No-log, les logs et la loi

, par Nil

Anonymes ?

Les services No-log sont basés sur des machines installées en France, détenues et gérées par une association, Globenet, déclarée en France et dont les responsables sont tous de nationalité française et résident en France. La loi francaise s’applique donc pleinement à No-log, et No-log s’y soumet, y compris en ce qui concerne la conservation et la communication des données personnelles.

No-log ne vous fournit pas d’anonymat sur Internet, pas du tout. No-log essaie seulement de vous assurer autant de confidentialité que possible. Et ça n’est pas du tout pareil.

Cette position, issue de nombreuses discussions internes, s’explique ainsi :
 la loi punit de lourdes amendes et d’une interdiction d’exercer une activité de FAI le non-respect de la réglementation en vigueur ;
 tel qu’il existe, le service No-log est utile à beaucoup ; sa disparition nous semblerait très préjudiciable.

On essaie de compenser en
 se tenant au courant des lois pour les respecter a minima, sans conserver et (être obligé de) donner plus d’informations que ce qui est exigé ;
 informant les internautes sur les lois qui les transforment en suspects permanents et rendent internet hasardeux pour toute personne souhaitant avoir une activité contestataire [1] ;
 proposant des services accessibles via des interfaces possiblement sécurisées, dont on explique l’importance et le fonctionnement.

Si vous cherchez un véritable anonymat sur internet, vous ne le trouverez pas chez No-log. Il vous faudra chercher ailleurs, et cela passe nécessairement par la prise en main, par vous même, des outils permettant un tel anonymat.

Protégés ?

J’en entends déjà dire « Oui, mais No-log c’est des rebelz, ils résistent à la police et nous protègent quoi qu’on fasse, on est tranquilles. »

Non, non ! Nous répondons à toutes les requêtes judiciaires que nous recevons lorsqu’elles remplissent les conditions de validité requises par la loi, et nous communiquons toutes les informations en notre possession correspondant exactement aux requêtes en question. Cela représente moins de dix requêtes par an à ce jour, et elles sont mentionnées (sans les détails [2]) dans nos comptes-rendus de réunions.

Alors, qu’est-ce que No-log doit communiquer à la police dans ces cas là ? La réponse est claire : No-log doit communiquer toutes les informations en sa possession. La bonne question est donc : quelles informations est-ce que No-log est tenu de conserver ?

À ce sujet, les lois ne sont pas très claires ; le type des données à conserver et la durée de conservation sont vaguement mentionnés dans un décret d’application publié 4 ans après la loi à laquelle il se rapporte. Entre temps, plusieurs textes de loi ont été votées, au niveau national et européen. Aujourd’hui, les FAI conservent ce qu’ils pensent que les juges pourraient leur demander, et les juges demandent ce qu’ils estiment que les FAI doivent conserver. C’est un jeu un peu flou, dans lequel No-log aurait gros à perdre en prenant une position radicale intenable face à un tribunal.

Concrètement, alors ?

Pour l’accès à internet et la messagerie, No-log dispose de plusieurs enregistrements [3] :
 des adresses IP [4] ;
 des numéros de téléphone pour la connexion au réseau [5] ;
 des dates et heures d’utilisation des services ;
 les messages que vous laissez stockés sur nos serveurs, et peuvent donc être exigés en cas de requête judiciaire tant que vous ne les avez pas effacé [6].

En revanche,
 il n’y a pas de log du contenu de vos messages (la loi l’interdit explicitement), ni d’archivage ou sauvegarde desdits messages ;
 les en-têtes [7] des messages envoyés depuis le webmail indiquent votre login, mais pas votre IP.

Mais alors, c’est faux, No-log c’est pas vraiment no-log !

Oui, c’est faux. Avec un peu de cynisme, on pourrait dire que c’est un mensonge pour internautes trop naïfs. Un nom, un souhait, une idée, une sorte de marque avec un certain succès d’image. Il serait plus juste d’appeler cela "minimum-log", "le FAI qui ne vous espionne pas plus que la loi ne l’y oblige". Et ceci n’est pas une nouveauté, il y a toujours eu des logs chez No-log, comme le contrat l’indique.

Mais il semblait y avoir parfois une ambiguïté, une incompréhension, d’où cette mise au point. Ceci étant dit, aucune des personnes qui font tourner No-log n’apprécie la tendance à une surveillance croissante des réseaux, ni les pratiques de censure, filtrage ou délation.

Notes

[1On aimerait bien les changer, ces lois, mais c’est au-delà de nos pouvoirs, pour le moment...

[2La loi nous interdit d’informer les personnes concernées par ces requêtes.

[3La liste détaillé de ces enregistrements est publiée sur ce site.

[4L’adresse IP est le numéro de votre téléphone sur internet, comme votre combiné téléphonique a un numéro lorsque vous le branchez dans la prise murale.

[5En fait, ce numéro de téléphone est loggé puis nous est transmis par Complétel, l’entreprise qui assure le lien entre votre prise téléphonique et nos modems ; notez bien que Complétel dispose du numéro de téléphone (même si vous utilisez le préfixe 3651 pour tenter de le dissimuler), mais pas de l’adresse IP associée.

[6...en les rapatriant sur votre ordinateur avec un logiciel de messagerie au lieu du webmail, ou en les effaçant depuis le webmail.

[7Les en-têtes d’un courriel sont des informations techniques, habituellement non affichées par les logiciels de messagerie, mais transmises avec tout message.