La solution de messagerie sécurisée CaliOpen, qui a fait de la vie privée son moteur principal, a décidé de déménager. La cause ? Le vote de la loi Renseignement par le Parlement et sa validation quasi intégrale par le Conseil constitutionnel.
Le projet français CaliOpen prend du retard. Cette suite logicielle de solution de messagerie sécurisée devait être proposée en version alpha fin mai 2015, avec les bases du code et un plug-in d’email. « Nous n’y sommes pas arrivés » regrette l’équipe dans un message tout juste posté sur le blog officiel, qui du coup à pris la décision de le repousser à la fin de l’année, « pour en voir davantage. »
Dans son billet, qui diffuse une vidéo de CaliOpen, l’équipe prévient en tout cas que le projet devrait être accompagné par une structure associative à but non lucratif. Installée, elle sera « chargée du développement logiciel, de la diffusion des patches de sécurité, et de gérer le futur réseau « intra-caliOpen » (et donc de labelliser les utilisateurs qui voudront y participer), et d’une structure commerciale de l’autre, qui pourra financer une des premières instances de CaliOpen, gérer la phase d’une bêta publique, et assurer l’avenir de l’association en cherchant un modèle économique viable. »
L'écueil de la loi sur le renseignement
Seulement le développement de CaliOpen, né d’une discussion autour de l’affaire Snowden avec Jeremie Zimmermann, a rencontré un écueil sur sa route : la toute récente loi sur le renseignement. Son vote interpelle les initiateurs du projet, dont Laurent Chemla, cofondateur de Gandi : « Est-il sage de faire reposer l’avenir d’un logiciel qui veut redonner le goût de la vie privée à ses utilisateurs sur des structures dépendant d’un État capable de voter de telles lois ? ». Selon eux, « quel que soit l’avenir du texte après son passage devant le Conseil Constitutionnel, il nous semble impossible de garantir aux futurs utilisateurs une réelle confidentialité de leurs données si Caliopen devait dépendre, de près ou de loin, d’un pays dont les représentants ont voté l’installation de « boites noires » chez les opérateurs et hébergeurs. »
Ce dispositif de technosurveillance a été estampillé « conforme » par le Conseil constitutionnel. Cette qualité empêche du coup toute remise en cause via une future question prioritaire de constitutionnalité. Il pourra donc être installé sur autorisation du premier ministre chez n’importe quel acteur du numérique pour aspirer et analyser un flot de données de connexion. L’objectif ? Tenter de détecter des données susceptibles de caractériser l’existence d’une menace à caractère terroriste (article L.851-3 du Code de la sécurité intérieure). Le cas échéant, si l’algorithme devine quelque chose, le premier ministre pourra demander l’identification des personnes concernées, mais également « le recueil des données afférentes » (notez l’expression « données » et non « données de connexion » qui aurait à coup sûr limité l’aspiration subséquente aux seules métadonnées).
Une préférence pour le Luxembourg, pour l'instant
Face à un tel épouvantail pour la vie privée, CaliOpen a pris la décision de déménager hors de nos frontières. Où ? Possiblement au Luxembourg, « pas pour des raisons fiscales, mais pour des questions de langue et de proximité, et surtout pour garantir la non-ingérence de l’État dans les informations confidentielles qu’auront à gérer tant la future association que la structure qui commercialisera un des premiers services basés sur Caliopen. »
Ce n’est pas le premier acteur à avoir décidé de faire ses valises face à ce texte. Déjà, en avril dernier, deux hébergeurs, Eu.org et Altern.org, ont décidé de plier bagage. Le premier assure qu’il « ne peut moralement laisser en toute connaissance de cause le trafic de ses utilisateurs -- incluant des sites d'activisme politique dans le monde entier -- et, par ricochet, le trafic d'accès de leurs propres utilisateurs, exposé à de telles écoutes ». « Pour nous un seul jour sous écoute globale est un jour de trop », ajoute Altern.org qui « refuse la boite noire des services secrets, ferme ses services immédiatement, pour les rouvrir dans quelques jours dans un pays plus respectueux des libertés individuelles. »
La surveillance internationale n'est pas morte en France
On rappellera au passage que si le Conseil constitutionnel a torpillé l’article permettant les services à mener à bien une surveillance internationale, il a laissé intact d’autres articles qui permettent aux services, toujours à l’étranger, de mener à bien des opérations de surveillance. L’article L. 811-2 du Code de la sécurité intérieure leur confie par exemple la mission en France comme à l’étranger de rechercher, collecter, exploiter et mettre à disposition du Gouvernement « des renseignements relatifs aux enjeux géopolitiques et stratégiques ainsi qu'aux menaces et aux risques susceptibles d'affecter la vie de la Nation ». Toujours à l’étranger, l’article 821-7 CSI autorise la surveillance des magistrats, avocats, journalistes et parlementaires même dans l’exercice de leur mandat ou leur profession. Enfin, l’article 18 de la loi dépénalise les faits de piratage dont seraient responsables les services du renseignement à l’échelle internationale.
Commentaires (91)
#1
Y’a plus qu’à attendre qu’OVH fasse la même chose " />
#2
#3
#4
J’ai fait pareil à mon niveau ^^ Abandon de mes VPS OVH pour migrer sur un hébergeur aux Pays Bas.
#5
#6
Le Luxembourg protège la confidentialité des données bancaires mais le Luxembourg est membre permanent de l’OTAN. Est-ce vraiment utile d’aller là-bas ?
La Suisse protège également le secret bancaire et pourtant elle a aussi sa Loi Renseignement.
#7
#8
C’est vrai qu’au Luxembourg il n’y a pas de service de renseignement…http://www.legilux.public.lu/rgl/2008/A/2556/B.html :). Y a plus qu’à éplucher tout ça !
#9
La savonnette est écrite dans la loi.
Si tu es blackboxé tu dois fermer ta gueule…
Comment ça je suis mauvaise langue. " />
Plus sérieusement ils ne peuvent pas migrer une infra pouvant avoir jusqu’à 700 000 serveurs en France comme cela.
Au passage si quelqu’un connait un équivalent à kimsufi dans un pays plus démocratique cela m’intéresse (je veux pas de vps) et non ovh canada c’est pas bon.
#10
C’est difficile de trouver une bonne offre hors de France. Aujourd’hui j’ai 2To pour 12€ TTC (serveur dédié). En dehors de la France, pour le même prix j’ai le droit à 10Go sur un petit VPS.
#11
#12
mouais une boitte qui se sent obligé de délocaliser a cause la loi sur le renseignement ça montre juste que la confidentialité qu’offre leur soft ne vaut rien, leur truc est basé sur la confiance de non espionnage de l’hébergeur ? lol.
Soit le code est espionnage proof soit c’est Open bar, y a pas de demie-mesure.
#13
#14
On lui a peut-être aussi montré des casseroles qu’ils connaissent et est mieux dans un tiroir de la DGSI que sur la place publique ou fait miroité un contrat.
#15
#16
#17
bun c’est bien ce que je disais :
Ceci dit, OVH a également un plan d’investissements pour la création de datacentres hors de France dans les 12 mois à venir : 3 nouveaux datacentres en Europe et 3 en dehors de l’Europe.
Et tu pourras demander à ce que tes sites soient déménagés dans un vrai pays respectueux des droits de l’homme
#18
Si je te demande les clés privées ou d’installer une backdoor dans ton application en tant que service de renseignement et la loi de mon côté tu fais quoi ?
#19
#20
-DTL- a écrit :
Si je te demande les clés privées ou d’installer une backdoor dans ton application en tant que service de renseignement et la loi de mon côté tu fais quoi ?
Vous êtes vraiment crédule au point de croire que les boites n’était pas en place avant cette lois ? même OVH a reconnu que ces boittes était déjà la bien avant la loi …..
Bref, cette lois légalise un système en place depuis des années ….
#21
#22
Là c’est pas une boite noire je te demande de vérolé une application qui se veut sécurisé.
#23
comme dit plus haut, ils peuvent difficilement déménager dans l’immédiat tous leurs locaux, de plus les clients d’ovh sont je pense à 90% des pros, du coup ceux qui ce sont mobilisé contre la loi renseignement. Et qu’allons nous donc faire? Moi perso j’ai déjà demandé les migrations hors france des sites dont j’ai la main et les prochains hébergements que je serais amené à prendre seront systématiquement hors france….et je pense pas être le seul, pas que j’ai des choses à cacher mais juste pour faire chier les guignols du gouvernement.
Tous les dev de france font ça, et il n’y aura plus de datacenters en france…
#24
#25
#26
Je ne savais pas qu’un jour arriverait où j’applaudirais une boite/un projet qui décideraient de “délocaliser” les services/infrastructures de notre cher Hexa. Malheureusement, c’est fait. Merci Flamby … " />" />
Edit : coquille.
#27
Si tu veux faire chier les guignols du gouvernement, tu peux aussi simplement chiffrer de bout en bout correctement. Tu as ce test qui est bien fait. C’est plutôt rigolo d’ailleurs de tester sa banque… La dernière fois que je l’ai fait, ma banque (pro) était notée F.
Ils ont probablement les moyens de décrypter mais le coût sera très élevé alors et ce, juste pour une unique connexion.
#28
Heeeeu lapin compris…. Ma manière ou celle d’ovh?
#29
Comme dit dans le point d’ovh tout le monde surfe pas derriere un vpn
#30
#31
Certes, mais en tant que fournisseur de services mettre du TLS costaud sur un front end Web ne nécessite pas d’intervention côté utilisateur.
#32
#33
Sauf dans le cas de ces foutus boite noir…du moment que quelque chose dont on ne sait rien est installée dans leur infrastructure je considère la sécurité comme compromise
#34
Suite à ceci :
#35
#36
Il y a quand même une différence, et de taille : en France, l’écoute est maintenant indiscriminée et permanente, via les boîtes noires.
Que, après accord hiérarchique (ici on parle du Président du Gouvernement) ou décision de justice, les services de police mettent en place une écoute ciblée, ou demandent des logs, cela existait aussi déjà en France et n’avait pas posé de problème tant qu’étaient respectés certains principes (on n’écoute que les gens sur qui pèsent de lourds soupçons, on évite d’écouter les avocats / journalistes…)
#37
#38
Le principal problème quand on veut déménager nos serveurs de France
suite aux lois renseignement et terrorisme, c’est pour les mettre dans
quel pays?
Et comment être à peut près sur que le pays qu’on aurait choisi n’a pas des systèmes du style “des boites noirs” ou autre ?
Il
faut pas se leurrer, il existait déjà un système “d’ écoute des
communications” en France, ils ont “juste” simplifier et légaliser leur
dispositif.
#39
#40
#41
#42
#43
Oui même si de telle pratiques existaient déjà, elles devaient rester illégales.
#44
#45
#46
#47
Voilà une excellente nouvelle. GG Caliopen, quittez ce pays fasciste.
#48
#49
#50
#51
#52
ils ont raison !
cette loi est simplement une honte… dire que c’est le pays des droits de l’homme qui a voté un truc de flicage sans juge….
c’est digne d’une dictature ou d’une monarchie
puis meme s’ils disent que c’est pas pour les avantages fiscaux, ca en fait tout de meme partis…
oui au lux il y a aussi des services secret… mais ces derniers n’ont pas le droit de faire comme bon leur semble sans juge… alors qu’en france notre gouvernement a ouvert la boite de pandore…
1984 n’est pas une fiction ^^ c’est juste que le titre aurai du etre France 2015
#53
#54
#55
#56
c’est exactement ca, même dans les pays cités plus haut cela
m’étonnerais qu’il n’y ai pas de “services écoute”. Mais au moins, chez
eux cela reste une pratique illégale.
Par ce que parti comme
c’est partie, c’est quoi la prochaine étape ?
Que le gouvernement légalise le fait que les services spéciaux soient des dealer … En plus ils ont
déjà une expérience dans ce domaine il me semble, Indochine ?
#57
#58
#59
#60
Oui j’ai manqué de précision dans les termes employés.
Ce que je voulais dire, c’est que les textes que tu as cités de la loi Luxembourgeoise restent dans le cadre d’une enquête spécifique ciblant un groupe de personne déterminé.
Au contraire des boîtes noires de France, balayent large, et qui espionnent tout le monde par défaut. Comme tu le pointes, il y a sûrement une différenciation entre contenu et méta-données, encore que les boîtes noires étant noires, on ne peut pas vraiment être sûrs qu’elles se contentent des méta-données… Mais là je spécule.
#61
#62
#63
sans vouloir répondre pour lui, je pense que oui et que son propos serait plutôt
et
#64
#65
Merci pour le lien. Très intéressant.
#66
#67
#68
J’ai pire que toi sur un site gouvernemental (ministère pourtant axé sécurité) : T ! (certificat auto signé). Sans ce “problème, il remonterai à C …
#69
#70
#71
Par protégé, j’entendais plutôt que les simili gardes-fou qu’il y a dans la loi sur le renseignement sautent hors du territoire (d’où les guillemets).
Les moyens que les services de renseignement Fr peuvent y mettre en œuvre sont moindres, certes, mais leurs “droits” passent en mode open bar puisque la plupart des “contrôles” disparaissent ou sont effe’ctués à postériori. (Et je n’ai pas la moindre idée des accords de coopération qui existent entre les différents pays en matière de renseignement/transfert d’info)
Après oui, on peut toujours se casser chez quelqu’un qui n’est pas le pote de la France. Mais penser que sa vie privée y sera respectée beaucoup plus qu’ici est, selon moi, une chimère.
#72
Ah oui la messagerie « pro » Orange ! J’avais reçu un mail qui passait par ce service et en retour j’étais supposé renvoyer des infos non publiques, avant j’ai regardé les logs Postfix : alors que je propose du chiffrement costaud en STARTTLS le serveur Orange préfère balancer du plain text " />.
Je commence à songer à passer mon serveur SMTP public en chiffrement obligatoire…
#73
Faut-il rappeler que le cryptage sans que l’etat ne possede de clef de decypher est interdit, et ce depuis avant meme les premiers “personnal computer”. Le cryptage dans une simple lettre est interdit… .
On pourrait persque parler de “shared computer”, tellement ils sont ouvert.
A quand le calcul parallele a notre insu ?
dire que c’est le pays des droits de l’homme
Les promesses n’engagent que ceux qui les écoutent…en l’occurence on écoute tous comme des cons depuis 1789.
Faut se reveiller.
Nous avons crée tout ca, nous sommes chacuns, avec nos machines connectées, des maillons de la chaine qui nous tiens en laisse.
Nous formons l’immense toile d’araignée qui porte bien son nom, la toile/le net, si un truc vibre, la vibration parcoure toutes les mailles, et arrive au point central.
Nous avons construit cette toile, les état n’ont plus qu’a ses placer au centre, etjouer l’araignée.
#74
#75
Bof, en fait non.
A la base le web était nommé comme ça de par le schéma théorique de sa conception. Grâce (ou à cause) du A de adsl ça a tourné autrement….
Mais rien n’empêcherai un retour sur une infra plus décentralisée - même si plus lente - , la structure est conçue comme ça, et là l’araignée elle va galérer….
Quand au cryptage PGP et GPG ayant été déclaré légal en France, tu fais bien ce que tu veux.
#76
#77
#78
#79
#80
#81
Enfin tout le débat sur OVH qui ne déménage pas ne tiens pas qu’a respecter ses promesses et déménager des serveurs : y a pleins d’employés chez OVH et un employé ça s’envoi pas à l’étranger comme ça . Le droit du travail c’est pas pour les chiens ;) donc au final leur déclaration était surtout un coup de comm et la non application c’était pas un revirement mais simplement un retour à la réalité :)
#82
Au moins ils tiennent leurs promesses. Pas comme OVH qui gueule puis revient sur ses paroles, alors qu’ils n’ont pas la possibilité de migrer facilement, malgré la validation de la loi !
Perso je suis chez O2switch, et j’y reste, malgré cette loi. Ils se sont prononcés contre la loi renseignement, mais ils ont tenu un billet indiquant leur position quant au déménagement d’un hébergenement en dehors de la France. Et je trouve que c’est assez pertinent. Je ne suis pas sûr que le Luxembourg soit la meilleure destination que la France pour CaliOpen, il ne faut pas tout voir sous le prisme de la surveillance.
Et en plus je n’ai jamais trouvé d’autre offre équivalente, à ce tarif.
#83
#84
C’est la position géographique qui compte si OVH reste en France ou la raison sociale (j’entends par là où ils sont déclarés administrativement)?
#85
#86
Je suis bien d’accord sur le deuxième point. Combien de personne ici post sur Facebook et ont un compte Gmail?
Par contre sur le premier point, t’as beau faire ce que tu veux, le gouvernement a décider de bypasser toute les règles démocratique, et ça a part une révolution (que je ne souhaite pas) il n’y a pas de solution
#87
#88
Ce que je ne comprends pas, c’est que les islamoterroristes / pedonazis / autres malfaiteurs en tout genre ont compris, depuis bien longtemps, que pour ne pas se faire “serrer”, il fallait ne plus utiliser les outils modernes de communication que sont les réseaux sociaux, les téléphones mobiles, et le reste …
A quoi sert alors de poser des boîtes noires chez les opérateurs, si ce n’est pour fliquer la population lambda dont j’estime ne pas faire partie, ainsi qu’une grande part des Inpactiens, comme je le suppose.
Ca sent le chiffrement à outrance tout ça, avec des dommages collatéraux à la clé …
" />
#89
Tu crfois vraiment que ce sont eux qui sont visés ?
Les dirigeant revaient deja de pouvoir espionner tout le monde, bien avant notre actualité.
Tu imagines ? Asseoir le pouvoir de son parti / de ses potes pour les 50 prochianes années ?
Evidemment tous ces “fous” savent deja éviter le net…c’est une évidence pour tout le monde, y compris les services de renseignement.
#90
Si je suis ton raisonnement et pour raisonner par l’absurde je dirais : à quoi servent les agents de police dans les rues. S’il y a des policiers, les délinquants resteront discret et iront commettre leurs infractions dans des lieux où la police est absente.
pour raisonner plus sérieusement, les moyens policiers doivent être adaptés aux circonstances à chaque instant pour faire face à une menace sur l’ordre public sans pour autant porter une atteinte démesurée aux libertés publiques. Tout le problème est là et généralement les responsables (les haut-fonctionnaires, les élus, etc) sont plus préoccupés de se faciliter la tâche que de chercher cet équilibre délicat à tenir.
D’ailleurs, c’est toujours dans ces moments-là, quand le citoyen estime que l’Etat (ou une autre organisation) abuse de ses prérogatives, que le citoyen prend conscience qu’il a plus intérêt à se prémunir lui-même des dangers que de faire confiance dans la protection ou la bienveillance de l’Etat. Car cette protection devient potentiellement un fardeau pour l’exercice des libertés individuelles (l’enfer est pavé de bonnes intentions).
#91
il vaut mieux s’orienter vers les pays de l’Est:Hongrie,Bulgarie,Roumanie,Rep. Tcheque.
ils ne sont pas encore pourris par le systeme