Affaire Snowden : la DarkMail Alliance veut sécuriser les emails

Les échos Prism ont résonné dans toutes les directions et ont eu des répercussions pour le moins surprenantes. Deux services commercialisant des solutions de courriers électroniques sécurisés, Lavabit et Silent Circle, ont ainsi fait les frais de la traque au lanceur d’alerte Edward Snowden. Mais les fondateurs de ces deux entreprises viennent d’annoncer une union autour du thème de la sécurité des courriers : la DarkMail Alliance.

Crédits : Esparta Palma, licence Creative Commons

Deux entreprises affectées par le parcours d'Edward Snowden

En plein mois d’août, lorsque le lanceur d’alerte Edward Snowden envoie un email pour prévenir la presse qu’il donnera une conférence, il n’imagine sans doute pas les répercussions. Il utilise un service de courrier sécurisé, Lavabit, qui reçoit peu à peu des demandes insistantes de la NSA pour fournir un grand nombre de données. Comme nous l’avions relaté, le fondateur Ladar Levison préfère couper l’accès à tous ses serveurs. Peu de temps après, la société Silent Circle stoppait brusquement un service équivalent, avant que l’agence de sécurité n’ait eu le temps d’entrer en piste.

Remplacer SMTP par XMPP 

Désormais, Lavabit et Silent Circle s’associent pour former la DarkMail Alliance. Cette organisation à but non-lucratif aura pour objectif de concentrer et de maintenir l’ensemble du code open-source des technologies qui alimenteront cette nouvelle plateforme de messagerie électronique. Et si l’on parle de messagerie, c’est que les développeurs ont pour ambition de se débarrasser de l’ancien protocole SMTP pour l’expédition des emails en le remplaçant par XMPP.

L’Alliance cherche donc à remplacer un protocole de transport par un autre. Et si XMPP vous est familier, c’est qu’il est particulièrement présent dans le monde de la messagerie instantanée. On le trouve ainsi à la racine du chat de Google et de nombreux clients de discussion le prennent en charge. Et comme l’explique Jon Callas, le directeur technique de Silent Circle, le fait de se débarrasser de SMTP a particulièrement du sens car le protocole «  a été conçu il y a 40 ans, quand tout le monde sur Internet se connaissait et était ami ». En clair, SMTP n’est pas prévu pour prendre en compte les conditions beaucoup plus drastiques de sécurité dans le contexte moderne.

Une extension pour les fournisseurs de solutions email 

Le but actuellement est de proposer la technologie DarkMail sous la forme d’une extension, ou d’une option, pour les fournisseurs de solutions email. Techniquement, Google pourrait tout à fait proposer DarkMail en option quand le module sera disponible, ce qui devrait être le cas vers la mi-2014. L’utilisateur pourrait alors choisir DarkMail comme moyen d’expédition, débloquant ainsi de très nombreux réglages touchant à la sécurité.

Pratiquement aucune information technique n’a été donnée pour renseigner sur le fonctionnement de DarkMail. Tout juste sait-on que le « Silent Circle Instant Messaging Protocol » servira de soubassement au protocole DarkMail, sous la forme d’une version alpha. En outre, comme déjà précisé, l’ensemble de la technologie sera open source et le code sera donc publié. On ne connait pas encore cependant le type de licence qui sera utilisé et quelles seront donc les possibilités en termes de modification.

Un financement participatif à venir 

Cela n’empêche pas l’Alliance d’avoir de grandes ambitions pour DarkMail, notamment en termes de simplicité d’utilisation. Ladar Levison, fondateur de Lavabit, indique à Ars Technica que la solution devra être « assez simple pour que mamie puisse l’utiliser. Notre espoir est qu’un jour, dans un futur proche, toute personne utilisant les emails aujourd’hui puisse utiliser un client DarkMail ».

Comme tout organisme à but non-lucratif, le projet a cependant besoin d’argent pour être développé. Voilà pourquoi une campagne de financement participatif sera lancée sur KickStarter, probablement dès demain. La somme demandée n’a pas été annoncée, mais l’Alliance a précisé que les trente-deux premières sociétés qui donneront au moins 10 000 dollars auront accès à une préversion du module qu’ils pourront ainsi intégrer dans leurs systèmes deux mois avant les autres.

L’ensemble du projet est une réaction inhérente à l’actualité et aux parcours des deux entreprises impliquées. Les ondes de choc provoquées par les révélations d’Edward Snowden sont encore loin d’être terminées, mais le paysage de la sécurité en ressortira profondément transformé.