Une implémentation en JavaScript introduit OpenPGP aux Webmails
Sécuriser ses emails ne requiert plus l'utilisation d'un client de messagerie



Si une implémentation de la machine virtuelle Java en JavaScript peut être vue comme un délire de Geek, reprendre la norme de chiffrement OpenPGP avec ce langage a de quoi susciter de l'intérêt et démocratiser la sécurisation des emails.

Les chercheurs de Recurity Labs, éditeur allemand de logiciels, l'ont fait avec le projet GPG4Browsers. Actuellement à l'état de prototype en tant qu'extension Google Chrome, l'implémentation s'intègre avec Gmail et permet de chiffrer, décrypter, signer ses emails et importer/exporter des certificats. Elle ne permet pas encore de générer des clés, mais cette fonction est prévue comme en témoigne la présence du menu correspondant.

GPG4Browsers implémente tous les ciphers et fonctions de hachages symétriques et asymétriques décrits par le standard OpenPGP, exception faite de l'algorithme IDEA.

L'extension est aussi compatible avec l'implémentation GnuPG et utilise le module « local storage » du HTML5 pour le stockage des clés publiques et privées. Elle n'est pas encore disponible sur le Chrome Web Store, mais peut être installée manuellement en passant par le mode développeur du panneau d'extensions à chrome://extensions.



Une fois installée, une icône s'affiche à l'extrémité droite de la barre d'adresse permettant d'utiliser sa session Google Mail sur un formulaire d'envoi indépendant.

L'avantage principal de cette implémentation en JavaScript réside dans le fait que le chiffrement s'exécute dans le navigateur et n'exige donc pas l'utilisation d'un client mail.

Bien que techniquement possible, ce projet libre n'a pas vocation à être intégré directement aux pages des Webmail chargées par le navigateur.
La documentation pour développeur explique : « Les extensions du navigateur Chrome permettent aux applications JavaScript de s'exécuter dans leur propre contexte séparé des sites Web. C'est une mesure de sécurité basique que l'implémentation utilise. »

GPG4Browsers a encore des limitations qui n'en font pas une solution sûre dans les environnements à risque.
Son code est disponible sous licence LGPL et devrait être amélioré et complété pour prendre en charge d'autres Webmail.


Documentation pour développeurs
Télécharger GPG4Browsers pour Chrome

Source : site du projet

Et vous ?

Que pensez-vous de l'utilié de ce projet d'implémentation ?
Qu'utilisez-vous pour sécuriser vos emails critiques ?
Où va-t-on enfin avec JavaScript ?