Le service de messagerie Riseup, mené par des militants des libertés numériques, annonce avoir fourni les données de certains comptes au FBI. Pour éviter de revivre cette situation, il commence à chiffrer le stockage des emails, avant de mettre en place un chiffrement de bout en bout dans l'année.
Le service d'hébergement d'emails Riseup se met au stockage chiffré. Destiné aux militants en ligne, il indique avoir dû fournir des données d'utilisateurs suite à la réception de deux mandats. Un problème, pour un service qui milite lui-même pour la protection de la vie privée, notamment via la démocratisation d'outils libres. Financé par les dons, il fournit certains outils autres que le mail, comme un serveur XMPP pour la discussion instantanée ou un serveur OpenVPN.
Deux mandats reçus pour des affaires d'extorsion
« Après avoir épuisé nos options légales, Riseup a choisi de se conformer à deux mandats du FBI » annonce l'équipe. Selon ses propres mots, la première demande concernait l'adresse de contact d'un groupe pratiquant l'extorsion par déni de service distribué (DDoS), quand la seconde était liée à un ransomware.
« L'extorsion viole clairement la lettre et l'esprit de notre contrat social avec les internautes. Nous vous protégeons tant que vous n'avez pas d'agenda exploiteur, misogyne, raciste ou fanatique » ajoute Riseup. Le « canari », censé prévenir de telles injonctions, n'avait pas été mis à jour. Riseup en étant empêché par un « gag order », une méthode contre laquelle des grands groupes comme Microsoft commencent à se battre.
Un chiffrement avec clé côté serveur dans un premier temps
En réponse à ces événements, le service annonce le chiffrement du stockage des emails, avec une clé propre à chaque utilisateur. Il est pour le moment uniquement fourni aux nouveaux membres, avant d'être étendu à l'ensemble des comptes. Il est fondé sur la bibliothèque NaCl, via une extension pour le serveur IMAP Dovecot.
Riseup précise bien qu'il ne s'agit pas du chiffrement de bout en bout, mais uniquement du stockage lui-même. Il reste tout de même à voir l'efficacité concrète de cette mesure. Autrement dit, « avec le nouveau système de Riseup, vous placez toujours votre confiance dans le serveur auquel vous vous connectez ». Le chiffrement de bout en bout, côté client, est promis dans le courant de l'année.
Pour rassurer ses utilisateurs, l'équipe déclare que Riseup n'a pas été « compromis » par les autorités, par exemple avec l'installation de matériel spécifique ou la livraison de serveurs. « Plutôt fermer nos portes que d'en arriver là » lance-t-elle.
Commentaires (49)
#1
J’utilise RiseUp pour pas mal de communication associatives depuis un moment.
C’est une bonne chose qu’ils mettent tout cela en place?
#2
Oui, c’est une bonne chose.
#3
Intéressant leur petit plugin Dovecot.
Je serai curieux de le tester si j’en ai l’occasion (soit pas maintenant, je n’utilise pas de bdd et mes mails passent à la moulinette zlib pour être compressés)
#4
#5
#6
Je trouve la demande du FBI justifiée..
“Selon ses propres mots, la première demande concernait l’adresse de
contact d’un groupe pratiquant l’extorsion par déni de service distribué
(DDoS), quand la seconde était liée à un ransomware”
Qui ne veut pas de justice? Celui qui se ferait attaquer par DDoS au risque de mettre son entreprise en péril ou celui qui a toutes des données privées cryptées par un ransomware comprend tout le suite les limites de la protection de la vie privée.
Si ces demandes concernaient la pédophilie ou un réseau d’exploitation de femmes, qui serait mal vu? le FBI ou le service de messagerie ? Qui protège tant ses utilisateurs qu’ils peuvent commettre des crimes et délits en toute sécurité…
(/mode provoc) La pédophilie, le viol tant qu’ils restent dans le domaine privé peuvent etre autorisés ?
La protection de la vie privée est justifiée tant que l’on reste dans le cadre de la loi. Il est normal que la vie de toute personne qui enfreint la loi soit surveillée et fouillée pour trouver des preuves et justifier une condamnation.
#7
#8
Rien à dire, c’est globalement ça. :)
#9
#10
#11
Si il ne s’agissaient que de demandes justifiées et qu’il n’y avais jamais d’abus on n’en serait sans doute pas arrivé à une généralisation des systèmes de chiffrement. Qu’est-ce qui te dis que ces demandes n’invoquent pas des raisons bidons uniquement pour justifier la demande et accéder aux données pour une vraie raison peut être totalement différente?
Donc oui ça va pénaliser les investigations dans certaines affaires, mais la faute à qui?
#12
#13
Ah OK :sad:
Re " /> et bon WE
Ps: (oui, j’suis chiant) RiseUp le fait lui ?
#14
#15
Donc les clés sont sur les serveurs ? Ca sert à quoi si le FBI les saisit ?
ProtonMail est pas mal, je l’utilise dans sa version gratuite. Mais l’absence de support de client (Thunderbird) est assez gênante pour une utilisation au quotidien.
#16
Désolé, je te le demandais car on aurait dit que tu connaissais/utilisais ce service.
Je posais la question car j’avais pas envie de me taper les CLUF/CGu etc. des 2 " /> surtout si elles sont en ENG " />
Ben oui, leur “Home” est bien mais à l’utilisation ?
Comme je dis, je ne connais ni un ni l’autre mais Merci quand même " />
#17
Il y a aussi https://posteo.de/fr qui fait le job. Chiffrement “global”, anonyme pour ceux qui le souhaite…
#18
#19
Désolé si tu n’as pas lu les questions/réponses que je poses ensuite " />
En fait, je cherche une boîte mail “sécurisée”, “payante ou non”, où on puisse importer ses mails de chez Yahoo!Mail car ça pue du " /> chez Yahoo! (voir la news de hier)
https://www.nextinpact.com/news/103313-yahoo-deuxieme-breche-concerne-aussi-donnees-recentes.htm
et comme c’est (c’était j’espère " /> ) ma boîte principale, voilà quoi " />
#20
A priori avec Posteo tu peux importer tes données Yahoo :https://posteo.de/en/blog/migration-service-now-includes-address-book Edith : en français,https://posteo.de/fr/blog/nouveau-service-de-migration-posteo
#21
#22
Merci pour le lien " />
M’en vais étudier " /> ces cas (Proton, RiseUp et Posteo => T’in ça me fait penser à La Poste " /> ) ce WE.
Bon WE à toi ( et à tous bien sûr) " />
#23
OK, c’est noté " />
#24
pour trouver une messagerie email ethique : https://www.blog-libre.org/2016/12/16/messagerie-email-ethique-ou-comment-eviter…
#25
Faut dire aussi que tous les militants, des malfras, les journalistes et des hommes politiques utilisent ce service, fallait s’en douter qu’ils étaient dans la ligne de mire…
" />
#26
Pfiou, j’aurais jamais assez du WE pour tout consulter " />
Par contre, il n’est pas question de RiseUp. Un oubli ?
#27
Arf, je peux plus éditer !
Bon si, ils en parlent dans les com’s:
“Concernant RiseUp, je sais qu’ils sont militants et activistes mais ils operent dans le pire des pays niveau confidentialité. Je pense aux révélatiions Snowden évidemment, donc je ne les conseille pas.”
Ite Missa Est " />
#28
#29
Je surveille ça " />
#30
Autant payer ton nom de domaine (quelques euros par an) et comme ça tu auras une boîte mail qui t’appartient " />
#31
Vi c’est vrai, j’avais un nom de domaine chez OVH mais, le CMS et moi, ça fait 2 " /> alors, la boîte mail perso pfiou, oubliée…
J’ai pas renouvellé l’abo (~10€/an). Voilà pourquoi j’essaye de me tourner vers une autre boîte que Yahoo! " />
#32
#33
#34
Pareil, je n’ai pas compris l’intérêt de dire aux utilisateurs que c’est sécurisé alors que les clés de chiffrement sont conservées par Riseup. Déjà ils peuvent se faire backdooriser et ensuite en cas d’enquête le FBI peut demander qu’ils remettent les clés… Bref, un service à oublier et préférer ProtonMail ou Openmailbox.
#35
Quelqu’un sait-il comment configurer une adresse proton mail dans Thunderbird?
Pour changer d’adresses mail principale, celle en laposte.fr et bloqué , et j’ai beau envoyer des messages par le formulaire, en plus d’un courrier papier, aucune réaction, j’ai l’impression que le personnel du service client de la poste.net sont soit tous décédé depuis des lustres, soit en vacance 12 mois par an, ou c’est un service fantôme." />" />" />
#36
La raison 3 découle de la raison 1 :-)
Essaie de contacter casper @ la poste.net
#37
Déjà peut-être essayé une lettre recommandé, et après peut-être les trainés au tribunal pour non réponse." />
#38
ProtonMail does not integrate with third party email clients.
Et adresse email principale de quoi ? Dans thunderbird ? J’espère que tu n’as pas contacté la Poste pour ça, ça expliquerait pourquoi ils ne te répondent pas " />.
#39
Réponse pour les offres d’emploi, edf, impôts, sécurité sociale, etc … Mon problème laposte.net n’a rien a voir avec Thunderbird.
J’ai créer l’adresse vers 2003, et ne me souvient plus des informations que j’avais écrit à l’époque. Ce qui m’énerve, ce qu’ils ne répondent pas du tout depuis mon problème mi-janvier." />
Et semble pas être le seul :
http://www.arobase.org/laposte-net/laposte-2014-problemes.htm
#40
C’est pas la Poste qui t’envoie ces emails, donc c’est pas à eux qu’il faut demander mais à ceux qui te les envoient…
#41
Ne parle pas d’envoi de mail, je n’arrive pas à accéder à mon compte émail.
#42
Si tu as un nom de domaine chez OVH, normalement tu as aussi droit à une adresse @tonnomdedomaine via leur webmail ou POP3/IMAP. J’ai plusieurs domaines et hébergements mutualisés chez eux et je n’ai rien dû configurer pour les boîtes mail.
#43
Je t’envoie l’Hadopi te fouiller dès demain:
Il y a Pascal Rogard, Marie Françoise Marais, et Pierre Lescure." />
#44
Bonjour Vekin
T’as pas lu: “J’avais un nom de domaine” et à l’époque (il y a 3-4 ans, monter ma boîte AE, racheter une caisse etc.), j’avais pas le temps de mettre les mains dans le cambouis " /> .
D’toute façon, j’ai pris une boîte ce WE chez Posteo. 24€/an pour 6Go de stock, import des mails de 3 autres boîtes, intégration à iOS, Outlook et Cie, un service Aide (qui fonctionne le Dimanche " /> pas comme La Poste " />
Le plus ch*ant, prévenir ma liste de contacts de changer mon email et aller sur les comptes des sites où j’utilisais les boîtes yahoo et gmail " />
J’en ai pour la semaine " />
#45
Juste le nom de domaine alors, sans services annexes ? Je comprends mieux alors.
#46
Toutafé " />
#47
Il est étonnant que le canari n’ait pas été utilisé. Le principe même du canari implique que même les ordres dont il est interdit de communiquer l’existence sont ainsi, indirectement, dévoilés. Certes, sa légalité ne semble pas encore avoir été testée devant les tribunaux, mais elle repose sur l’idée que la justice ne peut forcer quelqu’un à mentir sciemment. Or, en retirant le canari, RiseUp aurait toujours pu expliquer qu’il ne pouvait commenter sa disparition.
#48
Si tu veux être sûr, tu mets en place ton propre serveur mail, sécurisé par tes soins (en te renseignant avant et en utilisant des solutions éprouvées ;-) ), et tu utilises PGP dès que tu envoies un mail sensible.
#49
Merci du conseil, mais comme dit + haut, j’ai migré (et c’est long et c’est pas fini) vers une messagerie “secure” (on verra bien) posteo.de voir le lien de damien_spirale #24
pour me débarrasser des Yahoo et consorts. Donc ¯\_/¯ trop tard " />