Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Own-Mailbox : un boîtier libre pour chiffrer ses emails lancé sur Kickstarter

Des emails qui tiennent dans la main
Internet 5 min
Own-Mailbox : un boîtier libre pour chiffrer ses emails lancé sur Kickstarter

Avec l'intensification de la surveillance et les révélations des écoutes de masses, le chiffrement des emails a le vent en poupe. Deux Français proposent une solution qui semble prometteuse sur le papier : Own-Mailbox. Afin de mener à bien leur projet, ils ont lancé une campagne de financement participatif sur Kickstarter.

Il y a quelques jours, Kickstarter accueillait un nouveau projet de messagerie sécurisée libre : Own-Mailbox, un serveur à installer chez soi qui gère l'accès et le chiffrement de l'ensemble de vos emails. Initié par deux Français, le but est simple : permettre à tous de chiffrer ses messages, tout en gardant le contrôle du serveur. Cela grâce à du matériel et des logiciels libres. Comme pour la majorité des projets du genre, la simplicité, la sécurité et le stockage local sont les trois mots d'ordre. Celui-ci apporte d'ailleurs de nouvelles pierres à l'édifice.

Le serveur tient dans un petit boîtier de quelques centimètres de côté, dispose de 16 Go de stockage (via une carte SD) et est censé ne pas chauffer. Il ne contient que du matériel « libre » : un circuit imprimé maison équipé d'une carte SD, un processeur Allwinner A13 à 1 GHz, 256 Mo de RAM, un port Ethernet et USB. Le boîtier, lui, est conçu par l'équipe et a été prototypé en impression 3D. Les concepteurs n'ont pas souhaité réutiliser du matériel existant, comme un Raspberry Pi, qui contiendrait encore trop de composants non-libres. Mais l'intérêt est plus à chercher du côté logiciel.

own-mailbox

Des emails chiffrés sur n'importe quel service

La base du projet est simple, fournir des emails qui peuvent être chiffrés avec GnuPG sans avoir à configurer de serveur ou de clé. Tout doit se faire automatiquement : de la mise en place du serveurà la gestion des clés privée/publique. L'appareil propose par exemple de simplement réutiliser une adresse existante chez un autre fournisseur (comme Gmail ou Outlook.com). Le boîtier s'y connecte en POP3 ou IMAP et gère en local le chiffrement. Le service distant, lui, voit uniquement un contenu chiffré. Dans ce cas, reste tout de même le problème des métadonnées (qui a envoyé le message, à qui, à quelle heure...), que l'équipe n'a pas encore résolu. Pour l'instant, elle envisage d'envoyer de fausses correspondances pour noyer le tout ou de passer par Tor.

Pour ceux qui voudraient une nouvelle adresse, le serveur peut également le faire seul. L'équipe peut générer un sous-domaine en nom.nspy.co qui sera lié au boitier via un service de DNS dynamique. L'envoi des messages à des personnes ne chiffrant pas leurs mails doit lui aussi être pratique. Le système se fonde sur un webmail Roundcube, adapté pour être utilisé avec PGP. L'interface propose ainsi d'envoyer le message sans chiffrement, avec chiffrement, ou de le rendre disponible via un lien, un peu à la manière de ce que proposent des services comme ProtonMail. Cette dernière possibilité consiste à envoyer en clair un lien temporaire protégé par un captcha ou une question secrète. Une technique qui n'est pas sans rappeler ce que propose ProtonMail, qui vient de passer en version 2.0.

Un mix de logiciels et de services libres

Le serveur permettra également de répondre directement au message depuis l'interface. Il sera même possible d'ouvrir un espace permanent pour que les contacts puissent y écrire des correspondances sans avoir besoin d'adopter une solution de chiffrement de leur côté. Au rayon des bonnes idées, le serveur permettra également de disposer de dossiers privés, uniquement accessibles à partir du réseau local.

Le boîtier en lui-même est très classique : il s'agit d'une instance de Postfix installée sur Debian, équipée de Spamassassin. Comme tout serveur email, il permet donc l'accès aux mails via un client fixe. Pour configurer l'accès au Net, il s'occupera, en principe, lui-même de la redirection de ports, par exemple en modifiant automatiquement la configuration du routeur. Pour fournir une connexion en HTTPS au webmail, il génèrera seul un certificat gratuit au premier démarrage, via l'initiative Let's encrypt, soutenue entre autres par l'EFF ou encore Mozilla.

own-mailbox

De leur côté, les clés PGP de chaque adresse sont générées à l'ajout du compte sur le serveur et automatiquement envoyées aux serveurs du MIT, qui propose un répertoire public facilement consultable. Vu qu'il est fondé sur des logiciels libres, il sera bien entendu modifiable, par exemple pour ajouter des logiciels comme ownCloud ou Yunohost, histoire d'étendre les fonctionnalités. De base, il fournira d'ailleurs l'accès aux journaux système.

Un tiers de l'objectif rempli et une livraison prévue dès juin 2016

La campagne, lancée il y a quelques jours, a atteint près d'un tiers de son objectif. Alors qu'ils demandent 95 000 euros pour mener à bien leur projet, les concepteurs ont déjà récolté près de 38 000 euros. Les contreparties vont du simple autocollant à un appareil à tarif réduit. Actuellement il est possible de l'acquérir pour 59 euros au lieu de 79 euros. Il est possible de grimper à des contributions de 5 000 euros pour les plus enthousiastes.

Le planning de livraison, lui, est clairement fixé : en décembre, l'équipe prévoit une première version bêta de la partie logicielle, avec un matériel industrialisable. Elle devrait être suivie par deux autres bêtas en février et avril 2016. Ces tests devraient notamment permettre de travailler sur la partie réseau, dans des situations réelles. L'équipe promet par ailleurs de faire auditer son produit.

Les premiers boitiers devront, eux, être livrés en juin 2016 aux soutiens de la campagne Kickstarter, tandis que les commandes publiques sont prévues pour le mois suivant. Cela sans compter les éventuels ajouts si la campagne dépasse son objectif initial, comme une application mobile ou des services supplémentaires. Ils envisagent ainsi un système de sauvegarde en pair à pair. Si le boitier est connecté au moins 70 % du temps, les messages seraient distribués vers d'autres serveurs Own-Mailbox en cas de déconnexion, pour être redirigés vers le bon une fois que celui-ci sera de retour en ligne.

L'équipe proposera également un logiciel de récupération à installer sur PC, pour brancher directement le serveur à un ordinateur et l'utiliser de manière transparente. Le serveur pourrait en outre inclure « certains services Framasoft, afin de permettre le partage de gros fichiers, la planification d’événements, et l'édition collaborative de documents et de tableurs partagés ». Reste à voir si cette initiative arrivera à se faire une place parmi les (nombreux) projets actuels de messagerie chiffrée et à attirer au-delà des initiés.

40 commentaires
Avatar de ragoutoutou Abonné
Avatar de ragoutoutouragoutoutou- 11/09/15 à 15:04:09

mwais... résoudre par hardware un problème qui est facile à régler en soft... pas convaincu...
 

 Et le coup de faire la gestion de la clef magiquement sans intervention de l'utilisateur me semble une belle occasion ratée pour l'utilisateur de prendre le contrôle de sa vie privée sur le web...

Avatar de chris.tophe INpactien
Avatar de chris.tophechris.tophe- 11/09/15 à 15:15:36

Ok mais comme 100% des gens de mon carnet d'adresse n'ont aucune extension leur permettant de déchiffrer, il n'y a aucun intérêt? Je dois continuer en envoyer mes mails en clair?

Avatar de David_L Équipe
Avatar de David_LDavid_L- 11/09/15 à 15:16:40

Voir la fin de l'article ;) Sinon tu peux aussi leur acheter un boîtier similaire pour Noël :transpi:

Avatar de David_L Équipe
Avatar de David_LDavid_L- 11/09/15 à 15:17:19

Ne changeons rien, les gens vont tous se mettre en masse à GnuPG par magie, tellement c'est trop simple à utiliser via un soft #OhWait ;)

Avatar de damaki Abonné
Avatar de damakidamaki- 11/09/15 à 15:25:24

Pour la défense de ragoutoutou, ceux qui sont intéressés par un tel boîtier, ce sont les mêmes gens qui savent déjà faire la même chose sans ce boîtier. Je vois difficilement monsieur/madame tout le monde entendre parler de cet appareil, comprendre à quoi il sert et le précommander aussitôt.

Avatar de Gundar INpactien
Avatar de GundarGundar- 11/09/15 à 15:45:54

Pas forcément. Les gens qui n'y connaissent rien mais serait prêt à proteger leur vie privée, j'en connais pas mal. Si quand on me pose la question je peux dire "t'achète ça, tu branche, ça roule" plutôt que de me perdre dans 3 heures d'explications décourangeantes, ça peut que marcher.

Avatar de Xaelias INpactien
Avatar de XaeliasXaelias- 11/09/15 à 15:50:01

Sans parler de tous les gens qui savent ce que c'est GPG, mais qui ont de la famille pour qui ce n'est pas pensable de l'installer. Si le boitier fonctionne seul, c'est aussi simple pour moi de l'acheter et de l'envoyer aux gens de ma famille plutôt que de devoir installer et configurer GPG sur tous les ordis :-)

Avatar de damaki Abonné
Avatar de damakidamaki- 11/09/15 à 15:58:13

Gundar a écrit :

Pas forcément. Les gens qui n'y connaissent rien mais serait prêt à proteger leur vie privée, j'en connais pas mal. Si quand on me pose la question je peux dire "t'achète ça, tu branche, ça rouleTu précommandes, tu attends jusqu'à la fin du retard comme tous les kickstarters, tu prie pour que l'entreprise ne s'écroule pas entre temps, tu le branches et ça marche peut-être" plutôt que de me perdre dans 3 heures d'explications décourangeantes, ça peut que marcher.

J'ai corrigé pour mieux coller à la réalité de Kickstarter.

Édité par damaki le 11/09/2015 à 15:58
Avatar de plusquezero Abonné
Avatar de plusquezeroplusquezero- 11/09/15 à 15:59:50

Sauf que c'est du matériel/logiciel libre, si la boite coule t'as encore les sources.
 
Ils ont déjà publié quelques trucs !

Avatar de Hyrakama Abonné
Avatar de HyrakamaHyrakama- 11/09/15 à 16:09:16

Le gros avantage de ce boîtier ,c' est le matos libre dès la conception jusqu' au bootloader (uboot) ,c' est très rare .
Dommage que ça ne soit pas plus puissant , pour pouvoir y ajouter un petit blog ,gestion d' agenda,ou proxy/vpn ,xmpp (sans que ca rame j' entends )....
L' initiative est très bonne à mon goût même si le côté chiffrement ,bien que simplifié ,pose toujours problème pour la gestion de clés (faut bien expliquer a faire un double des clés par sécurité ,et le côté gestion de domaines) , mais le manque de puissance ( pas un i3 non plus ,hein ,mais là ca me parait trop juste,je me trompe peut-être ) ,me bloque et le rend de trop pour mon usage.
Je vais le surveiller quand même ,voir l' avancement, du libre total ,c' est un bon pas en avant si ca marche :mad:

Édité par Hyrakama le 11/09/2015 à 16:10
Il n'est plus possible de commenter cette actualité.
Page 1 / 4
  • Introduction
  • Des emails chiffrés sur n'importe quel service
  • Un mix de logiciels et de services libres
  • Un tiers de l'objectif rempli et une livraison prévue dès juin 2016
S'abonner à partir de 3,75 €