Vous vous souvenez de Caramail ? Créé en 1997, ce service français de messagerie a bien failli disparaître dans les années 2000, s’il n’avait pas été repris in extremis par GMX. La société allemande a eu le bon goût de garder cette marque emblématique des débuts du Web grand public. Désormais, Caramail pourrait même faire un joli come-back, car il est le premier acteur français à proposer un service d’e-mail avec chiffrement de bout en bout.
Cette fonctionnalité s’appuie sur la technologie open source déjà bien rodée de Mailvelope, une extension de navigateur qui implémente le chiffrement OpenPGP. Les équipes de GMX Caramail ont fait en sorte d’intégrer cette technologie dans leur service de messagerie de la façon la plus simple possible, pour que l’utilisateur n’ait pas (trop) à se préoccuper de la création et de la gestion des clés privée et publique. En effet, cet aspect technique des choses a toujours été un frein à l’adoption massive du chiffrement PGP.
Quelques minutes suffisent
De fait, l’activation du chiffrement se fait ici en quelques minutes, grâce à un assistant de configuration qui prend les utilisateurs par la main. Une fois qu’on a appuyé sur « Mettre en place une communication chiffrée », cet assistant télécharge l’extension Mailvelope, demande la création d’un mot de passe et propose la sauvegarde de la clé privée par GMX. Si l’utilisateur accepte cette dernière étape, l’extension génère localement un code de restauration de 26 caractères qu’il est recommandé d’archiver sous format papier. Ce code est utilisé pour chiffrer la clé privée en AES 256 bits avant de l’envoyer vers les serveurs de GMX. Ainsi, le fournisseur ne peut donc pas accéder à la clé privée de l’utilisateur.
La sauvegarde de la clé privée est une fonction bien pratique, car elle permet d’activer le chiffrement de bout en bout sur d’autres appareils, et notamment sur des tablettes et des smartphones, où l’usage d’OpenPGP n’a jamais été facile. L’application mobile de GMX, qui est disponible sur Android et iOS, permet en effet de récupérer cette clé privée et de l’installer, une fois que l’utilisateur aura rentré son code à 26 caractères.
Une fois ces étapes d’installation terminées, l’utilisateur n’aura qu’à appuyer sur le symbole du cadenas pour créer un email chiffré. Même les pièces jointes pourront être chiffrées, si elles font moins de 20 Mo. Si l’utilisateur ne dispose pas de la clé publique de son interlocuteur, le service GMX se propose de la récupérer si ce dernier donne son accord. Mais ce processus ne fonctionne que si l’interlocuteur est lui aussi un utilisateur GMX. Dans le cas contraire, l’utilisateur devra solliciter lui-même son interlocuteur pour qu’il lui envoie sa clé publique sous la forme d’un fichier ASC qu’il faudra ensuite installer au niveau du plugin Mailvelope.
Peu de concurrents
Bref, l’email chiffré de GMX est une fonction plutôt bien faite qui arrive à gommer la complexité du chiffrement PGP, surtout si les communications se font entre utilisateurs GMX. En Allemagne, où cette fonctionnalité existe depuis un an, GMX revendique déjà plus de 600.000 activations. « Cela représente un quart de la totalité des clés PGP créées dans le monde pour la communication par email », souligne Sebastian Koye, responsable sécurité email chez GMX.
D’autres fournisseurs de messageries en ligne ont tenté de proposer le chiffrement de bout en bout par le passé. En juin 2014, suite aux révélations d’Edward Snowden, Google a annoncé une extension de navigateur similaire à Mailvelope, baptisée « End-to-end », mais celle-ci n’est toujours pas disponible. En mars 2015, Yahoo s’est lancé dans un fork de l’extension « End-to-end », mais ce projet semble abandonné. A notre connaissance, le seul autre webmail qui dispose d’une fonction de chiffrement de bout en bout est la société américano-suisse Protonmail.com. Sa solution est encore plus intégrée et également basée sur OpenPGP. Mais là encore, le chiffrement de bout en bout est très facile d’usage à condition de rester entre utilisateurs Protonmail. Rien n’est parfait.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
