Google demande à la communauté de poursuivre les développements autour de son outil de chiffrement d’e-mails de bout en bout, E2EMail (end-to-end mail), sur lequel il a commencé à travailler en juin 2014. « Le projet de recherche E2Email a quitté le nid », a indiqué il y a quelques jours la firme de Mountain View dans un billet de blog. L’an dernier, elle a commencé à publier du code sur GitHub et elle indique désormais que l'outil « n’est pas un produit Google » : « C’est maintenant un projet open source entièrement tiré par la communauté » et auquel différents spécialistes en sécurité ont déjà contribué, indique la société dans son billet.
E2EMail propose une approche pour intégrer OpenPGP dans la messagerie Gmail à travers une extension Chrome afin de rendre son utilisation plus accessible (le texte du message en clair est conservé exclusivement sur le client). L'objectif premier de Google - qui a annoncé le logiciel après les révélations d'Edward Snowden sur la surveillance exercée par la NSA - était effectivement de rendre un tel outil plus simple à utiliser. Celui-ci n'est toutefois pas proposé sur son Chrome Web Store. Le fait qu'il soit simplement disponible sur GitHub ne le met guère à la portée de la majorité des utilisateurs. Il est construit sur une bibliothèque de chiffrement Javascript que la société a développée. Pour les tests, l'actuelle version d'E2EMail utilise un serveur de clés central, mais l’évolution future du logiciel va devoir prendre en compte un autre projet de Google récemment annoncé : Key Transparency.
Un service de recherche pour clés publiques, avec audit
En 2014, Google avait expliqué que son outil de chiffrement de bout en bout n’était pas aussi « utilisable » que souhaité à cause du mode de gestion des clés publiques utilisées dans le chiffrement PGP. Les clés nécessaires pour échanger des messages sécurisés sont souvent gérées sur un serveur public ou envoyées par mail, mais l’authenticité de l’utilisateur qui les a fournies n’est jamais vérifiée. Le mois dernier, Google a donc annoncé Key Transparency, un projet open source distinct à travers lequel il cherche à régler ce problème. Ce projet fonctionne essentiellement comme un service de recherche pour les clés publiques, mais par mesure de précaution, toutes les connexions peuvent être vérifiées pour détecter toute activité suspecte.
Key Transparency est crucial pour la suite du développement d'E2EMail, pointe Google. Il rappelle que la découverte et la distribution de clés est au cœur des problèmes d’utilisabilité rencontrées dans les mises en œuvre d’OpenPGP. L'éditeur de Mountain View espère donc que la communauté open source conduira à bien les efforts d’intégration entre E2Email et Key Transparency. Il n’est pas le seul à travailler sur ces solutions de chiffrement. Le mois dernier, Ladar Levison, le créateur de la messagerie chiffrée Lavabit qui fut utilisée par Edward Snowden, a relancé son projet.