IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

ProtonMail a supprimé « nous n'enregistrons pas les métadonnées telles que les adresses IP » de sa politique de confidentialité
Et annoncé que Sir Tim Berners-Lee rejoint son conseil consultatif

Le , par Stéphane le calme

297PARTAGES

13  0 
ProtonMail est un service de messagerie chiffré qui s’est bâti une réputation centrée sur la protection de la confidentialité et la sécurité des emails. Le site a connu un essor rapide et compte désormais plus de 20 millions d’usagers. En open source et automatiquement chiffré de bout en bout, Protonmail est particulièrement apprécié par les militants.

Pourtant, cela ne l’a pas empêché de fournir à la police l’adresse IP de militants engagés à Youth for Climate. Depuis un an, ces derniers font l’objet d’une surveillance massive après avoir occupé un local dans le quartier de la place Sainte-Marthe, à Paris. Dans le cadre de cette enquête, la police française a envoyé via Europol (l’agence européenne de police criminelle) une demande d’information à ProtonMail, la boite mail utilisée par le collectif. L’entreprise a donc transmis aux autorités suisses (qui ont validé la demande) l’adresse IP des comptes concernés.

Il faut préciser que sur son site, l'entreprise affirmait : « contrairement aux services concurrents, nous n'enregistrons aucune information de suivi. Par défaut, nous n'enregistrons pas les métadonnées telles que les adresses IP utilisées pour se connecter à des comptes. Comme nous n'avons aucun moyen de lire les courriels chiffrés, nous ne délivrons pas de messages publicitaires ciblés. Afin de protéger la confidentialité des utilisateurs, ProtonMail ne nécessite aucune information personnelle identifiable pour s'inscrire ».


Après avoir fourni les métadonnées de l'activiste aux autorités suisses, ProtonMail a supprimé la section qui promettait l'absence de journaux IP, la remplaçant par une autre disant : « ProtonMail est un courrier électronique qui respecte la vie privée et donne la priorité aux personnes (pas aux annonceurs) ».

« Par défaut »

Comme d'habitude, le diable est dans les détails : la politique d'origine de ProtonMail disait simplement que le service ne conserve pas les journaux IP « par défaut ». Cependant, en tant qu'entreprise suisse elle-même, ProtonMail a été obligée de se conformer à une injonction d'un tribunal suisse lui demandant de commencer à enregistrer les informations d'adresse IP et d'empreinte numérique du navigateur pour un compte ProtonMail particulier.

D'ailleurs, le service a expliqué que « Si nous recevons un ordre juridique concernant un compte spécifique, nous pouvons être obligés de le surveiller. » En accord avec les autorités françaises, la justice suisse a demandé à Proton de surveiller l’activité de certains comptes. Contraint par le département fédéral de justice et police suisse (DFJP), Proton a donc commencé à enregistrer les adresses IP de ces comptes-là. Le service y a d'ailleurs consacré un billet.

Ce compte était exploité par la branche parisienne de Youth for Climate, que Wikipedia décrit comme étant un mouvement inspiré de Greta Thunberg :

« un mouvement citoyen implanté en Belgique et en France, s'inscrivant dans l'initiative Fridays for Future initiée par la militante écologiste Greta Thunberg dans le cadre de la lutte contre le réchauffement climatique. Le mouvement, lancé par deux étudiantes belges, est à l'origine de plusieurs grèves scolaires pour le climat en Belgique entre janvier et mai 2019. Il apparaît en France en février 2019 ».

Selon plusieurs déclarations de ProtonMail publiées lundi, la société ne pouvait pas faire appel de la demande suisse de journalisation IP sur ce compte. Le service n'a pas pu faire appel parce qu'une loi suisse avait été enfreinte selon les autorités et parce que des « outils juridiques pour les crimes graves » ont été utilisés. ProtonMail ne pense pas que les outils étaient appropriés pour le cas en question, mais la société était néanmoins légalement responsable de se conformer à leur utilisation.

Utilisation de Tor

En plus de supprimer la référence trompeuse (bien que techniquement correcte) à sa politique de journalisation « par défaut », ProtonMail s'est engagé à souligner l'utilisation du réseau Tor auprès des militants :

« Il y a une différence entre sécurité/confidentialité et anonymat. Comme nous l'avons écrit dans notre modèle de menace publique (publié en 2014), « Internet n'est généralement pas anonyme, et si vous enfreignez la loi suisse, une entreprise respectueuse de la loi telle que ProtonMail peut être légalement obligée d'enregistrer votre adresse IP ». Cela ne peut pas être modifié en raison du fonctionnement d'Internet. Cependant, nous comprenons que cela est préoccupant pour les personnes présentant certains modèles de menace, c'est pourquoi depuis 2017, nous proposons également un site en oignon pour un accès anonyme (nous sommes l'un des seuls fournisseurs de messagerie à prendre en charge cela) ».

L'utilisation de Tor pour accéder à ProtonMail peut accomplir ce que ProtonMail lui-même ne peut légalement : l'obscurcissement des adresses IP de ses utilisateurs. Étant donné que le réseau Tor lui-même cache l'origine du réseau des utilisateurs avant que les paquets n'atteignent ProtonMail, même une assignation valide ne peut pas permettre d'obtenir ces informations de ProtonMail, car l'entreprise ne reçoit jamais les données en premier lieu.

Il convient de noter que l'anonymat offert par Tor repose sur des moyens techniques et non sur des politiques, une situation qui pourrait servir d'exemple classique d'épée à double tranchant. Si une agence gouvernementale ou une autre menace peut compromettre les nœuds Tor que votre trafic traverse d'une manière qui lui offre un moyen de suivre les origines, aucune politique n'empêche ledit gouvernement de le faire ou d'utiliser ces données à des fins d'application de la loi.

ProtonMail exploite également un service VPN appelé ProtonVPN et souligne que la loi suisse interdit aux tribunaux du pays d'obliger un service VPN à enregistrer les adresses IP. En théorie, si Youth for Climate avait utilisé ProtonVPN pour accéder à ProtonMail, le tribunal suisse n'aurait pas pu forcer le service à exposer sa « vraie » adresse IP. Cependant, la société semble pencher davantage pour recommander Tor à cette fin particulière.

Sir Tim Berners-Lee rejoint le conseil consultatif de ProtonMail

La nouvelle a été annoncée dans un billet :

Nous sommes fiers et honorés d'annoncer que Sir Tim Berners-Lee, ancien collègue scientifique de l'Organisation européenne pour la recherche nucléaire (CERN) et inventeur du World Wide Web, rejoindra le conseil consultatif de Proton.

Notre vision est de construire un Internet où la confidentialité est la valeur par défaut en créant un écosystème de services accessibles à tous, partout, tous les jours. C'est ce qui motive tout ce que nous faisons, de notre développement de services transparents et cryptés à notre plaidoyer pour de meilleures lois sur la protection des données.

Nos produits offrent un choix viable pour que les gens n'aient pas à compromettre leur vie privée sur Internet. Notre premier produit, ProtonMail, est désormais le plus grand service de messagerie chiffré au monde, et les produits ultérieurs, tels que ProtonVPN, Proton Calendar et Proton Drive, exploitent le même chiffrement avancé qui donne à nos utilisateurs le choix sur comment et avec qui leurs données sont partagées. .

Le désir de créer un Internet qui sert les intérêts de tous est partagé par Sir Tim, qui travaille depuis plus de 30 ans pour rendre le Web plus sûr, responsabilisant et véritablement pour tous. Après avoir inventé le World Wide Web en 1989, Sir Tim a fondé le World Wide Web Consortium en 1994 pour garantir des normes Web accessibles, internationales, privées et sécurisées. Plus récemment, à travers son travail avec la World Wide Web Foundation, qu'il a cofondée en 2009, et son contrat pour le Web, Sir Tim a plaidé pour la mise en place de protections universelles des données Internet et d'une plus grande accessibilité à Internet.

Le fait que Sir Tim rejoigne notre conseil consultatif est un clin d'œil à notre passé commun au CERN, où nous avons conçu l'idée initiale de ProtonMail, et à notre avenir. Lorsque Sir Tim a inventé le World Wide Web, il a créé un nouveau média par lequel les gens pouvaient se connecter les uns aux autres. Cela a changé le monde. Nous avons un objectif tout aussi audacieux : nous voulons créer un Internet où les gens contrôlent leurs informations à tout moment. Cela rend Sir Tim particulièrement apte à comprendre Proton et à nous conseiller alors que nous essayons de réaliser cette vision ambitieuse.

« Je suis ravi de rejoindre le conseil consultatif de Proton et de soutenir Proton dans son parcours. Je suis un fervent partisan de la confidentialité, et les valeurs de Proton visant à donner aux gens le contrôle de leurs données sont étroitement alignées sur ma vision du Web à son plein potentiel », a déclaré Sir Tim.

Plus de 50 millions de personnes dans le monde ont souscrit à Proton pour sécuriser leurs informations et leur donner le contrôle sur qui peut y accéder. Avec la contribution et les conseils de Sir Tim, Proton a hâte de passer à l'étape suivante et de créer véritablement un Internet où la confidentialité est la valeur par défaut pour tout le monde, partout.

Source : ProtonMail

Et vous ?

Que pensez-vous du changement dans les déclarations de ProtonMail ?
Que pensez-vous de la nomination de Tim Berners-Lee dans un tel contexte ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de walfrat
Membre émérite https://www.developpez.com
Le 10/09/2021 à 9:40
Il me semble que le principe de duckduckgo c'est surtout d'éviter le tracking Internet par les sociétés de collectes de données, pas d'échapper au vilain gouvernement.
6  0 
Avatar de phil995511
Membre éprouvé https://www.developpez.com
Le 23/10/2021 à 12:31
Citation Envoyé par calvaire Voir le message
je pense que protonmail s'adresse à des gens qui veulent pas se faire chier.
J'utilise signal qui lui fait office de relai et c'est chiant de synchroniser mes conversations entre le téléphone et le pc, copier les backups sur le nas... etc.
Protonmail tous est accessible et sauvegarder de manière fiable depuis la page web et c'est un certain confort.

Techniquement je suppose que protonmail pourrais laisser le choix, et meme ajouter cette option relai dans l'offre payante en utilisant le protocole pop
Proton mail s'adresse à ceux qui envoient des e-mails...

Après si vous préférez les applications envoyant des SMS (textos), c'est une toute autre catégorie de messagerie. Signal est la pire application existante pour synchroniser vos messages d'un même compte d'utilisateur entre plusieurs périphériques !!! Telegram fait beaucoup mieux de ce point de vue, tout comme l'affreux WhatsApp de l'horrible société FB qui elle revend vos données privées à des tiers, etc.
3  0 
Avatar de
https://www.developpez.com
Le 23/10/2021 à 7:24
Pour les marketeux, un VPN dit "no-log" signifie que les données de navigation ne sont pas centralisées en Suisse, au Panama, aux Îles Vierges Britanniques.

Par contre, les fournisseurs de VPN respectent la loi des pays où ils louent leurs serveurs. En France (LCEN) et aux USA (Patriot Act), les adresses IP ainsi que les historiques de navigation doivent être conservés pour une durée de 12 mois minimum.

Même si ces données restent sur les serveurs et ne sont pas exploitées par la société mère, on est très loin du "no-log".

Certains pays (ex: Hong-Kong) n'imposent pas de conservation d'historique si bien que le "no-log" apparaît comme possible. Néanmoins, les grands fournisseurs de VPN ayant plus de 1000 serveurs dans le monde doivent certainement les déployer automatiquement avec des scripts sans adapter la configuration pour tel ou tel pays. Trop lourd, trop compliqué.
2  0 
Avatar de bdr443
Membre du Club https://www.developpez.com
Le 28/08/2023 à 11:50
Mais les chiffres sur les demandes de données montrent que la Suisse n'est pas une garantie pour la sécurité des données.
La sécurité des données n'est pas garantie ni par la Suisse ni par les bons sentiments. La garantie qu'offre proton c'est le chiffrement.

La question n'est donc pas de savoir si proton a transmis ou pas des données aux autorités puisqu'il est légalement obligé de le faire, mais de savoir QUELLES données ont été transmises et l'état de leur lisibilité au moment du transfert.
On ne demande pas à proton de résister au FBI ou autres services de polices, mais d'informer si le contenu des messages envoyés est bien chiffré, et s'il n'y a pas de backdoor dans le code permettant de les déchiffrer sans le consentement de l'utilisateur.

Pour tout le reste, méta-données du style adresse IP, heure de connexion, destinataire des messages, heure d'envois des messages, volume des messages échangés, etc... il faut considérer tout ça comme accessible par les gouvernements qui en feront la demande, et ce quel que soit l'entreprise, proton ou pas proton.
1  0 
Avatar de RenarddeFeu
Membre averti https://www.developpez.com
Le 08/05/2024 à 0:13
Proton a le mérite d'être transparent sur le sujet.

Dans la même veine, il est fort improbable que les services de VPN qui promettent un anonymat total en ligne laissent leurs usagers échanger de la pédopornographie via leurs serveurs pour ne citer que cet exemple.
1  0 
Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 08/05/2024 à 10:49
Proton, pas plus qu'aucune autre entreprise officiellement déclarée dans le monde, n'est au-dessus des lois!

Il faut donc arrêter avec cette fable du "vos secrets seront bien gardés".

Sur demande officielle de la justice, aucune donnée personnelle ne reste protégée. Et cela est une très bonne chose pour tout le monde: Moins il y aura de délinquants sur le web, plus les gens normaux pourront en profiter.

Quant aux opposants qui croient être protégés d'un gouvernement anti-démocratique, il faut qu'il sache que le pseudo-anonymat du web n'est qu'un argument marketing et pas une réalité.

Et là, j'entends déjà le commentaire "C'est faux, il y a Tor!!!!"

Pour votre info, Tor a été développé par l'armée américaine, plus précisément le "United States Naval Research Laboratory", et encore aujourd'hui la fondation Tor est financée en autre par le gouvernement américain... Tor, c'est fait pour protéger les opposants iraniens de leur gouvernement et pas pour se cacher de l'Oncle Sam
1  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 09/09/2021 à 10:28
C'est dommage que ProtonMail mette en avant Tor pour l'anonymat, alors que le réseau Oxen (anciennement Lokinet) le dépasse allègrement.
VPN + Session pour la messagerie + réseau Oxen = vous avez l'une des meilleures couvertures d'anonymat accessibles aux initiés (et il ny a pas besoin de savoir grands chose).

Oxen (Lokinet) :
réseau darknet (TCP et UDP) chiffré, complètement décentralisé (DHT), résistant aux attaques DDOS, DPI (??Snow Pack??), Sybil et dissuadant les fermes de cryptomonnaie de miner du Loki.
Lokinet est vulnérable à la surveillance globale du réseau contre l'anonymat (comme énormément d'autres réseaux).
Chaque noeud est une forge de Loki et un serveur de services (services cachés SNApps [.loki], relais de sortie).
Le réseau s'auto-teste et éjecte les hypocrites et les canards boiteux.
Loki s'est inspiré de Monero (cryptomonnaie) :
- anonymat >> signature en cercle
- secret de transaction >> RingCT
Lokinet s'est inspiré de Tor et I²P (darknet) :
- un essaim (test de bande passante, stockage, relais de sortie)
- TCP et UDP
- LLARP (une amélioration de Tor et I²P)
- chaque noeud est un routeur DHT construit à partir de la blockchain

NB : si vous hébergez un noeud Oxen, il vous est conseillé de contacter le commissariat de police local > courrier indiquant que vous êtes un administrateur de relai de sortie et que vous n'êtes pas responsable de ce qui passe au travers, que vous n'avez qu'un rôle de renforcement d'infrastructure (vous êtes bien-sûr fiché en conséquence, parmi la myriade de gens potentiellement gênants et/ou dangereux ...et/ou utiles >> boîte noire)

Session (ou Lokinet Session) :
dès lors que la communication s'établit d'un point A vers un point B et pas de point C, la clef de chiffrement n'a pas besoin d'être partagée, et reste donc secrète.
Lokinet Session s'est inspiré de Signal (protocole) et de Pidgin :
- chiffrement de bout en bout (X25519 256bit, et AES-256 pour les pièces jointes)
- chiffrement asymétrique pour le routage et le chiffrement
- utilise une clef temporaire différente pour chaque message envoyé
- TTL en attente de délivrance >> 5 sec min 1 semaine max
- pas besoin d'e-mail ou de n° tel pour créer son compte
- possibilité de supprimer les données de l'appli, puis de les restaurer grâce à la phrase de récupération
- message txt, audio et fichier
- aucune centralisation des données stockées, ni de surveillance (interne) de qui communique avec qui (ex: Whatsapp et Signal)

/!\ les discussions de groupe sont trop peu sécurisées >> en date du 2020-06 /!\
NB : attention, le projet est basé en Australie, membre des 5 eyes ...mais les noeuds existent partout sur la planète, il ne sont pas propres à la l'Australie et sont également valables sur chaque appli l'utilisant (ex: Session)

PS : pour une discussion entre plus de 2 correspondants, la clef commune à chacun est "stockée" (non générée à chaque message !) par un intermédiaire dans le réseau (un noeud), alors que dans le cas d'un échange entre 2 protagonistes, chacun possède sa propre clef, et les noeuds du réseau y appliquent à tour de rôle un chiffrement successif.

https://lokinet.org/faqdark/
https://docs.oxen.io/
1  1 
Avatar de Aiekick
Membre extrêmement actif https://www.developpez.com
Le 10/09/2021 à 1:42
tous les services qui ventent l'anonymat sont tot ou tard voué a faire comme les autres en grossissant, cad loguer pour repondre au forces gouvernementales.

duckduckgo y passera un jour aussi..
0  0 
Avatar de Steinvikel
Membre expert https://www.developpez.com
Le 10/09/2021 à 17:42
Citation Envoyé par Aiekick Voir le message
tous les services qui ventent l'anonymat sont tot ou tard voué a faire comme les autres en grossissant, cad loguer pour repondre au forces gouvernementales.
duckduckgo y passera un jour aussi..
Enregistrer les logs, c'est le problème du fournisseur de service, pas de l'architecture.
Je m'explique :
NordVPN te vend l'accès à son infrastructure, et tien des logs. S'il les emploi pour autre chose que de la gestion d'infrastructure, c'est un vendu.
Un gugusse héberge un service Tor, et enregistre des logs. S'il les emploi pour autre chose que de la gestion d'infrastructure, c'est un vendu.
Un gouvernement impose l'installation d'une boîte noire sur un service Tor. Ca compromet tout le trafique qui passe par là... mais s'il devait le faire pour tout les serveurs (un par un car indépendants, contrairement aux géants), ça ferait péter le budget "interception & extraction".
...
Tous les programmes créent des logs, car nécessaires à la maintenance curative (débogage), pro-active, et préventive.
Leur usage et leur partage est une partie du problème a priori insoluble, mais elle est systématiquement minimisé par des mécanisme d'imbrication successif et de morcellement des données /flux.
Pour le problème que tu soulèves, quitter les acteurs s'appuyant sur un schéma centralisé, où ils se placent au coeur, est d'une première importance ! Quittons le minitel 2.0 qu'est l'internet de nos fournisseurs de services actuels, pour nous tourner vers un internet décentralisé, adoptant massivement les techno sur base de DHT.

Pour info : le multiplexage des métadonnées d'un flux sur internet est une évolution d'opacité qui à à peine 6 mois ...alors que le concept est appliqué dans d'autres domaines depuis près de 30 ans.
NB : chercher "spin-off Snowpack"
Les informations transitent aujourd'hui sur internet sous forme de "paquets", qui regroupent le "contenu" et les "métadonnées" nécessaires à leur acheminement (ex : adresses IP).
S'il est possible de "protéger" les informations utiles en les chiffrant, les métadonnées restent visibles.
spin-off Snowpack : L'information est divisée en fragments constitués de données aléatoires mais complémentaires, ces fragments sont anonymisés et empruntent des "chemins" distincts. Impossible dès lors, pour un éventuel attaquant, d'accéder aux informations sensibles en "observant" le réseau dans lequel cheminent ces fragments !
0  0 
Avatar de Javaguru
Membre à l'essai https://www.developpez.com
Le 13/09/2021 à 16:48
Citation Envoyé par calvaire Voir le message

Cela dit si la justice reçoit juste les ip sans les contenus des emails ça me semble pas trop compartimentant pour les accusées.
Après tout on a le droit d'utiliser protonmail et d'envoyer des mails.
Salut,

Si la justice demande les IPs à Protonmail, c'est qu'ils ont déjà un certain nombre de contenus et d'entêtes mail, ils ont dû auditer un PC non crypté lors d'une perquisition (je les vois mal sniffer le réseau à partir d'un backbone et décrypter les contenus des mails )

Je préfère utiliser https://www.gnupg.org/, je lis le mail et je l'efface tout de suite, j'envoie un mail et je l'efface tout de suite de ma machine. Si mon correspondant est compromis avec les fesses à l'air, on me demandera un jour ma clé privée que je n'aurais plus.. Bon ça ne m'empêchera pas de répondre de mes actes (ou de leurs fantasmes.. )
0  0