ProtonMail : service de messagerie web chiffré

La France n’est pas en reste…

Pour énerver une autorité comme la CNIL, rien de plus simple. Il suffit de rédiger un texte créant de nouveaux fichiers aspirant quantité de données personnelles, et de ne pas la consulter. Le projet de loi sur la sécurité publique et contre le terrorisme en est le parfait exemple. Faute d’avoir été saisie par le gouvernement, la CNIL a rappelé bruyamment à l’exécutif son existence [url=https://www.cnil.fr/fr/observations-de-la-cnil-sur-le-projet-de-loi-renforcant-la-securite-interieure-et-la-lutte-contre-le]dans un communiqué [/url]sur son site. Elle insiste sur la nécessaire «[i] vigilance, tant de méthode que de fond, qu’exige la préparation des lois affectant les données personnelles des citoyens[/i] ». Ambiance. «[i] Les citoyens attendent que la lutte contre le terrorisme soit efficace, mais aussi qu’elle se fasse dans le respect dû à la protection de leur vie privée et de leurs données. C’est une condition de respect de l’Etat de droit, d’acceptabilité sociale et de légitimité des politiques de sécurité. La CNIL a précisément reçu du législateur la mission de veiller à cet équilibre[/i] » rappelle l’autorité administrative dans un style diplomatique très allégé. Des critiques qui visent le contournement de la CNILSes sentences ne relèvent pas seulement de la politesse de base. Le doigt sur [url=https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=7372ABF6988E06B1354D4B643BA93C8A.tpdila10v_3?idArticle=LEGIARTI000033912459&cidTexte=JORFTEXT000000886460&categorieLien=id&dateTexte=]l’article 11[/url] de la loi de 1978, elle remémore au gouvernement son obligation de la consulter sur toutes les dispositions de projet de loi relatives à la protection des données à caractère personnel. Or, avec le projet de loi venant transférer dans le droit commun des pans entiers de l’état d’urgence, on est clairement dans ce périmètre : il vient modifier les traitements de données d’enregistrement et de réservation des passagers aériens ou sur les navires, et intègre des dispositions relatives aux communications électroniques par voie hertzienne. D’autres problématiques liées à la vie privée, comme la localisation des personnes sous surveillance électronique mobile, l’obligation de déclarer ses identifiants, les saisies informatiques... bref, tous ces points auraient dû faire « tilt » dans l’esprit de l’exécutif et susciter la saisine de la Commission. Il n’en a rien été. Des critiques qui visent aussi le projet de loi Le mécontentement de la CNIL ne se limite pas à son contournement. Il vise aussi le contenu même du projet de loi. « [i]Si la Commission relève que des garanties sont prévues pour encadrer les mesures les plus intrusives (…), elle estime que ces garanties devraient être renforcées[/i] ». Parmi les brèches mises à l’index, arrive déjà l’obligation de déclarer les identifiants. Pour la CNIL, le texte est calibré pour être très gourmand puisque son champ embrasse « [i]la téléphonie fixe ou mobile, la transmission vocale sur internet, les SMS, les courriels, les messageries instantanées, etc.[/i] ». Et les oublieux risqueront trois ans d’emprisonnement et 45 000 euros d’amende… « [i]Le texte ne prévoit pas davantage les finalités et les conditions d’utilisation de ces numéros et identifiants[/i] », ni même les conditions de conservations de ce stock comme l’a déjà critiquées [url=https://www.nextinpact.com/news/104747-lobligation-declarer-ses-identifiants-aprement-critiquee-au-senat.htm]le sénateur Michel Mercier[/url] (UDI). La fin du caractère expérimental du PNR (Passenger Name Record) suscite également des inquiétudes. Ce fichier est « [i]susceptible[/i][i] d’avoir une incidence majeure sur le droit au respect de la vie privée[/i] » considère la CNIL alors que le traitement envisagé en France est plus ample que celui prévu par le droit européen. [url=https://www.nextinpact.com/news/104503-ligne-par-ligne-lavant-projet-loi-sur-letat-durgence-permanent.htm]Chez nous[/url] , il pourra « [i]être utilisé, par les services de renseignement, à des fins de prévention des atteintes aux intérêts fondamentaux de la nation[/i] ». Le manque de contrôle global des fichiers du renseignement Boudée, la CNIL poursuit sur sa lancée en revenant sur une problématique déjà soulevée lors de la loi sur le renseignement. Si les opérations des services du renseignement impliquent l’intervention a priori de la Commission nationale de contrôle des techniques du renseignement, et a posteriori d’une formation spéciale du Conseil d’Etat en cas de contentieux, « il n’existe pas aujourd’hui de dispositif de contrôle global des fichiers de renseignement eux-mêmes ». Pourtant il s’agit à ses yeux d’un impératif dès lors que le sécuritaire devient plus prégnant. L’autorité, qui plaide évidemment pour jouer ce rôle, juge la situation paradoxale : «[i] les fichiers constitués à partir des données ainsi collectées sont pleinement soumis aux principes de la loi Informatique et Libertés (principe de finalité, proportionnalité des données collectées, exigence d’exactitude et de mise à jour, etc.), mais aucun contrôleur externe n’est désigné pour en assurer, de manière générale, le respect[/i] ». Le chiffrement, un élément essentiel de la résilience de nos sociétés Et pour ne pas avoir à être une nouvelle fois oubliée, elle en profite pour ajouter une couche sur un sujet non abordé par le projet de loi : le [url=https://www.nextinpact.com/news/99777-chiffrement-notre-antiseche-pour-expliquer-a-vos-parents.htm]chiffrement[/url]. On sait que le plan ébauché par Emmanuel Macron et Theresa May rêve de « permettre l’accès au contenu chiffré ». Comment ? En créant « [i]une possibilité d’accès au contenu des communications et à leurs métadonnées (entourage d’un suspect, IP de connexion, sélecteurs techniques de l’utilisateur, etc.)[/i] ». A l’instar du [url=https://www.nextinpact.com/news/104738-le-cnnum-propose-daider-gerard-collomb-a-mieux-equilibrer-securite-et-liberte.htm]Conseil national du numérique[/url], la CNIL indique aux deux protagonistes que «[i] le chiffrement est un élément essentiel de la résilience de nos sociétés numériques et du patrimoine informationnel des entreprises comme du secteur public. Il ne doit pas être affaibli[/i] ». Une analyse partagée [url=https://www.nextinpact.com/news/101661-pour-anssi-chiffrement-est-technologie-paix-et-prosperite.htm]par l'ANSSI[/url]. Une politique contraire, reposant par exemple sur l’introduction de backdoors, mettrait « [i]en péril le principe même de fonctionnement des technologies actuelles de chiffrement, qui reposent précisément sur l’interdiction d’accès, par des tiers, aux données ainsi protégées [/i]».C'est bien simple, ces atteintes[i] « créeraient un risque collectif d’affaissement du niveau de sécurité des personnes et des institutions, et renforceraient leur exposition à de graves préjudices économiques, politiques ou de sécurité publique.[/i] »

Dans le même temps l’état d’urgence devient état permanent…

Dans le projet de loi « [i]renforçant la sécurité intérieure et la lutte contre le terrorisme[/i] », un régime de surveillance individuel obligera notamment les personnes soupçonnées de lien avec le terrorisme à fournir leurs identifiants électroniques. Au Sénat, le ministère de l’Intérieur a voulu rassurer. En lieu et place de l’état d’urgence, dont la fin est programmée le 1er novembre 2017, le gouvernement a déposé un projet de loi sur la sécurité publique. Le texte est calibré pour assurer un retour « en douceur » au droit commun puisqu’il y transporte plusieurs outils administratifs issus de ce droit exceptionnel. On retrouve donc les assignations à résidence, les perquisitions administratives, etc. sous des modalités très similaires. C’est dans le cadre de cette prévention du terrorisme, que « [i]toute personne à l'égard de laquelle il existe des raisons sérieuses de penser que son comportement constitue une menace d'une particulière gravité pour la sécurité et l'ordre publics [/i]» pourra se voir soumise à une surveillance individuelle. Les services de l’Intérieur auront d’abord à démontrer que cet individu est en relation avec des personnes ou des organisations incitant, facilitant ou participant à des actes de terrorisme, ou bien qu’il soutient lui-même des thèses incitant ou faisant l’apologie du terrorisme. Ceci fait, par le biais de l’article 3 du projet de loi, un tel individu pourra se voir contraindre de «[i] déclarer les numéros d'abonnement et identifiants techniques de tout moyen de communication électronique dont elle dispose ou qu'elle utilise, ainsi que tout changement de ces numéros d'abonnement et identifiants[/i] ». Quand Gérard Collomb déboussole en voulant rassurerAvant l’enregistrement du projet de loi, [url=https://www.nextinpact.com/news/104503-ligne-par-ligne-lavant-projet-loi-sur-letat-durgence-permanent.htm]une question demeurait[/url] sur le périmètre de la notion d’identifiants. Avisé par le Conseil d’État, le gouvernement a précisé expressément que «[i] ces déclarations ne portent pas sur les mots de passe[/i] ». En somme, des personnes soupçonnées devront déclarer leurs identifiants Facebook, Amazon, Twitter, ses comptes Yahoo et Gmail, OVH, Gandi, Snapchat... non les mots de passe respectifs. Auditionné en Commission des lois au Sénat, Gérard Collomb est revenu sur cet instrument pour en adoucir les angles : « [i]Nous leur demanderons de communiquer leurs identifiants, mais jamais leur numéro de code [/i](sic)[i] et donc il n’y aura pas de surveillance des conversations qu’ils pourront effectuer [/i]» (à partir de [url=https://videos.senat.fr/video.360531_595ac41eac66d.pjl-renforcant-la-securite-interieure-et-la-lutte-contre-le-terrorisme---audition-de-m-gerard-collo?timecode=2192629]19:14:24 de la vidéo disponible en ligne[/url]). Ce passage n’a [url=http://www.senat.fr/compte-rendu-commissions/20170703/lois.html#toc6]pas été retranscrit [/url]sur le site du Sénat, ou plus exactement est devenu : « [i]Ils devront communiquer leurs identifiants[/i] ». De fait, les paroles du ministre de l’Intérieur déboussolent. D’un côté, une déclaration d’identifiants qui ne servira pas à la surveillance des conversations. De l’autre, une déclaration inscrite dans un cadre d’un[url=http://www.senat.fr/leg/pjl16-587.html] chapitre VIII[/url] intitulé… « [i]Mesures individuelles de surveillance [/i]». Le pont avec la loi Renseignement et le délit de consultation La vérité est que cette déclaration servira bien à la surveillance des individus, et déjà des métadonnées de leurs échanges électroniques. Le champ lexical du projet de loi a en effet été taillé pour s’accrocher [url=https://www.nextinpact.com/news/104518-obligation-fournir-ses-identifiants-etat-durgence-permanent-a-loi-renseignement.htm]à la locomotive [/url]de la loi sur le renseignement. L’[url=https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000025503132&idArticle=LEGIARTI000030935642]article L851-2[/url] du Code de la sécurité intérieure autorise en effet une surveillance en temps réel de toutes les données de connexion d’une personne « [i]préalablement identifiée susceptible d'être en lien avec une menace[/i] » terroriste. Soit très exactement la base de départ de l’actuel projet de loi. En d’autres termes, en fournissant ses identifiants (projet de loi sur la sécurité publique et la lutte contre le terrorisme), l’individu apportera sur un plateau le carburant nécessaire à sa surveillance en temps réel (loi Renseignement). Et il n’aura pas beaucoup de choix puisque s’il refuse de transmettre ses identifiants, il sera éligible à 3 ans d’emprisonnement et 45 000 euros d’amende. Mieux : la démonstration d’une adhésion aux thèses terroristes permettra d’activer une autre arme revue et corrigée par [url=https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070719&idArticle=LEGIARTI000032633496]la loi n° 2017-258 du 28 février 2017 [/url]relative déjà à la sécurité publique. C’est le délit de consultation habituelle et sans motif légitimes des sites terroristes. L’individu risquera cette fois « [i]deux ans d'emprisonnement et de 30 000 euros d'amende [/i]» dès lors que « [i]cette consultation s'accompagne d'une manifestation de l'adhésion à l'idéologie exprimée sur ce service[/i] ». Les trois pièces d’un même puzzle, déclaration d’identifiant, surveillance en temps réel, délit de consultation de sites terroristes, vont pouvoir s'imbriquer mutuellement dès lors qu’une personne aura des manifestations un peu trop bruyantes sur Internet, soit en embrassant telle idéologie soit en raison de liens avec des personnes beaucoup plus impliquées. Le ministère de l’Intérieur pourra piocher dans plusieurs infractions pénales au fil des éléments glanés sur les écrans ou lors des perquisitions administratives, d’autant qu’une adhésion à un groupe Facebook [url=https://www.nextinpact.com/news/103200-etat-d-urgence-adhesion-a-groupe-facebook-peut-justifier-perquisition-administrative.htm]permet déjà de justifier pareille visite[/url]. En guise de trouble-fête, une questions prioritaire a visé [url=https://www.nextinpact.com/news/104308-le-conseil-constitutionnel-va-examiner-extension-surveillance-en-temps-reel.htm]la surveillance en temps réel. [/url]La décision du Conseil constitutionnel est attendue dans les prochaines semaines. Mieux, le délit de consultation est lui même menacé[url=https://www.nextinpact.com/news/104537-le-nouveau-delit-consultation-sites-terroristes-en-passe-detre-attaque-par-qpc.htm] d'une procédure similaire... [/url]

Salut

Des nouvelles de protonmail

ProtonMail Bridge qui ajoute la prise en charge IMAP et SMTP à ProtonMail, est désormais disponible pour tous les membres ProtonMail payants.

Le ProtonMail Bridge permet d’envoyer et de recevoir des emails chiffrés depuis votre client mail de votre choix. Le Bridge prend en charge Apple Mail, Thunderbird, Outlook 2011 et Outlook 2015 sur macOS, ainsi que Thunderbird, Outlook 2010, Outlook 2013 et Outlook 2016 sous Windows.

La prise en charge de Linux n’est pas disponible pour le moment, mais elle est prévue pour cette année.

Des instructions détaillées sur l’installation et la configuration du client peuvent être trouvées sur https://protonmail.com/bridge.

et on n’ a pas le droit a un article de Nextimpact ? ;D

Haha.

René, tu nous diras si tu peux enfin communiquer chiffré avec d’autres correspondants qui utilisent le format PGP ? :wink: (si t’es riche et abonné bien sûr)
Ma clé : https://pgp.mit.edu/pks/lookup?op=get&search=0xE444EA69A863FB85

[quote=« Fanch, post:45, topic:3393 »]Haha.

René, tu nous diras si tu peux enfin communiquer chiffré avec d’autres correspondants qui utilisent le format PGP ? :wink: (si t’es riche et abonné bien sûr)
Ma clé : https://pgp.mit.edu/pks/lookup?op=get&search=0xE444EA69A863FB85[/quote]
Je peux recevoir des messages chiffrés mais pas en envoyer à l’extérieur de Protomail
Voir Nextinpact pour la Reine… :slight_smile:

Tous les détails sont donnés [url=https://protonmail.com/bridge/install]par ici[/url]. On reste par contre toujours sans nouvelle d'un support plus complet d'OpenPGP par le service, permettant de se passer de ce genre d'outils et de limitations.