ProtonMail, un servizio di posta elettronica ospitato con un focus sulle comunicazioni crittografate end-to-end, ha affrontato le critiche dopo un rapporto di polizia ha mostrato che le autorità francesi sono riuscite a ottenere l’indirizzo IP di un attivista francese che stava usando il servizio online. L’azienda ha comunicato ampiamente l’incidente, affermando che non registra gli indirizzi IP per impostazione predefinita e che rispetta solo la regolamentazione locale – in questo caso la legge svizzera. Mentre ProtonMail non ha collaborato con le autorità francesi, la polizia francese ha inviato una richiesta alla polizia svizzera tramite Europol per costringere l’azienda a ottenere l’indirizzo IP di uno dei suoi utenti.

Da un anno, un gruppo di persone si è impossessato di una manciata di locali commerciali e appartamenti vicino a Place Sainte Marthe a Parigi. Vogliono combattere contro la gentrificazione, la speculazione immobiliare, Airbnb e i ristoranti di fascia alta. Mentre è iniziato come un conflitto locale, è diventato rapidamente una campagna simbolica. Hanno attirato titoli di giornale quando hanno iniziato ad occupare i locali affittati da Le Petit Cambodge – un ristorante che è stato preso di mira dagli attacchi terroristici del 13 novembre 2015 a Parigi.

Il 1° settembre, il gruppo ha pubblicato un articolo su Paris-luttes.info, un sito di notizie anticapitaliste, che riassume diverse indagini della polizia e cause legali contro alcuni membri del gruppo. Secondo il loro racconto, la polizia francese ha inviato un Europol richiesta a ProtonMail per scoprire l’identità della persona che ha creato un account ProtonMail – il gruppo stava usando questo indirizzo email per comunicare. L’indirizzo è stato anche condiviso su vari siti web anarchici.

Il giorno dopo, @MuArF su Twitter ha condiviso un estratto di un rapporto di polizia che dettaglia la risposta di ProtonMail. Secondo @MuArF, il rapporto della polizia è legato all’indagine in corso contro il gruppo che ha occupato vari locali intorno a Place Sainte-Marthe. Dice che la polizia francese ha ricevuto un messaggio su Europol. Quel messaggio contiene dettagli sull’account ProtonMail.

Ecco cosa dice il rapporto:

  • La società PROTONMAIL ci informa che l’indirizzo e-mail è stato creato il … L’indirizzo IP collegato all’account è il seguente: …
  • Il dispositivo utilizzato è un … dispositivo identificato con il numero …
  • I dati trasmessi dall’azienda sono limitati a quelli dovuti alla politica sulla privacy di PROTONMAIL TECHNOLOGIES”.

Il fondatore e CEO di ProtonMail, Andy Yen, ha reagito al rapporto della polizia su Twitter , senza menzionare le circostanze specifiche di quel caso in particolare. “Proton deve rispettare la legge svizzera. Non appena viene commesso un crimine, le protezioni della privacy possono essere sospese e siamo obbligati dalla legge svizzera a rispondere alle richieste delle autorità svizzere”, ha scritto.

In particolare, Andy Yen vuole chiarire che la sua azienda non ha collaborato con la polizia francese né con Europol. Sembra che Europol abbia agito come canale di comunicazione tra le autorità francesi e quelle svizzere. A un certo punto, le autorità svizzere hanno preso in mano il caso e hanno inviato una richiesta a ProtonMail direttamente. L’azienda fa riferimento a queste richieste come “richieste straniere approvate dalle autorità svizzere” nel suo rapporto di trasparenza.

TechCrunch ha contattato il fondatore e amministratore delegato di ProtonMail Andy Yen con domande sul caso.

Una domanda chiave è esattamente quando il titolare del conto mirato è stato informato che i suoi dati sono stati richiesti dalle autorità svizzere, dal momento che – secondo ProtonMail – la notifica è obbligatoria secondo la legge svizzera.

Tuttavia, Yen ci ha detto che – “per motivi di privacy e legali” – non è in grado di commentare i dettagli specifici del caso o fornire “informazioni non pubbliche sulle indagini in corso”, aggiungendo: “Dovreste rivolgere queste domande alle autorità svizzere”.

Allo stesso tempo, ci ha indicato questa pagina pubblicadove ProtonMail fornisce informazioni per le autorità di polizia che cercano dati sugli utenti del suo servizio di posta elettronica crittografata end-to-end, compresa la definizione di una “politica di notifica degli utenti ProtonMail”.

Qui la società ribadisce che la legge svizzera “richiede che un utente sia avvisato se una terza parte fa una richiesta dei suoi dati privati e tali dati devono essere utilizzati in un procedimento penale” – tuttavia nota anche che “in alcune circostanze” una notifica “può essere ritardata”.

Secondo questa politica, Proton dice che i ritardi possono influenzare le notifiche se: C’è un divieto temporaneo di notifica dal processo legale svizzero stesso, da un ordine del tribunale svizzero o dalla “legge svizzera applicabile”; o quando “sulla base delle informazioni fornite dalle forze dell’ordine, noi, a nostra assoluta discrezione, riteniamo che fornire una notifica potrebbe creare un rischio di lesioni, morte o danni irreparabili a un individuo o gruppo di individui identificabili.”

“Come regola generale, tuttavia, gli utenti interessati saranno informati e avranno la possibilità di opporsi alla richiesta di dati, sia da ProtonMail che dalle autorità svizzere”, aggiunge la politica.

Quindi, nel caso specifico, sembra probabile che ProtonMail abbia ricevuto l’ordine legale di ritardare la notifica al titolare del conto – dato che sembrano essere trascorsi fino a otto mesi tra la registrazione e la sua divulgazione – o che abbia ricevuto informazioni dalle autorità svizzere che l’hanno portata a concludere che ritardare la notifica era essenziale per evitare il rischio di “lesioni, morte o danni irreparabili” a una persona o persone (NB: non è chiaro cosa significhi “danno irreparabile” in questo contesto, e se possa essere interpretato in modo figurato – come “danno” agli interessi di una persona/gruppo, per esempio, come per un’indagine penale, non solo danni fisici – il che renderebbe la politica notevolmente più espansiva).

In entrambi gli scenari, il livello di trasparenza offerto agli individui dalla legge svizzera che ha un requisito di notifica obbligatoria quando i dati di una persona sono stati richiesti sembra gravemente limitato se le stesse autorità legali possono, essenzialmente, imbavagliare le notifiche – potenzialmente per lunghi periodi (apparentemente più di mezzo anno in questo caso specifico).

Le rivelazioni pubbliche di ProtonMail registrano anche un allarmante aumento delle richieste di dati da parte delle autorità svizzere.

Secondo il suo relazione sulla trasparenzaProtonMail ha ricevuto 13 ordini dalle autorità svizzere nel 2017 – ma si sono gonfiati fino a più di tremila e mezzo (3.572!) nel 2020.

Anche il numero di richieste straniere alle autorità svizzere che vengono approvate è aumentato, anche se non in modo così marcato – con ProtonMail che ha riferito di aver ricevuto 13 richieste di questo tipo nel 2017 – che saliranno a 195 nel 2020.

L’azienda dice di rispettare le richieste legittime di dati degli utenti, ma dice anche di contestare gli ordini quando non li ritiene legittimi. E il suo rapporto mostra un aumento degli ordini contestati – con ProtonMail che ha contestato tre ordini nel 2017, ma nel 2020 ha respinto 750 delle richieste di dati che ha ricevuto.

Per ProtonMail informativa sulla privacyLe informazioni che può fornire su un account utente in risposta a una richiesta valida ai sensi della legge svizzera possono includere informazioni sull’account fornite dall’utente (come un indirizzo e-mail); attività dell’account/metadati (come indirizzi e-mail del mittente e del destinatario; indirizzi IP da cui provengono i messaggi in entrata; orari in cui i messaggi sono stati inviati e ricevuti; soggetti dei messaggi, ecc); numero totale di messaggi, memoria utilizzata e ultimo orario di accesso; e messaggi non crittografati inviati da provider esterni a ProtonMail. Essendo un provider di posta elettronica crittografato end-to-end, non può decifrare i dati delle e-mail, quindi non è in grado di fornire informazioni sul contenuto delle e-mail, anche quando gli viene notificato un mandato.

Tuttavia, nel suo rapporto di trasparenza, l’azienda segnala anche un ulteriore livello di raccolta di dati che potrebbe essere (legalmente) obbligata a svolgere – scrivendo che: “Oltre agli elementi elencati nella nostra politica sulla privacy, in casi criminali estremi, ProtonMail può anche essere obbligata a monitorare gli indirizzi IP che vengono utilizzati per accedere agli account ProtonMail che sono impegnati in attività criminali.”

In generale però, a meno che non siate basati a 15 miglia al largo in acque internazionali, non è possibile ignorare gli ordini del tribunale Andy Yen

È quella componente di monitoraggio dell’IP che ha causato un tale allarme tra i sostenitori della privacy ora – e una critica non da poco alle affermazioni di marketing di Proton come un’azienda “centrata sulla privacy dell’utente”.

Ha affrontato particolari critiche per le affermazioni di marketing di fornire “email anonime” e per la formulazione del caveat nella sua informativa sulla trasparenza – dove si parla di registrazione dell’IP solo in “casi criminali estremi”.

Pochi sarebbero d’accordo sul fatto che gli attivisti anti-gentrificazione soddisfino questa condizione.

Allo stesso tempo, Proton fornisce agli utenti un indirizzo a cipolla – il che significa che gli attivisti preoccupati per il tracciamento possono accedere al suo servizio di posta elettronica criptata utilizzando Tor che rende più difficile il tracciamento del loro indirizzo IP. Così sta fornendo strumenti per gli utenti per proteggersi dal monitoraggio dell’IP (così come per proteggere il contenuto delle loro e-mail da essere spiati), anche se il suo stesso servizio può, in certe circostanze, essere trasformato in uno strumento di monitoraggio dell’IP dalle forze dell’ordine svizzere.

Nel contraccolpo intorno alla rivelazione della registrazione IP degli attivisti francesi, Yen ha detto via Twitter che ProtonMail fornirà un link più prominente al suo indirizzo cipolla sul suo sito web:

Proton offre anche un proprio servizio VPN – e Yen ha affermato che la legge svizzera non gli permette di registrare gli indirizzi IP dei suoi utenti VPN. Quindi è interessante speculare se gli attivisti sarebbero stati in grado di eludere la registrazione dell’IP se avessero usato sia l’email criptata end-to-end di Proton che il suo servizio VPN…

“Se stavano usando Tor o ProtonVPN, saremmo stati in grado di fornire un IP, ma sarebbe stato l’IP del server VPN, o l’IP del nodo di uscita Tor”, ha detto Yen a TechCrunch quando abbiamo chiesto di questo.

“Noi proteggiamo da questo modello di minaccia attraverso il nostro sito Onion (protonmail.com/tor)”, ha aggiunto. “In generale, però, a meno che non siate basati a 15 miglia al largo in acque internazionali, non è possibile ignorare gli ordini del tribunale”.

“Il sistema giuridico svizzero, anche se non perfetto, fornisce una serie di controlli ed equilibri, e vale la pena notare che anche in questo caso, è stata richiesta l’approvazione di tre autorità in due paesi, e questa è una barra abbastanza alta che impedisce la maggior parte (ma non tutti) gli abusi del sistema.”

In un risposta pubblica su RedditProton scrive anche che è “profondamente preoccupata” per il caso – ribadendo che non era in grado di contestare l’ordine in questo caso.

“L’accusa in questo caso sembra piuttosto aggressiva”, ha aggiunto. “Sfortunatamente, questo è un modello che abbiamo visto sempre più spesso negli ultimi anni in tutto il mondo (per esempio in Francia, dove le leggi sul terrorismo sono usate in modo inappropriato). Continueremo a fare campagna contro tali leggi e abusi”.

Zoomando, in un altro preoccupante sviluppo che potrebbe minacciare la privacy degli utenti di Internet in Europa, i legislatori dell’Unione europea hanno segnalato che vogliono lavorare per trovare modi per consentire l’accesso legale ai dati crittografati – anche se contemporaneamente affermano di sostenere la crittografia forte.

Ancora una volta, gli attivisti della privacy sono preoccupati.

ProtonMail e un certo numero di altri servizi crittografati end-to-end hanno avvertito in una lettera aperta a gennaio che i legislatori dell’UE rischiano di impostare la regione su un percorso pericoloso verso la crittografia backdooring se continuano in questa direzione.



Source link