fleche: À votre avis, les services de messagerie devraient-ils être soumis à des règles de surveillance ? Dans quelles mesures ?
Voir aussi
:fleche: ProtonMail a transmis à la police l'adresse IP d'un militant français pour le climat à la suite d'une décision de justice en Suisse, ce qui a conduit à son arrestation
:fleche: ProtonMail : « les droits des citoyens de l'UE sont menacés par les propositions anti-chiffrement », le service de messagerie pointe du doigt une résolution adoptée par le Conseil de l'UE
:fleche: ProtonMail a supprimé « nous n'enregistrons pas les métadonnées telles que les adresses IP » de sa politique de confidentialité, et annoncé que Sir Tim Berners-Lee rejoint son conseil consultatif
:fleche: Edward Snowden : « Des gens mourront si vous affaiblissez le chiffrement », il estime que la vie privée est un pouvoir essentiel