En août dernier, Silent Circle et Lavabit ont brusquement interrompu leurs services de messagerie chiffrées. La raison ? Les deux sociétés ne pouvaient plus garantir la confidentialité des messages passant par leurs plateformes respectives après les actions en justice menées contre Lavabit, présenté comme le fournisseur de messagerie d'Edward Snowden, qui a révélé le programme de surveillance de la NSA. Les deux entreprises spécialisées dans le chiffrage de mails ont donc eu une idée et décidé de lancer un projet commun, l'alliance Dark Mail. Ils l'ont présentée hier, lors de la conférence Inbox Love à Mountain View. Le principe repose sur un système ouvert qui pourra être largement mis en oeuvre, offrant beaucoup plus de garanties de sécurité et de confidentialité que les solutions actuellement proposées.
Dark Mail protégerait ainsi le contenu des mails mais aussi les « métadonnées » comprises dans ceux-ci, y compris les « to » et « from », les adresses IP et les en-têtes. Les fournisseurs de messagerie espèrent d'ailleurs une première version opérationnelle d'ici l'année prochaine. « Le problème que nous essayons de traiter est que le courrier électronique a été créée il y a 40 ans. Il n'a pas été pensé avec les problème de sécurité que nous rencontrons aujourd'hui », », a expliqué Jon Callas, le directeur technique et fondateur de Silent Circle, dans un entretien téléphonique à nos confrères d'IDG News Service. Plutôt que de créer un service de messagerie fermé, les deux alliés ont décidé de concevoir Dark Mail avec des composants logiciels Open Source qui pourraient être utilisés par n'importe quel fournisseur de service mail.
Lavabit refuse de remettre ses clés SSL au tribunal
David Dennis, responsable du portail Outlook.com de Microsoft, considère que Dark Mail est une « proposition intéressante ». « Nous sommes attentifs à toutes les innovations, protocoles, normes et propositions ayant une incidence sur les communications en ligne », a-t-il écrit dans un courriel. « Nous sommes toujours ouverts à des discussions avec des partenaires potentiels », a-t-il ajouté.
Si Silent Circle, Lavabit et au moins un fournisseur VPN, CryptoSeal, ont dernièrement stoppé leurs activités dans la crainte d'une ordonnance du tribunal les forçant à révéler leurs clés SSL, Lavabit a récemment brillé aux yeux de la communauté. La société à en effet été reconnue coupable d'outrage devant le tribunal pour avoir résisté à un ordre lui demandant de remettre ses clés SSL, ce qui en théorie aurait permis au gouvernement de déchiffrer non seulement les communications d'Edward Snowden, mais aussi celles des 400 000 utilisateurs du service.Â
Une intégration facile dans tous les clients de messagerie
En ce qui concerne la technique, Dark Mail sera conçu autour du protocole XMPP, un protocole de messagerie web mieux connu sous le nom de Jabber, en parallèle d'un autre protocole de chiffrement créé par Silent Circle appelé SCIMP (Silent Circle Istant Message Protocol ). Un intégrateur sera par ailleurs conçu pour permettre à Dark Mail de s'intégrer dans les différents clients de messagerie. « Il n'y aura aucune raison pour que vous ne puissiez pas modifier Outlook et Exchange pour intégrer Dark Mail », a ainsi déclaré Jon Callas.
La clé privée utilisée pour chiffrer les mails sera conservée sur les systèmes des utilisateurs et non détenue par un prestataire de service. Même si le gouvernement ordonne la remise d'une clé SSL, les autres utilisateurs ne seront pas compromis car tous les messages sont chiffrés à l'aide de clés se trouvant entre les mains des destinataires », précise Jon Callas. « Plus une clé reste en service, plus sa vulnérabilité augmente », ajoute-t-il. « L'idée est donc de créer un protocole qui ne maintiendrait une clé en activité que pour quelques heures, tout au plus une journée. Ce système fournirait une meilleure protection à long terme pour les messages sensibles », explique Jon Callas. Le concept de « forward secrecy » est lui aussi à l'étude. Cette fonction de chiffrement limiterait la quantité de données pouvant être déchiffrées si une clé privée est compromise dans le futur.
Une utilisation répandue du chiffrement des courriers électroniques ne serait toutefois pas forcément une bonne nouvelle pour des géants tel que Google. Le moteur de recherche ne se privant pas d'afficher des publicités en fonction du contenu des emails de ses utilisateurs. Google et Yahoo, qui ont assisté à l'Inbox Love, n'ont d'ailleurs pas souhaité commenté l'annonce de la Dark Mail Alliance.