Forcé de coopérer avec le FBI, Riseup chiffre désormais les emails qu'il stocke

Forcé de coopérer avec le FBI, Riseup chiffre désormais les emails qu’il stocke

Des données, qui veut des données ?

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

17/02/2017 3 minutes
49

Forcé de coopérer avec le FBI, Riseup chiffre désormais les emails qu'il stocke

Le service de messagerie Riseup, mené par des militants des libertés numériques, annonce avoir fourni les données de certains comptes au FBI. Pour éviter de revivre cette situation, il commence à chiffrer le stockage des emails, avant de mettre en place un chiffrement de bout en bout dans l'année.

Le service d'hébergement d'emails Riseup se met au stockage chiffré. Destiné aux militants en ligne, il indique avoir dû fournir des données d'utilisateurs suite à la réception de deux mandats. Un problème, pour un service qui milite lui-même pour la protection de la vie privée, notamment via la démocratisation d'outils libres. Financé par les dons, il fournit certains outils autres que le mail, comme un serveur XMPP pour la discussion instantanée ou un serveur OpenVPN.

Deux mandats reçus pour des affaires d'extorsion

« Après avoir épuisé nos options légales, Riseup a choisi de se conformer à deux mandats du FBI » annonce l'équipe. Selon ses propres mots, la première demande concernait l'adresse de contact d'un groupe pratiquant l'extorsion par déni de service distribué (DDoS), quand la seconde était liée à un ransomware.

« L'extorsion viole clairement la lettre et l'esprit de notre contrat social avec les internautes. Nous vous protégeons tant que vous n'avez pas d'agenda exploiteur, misogyne, raciste ou fanatique » ajoute Riseup. Le « canari », censé prévenir de telles injonctions, n'avait pas été mis à jour. Riseup en étant empêché par un « gag order », une méthode contre laquelle des grands groupes comme Microsoft commencent à se battre. 

Un chiffrement avec clé côté serveur dans un premier temps

En réponse à ces événements, le service annonce le chiffrement du stockage des emails, avec une clé propre à chaque utilisateur. Il est pour le moment uniquement fourni aux nouveaux membres, avant d'être étendu à l'ensemble des comptes. Il est fondé sur la bibliothèque NaCl, via une extension pour le serveur IMAP Dovecot.

Riseup précise bien qu'il ne s'agit pas du chiffrement de bout en bout, mais uniquement du stockage lui-même. Il reste tout de même à voir l'efficacité concrète de cette mesure. Autrement dit, « avec le nouveau système de Riseup, vous placez toujours votre confiance dans le serveur auquel vous vous connectez ». Le chiffrement de bout en bout, côté client, est promis dans le courant de l'année.

Pour rassurer ses utilisateurs, l'équipe déclare que Riseup n'a pas été « compromis » par les autorités, par exemple avec l'installation de matériel spécifique ou la livraison de serveurs. « Plutôt fermer nos portes que d'en arriver là » lance-t-elle.

49

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Deux mandats reçus pour des affaires d'extorsion

Un chiffrement avec clé côté serveur dans un premier temps

Commentaires (49)


J’utilise RiseUp pour pas mal de communication associatives depuis un moment.



C’est une bonne chose qu’ils mettent tout cela en place?


Oui, c’est une bonne chose.


Intéressant leur petit plugin Dovecot.



Je serai curieux de le tester si j’en ai l’occasion (soit pas maintenant, je n’utilise pas de bdd et mes mails passent à la moulinette zlib pour être compressés)








Neru a écrit :



J’utilise RiseUp pour pas mal de communication associatives depuis un moment.



C’est une bonne chose qu’ils mettent tout cela en place?





Le souci c’est que c’est pas stocké en France… Et donc sujet aux lois américaines. Tu devrais regarder Protonmail (suisse), par exemple, ou des fournisseurs français. En cas de litige, au moins, tu aurais des recours légaux accessibles (va porter plainte aux US, tiens <img data-src=" />)









Oliewan a écrit :



Le souci c’est que c’est pas stocké en France… Et donc sujet aux lois américaines. Tu devrais regarder Protonmail (suisse), par exemple, ou des fournisseurs français. En cas de litige, au moins, tu aurais des recours légaux accessibles (va porter plainte aux US, tiens <img data-src=" />)







Re <img data-src=" />

Quelle est la différence entre ProtonMail et RiseUp (que je ne connais pas <img data-src=" />



Je trouve la demande du FBI justifiée..

“Selon ses propres mots, la première demande concernait l’adresse de

contact d’un groupe pratiquant l’extorsion par déni de service distribué

(DDoS), quand la seconde était liée à un&nbsp;ransomware”



Qui ne veut pas de justice? Celui qui se ferait attaquer par DDoS au risque de mettre son entreprise en péril ou celui qui a toutes des données privées cryptées par un ransomware comprend tout le suite les limites de la protection de la vie privée.

Si ces demandes concernaient la pédophilie ou un réseau d’exploitation de femmes, qui serait mal vu? le FBI ou le service de messagerie ? Qui protège tant ses utilisateurs qu’ils peuvent commettre des crimes et délits en toute sécurité…



(/mode provoc) La pédophilie, le viol&nbsp; tant qu’ils restent dans le domaine privé peuvent etre autorisés ?



La protection de la vie privée est justifiée tant que l’on reste dans le cadre de la loi. Il est normal que la vie de toute personne qui enfreint la loi soit surveillée et fouillée pour trouver des preuves et justifier une condamnation.








Lebarbu82 a écrit :



Re <img data-src=" />

Quelle est la différence entre ProtonMail et RiseUp (que je ne connais pas <img data-src=" />





RiseUp est une organisation autonome, américaine, à but non-lucratif, activiste et engagée, et se finance principalement par des dons.

ProtonMail est une société suisse, financée par des dons (?), partenariats et les abonnements premium. Sauf erreur, les emails ProtonMail-&gt;ProtonMail peuvent être chiffrés E2E.

J’ai pas cherché plus que ça les différences techniques, si la question portait plutôt là-dessus.

<img data-src=" />



Rien à dire, c’est globalement ça. :)








Lebarbu82 a écrit :



Re <img data-src=" />

Quelle est la différence entre ProtonMail et RiseUp (que je ne connais pas <img data-src=" />





ProtonMail est une société, RiseUp un collectif (géré par des bénévoles, financé par des dons).

ProtonMail fournit uniquement un service de messagerie sécurisée, RiseUp divers services (messagerie, VPN, wiki, pad, etc) pas forcément sécurisés.









Wikus a écrit :



RiseUp est une organisation autonome, américaine, à but non-lucratif, activiste et engagée, et se finance principalement par des dons.

ProtonMail est une société suisse, financée par des dons (?), partenariats et les abonnements premium. Sauf erreur, les emails ProtonMail-&gt;ProtonMail peuvent être chiffrés E2E.

J’ai pas cherché plus que ça les différences techniques, si la question portait plutôt là-dessus.

<img data-src=" />









m1k4 a écrit :



ProtonMail est une société, RiseUp un collectif (géré par des bénévoles, financé par des dons).

ProtonMail fournit uniquement un service de messagerie sécurisée, RiseUp divers services (messagerie, VPN, wiki, pad, etc) pas forcément sécurisés.







Merci <img data-src=" /><img data-src=" />



Donc, si on n’a pas besoin d’autres services à part la messagerie, vaut mieux se tourner vers Proton (même si c’est payant et non par dons comme Riseup ?



Petite question, Proton peut-il importer des mails d’une autre boîte mail ( Yahoo! ça <img data-src=" /> c’est ma boîte principale et au vue des news d’hier, je voudrais me barrer de Yahoo! quitte à payer <img data-src=" /> )



Si il ne s’agissaient que de demandes justifiées et qu’il n’y avais jamais d’abus on n’en serait sans doute pas arrivé à une généralisation des systèmes de chiffrement. Qu’est-ce qui te dis que ces demandes n’invoquent pas des raisons bidons uniquement pour justifier la demande et accéder aux données pour une vraie raison peut être totalement différente?



Donc oui ça va pénaliser les investigations dans certaines affaires, mais la faute à qui?








Lebarbu82 a écrit :



Merci <img data-src=" /><img data-src=" />



Donc, si on n’a pas besoin d’autres services à part la messagerie, vaut mieux se tourner vers Proton (même si c’est payant et non par dons comme Riseup ?



Petite question, Proton peut-il importer des mails d’une autre boîte mail ( Yahoo! ça <img data-src=" /> c’est ma boîte principale et au vue des news d’hier, je voudrais me barrer de Yahoo! quitte à payer <img data-src=" /> )





ProtonMail est gratuit dans sa formule basique.

Pas d’import vers ProtonMail pour le moment :

“Unfortunately at this time we do not have a way to import mail from other email accounts to your ProtonMail account. We plan on adding this feature in the future.”



Ah OK :sad:



Re <img data-src=" /> et bon WE



Ps: (oui, j’suis chiant) RiseUp le fait lui ?








Lebarbu82 a écrit :



Ps: (oui, j’suis chiant) RiseUp le fait lui ?





ça je l’ignore. Faut voir sur leur site <img data-src=" />



Donc les clés sont sur les serveurs ? Ca sert à quoi si le FBI les saisit ?



ProtonMail est pas mal, je l’utilise dans sa version gratuite. Mais l’absence de support de client (Thunderbird) est assez gênante pour une utilisation au quotidien.


Désolé, je te le demandais car on aurait dit que tu connaissais/utilisais ce service.



Je posais la question car j’avais pas envie de me taper les CLUF/CGu etc. des 2 <img data-src=" /> surtout si elles sont en ENG <img data-src=" />



Ben oui, leur “Home” est bien mais à l’utilisation ?



Comme je dis, je ne connais ni un ni l’autre mais Merci quand même <img data-src=" />


Il y a aussi https://posteo.de/fr qui fait le job. Chiffrement “global”, anonyme pour ceux qui le souhaite…








Lebarbu82 a écrit :



Re <img data-src=" />

Quelle est la différence entre ProtonMail et RiseUp (que je ne connais pas <img data-src=" />





C’est un service de messagerie cryptée basé de bout en bout en Suisse (confidentialité suisse, toussa ^^), anonyme .

https://protonmail.com/fr/



NXi avait fait des articles intéressants.



Edit : over grilled <img data-src=" />



Désolé si tu n’as pas lu les questions/réponses que je poses ensuite <img data-src=" />



En fait, je cherche une boîte mail “sécurisée”, “payante ou non”, où on puisse importer ses mails de chez Yahoo!Mail car ça pue du <img data-src=" /> chez Yahoo! (voir la news de hier)



https://www.nextinpact.com/news/103313-yahoo-deuxieme-breche-concerne-aussi-donnees-recentes.htm

et comme c’est (c’était j’espère <img data-src=" /> ) ma boîte principale, voilà quoi <img data-src=" />








Lebarbu82 a écrit :



Désolé si tu n’as pas lu les questions/réponses que je poses ensuite <img data-src=" />



En fait, je cherche une boîte mail “sécurisée”, “payante ou non”, où on puisse importer ses mails de chez Yahoo!Mail car ça pue du <img data-src=" /> chez Yahoo! (voir la news de hier)



https://www.nextinpact.com/news/103313-yahoo-deuxieme-breche-concerne-aussi-donnees-recentes.htm

et comme c’est (c’était j’espère <img data-src=" /> ) ma boîte principale, voilà quoi <img data-src=" />





Ben non j’avais pas lu <img data-src=" /> mais tu peux essayer, c’est gratuit <img data-src=" />



Merci pour le lien <img data-src=" />



M’en vais étudier <img data-src=" /> ces cas (Proton, RiseUp et Posteo =&gt; T’in ça me fait penser à La Poste <img data-src=" /> ) ce WE.



Bon WE à toi ( et à tous bien sûr) <img data-src=" />


OK, c’est noté <img data-src=" />


Faut dire aussi que tous les militants, des malfras, les journalistes et des hommes politiques utilisent ce service, fallait s’en douter qu’ils étaient dans la ligne de mire…



<img data-src=" />


Pfiou, j’aurais jamais assez du WE pour tout consulter <img data-src=" />



Par contre, il n’est pas question de RiseUp. Un oubli ?


Arf, je peux plus éditer !



Bon si, ils en parlent dans les com’s:



“Concernant RiseUp, je sais qu’ils sont militants et activistes mais ils operent dans le pire des pays niveau confidentialité. Je pense aux révélatiions Snowden évidemment, donc je ne les conseille pas.”



Ite Missa Est <img data-src=" />








Jarodd a écrit :



ProtonMail est pas mal, je l’utilise dans sa version gratuite. Mais l’absence de support de client (Thunderbird) est assez gênante pour une utilisation au quotidien.





C’est prévu pour 2017 normalement. <img data-src=" />



Je surveille ça <img data-src=" />


Autant payer ton nom de domaine (quelques euros par an) et comme ça tu auras une boîte mail qui t’appartient <img data-src=" />


Vi c’est vrai, j’avais un nom de domaine chez OVH mais, le CMS et moi, ça fait 2 <img data-src=" /> alors, la boîte mail perso pfiou, oubliée…



J’ai pas renouvellé l’abo (~10€/an). Voilà pourquoi j’essaye de me tourner vers une autre boîte que Yahoo! <img data-src=" />








Jarodd a écrit :



Donc les clés sont sur les serveurs ? Ca sert à quoi si le FBI les saisit ?





Exactement, j’ai pas compris. C’est juste pour l’effet d’annonce “vous en faites pas on sécurise” ??









Red-Balls a écrit :



Je trouve la demande du FBI justifiée..



Qui ne veut pas de justice?







Je pense que le problème pour Riseup, c’est que justement, ce n’est pas la justice qui a demandé les mails mais le FBI.



Pareil, je n’ai pas compris l’intérêt de dire aux utilisateurs que c’est sécurisé alors que les clés de chiffrement sont conservées par Riseup. Déjà ils peuvent se faire backdooriser et ensuite en cas d’enquête le FBI peut demander qu’ils remettent les clés… Bref, un service à oublier et préférer ProtonMail ou Openmailbox.



Quelqu’un sait-il comment configurer une adresse proton mail dans Thunderbird?

Pour changer d’adresses mail principale, celle en laposte.fr et bloqué , et j’ai beau envoyer des messages par le formulaire, en plus d’un courrier papier, aucune réaction, j’ai l’impression que le personnel du service client de la poste.net sont soit tous décédé depuis des lustres, soit en vacance 12 mois par an, ou c’est un service fantôme.<img data-src=" /><img data-src=" /><img data-src=" />


La raison 3 découle de la raison 1 :-)&nbsp;

Essaie de contacter casper @ la poste.net&nbsp;


Déjà peut-être essayé une lettre recommandé, et après peut-être les trainés au tribunal pour non réponse.<img data-src=" />


ProtonMail does not integrate with third party email clients.



Et adresse email principale de quoi ? Dans thunderbird ? J’espère que tu n’as pas contacté la Poste pour ça, ça expliquerait pourquoi ils ne te répondent pas <img data-src=" />.


Réponse pour les offres d’emploi, edf, impôts, sécurité sociale, etc … Mon problème laposte.net n’a rien a voir avec Thunderbird.

J’ai créer l’adresse vers 2003, et ne me souvient plus des informations que j’avais écrit à l’époque. Ce qui m’énerve, ce qu’ils ne répondent pas du tout depuis mon problème mi-janvier.<img data-src=" />

Et semble pas être le seul :

http://www.arobase.org/laposte-net/laposte-2014-problemes.htm


C’est pas la Poste qui t’envoie ces emails, donc c’est pas à eux qu’il faut demander mais à ceux qui te les envoient…


Ne parle pas d’envoi de mail, je n’arrive pas à accéder à mon compte émail.


Si tu as un nom de domaine chez OVH, normalement tu as aussi droit à une adresse @tonnomdedomaine via leur webmail ou POP3/IMAP. J’ai plusieurs domaines et hébergements mutualisés chez eux et je n’ai rien dû configurer pour les boîtes mail.


Je t’envoie l’Hadopi te fouiller dès demain:

Il y a Pascal Rogard, Marie Françoise Marais, et Pierre Lescure.<img data-src=" />


Bonjour Vekin



T’as pas lu: “J’avais un nom de domaine” et à l’époque (il y a 3-4 ans, monter ma boîte AE, racheter une caisse etc.), j’avais pas le temps de mettre les mains dans le cambouis <img data-src=" /> .



D’toute façon, j’ai pris une boîte ce WE chez Posteo. 24€/an pour 6Go de stock, import des mails de 3 autres boîtes, intégration à iOS, Outlook et Cie, un service Aide (qui fonctionne le Dimanche <img data-src=" /> pas comme La Poste <img data-src=" />

Le plus ch*ant, prévenir ma liste de contacts de changer mon email et aller sur les comptes des sites où j’utilisais les boîtes yahoo et gmail <img data-src=" />



J’en ai pour la semaine <img data-src=" />


Juste le nom de domaine alors, sans services annexes ? Je comprends mieux alors.


Toutafé <img data-src=" />


Il est étonnant que le canari n’ait pas été utilisé. Le principe même du canari implique que même les ordres dont il est interdit de communiquer l’existence sont ainsi, indirectement, dévoilés. Certes, sa légalité ne semble pas encore avoir été testée devant les tribunaux, mais elle repose sur l’idée que la justice ne peut forcer quelqu’un à mentir sciemment. Or, en retirant le canari, RiseUp aurait toujours pu expliquer qu’il ne pouvait commenter sa disparition.


Si tu veux être sûr, tu mets en place ton propre serveur mail, sécurisé par tes soins (en te renseignant avant et en utilisant des solutions éprouvées ;-) ), et tu utilises PGP dès que tu envoies un mail sensible.


Merci du conseil, mais comme dit + haut, j’ai migré (et c’est long et c’est pas fini) vers une messagerie “secure” (on verra bien) posteo.de voir le lien de damien_spirale #24



pour me débarrasser des Yahoo et consorts. Donc ¯\_/¯ trop tard <img data-src=" />