Inquiétudes à propos de Riseup

mc² · 27 Novembre 2016

Riseup est-il sous le coup d'une injonction des autorités US ? La question est posée depuis quelques jours.

Riseup fournit des outils de communication en ligne pour les personnes et les groupes qui militent en faveur d'un changement social libérateur. Nous sommes un projet pour créer des alternatives démocratiques et pour pratiquer l'auto-détermination en contrôlant nos propres moyens de communication sécurisés.

Cliquez pour agrandir...

Les fournisseurs de services peuvent être soumis à des injonctions, de la requête d'informations sur des utilisateurs à l'installation d'équipement de surveillance, avec interdiction d'en parler. C'est pourquoi Riseup fait une déclaration environ tous les trois mois affirmant qu'il n'ont pas reçu une telle injonction. "Si la déclaration n'est pas mise à jour, les utilisateurs peuvent en déduire qu'elle n'est plus vraie." Or la dernière déclaration date du 16 août.

C'est déjà arrivé que Riseup mette sa déclaration avec retard. Cependant, on peut voir sur le compte Twitter de Riseup qu'ils répondent à quelqu'un qui s'inquiète de ce retard le 15 août : "Merci de nous l'avoir indiqué. On va le mettre à jour rapidement." Ce qu'ils ont fait le lendemain.

Mais pas cette fois. Quelques jours avant l'expiration de la dernière déclaration, le 11 novembre, ils ont tweeté : "Chers amis, rappelez-vous qu'internet n'est pas toujours la solution pour communiquer, et n'est jamais le but. Rendez-vous dans la rue." Puis "Ecoute le colibri, dont tu ne peux pas voir les ailes, écoute le colibri, ne m'écoute pas moi (Léonard Cohen)". Ce en quoi certains ont cru voir une tentative de Riseup d'informer ses utilisateurs d'un problème.

Riseup a twitté depuis (le 24 novembre) en copiant une partie de leur FAQ :

Nous n'avons pas prévu de débrancher la prise.

Q: Est-ce que les services de Riseup vont continuer à toujours fonctionner ?
A: Bien que nous soyons engagés à faire tout ce qui est en notre pouvoir pour protéger les données des mouvements sociaux et des activistes, nous choisirons de débrancher nos serveurs plutôt que de céder à la surveillance repressive de n’importe quel gouvernement. Nous serions extremement tristes de voir Riseup s’arrêter, mais si nous y étions forcés, nous le ferions plutôt que de trahir votre confiance et de compromettre la communauté des activistes. Avec tout ça en tête vous devriez être préparé au cas ou quelque chose arrive, par exemple en téléchargeant vos archives emails sur votre ordinateur !

Cliquez pour agrandir...

[quote][/quote]

Cliquez pour agrandir...

Puis :

1. Pas la peine de paniquer.
2. Nos systèmes sont entièrement sous notre contrôle.
3. Nous fournirons plus tard des informations supplémentaires.
4. Nos précédents tweets ne contenaient aucun sous-entendu caché

Cliquez pour agrandir...

Mais ils n'ont toujours pas simplement répondu : "Nous n'avons reçu aucune injonction"...

mc² · 4 Décembre 2016

Something Happened to Activist Email Provider Riseup, but It Hasn’t Been Compromised (retwitté par Riseup le 29 novembre)

Selon un représentant du collectif Riseup, les rumeurs sont exagérées. Mais il est clair que quelque chose s'est passé et que Riseup ne peut pas en parler publiquement. "Riseup fermerait plutôt que de mettre en danger des activistes. Nous n'allons pas fermer car il n'y a pas de danger pour les activistes."

"Riseup n'enregistre pas d'adresses IP et ne l'a pas fait depuis le début des années 2000", m'a déclaré le membre du collectif dans un email chiffré. "Nous travaillons dur pour diminuer la quantité de données (et métadonnées) stockées autant que possible. La seule façon de protéger l'information des activistes dans le monde est de ne pas avoir l'information du tout."

"À cause de Thanksgiving et d'autres échéances, nos avocats n'ont pas pu nous conseiller sur ce qu'on pouvait ou ne pouvait pas dire. Aussi, par principe de précaution, nous ne pouvions rien dire. Maintenant que nous avons parlé à nos avocats, nous pouvons clairement affirmer que depuis nos débuts, et jusqu'à ce jour, Riseup n'a reçu aucune injonction du NSL, de la FISA ou d'aucun autre organisme de sécurité nationale, US ou étranger."

Quand j'ai demandé si Riseup avait reçu une requête concernant des données d'utilisateur depuis le 16 août, le collectif n'a pas répondu. Cependant, ils ont fourni quelques détails : "En réalité, les théories complotistes autour de cette affaire sont très exagérées par rapport à la vérité. Il n'y a rien dont il faudrait avoir peur."

"C'est embêtant de ne pas pouvoir expliquer pourquoi les gens devraient nous croire quand on dit ça, mais ils nous ont fait confiance pendant plus de 16 ans, donc on espère que vous nous croirez."

Certains pensent que le gouvernement les force à dire ça, "mais en vérité, c'est extrêmement rare, ça ne s'est fait que pour la protection des consommateurs (comme les avertissements sur les paquets de cigarettes)"

Le collectif est actuellement en discussion pour décider quand ils pourront actualiser leur déclaration de non-injonction.

En décembre, Riseup lance une nouvelle fonctionnalité appelée stockage personnellement chiffré. Tous les messages et métadonnées des emails seront chiffrés avec le mot de passe des utilisateurs, de sorte que le collectif lui-même n'aura pas accès à ces données et ne pourra donc pas être contraint de les communiquer à un gouvernement.

Entre temps, Riseup a publié des conseils sur la façon pour les utilisateurs de réduire la quantité de données stockées sur leurs serveurs.

ninaa · 20 Février 2017

/
Destiné aux militants en ligne, il indique avoir dû fournir des données
d'utilisateurs suite à la réception de deux mandats. Un problème, pour
un service qui milite lui-même pour la protection de la vie privée,
notamment via la démocratisation d'outils libres.

Financé par les dons, il fournit certains outils autres que le mail,
comme un serveur XMPP pour la discussion instantanée ou un serveur OpenVPN.

« Après avoir épuisé nos options légales, Riseup a choisi de se
conformer à deux mandats du FBI » annonce l'équipe. Selon ses propres
mots, la première demande concernait l'adresse de contact d'un groupe
pratiquant l'extorsion par déni de service distribué (DDoS), quand la
seconde était liée à un ransomware.

« L'extorsion viole clairement la lettre et l'esprit de notre contrat
social avec les internautes. Nous vous protégeons tant que vous n'avez
pas d'agenda exploiteur, misogyne, raciste ou fanatique » ajoute Riseup.

Le « canari », censé prévenir de telles injonctions, n'avait pas été mis
à jour. Riseup en étant empêché par un « gag order », une méthode contre
laquelle des grands groupes comme Microsoft commencent à se battre.

En réponse à ces événements, le service annonce le chiffrement du
stockage des emails, avec une clé propre à chaque utilisateur. Il est
pour le moment uniquement fourni aux nouveaux membres, avant d'être
étendu à l'ensemble des comptes. Il est fondé sur la bibliothèque NaCl,
via une extension pour le serveur IMAP Dovecot.

Riseup précise bien qu'il ne s'agit pas du chiffrement de bout en bout,
mais uniquement du stockage lui-même. Il reste tout de même à voir
l'efficacité concrète de cette mesure. Autrement dit, « avec le nouveau
système de Riseup, vous placez toujours votre confiance dans le serveur
auquel vous vous connectez ». Le chiffrement de bout en bout, côté
client, est promis dans le courant de l'année.

Pour rassurer ses utilisateurs, l'équipe déclare que Riseup n'a pas été
« compromis » par les autorités, par exemple avec l'installation de
matériel spécifique ou la livraison de serveurs.
« Plutôt fermer nos portes que d'en arriver là » lance-t-elle.
//

Canary Statement - riseup.net

Cliquez pour agrandir...

Riseup moves to encrypted email in response to legal requests.
Feburary 16, 2017

After exhausting our legal options, Riseup recently chose to comply with two sealed warrants from the FBI, rather than facing contempt of court (which would have resulted in jail time for Riseup birds and/or termination of the Riseup organization). The first concerned the public contact address for an international DDoS extortion ring. The second concerned an account using ransomware to extort money from people.

Extortion activities clearly violate both the letter and the spirit of the social contract 1 we have with our users: We have your back so long as you are not pursuing exploitative, misogynist, racist, or bigoted agendas.

There was a “gag order” that prevented us from disclosing even the existence of these warrants until now. This was also the reason why we could not update our “Canary” 2.

We have taken action to ensure that Riseup never again has access to a user’s stored email in plaintext. Starting today, all new Riseup email accounts will feature personally encrypted storage on our servers, only accessible by you. In the near future, we will begin to migrate all existing accounts to use this new system (for technical details, see 3).

To be absolutely clear, this type of encryption is not end-to-end message encryption. With Riseup’s new system, you still put faith in the server while you are logged in. For full end-to-end email encryption, as before, you must use a client that supports OpenPGP (and is not web-based).

We are working to roll out a more comprehensive end-to-end system in the coming year, but until that is ready, we are deploying personally encrypted storage in the mean time.

in solidarity,
The Riseup Birds

Questions

Q: Are you compromised by law enforcement?

A: No. We have never permitted installation of any hardware or software monitoring on any system that we control; law enforcement has not taken our servers; does not, and has never had access to them. We would rather stop being Riseup before we did that.

Q: Couldn’t the government just make you say that?

A: Forced speech is actually quite rare in the US legal context. It’s usually only in cases of consumer protection where the government has been successful in compelling speech (e.g. forced cigarette warnings). Nevertheless, no they aren’t forcing us to say anything.

Q: Why didn’t you update your canary?

A: In the Winter of 2016, the canary was not updated on time. The canary was so broad that any attempt to issue a new one would be a violation of a gag order related to an investigation into a DDoS extortion ring and ransomware operation. This is not desirable, because if any one of a number of minor things happen, it signals to users that a major thing has happened.

Q: Why does the new Canary not mention gag orders, FISA court orders, National Security Letters, etc?

A: Our initial Canary strategy was only harming users by freaking them out unnecessarily when minor events happened. A Canary is supposed to signal important risk information to users, but there is also danger in signaling the wrong thing to users or leading to general fear and confusion for no good reason. The current Canary is limited to significant events that could compromise the security of Riseup users.

1 Terms of Service - riseup.net
2 Canary - riseup.net
3 riseuplabs / trees · GitLab

Cliquez pour agrandir...

ninaa · 17 Décembre 2017

Sur riseup.net:
Améliorer sa navigation sur le web - riseup.net

Améliorer sa navigation sur le web

Choisir son navigateur

Réglez vos paramètres

Désactivez les cookies tierce-partie

Effacer les cookies lors de la fermeture

Desactivez Flash

Desactivez Java

Changez votre moteur de recherche par défaut

Extensions de navigateur

Extensions essentielles

Extensions avancées

Extensions dangeureuses ou non-recommandées

Vérifiez les empreintes des certificats de Riseup

Choisir son navigateur
Ces derniers temps, dans les quatre navigateurs principaux (Firefox, Chrome, Internet Explorer, et Safari), de grâves brêches de sécurité ont été découvertes, il est donc fortement recommandé d’utiliser toujours la dernière version, peut-importe lequel vous utilisez.
Ces quatre navigateurs principaux ont tous reçu un grade d’échec dans notre Browser Privacy Scorecard. Cependant, ces navigateurs peuvent être considérablement améliorés en leur installant certaines extension (voir plus bas).
D’autre part, le projet Tor propose une version modifiée de Firefox, prévue pour être plus sécurisée et “anonyme”. Ce projet s’appelle Tor Browser.

Réglez vos paramètres
Cette page a été testée avec Firefox 38 et Chromium 42, sous Debian Jessie. Les noms des éléments peuvent être différents des autres versions.

Désactivez les cookies tierce-partie
Les cookies tierce-partie servent notamment aux publicitaires à suivre vos comportements de navigation. Leur existence est une abomination et ils n’ont aucune utilité légitime.

Firefox : Préférences > Vie privée > Indiquer aux sites que je ne souhaite pas être pisté.

Chrome : Paramètres > Afficher les paramètres avancés… > Paramètres de contenu > Bloquer les cookies et les données de sites tiers.

Effacer les cookies lors de la fermeture
La plupart des navigateurs gardent les cookies beaucoup plus longtemps que nécessaire. Il est préférable de configurer votre navigateur afin qu’il les supprime lors de sa fermeture.

Firefox: Préférences > Vie privée > Règles de conservation > Ne jamais conserver l’historique

Chrome: Paramètres > Afficher les paramètres avancés… > Paramètres de contenu > Ne conserver mes données locales que jusqu’à ce que je quitte ma session de navigation

Desactivez Flash
Flash est un plug-in Adobe qui est la cause d’une suite de problèmes de sécurité sans fin. Nous vous recommandons fortement de supprimer ou désactiver Flash.

Firefox: Modules > Plugins > Shockwave Flash > Ne jamais activer

Chrome: Paramètres > Afficher les paramètres avancés… > Paramètres de contenu > Me laisser choisir quand executer le contenu du plug-in.

Desactivez Java
Java a aussi un grand nombre de problèmes de sécurité, de plus vous ne l’avez probablement jamais utilisé. Supprimez-le ou desactivez-le au plus vite.

Firefox: Modules > Plugins > Java > Ne jamais activer

Chrome: Paramètres > Afficher les paramètres avancés… > Paramètres de contenu > Me laisser choisir quand executer le contenu du plug-in.

Changez votre moteur de recherche par défaut
Tant que vous ajustez vos paramètres, profitez-en pour changer votre moteur de recherche par défaut. Riseup recommande DuckDuckGo parmis les moteurs de recherche qui respectent la confidentialité. Voici les instructions pour l’utiliser sur ordinateur ou périphérique mobile.

Extensions de navigateur
Les extensions de cette liste fonctionnent pour Firefox ET Chrome, sauf mention contraire.

Extensions essentielles
Voici les extensions de navigateur essentielles que tout le monde devrait utiliser de tout temps. Elles sont stables, open-source, et n’altèrent la navigation que très rarement.

uBlock Origin (Chrome, Firefox) bloque la plupart des publicités et réseaux de tracking. Cette extension est similaire à Adblock Plus ou Disconnect mais est plus robuste et plus rapide.

HTTPS Everywhere passera automatiquement en connexion sécurisée TLS lorsque le site le supporte. Ceci permet de se protéger contre la surveillance du contenu de votre navigation, cependant, ne cache absolument pas les noms des sites que vous visitez (exepté si vous utilisez Tor ou un VPN).

Privacy Badger détecte automatiquement les tentatives de suivi de votre navigation et bloque le contenu de ces trackers. Privacy Badger n’est pas fait pour bloquer les publicités, il n’est donc pas un remplacement à uBlock, mais il a quelques fonctionnalités de sécurité qu’uBlock n’a pas.

Notes sur l’utilisation:

Adresses IP qui s’échappent: Tous les navigateurs laissent échapper de l’information à propos de votre vraie adresse IP lorsque vous faites des conférences audio ou vidéo. Si vous utilisez un VPN ou Tor pour des conférences audio ou vidéo vous devriez activer, dans l’interface de configuration de uBlock, l’option qui empêche WebRTC de laisser votre vraie adresse IP être révélée.

uBlock mode avancé: Si vous utilisez uBlock dans son mode avancé, vous devriez éviter d’utiliser simultanément Privacy Badger.

Extensions avancées
Ces extensions sont pour les utilisateurices avancé.e.s car elles sont complexes à utiliser et altèrent la navigation sur beaucoup de sites.

Ces extensions tentent de combler les défauts basiques de la gestion de la confidentialité des navigateurs. Cependant, de nombreux sites web dépendent de ces défauts pour fonctionner normalement, les tentatives de réparations de ces problèmes empêchent donc souvent un site de fonctionner.

Voici certains de ces défauts :

HTTP Referrer: Lorsque vous cliquez sur un lien, votre navigateur envoie au nouveau site web l’adresse du site sur lequel vous avez trouvé le lien. Des informations personnelles ou sensibles pouvant être inclues dans l’URL d’une page, le HTTP Referrer devrait être désactivé. Ceci n’est possible qu’avec l’utilisation d’une extension.

HTTP User-Agent: Votre navigateur envoie un entête spécial à tous les sites qu’il visite : le “User-Agent”. Cet entête contient de nombreuses informations souvent uniques qui peuvent être utilisées, combinées à d’autres données, pour identifier spécifiquement votre traffic. Cet entête a très peu d’utilité, et il est mieux d’utiliser une valeur générique, comme celle utilisée par Tor Browser.

HTML5 Canvas: Un grand nombre de sites internet se sont mis à utiliser les Canvas HTML5 afin de créer une empreinte unique pour votre navigateur et suivre vos comportements en ligne. Il n’y a pour le moment aucun moyen de désactiver cette fonctionnalité, bien que quelques extension s’y soit essayées.

JavaScript: JavaScript est essentiel pour la plupart des sites web aujourd’hui, mais vous pouvez souhaiter le désactiver de temps à autres. Lorsque JavaScript est activé, il est beaucoup plus facile de créer l’emprunte unique de votre navigateur et de suivre vos comportement. De plus, la plupart des failles de sécurité des navigateurs sont dues à JavaScript.

Pour Firefox:

Self Destructing Cookies (Firefox) nettoiera les cookies d’un site internet dès que tous les onglets de ce site seront fermés (plutôt que d’attendre que le navigateur soit fermé)

µMatrix permet de bloquer de façon sélective le Javascript, les plugins ou autres ressources et de contrôler quelles ressources tierces sont utilisées. Ce plugin remplace d’un point de vue fonctionnel NoScript et RequestPolicy.

Canvas Blocker permet de désactiver les Canvas HTML5 pour certains sites.

Pour Chrome:

µMatrix est un outil avancé pour contrôler précisément quel contenu votre navigateur est autorisé à charger. Il vous permet de bloquer Javascript de manière sélective, et beaucoup plus. Il inclus les fonctionnalités de NoScript et RequestPolicy.

User-Agent Switcher permet de modifier l’entête HTTP User-Agent.

CanvasFingerPrintBlock bloque la majorité du pistage effectué via Canvas HTML5 (n’est pas un logiciel libre).

Extensions dangeureuses ou non-recommandées
Malgré leur popularité, nous vous recommandons d’éviter les extensions suivantes :

Adblock Plus a été la meilleure extension de bloquage des pubs et du suivi. Cependant, les publicitaires peuvent dorénavant payer les développeurs afin de ne pas être filtrés. De plus, uBlock est de meilleure qualité.

Disconnect fonctionne comme uBlock et est open-source. Si vous utilisez uBlock, Disconnect n’est pas nécessaire, malgré qu’il ait quelques fonctionnalités que uBlock n’a pas.

Ghostery fonctionne comme uBlock, mais a des gros défauts qui laissent faire la plupart du suivi, et le code source est propriétaire.

Flash Block (Firefox) est une extension permettant d’activer Flash à la demande. Il est préférable de désinstaller Flash. De plus, cette fonctionnalité est maintenant intégrée à Firefox.

Better Privacy était nécessaire il y quelques temps pour supprimer les LSO ou les “Cookies flash”, mais depuis l’arrivée de l’API ClearSiteData, elle n’a plus d’intérêt.

TrackMeNot altère votre traffic de recherche. L’idée est intéressante, mais il est bien mieux d’utiliser DuckDuckGo.

Vérifiez les empreintes des certificats de Riseup
Sur l’Internet, les certificats servent à vérifier l’identité de personnes ou d’ordinateurs. Ces certificats sont aussi appelés Certificats SSL ou certificats d’identité. Nous les appeleront simplement “certificats”.
Les certificats sont particulièrement nécessaires pour établir des connexions sécurisées. Malgré ça, le traffic peut être sécurisé sans utiliser de certificats, afin que personne ne puisse l’écouter ni l’analyser, mais on ne peut alors pas s’assurer d’être en communication avec le bon ordinateur. Tous les serveurs et tous les services de Riseup.net permettent ou forcent l’utilisation de connexions sécurisées avec certificat.
Pour être certain-e d’utiliser des communications sécurisées avec Riseup, lisez how to verify Riseup’s certificates.

Cliquez pour agrandir...

ninaa · 22 Juin 2018

mc² a dit: ↑

Le collectif est actuellement en discussion pour décider quand ils pourront actualiser leur déclaration de non-injonction.

Cliquez pour agrandir...

Où ça en est?

mc² · 23 Juin 2018

Comme expliqué dans ton message du 20/02/2017. A savoir: la déclaration à été modifiée

Riseup positively confirms that the integrity of our system is sound: all our infrastructure is in our control, we have not been compromised or suffered a data breach, we have not disclosed any private encryption keys, and we have not been forced to modify our system to allow access or information leakage to a third party.

Cliquez pour agrandir...

Q: Why does the new Canary not mention gag orders, FISA court orders, National Security Letters, etc?

A: Our initial Canary strategy was only harming users by freaking them out unnecessarily when minor events happened. A Canary is supposed to signal important risk information to users, but there is also danger in signaling the wrong thing to users or leading to general fear and confusion for no good reason. The current Canary is limited to significant events that could compromise the security of Riseup users.

Cliquez pour agrandir...

Et ils ont mis en place un système de cryptage de sorte qu'ils ne peuvent pas avoir accès aux emails des utilisateurs.

ninaa · 6 Juillet 2018

Raids policiers et saisie des informations bancaires des soutiens de Riseup en Europe
Publié le 6 juillet 2018 | Maj le 5 juillet
Allemagne | répression | surveillance | internet | médias libres
Mercredi 4 juillet, le collectif Riseup et son soutien financier en Europe, ZwiebelFreunde (littéralement «les amis de l’Oignon», qui soutient l’anonymat sur Internet) ont chacun publié un communiqué sur une grave opération policière. Elle s’est déroulée le 20 juin en Bavière sous prétexte de l’identification des admins d’un blog antifasciste.

Mercredi 4 juillet, le collectif Riseup et son soutien financier en Europe, ZwiebelFreunde (littéralement «les amis de l’Oignon», qui soutient l’anonymat sur Internet) ont chacun publié un communiqué sur une grave opération policière. Elle s’est déroulée le 20 juin en Bavière sous prétexte de l’identification des admins d’un blog antifasciste.

Les communiqués originaux en anglais, dont les pages sont régulièrement mises à jour :

Riseup

Zwiebelfreunde

Traduction rapide, améliorable sur Riseup Pad

Raids bavarois - Communiqué de Riseup.net

Le 20 juin, prétextant le besoin de trouver des informations sur un utilisateur de Riseup, le soutien financier de Riseup en Europe a fait l’objet d’un raid de la police bavaroise. Cette action extrêmement grave comprend des raids sur différentes maisons, un hackerspace, un centre social et le bureau d’un avocat. La police a pris tous les ordinateurs, téléphones, disques, et enregistrements qu’elle a pu. Plusieurs personnes ont été arrêtées. Elles sont maintenant sorties. Toutefois, conséquence de ces raids, la police a déposé un certain nombre d’accusations sans lien.

Qu’est-ce qui a pu motiver l’État policier à dresser sa face ignoble? Dans ce cas, la justification était un site créé pour s’organiser contre une manifestation d’un parti d’extrême-droite. Il semblerait qu’en Bavière, on ne puisse pas faire un site qui tente de mobiliser des gens contre les néo-fascistes sans outrager dans le même temps la police.

Le contact du site en question est une adresse @riseup.net. Sachant qu’elle ne pourrait pas obtenir d’information de Riseup, la police a regardé à la page de donation de Riseup. Elle a trouvé que Riseup acceptait des donations en Europe à travers une assocation ("Verein") située en Allemagne, et appelée ZwiebelFreunde. Ils ont décidé que cela signifait que Riseup était dirigée par cette organisation (ce qui n’est pas le cas), et l’ont donc ciblée agressivement. Que cela signifie-t-il pour vous, cher·e utilisateur·ice de Riseup?

D’abord, pas de panique. Toutes vos données hébergées par Riseup sont toujours sécurisées. Par contre, si vous avez donné à Riseup via notre numéro IBAN, alors il y a de bonnes chances que la police allemande possède désormais le numéro de votre compte bancaire, le nom associé, la somme que vous avez donnée et la date à laquelle vous avez fait le virement.

Merci de vous associer à nous pour soutenir nos ami·es et allié·es à Zwiebelfreunde. Ils et elles sont fantastiques et méritent votre soutien. Dans les prochaines semaines, de l’info sera publiée sur leur site détaillant les manières de les soutenir.

Solidairement,
the Riseup Birds.

Raids coordonnés de la Zwiebelfreunde en divers endroits d’Allemagne, mercredi 04 juillet - Communiqué de la ZwiebelFreunde

Le 20 juin à 6 heures du matin, la police a perquisitionné de manière coordonnée cinq endroits en Allemagne : les domiciles des trois membres du conseil d’administration, Jens, Juris et Moritz, notre quartier général à Dresde (un bureau d’avocat), et la maison du membre d’un conseil d’administration précédent.

Pour résumer rapidement, un blog de gauche allemand "Krawalltouristen" a appelé à des actions de protestation lors de la convention du parti de droite de l’AfD à Augsbourg, en Allemagne. Les forces de l’ordre soutiennent que cela inclut des appels à la violence.

La police allemande cherchait à retrouver les auteurs de ce blog, et a jugé approprié de ne pas demander d’informations ou d’aller chercher du côté du fournisseur d’email que le blog utilisait, riseup.net, mais plutôt auprès de la structure allemande Zwiebelfreunde.

Zwiebelfreunde a un partenariat avec Riseup, une association américaine, et gère les donations en Europe pour le collectif de Riseup. Nous dépensons l’argent en collaboration avec eux et elles pour le développement de logiciels, les remboursements de voyages, et pour l’infrastructure Tor de Riseup.

Nous mettrons à jour ce post à mesure que l’histoire évolue. Pour plus de détails, veuillez consulter les publications d’autres médias.

Quelles sont les données affectées et dans quelle mesure?

Tout d’abord, voici une liste de choses que nous avons de bonnes raisons de croire qu’elles ne sont pas affectées, et que nous pouvons toujours considérer comme sûres :

Toute l’infrastructure liée à Torservers : relais Tor, serveurs de messagerie, serveurs Web

Toute l’infrastructure de Riseup (parce que nous n’avons rien à voir avec ça)

Cryptoparty.in ou d’autres infrastructures liées à Cryptoparty

Clés PGP, clés SSH, clés OTR, etc.

Ils ont saisi la plupart de notre matériel de stockage électroniques (disques, ordinateurs portables, PC, GnuPG Smartcards / Yubikeys), mais il est prudent de supposer qu’ils ne seront pas en mesure de briser le chiffrement (ou les cartes à puce). Ils ont également pris nos téléphones portables, mais même s’ils venaient à les percer, aucune donnée de connexion ou autre chose affectant notre infrastructure ou nos communications n’est stockée sur ces téléphones.

Nous avons néanmoins révoqué notre clé PGP de contact partagé, et nous remplacerons d’autres clés et de mots de passe au fil du temps. Notre nouvelle clé est 0x74A312092938F2F0, signée par notre clé précédente.

Alors, qu’est-ce qui est affecté?

En dehors des médias chiffrés, ils avaient légalement le droit de saisir des documents liés à notre compte bancaire Riseup à partir de janvier 2018. Ils sont également allés chercher ceux de notre banque, la GLS Gemeinschaftsbank. Cependant, nous devons tenir des registres et des reçus de toutes les dépenses pour des raisons fiscales. Ces documents ont été conservés «en toute sécurité» dans un coffre-fort à l’épreuve du feu.

Malgré nos protestations, ils ont également saisi tous les documents imprimés relatifs à nos projets propres et partenaires depuis la création de l’association en 2011.

Cela inclut les données personnelles très sensibles des donateurs, l’identité des activistes qui ont reçu des remboursements ou des paiements, et une liste de nos membres.

Si vous avez déjà fait un don à Torservers, ou Tails ou Riseup via une transaction bancaire européenne, vos données sont très probablement maintenant entre les mains de la police allemande. (Numéro de compte IBAN, nom du titulaire du compte, montant et date).

Nous avons fait tout ce qui était en notre pouvoir pour éviter une fuite de données comme celle-ci, et nous faisons tout ce que nous pouvons pour la combattre :

Nos avocats ont gentiment demandé notre matériel. La plupart de ce matériel n’appartient même pas à Zwiebelfreunde. Ils ont refusé. Nous allons maintenant devant les juges à ce sujet.

Le mandat énumère des éléments spécifiques. Ce qui n’a pas été respecté.
Nous soutenons que même les mandats initiaux et les saisies étaient clairement dépassés, et que cela servait d’excuse pour avoir accès aux données sur les membres et aux donateurs et donatrices.
Nous n’avons rien à voir avec l’infrastructure de Riseup. Pendant les raids, les forces de police ont clairement donné l’impression qu’elles savaient que nous n’avions rien à voir avec Riseup ou le blog "ruckus tourist". Aucun·e d’entre nous n’avait entendu parler de ce blog auparavant!

Nous sommes reconnaissants pour le soutien financier rapide et non bureaucratique de la Renewable Freedom Foundation, le soutien logistique du Chaos Computer Club et toutes les offres d’aide de différentes communautés. Je vous remercie!

Si vous n’avez pas peur de faire un don à des comptes qui sont probablement surveillés, vous pouvez toujours le faire sur torservers.net - Donate to Zwiebelfreunde e.V. .

P.-S.
Traductions d’abord publiées sur le site de veille L’atelier des médias libres

ninaa · 9 Juillet 2018

Zwielbelfreunde, la police allemande s'en prend à nos oignons
Submitted on 5 juill. 2018 - 15:50
Tribune de Taziden, membre de La Quadrature du Net

Le 20 juin, des perquisitions ont été menées1 chez plusieurs dirigeants de l'association allemande « Zwiebelfreunde ». Tous leurs ordinateurs et supports de stockage (disques durs, clés usb) ont été saisis par la police allemande.

Le motif invoqué ? Ces trois personnes seraient des « témoins » dans le cadre d'une enquête en cours sur un blog appelant à des manifestations anti-fascistes à Augsbourg, toujours en Allemagne. La police considère que ce blog appelle à des actions violentes.

Le lien entre ce blog et Zwiebelfreunde ? Il faut s'accrocher. L'adresse e-mail associée au blog est hébergée par l'organisation américaine Riseup. Et Zwiebelfreunde recueille des dons pour le compte de Riseup. On imagine difficilement une saisie du même acabit chez Google si les personnes à l'origine du blog avaient choisi Gmail.
Un peu comme si le local de La Quadrature du Net ainsi que les domiciles de ses dirigeants avaient été perquisitionnés à cause d'un compte créé sur mamot.fr, l'instance Mastodon de l'association.
Ça n'a aucun sens.

Il s'agit donc d'une attaque claire contre Zwiebelfreunde qui, depuis des années, promeut et facilite l'utilisation d'outils de protection de la vie privée, comme ceux du projet Tor. Elle œuvre à collecter des fonds pour ces projets, Riseup dans le cas présent.
L'argent recueilli par Zwiebelfreunde sert notamment à développer les outils et services fournis par Riseup, à rembourser des frais de déplacement et à maintenir l'infrastructure Tor de Riseup.

Des perquisitions ont également eu lieu au siège de l'association, se trouvant être le bureau d'un avocat, ainsi qu'au domicile d'un ancien dirigeant.
On peine à comprendre un tel déploiement policier et une telle intrusion dans la vie privée de personnes considérées comme « témoins ».

Ne se contentant pas de ces descentes, la police a d'elle-même choisi d'étendre ses recherches au hackerspace d'Augsbourg, OpenLab 2. Interprétant le contenu d'un tableau blanc comme décrivant l'élaboration d'une bombe (sic), trois personnes présentes au hackerspace ont été arrêtées et une fouille du local s'en est suivie.
La police a saisi du matériel et forcé les cadenas des armoires du lieu contenant des informations personnelles sur les membres du hackerspace. Il ne fait aucun doute que ces données ont été copiées par la police.
L'accusation de « préparation d'un attentat à l'aide d'explosifs » semble tout aussi ridicule que le motif de « témoin » invoqué dans le cas des dirigeants de Zwiebelfreunde.

Tout comme ces derniers mois avec Bure3, la police allemande semble faire peu de cas des libertés individuelles au profit d'une répression féroce contre les mouvements sociaux et toutes les personnes et organisations pouvant les soutenir, ou fournir une infrastructure indépendante leur permettant de s'organiser.

Cette tendance est inquiétante et elle montre qu'il est plus que jamais important de soutenir les initiatives fournissant des outils et services informatiques permettant de s'organiser en autonomie. Nous pensons notamment à Riseup, Tor, Tails, Nos Oignons mais également à Mastodon, Funkwhale, Peertube, Pixelfed et toute cette vague d'outils décentralisés et fédérés qui ne manqueront pas d'être les prochains à être inquiétés par la police, que ça soit par incompétence ou malice.

Vous avez encore quelques heures pour soutenir le développement de PeerTube, le réseau de streaming vidéo génial et non-centralisé de nos amis de chez Framasoft.

Vous pouvez aussi revoir la vidéo de Lunar, membre du projet Tor et de La Quadrature du Net, qui nous explique pourquoi utiliser Tor.

Cliquez pour agrandir...

Zwielbelfreunde, la police allemande s'en prend à nos oignons | La Quadrature du Net

Actualité

Se connecter ou s'inscrire

Inquiétudes à propos de Riseup

mc² Membre du forum Compte fermé

mc² Membre du forum Compte fermé

ninaa Membre du forum Expulsé du forum

ninaa Membre du forum Expulsé du forum

ninaa Membre du forum Expulsé du forum

mc² Membre du forum Compte fermé

ninaa Membre du forum Expulsé du forum

ninaa Membre du forum Expulsé du forum

Actualité

Se connecter ou s'inscrire

Inquiétudes à propos de Riseup

mc² Membre du forum Compte fermé

mc² Membre du forum Compte fermé

ninaa Membre du forum Expulsé du forum

ninaa Membre du forum Expulsé du forum

ninaa Membre du forum Expulsé du forum

mc² Membre du forum Compte fermé

ninaa Membre du forum Expulsé du forum

ninaa Membre du forum Expulsé du forum

Recherches utiles