Le service de messagerie Riseup, mené par des militants des libertés numériques, annonce avoir fourni les données de certains comptes au FBI. Pour éviter de revivre cette situation, il commence à chiffrer le stockage des emails, avant de mettre en place un chiffrement de bout en bout dans l'année.
Le service d'hébergement d'emails Riseup se met au stockage chiffré. Destiné aux militants en ligne, il indique avoir dû fournir des données d'utilisateurs suite à la réception de deux mandats. Un problème, pour un service qui milite lui-même pour la protection de la vie privée, notamment via la démocratisation d'outils libres. Financé par les dons, il fournit certains outils autres que le mail, comme un serveur XMPP pour la discussion instantanée ou un serveur OpenVPN.
Deux mandats reçus pour des affaires d'extorsion
« Après avoir épuisé nos options légales, Riseup a choisi de se conformer à deux mandats du FBI » annonce l'équipe. Selon ses propres mots, la première demande concernait l'adresse de contact d'un groupe pratiquant l'extorsion par déni de service distribué (DDoS), quand la seconde était liée à un ransomware.
« L'extorsion viole clairement la lettre et l'esprit de notre contrat social avec les internautes. Nous vous protégeons tant que vous n'avez pas d'agenda exploiteur, misogyne, raciste ou fanatique » ajoute Riseup. Le « canari », censé prévenir de telles injonctions, n'avait pas été mis à jour. Riseup en étant empêché par un « gag order », une méthode contre laquelle des grands groupes comme Microsoft commencent à se battre.
Un chiffrement avec clé côté serveur dans un premier temps
En réponse à ces événements, le service annonce le chiffrement du stockage des emails, avec une clé propre à chaque utilisateur. Il est pour le moment uniquement fourni aux nouveaux membres, avant d'être étendu à l'ensemble des comptes. Il est fondé sur la bibliothèque NaCl, via une extension pour le serveur IMAP Dovecot.
Riseup précise bien qu'il ne s'agit pas du chiffrement de bout en bout, mais uniquement du stockage lui-même. Il reste tout de même à voir l'efficacité concrète de cette mesure. Autrement dit, « avec le nouveau système de Riseup, vous placez toujours votre confiance dans le serveur auquel vous vous connectez ». Le chiffrement de bout en bout, côté client, est promis dans le courant de l'année.
Pour rassurer ses utilisateurs, l'équipe déclare que Riseup n'a pas été « compromis » par les autorités, par exemple avec l'installation de matériel spécifique ou la livraison de serveurs. « Plutôt fermer nos portes que d'en arriver là » lance-t-elle.
