Proton, le pionnier suisse en matière de protection de la vie privée en ligne, vient d’annoncer la création de la Fondation Proton, une organisation à but non lucratif qui devient désormais l’actionnaire principal de l’entreprise. Ce changement soulève une question clé : concrètement, qu’est-ce que cela apporte de plus pour les utilisateurs et pour la mission de Proton ?

Un acteur incontournable dans la protection des données

Depuis sa création en 2014, Proton s’est illustré comme l’un des premiers à proposer un service de mails sécurisé et chiffré de bout en bout, Proton Mail. Fondée par des scientifiques du CERN, l’entreprise a toujours mis la confidentialité des utilisateurs au cœur de sa mission, refusant de compromettre ses principes pour des gains financiers rapides.

Proton ne s’est pas contenté d’innover avec Proton Mail. Au fil des années, la société a élargi sa gamme de services pour inclure Proton VPN, Proton Calendar, Proton Drive et plus récemment Proton Pass, un gestionnaire de mots de passe.

Tous ces services partagent un même objectif : offrir des outils numériques qui respectent la vie privée des utilisateurs, sans publicité ni exploitation des données.

Un engagement clair envers l’open source

L’open source est un autre pilier fondamental de Proton. L’entreprise a publié une grande partie de son code source (dispo sur GitHub), permettant ainsi à la communauté de vérifier et d’améliorer la sécurité de ses produits.

Ce choix témoigne d’une transparence exemplaire, rare dans le secteur technologique, et d’un désir profond de bâtir un internet plus éthique.

La fondation Proton : Qu’est-ce que ça change concrètement ?

La création de la Fondation Proton va au-delà de la simple restructuration.

Les statuts juridiquement contraignants de la fondation garantissent que Proton restera indépendant et autosuffisant, tout en engageant son succès financier au service de l’intérêt public.

La fondation assurera également la continuité des projets et des subventions alignés avec sa mission, tels que le financement d’organisations promouvant la liberté en ligne et l’open source. Proton s’engage à verser 1 % de ses revenus nets à la fondation, consolidant ainsi son rôle de mécène pour des initiatives globales de protection des droits numériques. Parmi les différentes actions, on peut saluer sa tombola annuelle ou encore des comptes VPN gratuits offerts dans de très nombreux pays confrontés a des instabilités géopolitiques.

Pour conclure

La création de la Fondation Proton, bien que cohérente avec l’histoire de l’entreprise, ne surprend guère. Proton a toujours placé la vie privée et l’indépendance au cœur de sa mission, et cette fondation semble davantage formaliser une trajectoire déjà bien établie que provoquer un véritable changement de cap.

Si cette structure renforce la protection contre les dérives extérieures, elle pourrait aussi, paradoxalement, freiner l’innovation. En cherchant à préserver strictement sa mission, Proton pourrait devenir moins agile et moins réceptif aux nouvelles opportunités technologiques.

La fondation garantit la continuité des valeurs de l’entreprise, mais il reste à voir si elle permettra également de maintenir un équilibre avec la nécessité d’innover. Pour l’instant, il s’agit surtout d’une réaffirmation des principes fondateurs de Proton, plus qu’une révolution dans sa gouvernance.

Note de transparence :

Cet article n'est pas sponsorisé. Il traite simplement d'un sujet d'actualité pertinent dans le domaine de la protection des données.

En Octobre 2023, la Russie intensifiait une nouvelle fois son contrôle d’Internet renforçant, à nouveau, leur rideau de fer numérique. Des sources russes ont récemment confirmé qu’une interdiction des services VPN entrerait en vigueur le 1er mars. Cette interdiction couvre les publicités et les sites Internet fournissant des informations sur la manière de contourner les ressources bloquées en Russie et dans les territoires occupés de l’Ukraine. Il s’agit de la dernière étape d’une campagne de plusieurs années visant à réglementer l’accès à l’information, à isoler les utilisateurs d’Internet en Russie et à augmenter les capacités de surveillance par les autorités. Restreindre les VPN pourrait être perçu comme réduisant l’un des derniers outils dont disposent les citoyens russes pour accéder au monde extérieur, entendre des opinions, des nouvelles et des perspectives au-delà du champ du mediaverse Russe.

Au-delà de l’interdiction des VPN, c’est surtout l’accès à certains contenus qui est visé.

Au cours des dernières années, les autorités russes ont fait pression sur les entreprises de médias sociaux pour restreindre le contenu, établir des entités commerciales locales, stocker les données localement et permettre aux services de sécurité un accès illimité aux données des utilisateurs (comme l’exige la loi russe).
Certaines entreprises occidentales de médias sociaux ont décidé de ne pas se conformer aux réglementations locales, même si cela signifie quitter le marché russe.

En 2018, la Russie a demandé à Telegram, l’application de messagerie sécurisée de fournir aux services de sécurité les clés de chiffrement pour permettre au gouvernement d’accéder aux messages, audios et images des utilisateurs. Telegram a refusé cette demande et s’est adapté en changeant son adresse IP.

En retour, le régulateur d’État (Roskomnadzor) a bloqué près de 20 millions d’adresses IP d’Amazon et de Google Cloud pour empêcher Telegram de changer d’IP pour contourner l’interdiction.

En 2020, Telegram est, de nouveau, entré sur le marché russe et selon un rapport de Wired il y a eu des cas où des utilisateurs ont été contactés par les autorités concernant leurs communications privées dans l’application Telegram.

En 2022, près de 23 % de la population russe utilisait des services VPN par rapport à seulement 9 % en 2021. La hausse de l’utilisation des VPN est associée au conflit en Ukraine et au blocage par les autorités russes d’environ 138 000 sites web, y compris des plateformes de médias sociaux telles qu’Instagram, Facebook et X (anciennement Twitter).

En 2023, la Russie a reçu un score de 21 sur 100 dans le classement annuel Freedom on the Net (indice de liberté de parole et de droit dans le monde numérique).

Chronologie des restrictions numériques en Russie

• 2000–2001 : Premières restrictions
  Le gouvernement russe a commencé à créer et à appliquer des réglementations pour fournir un contrôle étatique de l’internet, y compris des lois limitant le contenu en ligne et restreignant les activités des utilisateurs.
• 2012 : Loi sur la liste noire d’Internet
  Le gouvernement russe a créé une loi permettant de mettre sur liste noire des sites web sans ordonnance judiciaire ni véritable supervision pour juger le site inacceptable. À l’époque, la société civile russe s’est inquiétée que les lois puissent restreindre la liberté d’expression.
• 2014 : Loi sur l’enregistrement des blogueurs
  Les blogueurs influents ou toute personne dont la présence en ligne ou le site web attire plus de 3 000 lecteurs quotidiens doivent s’enregistrer auprès du gouvernement, divulguer des informations personnelles et fournir des détails techniques au principal organisme de sécurité de la Russie, qui est le Service fédéral de sécurité de la Fédération de Russie. Ce mouvement a été perçu par les défenseurs de la vie privée comme une tentative d’intimider, de surveiller et de contrôler les individus influents en ligne.
• 2015 : Loi sur la localisation des données
  La Russie a exigé que les entreprises Internet (étrangères et nationales) stockent les données personnelles des utilisateurs russes sur des serveurs situés dans le pays. Cette loi exigeait également que les informations soient accessibles aux autorités, donnant effectivement à l’État le contrôle sur les données des utilisateurs.
• 2016 : Loi « Yarovaya » également connue sous le nom de « Loi Big Brother »
  Cette loi a étendu les pouvoirs de surveillance du gouvernement russe, exigeant que les fournisseurs de services Internet (FAI) stockent les données de communication des utilisateurs jusqu’à trois ans. Ils étaient également tenus de fournir un accès complet aux agences de sécurité, ce qui impliquait l’installation de matériel et de logiciels de surveillance. De plus, la loi interdisait aux moteurs de recherche d’afficher des résultats pour les sites web mis sur liste noire.
• 2017 : Les services de messagerie instantanée doivent partager les clés de chiffrement
  Selon cette loi, tous les services de messagerie instantanée opérant en Russie étaient tenus de fournir au FSB l’accès aux messages chiffrés des utilisateurs. Cela rendait toute fonctionnalité de confidentialité de l’application inutile puisque toutes les communications pouvaient être déchiffrées à l’aide des clés fournies par la loi. De plus, tous les utilisateurs des applications de messagerie devaient être identifiés par l’enregistrement de l’opérateur mobile.
• 2018 : Interdiction des VPN et des serveurs proxy (retardée à mars 2024)
  La Russie a adopté une loi interdisant l’utilisation des réseaux privés virtuels (VPN) et des serveurs proxy qui permettent tous deux aux utilisateurs d’accéder à du contenu bloqué dans le but de renforcer le contrôle sur l’accès aux informations en ligne. La loi est entrée en vigueur le 1er mars 2024, près de six ans après son adoption initiale. Le retard pourrait être dû à la difficulté des capacités techniques nécessaires pour bloquer complètement tous les services VPN.
• 2019 : Loi sur l’Internet souverain
  Cette loi a donné au gouvernement l’autorité de centraliser le contrôle sur l’infrastructure Internet du pays en cas de menaces perçues pour la sécurité nationale. La législation, qui a été promulguée la même année, a également fixé des amendes pour la diffusion de contenu irrespectueux sur le gouvernement et les fonctionnaires d’État en ligne, restreignant davantage la liberté d’expression.
• 2020-2021 : Contrôle des médias sociaux et amendes
  Selon ces lois, les autorités pouvaient infliger des amendes aux plateformes de médias sociaux pour ne pas avoir supprimé le contenu jugé illégal. Ce mandat mettait la pression sur les plateformes pour se conformer aux exigences de censure de l’État, y compris les exigences pour établir des entités juridiques, stocker les données des utilisateurs localement et rendre ces données accessibles aux autorités.

Comment bloquer l’utilisation des VPN ?

Bloquer les services VPN représente un défi technique, mais ce n’est pas impossible.

La technologie VPN a été utilisée pour la première fois en 1996. Depuis lors, les entreprises et les gouvernements ont développé de nombreuses méthodes pour identifier l’utilisation des VPN.

Voici les méthodes les plus courantes pour bloquer les services VPN.

• Inspection approfondie des paquets (DPI) : Les autorités peuvent analyser les paquets de données au fur et à mesure qu’ils passent à travers le réseau et essayer d’identifier les motifs uniques (ou l’empreinte digitale) de fonctionnement du trafic VPN. La seule véritable façon d’éviter la détection repose sur les épaules des fournisseurs de VPN et de la technologie qu’ils utilisent pour cacher des motifs identifiables. Pour éviter la détection, la plupart des VPN nouvelle génération utilisent des protocoles de chiffrement pour faire apparaître leur trafic comme des données d’utilisation d’Internet régulières. Une fois l’interdiction en vigueur, les autorités bloqueront très probablement tout trafic chiffré qui ressemble à une utilisation de VPN.
• Blocage des serveurs VPN : Le gouvernement russe dispose déjà d’une liste de sites web et d’adresses IP et il continue de mettre à jour cette liste régulièrement. Les autorités identifient les adresses IP connues associées aux serveurs VPN et bloquent l’accès à ces serveurs. De nombreux fournisseurs de VPN mettent fréquemment à jour et changent leurs adresses IP de serveur pour contourner les interdictions basées sur les serveurs. Identifier et restreindre l’accès aux nouvelles adresses IP et technologies VPN peut ressembler à un jeu du chat et de la souris sans fin pour les autorités.
• Blocage des ports et des protocoles : Les VPN utilisent des ports spécifiques pour leurs protocoles de communication. En identifiant les ports utilisés par les services VPN, les autorités russes peuvent bloquer tous les ports connus dans le but de restreindre le trafic VPN. Cela inclut le blocage des protocoles ou la restriction de l’utilisation de protocoles de communication spécifiques couramment associés au trafic VPN tels que le protocole de tunneling point à point (PPTP), le protocole de tunneling de couche deux (L2TP), la sécurité des protocoles Internet (IPSec) et le protocole de tunneling de socket sécurisé.
• Filtrage DNS : DNS signifie Système de noms de domaine. Les autorités pourraient empêcher une connexion à tous les noms de domaine associés aux services VPN. Les utilisateurs peuvent configurer manuellement les serveurs DNS ou utiliser directement les adresses IP pour contourner cette méthode de restriction.

Pour conclure

L’interdiction des services VPN en Russie est sans surprise. Le gouvernement dispose maintenant des moyens techniques pour identifier et restreindre ces services.

L’administration Biden a récemment pris une décision drastique en interdisant l’utilisation du logiciel antivirus Kaspersky aux États-Unis. Cette mesure intervient en réponse à des préoccupations de sécurité nationale, alimentées par des liens allégués entre l’entreprise russe et le Kremlin. Voici les détails de cette interdiction et ses implications.

Contexte de l’Interdiction

Les autorités américaines ont exprimé des inquiétudes croissantes quant à la possibilité que Kaspersky Lab, une entreprise basée à Moscou, soit sous l’influence directe du gouvernement russe. En raison de la nature sensible des informations protégées par les logiciels de cybersécurité, le risque d’accès non-autorisé par des acteurs étatiques a été jugé inacceptable.

Réaction de Kaspersky

Historiquement, Kaspersky a fait des efforts pour se distancier des accusations d’influence russe, notamment en déplaçant une partie de ses infrastructures hors de Russie.

En 2018, Kaspersky a annoncé la relocalisation de certaines de ses opérations clés en Suisse. Cette initiative, connue sous le nom de « Global Transparency Initiative », visait à renforcer la confiance en l’intégrité de ses produits et à répondre aux préoccupations de sécurité des gouvernements et des utilisateurs du monde entier. Les points clés de cette initiative comprenaient :

• Transfert des données : Kaspersky a transféré le traitement des données des utilisateurs en Europe, aux États-Unis, au Canada et dans plusieurs pays asiatiques vers des centres de données en Suisse.
• Audits indépendants : La société a ouvert ses processus et son code source à des audits indépendants réalisés par des tiers pour prouver l’absence de toute manipulation malveillante.
• Centre de Transparence : Kaspersky a ouvert un centre de transparence à Zurich, où les parties intéressées peuvent examiner le code source de ses logiciels, les mises à jour logicielles et les règles de détection de menaces.

Malgré ces mesures, les autorités américaines ont maintenu leurs préoccupations concernant les liens potentiels de Kaspersky avec le gouvernement russe. La décision de bannir les produits Kaspersky aux États-Unis reflète une méfiance persistante et des préoccupations de sécurité nationale qui n’ont pas été apaisées par les initiatives de transparence de l’entreprise.

Eugene Kaspersky, le fondateur et PDG de Kaspersky Lab, a fermement nié toutes les accusations de collusion avec le gouvernement russe. Dans une interview récente, il a souligné que son entreprise n’a jamais été impliquée dans des activités d’espionnage et qu’elle opère de manière indépendante.

Implications pour les utilisateurs et les entreprises

L’interdiction signifie que toutes les entreprises américaines et les particuliers devront cesser d’utiliser les produits Kaspersky dans un délai de 100 jours. Cette mesure vise à prévenir tout risque potentiel de cyberespionnage. Les utilisateurs sont invités à rechercher des alternatives fiables pour assurer la continuité de leur protection contre les menaces informatiques.

Répercussions sur le marché de la cybersécurité

Cette interdiction marque un tournant dans le domaine de la cybersécurité internationale. Les entreprises devront désormais être plus vigilantes quant à l’origine de leurs fournisseurs de logiciels et aux liens potentiels avec des gouvernements étrangers. Il est également probable que d’autres pays suivent l’exemple des États-Unis, augmentant ainsi la pression sur Kaspersky qui avait déjà du supprimer son service de VPN en Russie en 2022.

Pour conclure

La décision des États-Unis de bannir Kaspersky souligne les tensions géopolitiques croissantes et les préoccupations persistantes en matière de cybersécurité. Bien que Kaspersky nie toutes les accusations, la méfiance persiste et les utilisateurs devront s’adapter à cette nouvelle réalité en trouvant des solutions de remplacement pour assurer leur protection numérique.

Sources :

• The Hacker News
• AP News
• The Guardian

Actuellement, les arnaques sur internet sont de plus en plus sophistiquées et touchent tout le monde. Même les géants du web comme Google ne sont pas épargnés, leur nom étant souvent utilisé à des fins frauduleuses. Voici un tour d’horizon des différentes arnaques impliquant Google, accompagné de conseils pour s’en protéger.

Les usurpations d’identité

Les arnaques les plus courantes impliquent des imposteurs se faisant passer pour des représentants de Google. Que ce soit un faux email de Google Ads vous demandant de changer l’adresse de facturation ou une offre d’emploi fictive de Google HR, le but est toujours le même : obtenir de l’argent ou des informations personnelles. Pour éviter ces pièges, vérifiez toujours l’adresse email de l’expéditeur et ne cliquez jamais sur des liens suspects.

Les arnaques aux loteries

On pense l’arnaque aux concours connues et qu’elle ne prend plus et pourtant si ! Les promesses de gros gains sont un classique. Si vous recevez un email affirmant que vous avez gagné un prix Google, demandez-vous si vous avez réellement participé à un concours. En général, ces arnaques vous demanderont de payer des frais pour recevoir votre prix, ou de fournir des informations bancaires. Soyez vigilant : Google ne propose JAMAIS de loteries spontanées.

Les faux supports techniques

Pareil qu’avec Microsoft, les messages d’erreur et/ou les pop-ups indiquant que votre ordinateur est infecté et que seul le support technique de Google peut résoudre le problème sont des arnaques. Cette technique d’ingénierie sociale vise à vous effrayer et à vous inciter à payer pour un service inutile. Ne donnez jamais accès à distance à votre ordinateur et ne répondez pas à ces sollicitations.

Arnaques à la récupération de compte

Les emails alarmants vous informant que quelqu’un a tenté d’accéder à votre compte Google peuvent sembler légitimes. Cependant, si ces emails vous demandent de cliquer sur un lien ou de fournir des informations personnelles pour récupérer votre compte, il s’agit probablement d’une arnaque. Pour vérifier l’état de votre compte, connectez-vous directement via le site officiel de Google.

Sextorsion et extorsion

Les arnaques à la sextorsion impliquent des escrocs qui prétendent détenir des informations compromettantes sur vous et menacent de les divulguer si vous ne payez pas une rançon. Ne cédez jamais à ces demandes. Signalez-les et bloquez les expéditeurs.

Les arnaques aux cartes-cadeaux Google

Une autre arnaque fréquente consiste à recevoir une demande de paiement via des cartes-cadeaux Google, souvent sous prétexte de régler des dettes fiscales ou d’aider un proche en difficulté. Sachez que ni Google ni les autorités légales ne vous demanderont jamais de payer de cette manière. Soyez méfiant et vérifiez toujours l’authenticité de ces demandes.

Le Malvertising : La publicité malveillante

Le malvertising est une technique de fraude qui consiste à diffuser des logiciels malveillants via des publicités en ligne. Souvent dissimulées derrière des bannières publicitaires, ces annonces peuvent infecter votre système par un simple clic, voire par l’affichage de la publicité.

Récemment, une fausse campagne publicitaire ciblant les utilisateurs de Webex a redirigé ces derniers vers un site de téléchargement de malware. Une autre campagne a visé les utilisateurs cherchant à télécharger des VPN gratuits, les redirigeant vers des sites malveillants installant des logiciels espions sur leurs appareils.

Comment Google vous protège ?

Google utilise une combinaison d’intelligence artificielle et d’évaluations humaines pour détecter et bloquer les comportements frauduleux.

Des outils comme Google Safe Browsing vous alertent lorsque vous êtes sur le point de visiter une page risquée. Google propose également l’authentification à deux facteurs pour sécuriser davantage vos comptes et filtre automatiquement les tentatives de phishing, envoyant ces emails directement dans votre dossier spam.

Conseils pour rester en sécurité

• Méfiance vis-à-vis des emails suspects : Ne répondez jamais aux emails vous demandant des informations personnelles ou des paiements, surtout s’ils viennent d’un domaine autre que @google.com.
• Ne participez qu’à des concours légitimes : Si vous n’avez pas participé, vous n’avez pas gagné. Méfiez-vous des demandes de frais pour recevoir un prix.
• Ignorez les appels de support technique : Google ne vous contactera jamais pour offrir un support technique non sollicité.
• Évitez les liens de récupération douteux : Si vous n’avez pas initié une récupération de compte, ignorez les emails vous demandant de cliquer sur des liens non-Google.
• Protégez vos informations privées : Ne payez jamais pour garder vos données privées. Signalez et bloquez les contacts menaçants.

Que faire en cas d’arnaque ?

Si vous avez été victime d’une arnaque, changez immédiatement vos mots de passe et scannez votre ordinateur avec un logiciel antivirus. Surveillez vos relevés bancaires pour détecter toute transaction non autorisée et signalez l’incident à Google. Enfin, éduquez-vous sur les arnaques courantes pour éviter de retomber dans le piège.

Pour conclure

Les arnaques liées à Google sont nombreuses et variées. En restant vigilant et en suivant ces conseils, vous pouvez protéger vos informations personnelles et éviter de devenir une victime de fraude. Ne baissez jamais votre garde et informez-vous régulièrement sur les nouvelles techniques de cybercriminalité pour vous prémunir contre ces menaces.