ProtonMail mène à une arrestation en Espagne après la divulgation de données utilisateur

 (restoreprivacy.com)
1 points par GN⁺ 2024-05-08 | 1 commentaires | Partager sur WhatsApp

  • Dans le cadre d’une demande légale des autorités espagnoles, ProtonMail a divulgué des données sur un membre de l’organisation indépendantiste catalane Democratic Tsunami. Cette divulgation a conduit à l’arrestation de cette personne.

  • ProtonMail est un service de messagerie sécurisé basé en Suisse, connu pour son chiffrement de bout en bout et sa politique stricte de non-conservation des logs. En 2021, l’entreprise avait déjà répondu à une demande légale liée à l’arrestation d’un militant français pour le climat.

  • Le point central de cette affaire est que ProtonMail a fourni à la police espagnole l’adresse e-mail de récupération liée au compte d’une personne utilisant le pseudonyme Xuxo Rondinaire. Cette personne est soupçonnée d’être membre des Mossos d'Esquadra, la police catalane, et d’avoir transmis des informations internes au mouvement Democratic Tsunami.

  • À partir de l’e-mail de récupération obtenu auprès de ProtonMail, les autorités espagnoles ont demandé des informations supplémentaires à Apple, ce qui leur a permis d’identifier la personne concernée. Ce cas illustre les interactions complexes entre entreprises technologiques, vie privée des utilisateurs et forces de l’ordre.

  • La réponse de ProtonMail dans cette affaire s’inscrit dans le cadre du droit suisse, qui l’oblige à coopérer avec des demandes légales internationales formalisées par la voie appropriée, c’est-à-dire le système judiciaire suisse. Rien qu’en 2022, ProtonMail a répondu à 5 971 demandes de données.

L’importance de l’OPSEC

  • Cette situation rappelle l’importance de maintenir une OPSEC (sécurité opérationnelle) rigoureuse. Il faut être conscient que les informations de récupération ou les liens avec des services secondaires offrant un niveau de protection de la vie privée plus faible, comme un compte Apple, peuvent constituer des vulnérabilités potentielles.

  • Les utilisateurs soucieux de leur vie privée, en particulier ceux impliqués dans des activités sensibles ou politiques, doivent faire de l’OPSEC leur priorité absolue lorsqu’ils utilisent des outils de protection de la vie privée.

  • Il est recommandé d’éviter d’utiliser des e-mails ou numéros de téléphone de récupération directement liés à son identité ou à ses activités principales, d’envisager des e-mails jetables ou des numéros virtuels offrant de l’anonymat, d’utiliser un VPN pour masquer son adresse IP, et de recourir à des moyens de paiement anonymes.

La position de Proton

  • Proton a confirmé les principaux éléments de cette affaire et a déclaré que le fait que les données obtenues via Apple aient été utilisées pour identifier un suspect de terrorisme montre que Proton ne conserve qu’un minimum d’informations sur ses utilisateurs.

  • Proton indique qu’il fournit par défaut de la confidentialité, mais pas de l’anonymat. L’anonymat exige des efforts de la part de l’utilisateur en matière d’OPSEC appropriée, par exemple en n’ajoutant pas de compte Apple comme option facultative de récupération.

  • Proton ne rend pas obligatoire l’ajout d’une adresse e-mail de récupération. En théorie, celle-ci peut être fournie sur ordre d’un tribunal suisse. Le terrorisme est également illégal en Suisse.

L’avis de GN⁺

  • Cette affaire montre bien à quel point il est difficile de trouver un équilibre entre la vie privée des utilisateurs et l’application de la loi. On peut y voir un exemple révélant les limites des services de communication chiffrés lorsqu’ils sont confrontés à l’argument de la sécurité nationale.

  • Du point de vue de ProtonMail, l’entreprise ne peut qu’être liée par le droit suisse, mais si ce type d’affaire se répète, elle risque de perdre la confiance de ses utilisateurs. Le fait même de mettre en avant une politique stricte de non-conservation des logs tout en répondant chaque année à des milliers de demandes de données peut apparaître contradictoire.

  • Les utilisateurs impliqués dans des activités sensibles devraient profiter de cette affaire pour réévaluer leur niveau d’OPSEC. Il ne faut pas oublier que même un service fortement sécurisé peut exposer une identité via des liens secondaires, comme une adresse e-mail de récupération.

  • De leur côté, les autorités chargées de l’application de la loi devraient se demander si, au nom de la lutte antiterroriste, elles n’exigent pas de manière excessive la divulgation d’informations sur les utilisateurs. Une attitude qui ne distingue pas les activités de protestation démocratique du terrorisme peut être un raccourci vers une société de surveillance.

  • Reconnaître les limites de la vie privée offerte par les gouvernements et les entreprises, et ne pas négliger les efforts individuels d’OPSEC, reste probablement la meilleure façon de protéger sa vie privée. Pour cela, on peut recourir à différentes mesures, comme un VPN, les paiements anonymes ou les e-mails jetables.

À lire aussi

1 commentaires

 
GN⁺ 2024-05-08
Avis Hacker News
  • Il existe un décalage entre la réalité de la protection des clients par ProtonMail et les attentes des lecteurs
    • Il y a des limites à la protection qu’une entreprise légale peut offrir
    • ProtonMail et Apple contestent les assignations qu’ils jugent injustifiées, mais n’ont pas le dernier mot
    • Les utilisateurs doivent réfléchir avec soin aux informations qu’ils fournissent à un prestataire de service
    • Associer un numéro de téléphone ou une adresse e-mail de secours peut constituer un indice majeur pour l’identification
  • ProtonMail est mentionné parce que les informations demandées à Apple ont été utilisées pour identifier l’identité réelle (nom, numéro de téléphone, etc.)
    • L’adresse e-mail était un indice, mais d’autres informations comme l’adresse IP ou les cookies publicitaires Google peuvent aussi servir à identifier quelqu’un
  • Il faut se méfier des sites web qui se présentent comme respectueux de la vie privée mais confondent vie privée et anonymat
    • La vie privée suffit pour se protéger du grand public, mais pas de l’État
    • Si l’on s’oppose à l’État ou qu’on lui est hostile, la simple vie privée ne suffit pas
    • L’anonymat peut exiger des sacrifices en matière de fonctionnalités ou de confort
  • ProtonMail fournit l’adresse de récupération, tandis qu’Apple fournit des informations comme le nom réel, l’adresse et le numéro de téléphone
  • Si un service VPN est lié à un mode de paiement, cela ne fait qu’ajouter un indice de plus que la police peut exploiter
    • Mullvad semble être le seul VPN à proposer un mode de paiement garantissant l’anonymat
  • Le point essentiel est que, selon le droit suisse, ProtonMail doit collecter et fournir les informations d’adresse IP
    • À moins d’être garantie par le chiffrement, une promesse de confidentialité n’est qu’un geste creux
    • Personne ne veut aller en prison pour protéger la vie privée
  • Il faut prendre en compte la Parallel Construction
    • Les autorités avaient peut-être déjà les informations (par exemple via une interception légale chez le FAI)
    • Le partage d’informations par ProtonMail/Apple est critiquable, mais ce n’est peut-être pas la véritable source
  • ProtonMail ne fournit des informations que lorsque le droit suisse l’exige, et le droit suisse en matière de vie privée est assez solide
    • C’est probablement la politique de confidentialité la plus stricte qu’une entreprise puisse espérer adopter
    • ProtonMail ne peut fournir que des éléments comme l’adresse e-mail et l’adresse IP, pas le contenu des e-mails
  • Si l’on essaie de créer un compte ProtonMail via Tor, une vérification par numéro de téléphone est demandée
    • Avec une adresse IP non proxy, on peut contourner cette étape
    • Ils veulent connaître l’identité des utilisateurs et fonctionnent ainsi depuis longtemps
    • Il est possible que ce soit un honeypot depuis très longtemps
  • Ce n’est pas la première fois que ProtonMail fournit un e-mail de récupération au gouvernement fédéral