Il y a quelques semaines, Protonmail a une nouvelle fois lâché des infos identifiantes aux keufs, sans tordre du cul. Wire a suivi, et Apple aussi bien évidemment.

Pour rappel, Protonmail est un service de Proton AG, une boîte suisse fondée en 2014, juste après les révélations Snowden, et qui profite de la vague « protection de la vie privée sur internet » depuis lors.

Depuis quelques années, et d’autant plus depuis que la création d’invitations Riseup a été rendue plus difficile suite à de nombreux abus, plein de personnes choisissent d’utiliser Proton Mail comme fournisseur de mail, y compris pour des usages répréhensibles.

Alors disons le clairement une fois de plus : Proton Mail ne nous protégera jamais des requêtes légales, qu’elles soient françaises, espagnoles, suisses, ou probablement même d’ailleurs.

Proton Mail peut être un choix cohérent si l’on souhaite simplement éviter la surveillance de masse des GAFAM — bien que Proton AG reste une entreprise capitaliste — mais en aucun cas lorsque l’on souhaite réduire les risques liés à la repression d’État.

En effet, comme toute entreprise, Proton AG est contrainte par les lois de son territoire, en l’occurence la Suisse. La Suisse ce fameux pays neutre lol. Proton AG a fait sa comm’ sur des lois soi-disant en faveur de la protection des données. Mais comme toujours, la fameuse protection des données est relative à la confiance que les juges suisses accordent aux polices des pays leur réclamant l’accès aux données.
En l’occurence, il semblerait que la justice suisse a confiance dans les polices espagnoles et françaises dès lors qu’elles emploient le mot « terrorisme ». Que d’étonnement.

On peut lister de nombreux autres problèmes avec Proton Mail, bien qu’il ne s’agisse pas de bloqueurs pour les usages répréhensibles : impossible d’utiliser un client mail dans la version gratuite, difficulté pour créer et utiliser un compte via Tor, comm’ mensongère quant à leur code source qui n’est pas du tout opensource.

Mais alors, que faire si on veut un compte mail de confiance ?

Si on veut que notre fournisseur de mail ne donne pas d’infos aux keufs, on peut déjà lui en donner le moins possible sur nous. Donc créer le compte en utilisant le Navigateur Tor (tuto pour l’installer dans Debian, ici pour Windows et MacOS) — ou carrément Tails —, et ne jamais aller voir ses mails avec un autre outil que le Navigateur Tor. Ainsi, on ne donnera jamais notre localisation (notre adresse internet) au service de mail. Pensons aussi à ne donner aucune info identifiante sous peine de voir des keufs s’en servir dans le futur, qu’il s’agisse d’une adresse email de récupération, d’un numéro de téléphone, d’utiliser un surnom lié à nous, etc.

Bien sûr, il y’a des infos qu’on est obligé⋅e⋅s de fournir au service de mail : le contenu de nos échanges, avec qui on échange, à quelle fréquence. Les administrateurices d’un service mail auront toujours les moyens techniques d’y accéder, bien que certains services rendent celà très difficile, comme c’est le cas pour Riseup, Systemli, Immerda, Autistici/Inventati, mais aussi Proton Mail, Tutanota, et d’autres.

Comment choisir un fournisseur de mail ?

Quelques idées théoriques en vrac : en choisir un qui ne soit pas une entreprise avec des intérêts privés ou un modèle économique dépendant d’investissements privés ; que ses admins partagent des valeurs de lutte contre la répression ; que les groupes / communautés / milieux de luttes que l’on côtoie leur accordent une certaine confiance ; que le service ait prouvé dans le temps une certaine résistance aux flics français ; ...

Pour simplifier la vie de tout le monde, on vous en propose ici quelques-uns, déjà nommés plus haut, dans lesquels une confiance a été construite depuis de nombreuses années. Tous ont des frais et accepteront volontier des donnations.

• Autistici/Inventati, formulaire de demande de compte (pas besoin d’invitation)
• Disroot, formulaire de demande de compte (pas besoin d’invitation)
• Systemausfall, formulaire de demande de compte (pas besoin d’invitation)
• Immerda, sur invitation
• Systemli, sur invitation
• Riseup, sur invitation

Il en existe bien d’autres, mais on vous laisse les trouver :)

Autres conseils

Utiliser un service de mail chouette — même s’il coopère le moins possible avec les keufs — ne protège pas de tout, loin de là. Nos pratiques peuvent nécessiter d’autres ajustements afin de réduire correctement les risques répressifs :

• comprendre les risques qui pèsent sur nous pour établir une politique de sécurité
• utiliser les outils numériques le moins possible
• chiffrer le contenu de nos mails avec OpenPGP
• avoir différentes identités contextuelles
• de manière générale rendre plus difficile l’accès à notre ordinateur personnel en utilisant un système chiffré
• …

Fin

La réduction des risques répressifs dans le numérique est un travail de longue haleine qui ne peut en aucun cas être résumé simplement dans des tutoriels pratiques. Afin de mettre en place des habitudes cohérentes et adaptées aux situations qui nous concernent, mais aussi d’éviter la paralysie causée par le système répressif, il nous semble indispensable d’avancer encore dans la construction de cultures de sécurité collectives, prenant en compte les enjeux numériques mais aussi les contextes légaux ainsi que la santé mentale de chaque individu.
Quelques ressources existent en ce sens, comme le guide d’autodéfense numérique, les ressources compilées par le No Trace Project, et de nombreuses autres.