Après un Kickstarter annulé l'an dernier, l'équipe derrière le serveur email auto-hébergé Own-Mailbox revient sur son projet. Nouvelle direction : au lieu d'un boîtier unique, elle compte d'abord proposer une version de son logiciel pour Raspberry Pi, pour ensuite préparer une nouvelle campagne pour une solution intégrée.
En septembre, deux Français présentaient leur concept de serveur email à installer chez soi, qui gère lui-même le chiffrement des messages via GPG, avec une clé fournie par le système. Own-Mailbox, de son nom, devait par exemple permettre d'y connecter un service mail classique via POP3 et IMAP, consultable via le webmail intégré au boîtier. Ce boitier « 100 % confidentiel » et libre ambitionnait de généraliser le chiffrement des emails, en tenant compte des usages, comme celui de Gmail.
Une « Own-Mail Reloaded » annoncée en octobre
Le projet fait partie de la vague de logiciels et services qui veulent protéger les données personnelles, comme celui de Cozy Cloud, qui a récemment obtenu un financement public de la BPI (voir notre analyse). Il diffère d'autres services de messagerie sécurisée existants, comme ProtonMail, en fournissant un boitier à installer chez soi, plutôt qu'un compte email classique hébergé ailleurs. Lancé sur Kickstarter en septembre, il a rapidement atteint les deux tiers des 100 000 euros demandés, avant d'être annulé par ses créateurs.
« Il y a 3 jours une idée très excitante est née de notre discussion avec des experts en sécurité et nous a fait changer d'avis sur le fait d'abandonner le projet suite à une campagne non réussie » écrivaient-ils début octobre. L'équipe avait été sous le feu des critiques sur certains choix liés à la sécurité, qui est le cœur du produit.
Avec sa « Own-Mailbox Reloaded », l'équipe comptait repenser certains points, comme passer par des services Tor pour mieux protéger les métadonnées et la localisation des utilisateurs. D'autres changements étaient également prévus, comme le passage du webmail Roundcube à Mailpile, pour intégrer plus proprement GPG à l'ensemble.
Une version Raspberry Pi avant de relancer une campagne
Dans un billet publié hier soir, l'équipe a annoncé la suite des évènements, avec un plan d'action bien plus précis qu'en octobre. Elle prévoit ainsi de sortir une première version de son système sous la forme d'une image pour Raspberry Pi. Une alpha devrait arriver d'ici deux à trois mois, promet l'équipe. « Ceci permettra de rendre accessible le concept de Own-Mailbox beaucoup plus rapidement dans un premier temps » justifie le billet.
Le logiciel sera toujours accompagné d'un service en ligne, qui proposera au moins de créer une adresse email pour ceux n'en disposant pas. Dans un premier temps, il aura « une orientation non-commerciale ». Les serveurs seront ainsi financés par les dons. Dans cette nouvelle version, le système devrait permettre de configurer son propre nom de domaine, « de telle manière qu'ils puissent être totalement indépendants de nos infrastructures ».
« Par la suite, là où c'est indispensable, nous pourrons ajouter des parties commerciales pour ce qui ne peut être gratuit, comme la vente de produits physiques, ou la mise en place de noms de domaines de premier niveau » est-il précisé. Une fois le logiciel « éprouvé » par la communauté, les concepteurs comptent relancer une nouvelle campagne pour financer un boitier « plug & play ».
Mais la nouvelle la plus importante reste, au fond, que l'équipe ne travaille plus à plein temps sur le projet. Ses deux initiateurs ne comptent plus dessus pour assurer leurs revenus, ce qui devrait leur laisser la latitude pour agir plus posément. « Cela implique que le développement et la communication ne sera pas nécessairement aussi rapide et régulière qu'avant » préviennent-ils tout de même.
Commentaires (65)
#1
Pas open source = pas 100% confidentiel, même si la machine est chez vous.
#2
C’est pour ça que c’est open source et basé au maximum sur de l’open hardware. 
" />
#3
C’est bien gentil tout ça, mais c’est quand même pas très compliqué de se faire un serveur mail chez soit.
#4
Ah bon ? Je ne connais pas ce projet, et la news ne parle pas d’open source mais au contraire “d’une image pour Raspberry Pi”.
#5
C’est mentionné en début de news. :) Le principe d’Own-Mailbox est d’être au maximum open source et pratique, en proposant une box “plug & play”, qui s’occupe du chiffrement et de la partie configuration des ports du routeur, par exemple. Voir la première news pour plus de détails.
#6
Je suis dans la techno et le libre depuis un moment, mais même si je suis en capacité (avec du temps à y consacrer parce que je connais peu le serveur mail) de monter le mien, une solution “middleware” m’irait très bien.
#7
#8
Le projet prévoit-il que les utilisateurs envoient réellement les emails de chez eux ?
Que feront-ils du blocage de port smtp en sortie et des RBL contenant les IP de fournisseurs d’accès tout public ?
#9
Le faire ,oui, (quoi que pour madame michu ,ça doit paraître tout sauf pratique et simple ) surtout avec des projets comme yunohost et Cie qui le facilitent , mais après le maintenir et agir en cas de pépin ,c’ est autre chose ( et je compte pas les histoires de blacklist d’ ip par les fai et autres )
#10
#11
C’est quand même la merde. Perso je suis passé à mailgun pour toutes les alertes venant de mon serveur ou de mes scripts. Pas besoin d’avoir un serveur SMTP installé, de le maintenir à jour, configuré, je peux facilement envoyer des emails à partir de VM etc. etc.
#12
Le problème c’est qu’une connexion perso n’est jamais aussi fiable qu’un service en ligne avec redondance etc. Donc pour s’envoyer des mails entre geek pour s’amuser c’est une chose. Mais pour ses mails importants..
#13
#14
La mise en place d’ un serveur secondaire sinon ? C’est sur que comparé à un service en ligne avec serveurs résilients ,c’ est autre chose ,mais bon
#15
Bah le mien tourne à base de postfix/dovecot depuis 2003 sous une debian. Mis a part le soucis de relay a cause du FAI ça m’a prit grosso-modo 1 journée à installer et à configurer. Et je reçois et envois mes mail avec depuis ce jour.
Après qu’il y ai une solution pour tout le monde c’est encore mieux, mais disons que c’est pas non plus le truc le plus complexe a installer (a coté d’un reverse proxy type ngx ou de certains portails captifs le smtp/pop c’est easy).
#16
Ben non ,c’ est complètement con .On te file un accès partiel au net ,en décidant derriere te dire quels ports ou protocoles tu peux utiliser ou non . Quelqu’ un qui veut spammer à grande échelle ,il a d’ autres moyens.
#17
#18
#19
Pour gérer un serveur perso, avec mail et tout un tas d’autres trucs, simplement, chez soi et en full libre => La brique Internet.
#20
Excellent ! J’ai justement un RPi B+ en rab dans un tiroir…
#21
oui ,basé sur yunohost ,très bon projet à mes yeux ,mais pour les mails ,on a toujours les même points bloquants ( résilience et blocage par le fai et autres serveurs mails ).
#22
#23
Totalement d’ accord avec la conclusion c’ est le lambda qui se retrouve emmerdé dans l’ histoire ( comme avec les drm diront certains ) . Le point de vue législatif de ton paragraphe est un vrai problème ,c’ est pas aux fai de faire la loi à ce niveau -la à mes yeux. Après c’ est une pratique qui ne date pas d’ aujourd’hui ,je ne sais pas si à l’ époque ,il y a avait déjà des dispositions dans la loi à ce niveau . J’ ai aucun espoir de changement de point de vue législatif pour cette génération .
#24
Ouai enfin héberger un serveur e-mail chez soit, ça reste du boulot…et encore faut il avoir un reverse DNS qui fonctionne avec une addresse IP fixe, sinon bonjour les emmerdes avec nos e-mails refusés de partout!
Et ne pas oublier la gestion du spam etc…
Enfin moi, même si l’idée me botte, c’est quand même pas une mince affaire et il faut y réfléchir à 2 fois…
#25
#26
ah j’ avais oublié l’ histoire d ‘ ip fixe tiens ,un autre point “bloquant” .
Après le spam ,si on ne parle pas d’ envoi mais de réception ,y a de bons logiciels à mettre sur son serveur contre ca.
#27
C’ est une sacrée régression n’ empêche ce projet . J’ aimais bien ce côté “ hardware libre” . Ils insistaient de créer du matériel “libre” et ne rien porter sur raspberry car contenant trop de “morceaux non-libres” , et pouf ,finalement on va le faire sur raspberry
" /> .
#28
Perso, j’ai des connaissances, mais pas assez pour monter un serveur mail chez moi.
Par contre, installer une boîte et la configurer, pour qu’elle travaille avec des services comme ProtonMail, là je dis oui !
Du style, utiliser une adresse ProtonMail, mais faire en sorte d’en récupérer les emails et les garder chez moi, sur ma boîte, avec ma clef.
Comme ça je profite des avantages d’un compte hébergé chez Proton (prob de DNS et d’IP, serveur mail connu), et en hébergeant ce que je peux chez moi.
#29
Je confirme, perso j’avais réussi après un très long arrachage de cheveux, puis une MAJ est passée par là et a tout cassé (je n’arrivais plus à m’authentifier en imap) après avoir essayé plusieurs options, j’ai laissé tomber, la grosse flemme de tout réinstaller, heureusement que je n’avais pas de mail important dessus.
Maintenant, je me suis fait un boite chez protonmail, ça roule et je me prends pas la tête.
Autant j’adore installer un apache, autant postfix et imapd je les ai en horreur…
#30
C’est marrant, mais un reverse-proxy nginx, je te fais ça sans problème (c’est pas du tout mon taf pourtant), autant le serveur mail (j’ai fait, j’utilise et je maintiens les deux), j’ai trouvé ça beaucoup plus compliqué. Comme quoi hein…
#31
#32
C’est plutôt l’image de leur bouzin qui ressemble à une Livebox qui ne me donne pas confiance.
" />
#33
#34
#35
Je suis d’accord c’est une galère à installer un serveur mail. J’ai réussi à le faire. J’ai galéré avec roundcube juste pour avoir la page d’accueil.
#36
J’ai participé à la campagne, et pour moi ce projet est une vaste blague.
Déjà parce qu’ils se sont pris les pieds dans leur comm’, quand à l’époque un mec calé a démonté un par un tous leurs arguments et a montré que ce n’était techniquement pas au point : au lieu de l’écouter et de discuter, ils se sont braqués, ça s’est envenimé et tout le monde s’est fâché. Bel esprit.
Ensuite parce que cette v2 du projet, je vois ça comme un « on n’a pas réussi seul, on va refiler la patate chaude à un idiot de service qui se démerdera, et nous on fera les fiers parce que le nom Own Mailbox commence à être connu ». C’est comme ça que j’ai compris leur dernier mailing en tout cas, où ils disent qu’ils se s’investissent plus à plein temps et qu’ils recherchent un profiil technique. Déjà qu’à plein temps ils se sont vautrés au départ, qu’est-ce que ça va être à temps partiel !
Bref encore plein de bonnes idées mais au final des choix discutables et un comm’ déplorable. Un futur projet mort né pour moi. Ce qui est sûr c’est que je ne reparticiperai pas à une nouvelle campagne.
#37
Tu peux utiliser un simple VPN, fournit par un FAI associatif sympa, avec un peu de chance même dans ta région.
Et pour ceux qui veulent gérer leur IP dynamique : Net Libre est là pour vous.
#38
“la boite mail 100% confidentielle” c’est de la publicité mensongère.
Sauf à utiliser sa boite mail exclusivement pour s’envoyer des mails à soi-même, on ne peut sécuriser le système que par les deux bouts… L’écrasante majorité des personnes utilisent une boite mail hébergée par une grosse société (Microsoft, Google, FAI, etc.) et ne savent même pas ce qu’est une clé PGP. Ca sert à rien d’avoir sa propre box “sécurisée” chez soi si on s’en sert pour envoyer/recevoir des mails avec des utilisateurs d’Outlook ou Gmail et qui n’ont pas de clé PGP… In fine tous les mails que vous envoyez/recevez seront confidentiels de votre côté, mais seront stockés EN CLAIR sur les serveurs de Microsoft/Google et ces sociétés comme les gouvernements pourront y accéder…
#39
Un vpn , j’ y avais même pas pensé tiens
" />
Pour l’ ip dynamique , yunohost en propose un nom de domaine avec dns dynamique en .nohost.me
Mais c’ est le principe qui me gène ,c’ est contourner un problème qui est crée artificiellement et pourrait être résolu à la base . Merci pour netlibre ,j’ vais me garder l’ adresse dans un coin .
#40
D’ où l’ importance de valoriser des initiatives comme l’ auto-hébergement et/ou des hébergeurs de moindre envergure ,voire associatifs ( j’ utilise mailoo.org à titre personnel ) ,et y sensibiliser au maximum ses contacts ainsi qu’ au chiffrement ,(en dehors des mails ,tu as aussi des initiatives à la framasoft ) pour diminuer le nombre de mails sur les serveurs des “gros” ,même si c’ est une goutte d’ eau ,et que l’ accès au grand public est compliqué à cause d’ une relative complexité d’ accès (et des points bloquants dont je parlais plus haut ) et d’ un manque certain d’ implication.
Mais oui ,l’ expression est carrément trompeuse et carrément irréalisable ,ca a presque un goût commercial/marqueté la facon dont c’ est présenté
#41
#42
Après vérif, j’étais pas loin du truc :
L’envoi des messages à des personnes ne chiffrant pas leurs mails doit lui aussi être pratique. Le système se fonde sur un webmail Roundcube, adapté pour être utilisé avec PGP. L’interface propose ainsi d’envoyer le message sans chiffrement, avec chiffrement, ou de le rendre disponible via un lien, un peu à la manière de ce que proposent des services comme ProtonMail. Cette dernière possibilité consiste à envoyer en clair un lien temporaire protégé par un captcha ou une question secrète. Une technique qui n’est pas sans rappeler ce que propose ProtonMail, qui vient de passer en version 2.0.
#43
Moi j’ ai compris ca comme un zerobin , non ?
#44
ah, ok .Bah ca y ressemble de ce que je comprends. Je savais pas que protonmail faisait ca aussi
" />
#45
J’ai retrouvé des précisions qui le confirme
Own-Mailbox vous permet également d’envoyer et de recevoir des messages confidentiels y compris avec des personnes qui n’utilisent pas encore le chiffrement de leurs e-mails. Pour ce cas précis, nous avons développé PLM : une technique qui consiste à envoyer à votre destinataire un lien HTTPS temporaire et protégé qui redirige vers votre message privé stocké sur votre Own-Mailbox.
#46
Pour ceux qui disent qu’installer un serveur mail perso est une corvée, essayez yunohost ;-)
#47
Je pense que dans le monde “grand public” l’email et pour ainsi dire: mort.
30% chez Gmail
30% chez Yahoo
30% chez Microsoft
10% chez les FAI et autres
Aujoirdhui les e-mails servent à recevoir les mots de passe oubliés, les confirmations de commandes et du spam. Pour le reste il y a Facebook.
Pour cela, je pense que ce projet etait mort née. Les gens qui veulent chiffrer/signer sauront faire du gpg over Gmail & Co
#48
Pour toi il faudrait donc cesser d’utiliser (et de militer pour) un Internet comme il a été conçu, et accepter le Minitel 2.0, avec rustines à droite à gauche ?
#49
#50
#51
Oui ben pareil hein ;-)
#52
#53
#54
#55
Je n’ai pas les mêmes chiffres concernant les domaines de mail.
" />
Yahoo et Microsoft sont en perte de vitesse et laposte, Free et autres font encore (heureusement) plus de 10%.
Il me paraît évident que si le chiffrement des messages se généralisait chez les GAFA, ils rendraient leur services payant (avec la «prise en otage» que ça implique) ou bien ils interdiraient simplement de relayer les messages chiffrés. (Ils vivent de la publicité et de la revente des infos).
Pour moi la box chez soi est un bonne idée.
C’est fou comme les gens ont la faculté d’occulter les inconvénient dès lors qu’ils peuvent garder leurs habitudes.
#56
#57
Tant qu’à avoir des emails payants, autant aller ailleurs que les GAFA pour le coup, non ?
Ma préférence va à la Suisse, j’hésite encore entre 3 hébergeurs (AlpHosting, Infomaniak et Kolab). Je préfère donner mon argent à ces entreprises plutôt qu’à un monstre omnipotent.
#58
Non mais si pas de publicité et aucun regard dans les mails , qui lancerait un service gratuit ? Il ne reste bien sur les petits groupes associatifs du genre mailoo et autres qui vivent presque exclusivement de dons je vois pas comment sinon . Le collectif CHATONS que framasoft est en train de lancer est intéressant à ce niveau ( pas encore pour le mail),dont l’ opération “ degooglisons internet ” conseille l’ auto-hebergement à terme ( le mail est dans les plans pour 2017 il me semble ).
Pousser le chiffrement chez les grands ,oui ,mais il faudrait que chacun ait le même protocole ( gpg à la mano serait parfait ,mais la gestion des clès peut poser problème, et nécessite un apprentissage minimal , ) .
Le mieux ,ce serait de généraliser GPG chez les gros ,puis les pousser vers les groupes plus petits . Puis la possibilité d’ auto-heberger pour ceux non-freinés par les points bloquants
#59
Pour ceux qui auto hébergent leurs messagerie, afin d’éviter le Spam j’utilise une astuce vraiment pratique que vous pouvez mettre en place sans vous prendre la tête.
Lorsque vous devez fournir votre adresse à un tiers (Amazon, LDLC, Auchan, CIC…), créez un alias contenant le nom de l’entité redirigeant vers votre véritable adresse. Je fait ça depuis le début et je n’ai jamais de problème.
De cette manière je peux :
Ainsi ma vrai adresse est sauvegardé et seul mon cercle de confiance la connais (après si vous avez trompé votre femme et quelle veux se venger en pourrissant votre boite via l’inscription sur des sites louche je n’y peux rien
#60
J’utilisais postfixadmin pour ca qui créait mes alias dans la BDD :)
#61
T’as pas compris :) Je ne dis pas qu’il faut payé, mais plutot qu’il faut garder YaGooSoft tant que c’est gratuit. Le jour où ils deviennent payant, il suffit de changer de crèmerie.
#62
#63