Guide d'autodéfense numérique

En France, lorsque les flics souhaitent accéder aux journaux prévus par les lois de rétention de données, ils sont supposés passer par une requête légale : une demande officielle qui oblige les personnes qui administrent un serveur à leur fournir les informations demandées... ou à désobéir. Ces requêtes légales sont supposées préciser les informations demandées. Mais elles ne le font pas toujours, et les fournisseurs de services Internet donnent parfois davantage d’informations que ce que la loi les oblige à fournir.

Voici l'extrait d'une requête légale reçue par un hébergeur de mail français, l'adresse mail du compte visé a été anonymisée en remplaçant l'identifiant par adresse. L'orthographe n'a pas été modifiée.

REQUISITION JUDICIAIRE

Lieutenant de Police En fonction à la B.R.D.P

Prions et, au besoin, requérons :

Monsieur le président de l'association GLOBENET 21ter, rue Voltaire 75011 Paris

à l'effet de bien vouloir :

Concernant l'adresse de messagerie adresse@no-log.org

  • Nous communiquer l'identité complète (nom, prénom date de naissance, filiation) et les coordonnées (postales, téléphoniques, électroniques et bancaires) de son titulaire

  • Nous indiquer les TRENTE dernières données de connexion (adresse IP, date heures et fuseau horaire) utilisées pour consulter, relever où envoyer des messages avec ladite adresse (Pop, Imap ou Webmail)

  • Nous indiquer si une redirection est active sur cette messagerie, et nous communiquer le ou les e-mails de destination, le cas échéant

  • Nous communiquer le numéro de téléphone à l'abonnement internet du compte no-log.org « adresse » et les trente dernières données de connexion qui lui sont relatives

  • Nous communiquer les TRENTES dernières données de connexion (adresse IP, date heure et fuseau horaire) aux pages d'aministration du compte no-log « adresse »

De plus, il est avéré que les flics demandent parfois de telles informations dans un simple courrier électronique, et il est probable que de nombreux fournisseurs de services Internet répondent directement à de telles requêtes officieuses, ce qui implique que n'importe qui peut obtenir de telles informations en se faisant passer pour la police.

Les requêtes légales sont monnaie courante. Les gros fournisseurs de services Internet ont désormais des services légaux dédiés pour y répondre, et une grille tarifaire chiffre chaque type de demande1. Depuis octobre 2013, en France, une grille tarifaire indexée par l'État vient même homogénéiser ces différentes prestations2 : identifier un abonné à partir de son adresse IP coûtait ainsi 4 € (tarifs en vigueur en octobre 2013). Au-delà de 20 demandes, ce tarif est réduit à 18 centimes.

Ainsi pour la première moitié de l'année 2016, Google a reçu chaque mois, en moyenne, 717 demandes de renseignements sur ses utilisateurs de la part de la France, concernant au total 5185 comptes – des chiffres en augmentation constante depuis 2009. Après analyse de la recevabilité des requêtes sur le plan juridique, la société a répondu à 60% d'entre elles3 : l'autre moitié des requêtes n'entrait donc pas dans le cadre de ce que l'entreprise s'estimait légalement contrainte de fournir.