Follow

Le service mail « le plus sécurisé au monde » contraint d’intégrer une backdoor pour la police

> Le fournisseur de services de messagerie allemand Tutanota a été contraint par décision de justice d’intégrer une backdoor dans ses serveurs, afin que la police judiciaire de la Rhénanie-du-Nord–Westphalie (LKA Nordrhein-Westfalen) puisse espionner la boîte de réception d…
01net.com/actualites/le-servic

· · Shaarli2Mastodon · 14 · 66 · 19

@FdC Oh merde.. C'est fini pour eux du coup 😢 Plus personne ne fera confiance en leur service.. bravo les gouvernements de merde

@FdC
"Cette histoire rappelle que seuls les messages chiffrés de bout en bout ne peuvent véritablement être à l’abri d’une surveillance."

"ne peuvent"... 🤔

@FdC

Les messages reçus d’un émetteur externe sont visibles pour le prestataire qui va ensuite les chiffrer avec la clé publique de l’utilisateur

Ce même trou dans la raquette existe également chez ProtonMail
😩

@damvfl @FdC Et chez gmail et chez Orange et chez n'importe quelle autre fournisseur.

Il n'y a pas plus de « trou dans la raquette » chez PM qu'ailleurs.

@Arcaik
c'est pas faux
je viens de comprendre le fameux trou dans la raquette
@FdC

@FdC depuis quand c'est sécurisé les mails ? 😋

@FdC Haha, ça ne m'étonne tellement pas !
Ça fait des années que je dis de les éviter pour plein de raisons.

@parleur
Ah bon, quelles raisons ? Et surtout, quelles autres solutions privilégier, selon toi ? Pour l'instant, en formule offerte, je connais Disroot (pour une adresse avec un alias sur le nom de domaine), c'est insuffisant pour cloisonner. Protonmail me pose problème lors de l'inscription, je ne peux plus valider par CAPTCHA.
@FdC

@FF255 Pour éviter un faux sentiment de sécurité, qui en plus ne permet plus d'utiliser simplement des protocoles et logiciels standards, comme IMAP ou SMTP (ou alors en utilisant des surcouches logicielles pas forcément bien audités).
Et du coup on a des gens qui se croient protégés, alors que… pas tant que ça finalement.
C'est chiant à admettre, mais à part le chiffrement bout-à-bout il n'y a rien de valable.
@FdC

@parleur
Donc à l'aide d'un courrielleur + GPG, c'est ça ? Mais la diversité des acteurs est importante aussi : les services de messagerie n'ont pas tous les mêmes conditions d'inscription (et d'utilisation).
@FdC

@FF255 Pour du courriel, oui, c'est ça.
Je ne dis rien contre la diversité des acteurs, hein.
Par contre s'il pouvait s'agir d'acteurs qui n'enferment pas leurs utilisateurs dans des logiciels spécifiques ou avec des techniques de filtrage obscures et plus ou moins arbitraires (coucou Google), ce serait beaucoup mieux.
@FdC

@FF255 Là, Tutanota l'admet : ils font péter les protocoles standards de communication.
tutanota.com/fr/faq/#imap
Et pour quoi ? Pour dire qu'ils font du bout-à-bout sauf que… non. Et pour des raisons assez évidentes, en plus.
Par exemple : nccgroup.com/us/about-us/newsr
@FdC

@FF255 Donc voilà, ils empêchent la possibilité de faire du vrai bout-à-bout pour permettre de faire du faux bout-à-bout. Génial ⸮
@FdC

@parleur
Ce que je veux dire c'est que j'entends bien que telle ou telle solution est imparfaite, mais je me tourne vers qui en fonction de mon besoin ? L'adresse de messagerie est devenue une pierre angulaire dans le fonctionnement de notre société, que ce soit en ligne ou hors-ligne. Actuellement, je ne sais pas vers qui me tourner, alors encore moins qui conseiller aux autres... Jusqu'à cette porte dérobée imposée, @FdC - 1/2

je ne voyais pas Tutanota comme "à fuir", mais plutôt comme une voie vers laquelle orienter des personnes.
@FdC @parleur - 2/2

@FF255 Je t'avoue que je pense qu'il n'y a pas de solution réaliste à ce problème. C'est le problème de la quadrature du cercle.
@FdC

@parleur
Une option reste de passer an un chaton, non ? On passe au moins probablement à travers les portes dérobées du fait de la petite taille du fournisseur.
@FF255 @FdC

@coq
J'ai une adresse incluse avec l'adhésion au GULL du coin, qui est également CHATONS. 😻

Cependant, ce n'est pas une formule offerte grâce au financement de tiers et je ne peux donc pas en créer à la volée en fonction de mes besoins (sachant qu'avec Protonmail, je prenais le temps de supprimer les comptes quand ils ne me servaient plus).
@parleur @FdC

@FdC
Tutanota a fait appel, j'espère que ça remettra les choses dans l'ordre, parce que là, il y a un pied dans la porte dérobée de la boite de Pandore ! 😨

@FdC S'il est seulement *possible* d'introduire une porte dérobée dans les serveurs, ce n'est *pas* le service le plus sécurisé du monde.

@cedesguin

Précisons tout de même : Tutanota ne pourra révéler (sous la contrainte évidemment) que les contenus qui lui parviennent (en clair) d'expéditeurs non utilisateurs de son service chiffré. Les contenus échangés entre utilisateurs du service sont chiffrés de bout en bout et indivulgables même sous contrainte ou menace. Si les big brothers n'aiment pas ça, leur seule option est de fermer complètement Tutanota.

Le chiffrement c'est ça : ou c'est sérieux, ou ça n'existe pas.

J'ignore si Tutanota offre, comme Protonmail, une option permettant le chiffrement de bout en bout (avec une phrase de passe) pour un destinataire non utilisateur du service. Si c'est le cas, non seulement le prestataire Protonmail ou Tutanota est dans l'incapacité de livrer aux autorités le contenu en clair, mais ce contenu s'autodétruira après 28 jours.

REP A SA big brother.

Enfin, citons Bruce Schneier à propos des services de courriel avec chiffrement : "Lorsque j'ai un vrai souci de confidentialité, je n'utilise *aucun* service de courriel, même chiffré. J'utilise Signal."

@FdC je suis incapable de comprendre de quoi il retourne... en lisant l'article j'ai l'impression que ça ne s'appliquerait pas aux messages chiffrés de bout-end-bout (auquel cas tout ça n'a aucun sens). J'imagine que la décision en justice concerne justement une demande de "masterkey" pour pouvoir déchiffrer les messages même chiffrés ? Il y a des articles qui lèvent l'ambiguité ?

@FdC je me demande pourquoi ils ne transfèrent pas le service de mail dans un autre pays ?

@FdC En quoi ils se permettent de dire qu'ils sont les plus sécurisés ? 🤔

@dada @FdC ben déjà, ils ne le sont plus apparemment... fuck

@turbovomit This is not a backdoor as it only affects non-encrypted emails. Nevertheless, we are fighting this decision! @FdC

@Tutanota @turbovomit @FdC If I understand it well, in the meantime, are all non-encypted emails backdoored?

@tronss No, all non-encrypted emails are encrypted once they reach our servers. The ruling forces us to hand out non-encrypted emails of *one* account. We are not doing this yet as we are still fighting the decision in the courts. @turbovomit @FdC

@Tutanota @tronss @turbovomit @FdC If the decision is confirmed, will you think about moving the services to another country with privacy protections ?

Sign in to participate in the conversation
La Quadrature du Net - Mastodon - Media Fédéré

Mamot.fr est une serveur Mastodon francophone, géré par La Quadrature du Net.