Les échos Prism ont résonné dans toutes les directions et ont eu des répercussions pour le moins surprenantes. Deux services commercialisant des solutions de courriers électroniques sécurisés, Lavabit et Silent Circle, ont ainsi fait les frais de la traque au lanceur d’alerte Edward Snowden. Mais les fondateurs de ces deux entreprises viennent d’annoncer une union autour du thème de la sécurité des courriers : la DarkMail Alliance.
Crédits : Esparta Palma, licence Creative Commons
Deux entreprises affectées par le parcours d'Edward Snowden
En plein mois d’août, lorsque le lanceur d’alerte Edward Snowden envoie un email pour prévenir la presse qu’il donnera une conférence, il n’imagine sans doute pas les répercussions. Il utilise un service de courrier sécurisé, Lavabit, qui reçoit peu à peu des demandes insistantes de la NSA pour fournir un grand nombre de données. Comme nous l’avions relaté, le fondateur Ladar Levison préfère couper l’accès à tous ses serveurs. Peu de temps après, la société Silent Circle stoppait brusquement un service équivalent, avant que l’agence de sécurité n’ait eu le temps d’entrer en piste.
Remplacer SMTP par XMPP
Désormais, Lavabit et Silent Circle s’associent pour former la DarkMail Alliance. Cette organisation à but non-lucratif aura pour objectif de concentrer et de maintenir l’ensemble du code open-source des technologies qui alimenteront cette nouvelle plateforme de messagerie électronique. Et si l’on parle de messagerie, c’est que les développeurs ont pour ambition de se débarrasser de l’ancien protocole SMTP pour l’expédition des emails en le remplaçant par XMPP.
L’Alliance cherche donc à remplacer un protocole de transport par un autre. Et si XMPP vous est familier, c’est qu’il est particulièrement présent dans le monde de la messagerie instantanée. On le trouve ainsi à la racine du chat de Google et de nombreux clients de discussion le prennent en charge. Et comme l’explique Jon Callas, le directeur technique de Silent Circle, le fait de se débarrasser de SMTP a particulièrement du sens car le protocole « a été conçu il y a 40 ans, quand tout le monde sur Internet se connaissait et était ami ». En clair, SMTP n’est pas prévu pour prendre en compte les conditions beaucoup plus drastiques de sécurité dans le contexte moderne.
Une extension pour les fournisseurs de solutions email
Le but actuellement est de proposer la technologie DarkMail sous la forme d’une extension, ou d’une option, pour les fournisseurs de solutions email. Techniquement, Google pourrait tout à fait proposer DarkMail en option quand le module sera disponible, ce qui devrait être le cas vers la mi-2014. L’utilisateur pourrait alors choisir DarkMail comme moyen d’expédition, débloquant ainsi de très nombreux réglages touchant à la sécurité.
Pratiquement aucune information technique n’a été donnée pour renseigner sur le fonctionnement de DarkMail. Tout juste sait-on que le « Silent Circle Instant Messaging Protocol » servira de soubassement au protocole DarkMail, sous la forme d’une version alpha. En outre, comme déjà précisé, l’ensemble de la technologie sera open source et le code sera donc publié. On ne connait pas encore cependant le type de licence qui sera utilisé et quelles seront donc les possibilités en termes de modification.
Un financement participatif à venir
Cela n’empêche pas l’Alliance d’avoir de grandes ambitions pour DarkMail, notamment en termes de simplicité d’utilisation. Ladar Levison, fondateur de Lavabit, indique à Ars Technica que la solution devra être « assez simple pour que mamie puisse l’utiliser. Notre espoir est qu’un jour, dans un futur proche, toute personne utilisant les emails aujourd’hui puisse utiliser un client DarkMail ».
Comme tout organisme à but non-lucratif, le projet a cependant besoin d’argent pour être développé. Voilà pourquoi une campagne de financement participatif sera lancée sur KickStarter, probablement dès demain. La somme demandée n’a pas été annoncée, mais l’Alliance a précisé que les trente-deux premières sociétés qui donneront au moins 10 000 dollars auront accès à une préversion du module qu’ils pourront ainsi intégrer dans leurs systèmes deux mois avant les autres.
L’ensemble du projet est une réaction inhérente à l’actualité et aux parcours des deux entreprises impliquées. Les ondes de choc provoquées par les révélations d’Edward Snowden sont encore loin d’être terminées, mais le paysage de la sécurité en ressortira profondément transformé.
Commentaires (55)
Remplacer SMTP par XMPP
Pas bête du tout sur le papier
Çe genre de solution doit aussi pouvoir aider les gens voulant héberger eux même un serveur mail mais qui sont chez un FAI qui bloque le port 25.
A suivre
Google qui implémente Darkmail pour Gmail
" />
Autant prendre une adresse mail [email protected]
Sinon l’idée est bonne mais la NSA a certainement déjà fourré son nez dans le protocole XMPP…
Sinon j’aimerai bien que l’on révolutionne le mail (rien que pour le taf, j’aimerai ne plus en recevoir autant comme autant). j’ai pas d’idée pour ça mais punaise, ça me libérerai et je pense que je suis pas le seul …
Une chose que ne dit pas l’article : en quoi le protocole utilisé par DarkMail serait plus sécurisé et moins “écouté” que SMTP ?
Je pense que ce projet sera l’objet de ma première donation via KickStarter
L’ensemble du projet est une réaction inhérente à l’actualité et aux parcours des deux entreprises impliquées. Les ondes de choc provoquées par les révélations d’Edward Snowden sont encore loin d’être terminées, mais le paysage de la sécurité en ressortira profondément transformé.
déjà que c’est pas facile de faire le tri actuellement entre toutes les offres/solutions/… sécurisées, et avec les révélations NSA/autres ça va devenir de plus en plus difficile et je vois bien arriver de pseudo solution à prix d’or
Gmail, Yahoo et Outlook devraient proposer l’intégration de PGP dans leurs services email, ça serait l’occasion de prouver qu’ils sont du côté des citoyens (à moins qu’ils s’en foutent).
Au delà de l’aspect technique, il faudra porter une attention au pays de la société qui hébergera vos futures données.
Sinon, ça risque de finir sous la menace, façon Lavabit …
ça ne sert à rien de proposer de chiffre la transmission du message.
" />
" />
gmail, outlook.com etc sont chiffrés lors des échanges via TLS, ça n’empêche pas qu’une fois transmis c’est accessible puisque ça s’affiche dans votre webmail.
D’ailleurs le SMTP peuvent chiffrer les échanges entre 2 serveurs, ça fait partie des fonctionnalités.
Si vous voulez avoir la paix chiffrez vos MAILS et pas seulement la connexion
Utilisez soit
-PGP
-S/MIME avec des certificats.
Je préfère cette dernière solution car elle est standardisée, fonctionne bien sous outlook et thunderbird.
Comodo fournit des certificats de mails gratos.
Ensuite il suffit d’ajouter les expéditeurs à ses contacts, et s’il ont une clé publique en PJ ça l’ajoute tout seul.
Et hop ensuite on peut signer et chiffrer.
Je cherche encore une bonne app android par contre, capable d’importer toute seule les clés publiques des expéditeurs.
À PGP, je préfère GPG et avec des clés fabriquées sur ma machine et conservées au fond de ma poche. Les solutions “magiques” proposées actuellement me paraissent bien fragiles.
-S/MIME avec des certificats.
Je préfère cette dernière solution car elle est standardisée, fonctionne bien sous outlook et thunderbird.
Comodo fournit des certificats de mails gratos.
Les tiers de confiance ont montrés que justement on ne pouvait pas leur faire confiance.
Dans tous les cas, même sans considérer la sécurité, SMTP est un vieux protocole, mal conçu (pensé pour un encodage ANSI 7bits, texte uniquement) qui aurait besoin d’être remplacé par quelques chose de mieux construit, pensé pour les usages d’aujourd’hui (et de demain).
Actuellement, il est patché de partout pour supporter les pièces jointes, les encodages étendus (lettres accentuées, unicode, etc.), chiffrement par certificats, etc.
Evidemment, ce qui rend compliquer la chose, c’est qu’il faut TOUT mettre à jour, les serveurs, les clients, les webmails et ceci dans une période courte ou avec un mode compatibilité avec l’existant…
Comme dit plus haut, le chiffrage du contenu et crucial et il y a pleins de solutions disponibles qui seraient faciles à mettre en place.
La grosse difficulté réside dans le fait de chiffrer également le nom de l’expéditeur et du destinataire. Et là, il n’y a pas vraiment de solutions simples ou qui fasse consensus.
Je suis d’accord avec le fait que seule une solution décentralisée pourra répondre au besoin.
D’ailleurs on le voit clairement dans les infos de Snowden : les données sont chiffrées entre l’utilisateur et le serveur, mais la NSA se connecte en amont, là où il n’y a pas de chiffrage.
Mes yeux saignent : par pitié utilisez le mot chiffrement à la place de chiffrage et cryptage !!!
" />
Le mieux c’est de donner une valise de ‘0’ et de ‘1’ en main propre et de xorer avec quand on communique. Facile
" />
et gnupg dans tout ça ? ça a quand même l’avantage d’être compatible avec tout l’existant.
Par ailleurs je vois pas trop ce que va changer leur solution puisque de toute façon, google et cie balancent tout à la nsa si j’ai bien compris, donc si on peut lire ses mails dans gmail, google aussi…
A moins que tout les messages soient chiffrés et de toujours passer par un logiciel externe et de juste utilisé gmail comme “stockage”, je ne vois pas trop comment on peut vouloir sécuriser ça.