En août dernier, Silent Circle et Lavabit ont brusquement interrompu leurs services de messagerie chiffrées. La raison ? Les deux sociétés ne pouvaient plus garantir la confidentialité des messages passant par leurs plateformes respectives après les actions en justice menées contre Lavabit, présenté comme le fournisseur de messagerie d'Edward Snowden, qui a révélé le programme de surveillance de la NSA. Les deux entreprises spécialisées dans le chiffrage de mails ont donc eu une idée et décidé de lancer un projet commun, l'alliance Dark Mail. Ils l'ont présentée hier, lors de la conférence Inbox Love à Mountain View. Le principe repose sur un système ouvert qui pourra être largement mis en oeuvre, offrant beaucoup plus de garanties de sécurité et de confidentialité que les solutions actuellement proposées.
Dark Mail protégerait ainsi le contenu des mails mais aussi les « métadonnées » comprises dans ceux-ci, y compris les « to » et « from », les adresses IP et les en-têtes. Les fournisseurs de messagerie espèrent d'ailleurs une première version opérationnelle d'ici l'année prochaine. « Le problème que nous essayons de traiter est que le courrier électronique a été créée il y a 40 ans. Il n'a pas été pensé avec les problème de sécurité que nous rencontrons aujourd'hui », », a expliqué Jon Callas, le directeur technique et fondateur de Silent Circle, dans un entretien téléphonique à nos confrères d'IDG News Service. Plutôt que de créer un service de messagerie fermé, les deux alliés ont décidé de concevoir Dark Mail avec des composants logiciels Open Source qui pourraient être utilisés par n'importe quel fournisseur de service mail.
Lavabit refuse de remettre ses clés SSL au tribunal
David Dennis, responsable du portail Outlook.com de Microsoft, considère que Dark Mail est une « proposition intéressante ». « Nous sommes attentifs à toutes les innovations, protocoles, normes et propositions ayant une incidence sur les communications en ligne », a-t-il écrit dans un courriel. « Nous sommes toujours ouverts à des discussions avec des partenaires potentiels », a-t-il ajouté.
Si Silent Circle, Lavabit et au moins un fournisseur VPN, CryptoSeal, ont dernièrement stoppé leurs activités dans la crainte d'une ordonnance du tribunal les forçant à révéler leurs clés SSL, Lavabit a récemment brillé aux yeux de la communauté. La société à en effet été reconnue coupable d'outrage devant le tribunal pour avoir résisté à un ordre lui demandant de remettre ses clés SSL, ce qui en théorie aurait permis au gouvernement de déchiffrer non seulement les communications d'Edward Snowden, mais aussi celles des 400 000 utilisateurs du service.
Une intégration facile dans tous les clients de messagerie
En ce qui concerne la technique, Dark Mail sera conçu autour du protocole XMPP, un protocole de messagerie web mieux connu sous le nom de Jabber, en parallèle d'un autre protocole de chiffrement créé par Silent Circle appelé SCIMP (Silent Circle Istant Message Protocol ). Un intégrateur sera par ailleurs conçu pour permettre à Dark Mail de s'intégrer dans les différents clients de messagerie. « Il n'y aura aucune raison pour que vous ne puissiez pas modifier Outlook et Exchange pour intégrer Dark Mail », a ainsi déclaré Jon Callas.
La clé privée utilisée pour chiffrer les mails sera conservée sur les systèmes des utilisateurs et non détenue par un prestataire de service. Même si le gouvernement ordonne la remise d'une clé SSL, les autres utilisateurs ne seront pas compromis car tous les messages sont chiffrés à l'aide de clés se trouvant entre les mains des destinataires », précise Jon Callas. « Plus une clé reste en service, plus sa vulnérabilité augmente », ajoute-t-il. « L'idée est donc de créer un protocole qui ne maintiendrait une clé en activité que pour quelques heures, tout au plus une journée. Ce système fournirait une meilleure protection à long terme pour les messages sensibles », explique Jon Callas. Le concept de « forward secrecy » est lui aussi à l'étude. Cette fonction de chiffrement limiterait la quantité de données pouvant être déchiffrées si une clé privée est compromise dans le futur.
Une utilisation répandue du chiffrement des courriers électroniques ne serait toutefois pas forcément une bonne nouvelle pour des géants tel que Google. Le moteur de recherche ne se privant pas d'afficher des publicités en fonction du contenu des emails de ses utilisateurs. Google et Yahoo, qui ont assisté à l'Inbox Love, n'ont d'ailleurs pas souhaité commenté l'annonce de la Dark Mail Alliance.
Dark Mail Alliance: la messagerie chiffrée de Silent Circle et Lavabit
5
Réactions
Deux fournisseurs de messagerie ont lancé The Dark Mail Alliance. Le projet de Silent Circle et Lavabit vise à concevoir un système de messagerie doté de solides remparts contre l'espionnage.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
oui. le coeur du pb est en effet que le prestataire ne doit pas detenir les keys. avec cryptomailer (soft francais d'ailleurs) seul le user peut dechiffrer ses emails meme si la NSA fait une descente chez l'editeur.
Signaler un abusEt pourquoi ne pas se baser sur ce qui existe, par exemple le protocole Off-The Record (lui aussi basé sur XMPP) ?
Signaler un abus"pour envoyer les recettes de sauce tomate de grand-mère"
Signaler un abusJe regrette, cher Visiteur, les recettes de ma grand-mère ne te regardent pas, pas plus que Monsieur Buitoni ou Monsieur Obama.
Très intéressant si on est sur un projet d'invention ou d'idées ou de fondation pour éviter les problèmes de fuite ou autres pour avoir des contrats si on veut communiquer aussi.
Signaler un abusOn est nombreux a l'attendre cette boite mail, oui.
Et pour la vie privé de chacun aussi.
Je crois qu'on est assez espionner de la sorte par la nsa et autres sans que cela soit nécessaire pour le terrorisme car les attentats ont toujours lieu quand même, le 11 septembre 2001 en est le parfait exemple.
Très intéressant comme initiative, enfin une vrai solution open-source pour envoyer les recettes de sauce tomate de grand-mère et tout ça à l’abri des RG ! ha ha ...
Signaler un abusA voir ce que ça donne en vrai.