Google rend E2Email open source son extension Chrome destinée à implémenter le standard OpenPGP
et en faciliter l'utilisation
L’idée du chiffrement bout en bout est de garantir la sécurité des communications en s’assurant que les messages sont chiffrés directement sur le dispositif de l’expéditeur (l’un des bouts) et déchiffrés sur le dispositif du destinataire (l’autre bout). En opérant de la sorte, il est possible de réduire les risques d’attaques HDM (homme du milieu).
À propos du chiffrement de bout en bout, Google note « qu'elles soient préoccupées par les risques d'initiés, par les exigences imposées en matière de divulgation de données ou par d'autres dangers perçus, certaines personnes utilisent prudemment le chiffrement de bout en bout pour limiter la portée des systèmes auxquels elles doivent faire confiance. La méthode la plus connue, PGP, est depuis longtemps disponible sous forme de ligne de commande, en tant que plug-in pour les clients de messagerie IMAP, et interopère maladroitement avec Gmail par couper / coller. Tous ces scénarios ont démontré pendant plus de 25 ans qu'il est trop difficile à utiliser ».
Aussi, dans le but de simplifier cette utilisation du chiffrement de bout en bout, Google a développé l’année dernière E2Email, une extension destinée à implémenter le standard OpenPGP au sein de Chrome. Cette extension s’appuie sur une bibliothèque open source JavaScript développée par Google et dédiée à la cryptographie.
Cette fois-ci, Google a annoncé que E2EMail est désormais open source. « E2EMail offre une approche à l'intégration d'OpenPGP dans Gmail via Chrome Extension, avec une facilité d'utilisation améliorée et tout en gardant soigneusement tout le texte clair du corps du message exclusivement sur le client », ont expliqué ses ingénieurs.
« Il s’agit d’une application Chrome fonctionnant indépendamment de l'interface Web habituelle de Gmail. Elle se comporte comme un sandbox où vous pouvez seulement lire ou écrire des courriels chiffrés, mais est autrement semblable à n'importe quelle autre application de communication », a expliqué Google. « Lorsqu'elle est lancée, l'application affiche uniquement le courriel chiffré dans le compte Gmail de l'utilisateur. Tout courriel envoyé à partir de l'application est également automatiquement signé et chiffré ».
Les premières versions sont uniquement textuelles et ne prennent en charge que les messages PGP / MIME.
L'objectif est d'améliorer la confidentialité des données pour les petits messages confidentiels occasionnels. « De cette façon, même le fournisseur de messagerie, Google dans le cas de Gmail, est incapable d'extraire le contenu du message », a déclaré Google. L’entreprise prévient tout de même que E2EMail « ne protège pas des attaques sur le périphérique local, et, comme d'habitude avec PGP, les identités des correspondants et la ligne d'objet du courriel ne sont pas protégées ».
E2EMail utilise pour l'instant son propre serveur de clés, mais il s'appuiera éventuellement sur l'initiative récente de Key Transparency de Google pour les recherches de clés cryptographiques, en s'attaquant à un défi d'utilisabilité qui entrave l'adoption de OpenPGP. Le mois dernier, Google a publié Key Transparency en open source dans le but de simplifier les recherches de clés publiques à l'échelle d'Internet. « Key Transparency offre une solution solide, évolutive et donc pratique, en remplacement du modèle de web-of-trust problématique traditionnellement utilisé avec PGP », a expliqué Google.
Au cours de l'installation, E2EMail génère une clé OpenPGP et télécharge la clé publique vers le serveur de clés. La clé privée est toujours stockée sur la machine locale. « L’objectif est la simplification de l’expérience utilisateur : installer l'application, approuver les autorisations, commencer à lire ou envoyer des messages. En conséquence, l'application gère automatiquement la majeure partie de la gestion des clés », a assuré Google.
se rendre sur le dépôt GitHub E2Email
Source : blog Google
Et vous ?
Que pensez-vous de cette initiative ?
Partager