Sécurité de No-Log et ménage des boîtes
No-Log est un service vieux de 20 ans et qui a été hérité par l’équipe actuelle de bénévoles de Globenet.
Nous avons réalisé un audit interne pour évaluer sa sécurité et nous tenons à être transparents, pour que chacun·e puisse prendre les dispositions qu’ielle jugera nécessaires.
L’audit a révélé des problèmes de sécurité importants, avec des possibilités d’attaque qui ont pu avoir un impact sur la confidentialité des boîtes emails. Nous n’avons trouvé aucune trace d’exploitation de ces failles de sécurité. Mais nous ne pouvons pas non plus garantir qu’elles n’ont pas été utilisées. Si c’était le cas, cela voudrait dit qu’une tierce personne aurait éventuellement pu consulter vos emails.
En réaction à cet audit, nous avons immédiatement rendu inaccessibles les fonctionnalités du site www.no-log.org qui étaient en cause. Le reste de l’infrastructure semble être hors de cause.
Nous ne souhaitons pas fermer les boîtes emails qui seraient encore actives. Pour réduire le risque que ce type de problème arrive à nouveau, vous prévoyons prochainement de rénover entièrement le service.
En préalable, nous devons réussir à faire maigrir No-Log :
- SVP faites dès maintenant un GRAND MÉNAGE dans vos emails (à l’ouverture du service, les boîtes ne devaient pas dépasser 20Mo ; certaines sont mille fois plus grosses, il faudrait au moins ne pas dépasser 500Mo)
- Si vous n’utilisez plus votre email No-Log, envoyez-nous un email pour nous demander de supprimer votre boîte
- Nous allons fermer automatiquement toutes les boîtes qui n’ont pas été consultées depuis plus d’1 an (un email sera envoyé)
Ce ménage permettra de réduire le temps de travail des bénévoles, en plus de réduire l’empreinte écologique et financière du service. Au niveau confidentialité, les vieux emails sont plus à l’abri stockés sur des disques durs personnels plutôt qu’en ligne - et ce quel que soit le service.