Own-Mailbox : un boîtier libre pour chiffrer ses emails lancé sur Kickstarter
La boite mail 100% confidentielle et 100% française
Avec l'intensification de la surveillance et les révélations des écoutes de masses, le chiffrement des emails a le vent en poupe.
Deux Français proposent une solution qui semble prometteuse sur le papier : Own-Mailbox.
Afin de mener à bien leur projet, ils ont lancé une campagne de financement participatif sur Kickstarter.
Il y a quelques jours, Kickstarter accueillait un nouveau projet de messagerie sécurisée libre : Own-Mailbox, un serveur à installer chez soi qui gère l'accès et le chiffrement de l'ensemble de vos emails.
Initié par deux Français, le but est simple : permettre à tous de chiffrer ses messages, tout en gardant le contrôle du serveur.
Cela grâce à du matériel et des logiciels libres.
Comme pour la majorité des projets du genre, la simplicité, la sécurité et le stockage local sont les trois mots d'ordre.
Celui-ci apporte d'ailleurs de nouvelles pierres à l'édifice.
Le serveur tient dans un petit boîtier de quelques centimètres de côté, dispose de 16 Go de stockage (via une carte SD) et est censé ne pas chauffer.
Il ne contient que du matériel « libre » : un circuit imprimé maison équipé d'une carte SD, un processeur Allwinner A13 à 1 GHz, 256 Mo de RAM, un port Ethernet et USB.
Le boîtier, lui, est conçu par l'équipe et a été prototypé en impression 3D.
Les concepteurs n'ont pas souhaité réutiliser du matériel existant, comme un Raspberry Pi, qui contiendrait encore trop de composants non-libres.
Mais l'intérêt est plus à chercher du côté logiciel.
Des emails chiffrés sur n'importe quel serviceLa base du projet est simple, fournir des emails qui peuvent être chiffrés avec GnuPG sans avoir à configurer de serveur ou de clé.
Tout doit se faire automatiquement : de la mise en place du serveurà la gestion des clés privée/publique.
L'appareil propose par exemple de simplement réutiliser une adresse existante chez un autre fournisseur (comme Gmail ou Outlook.com).
Le boîtier s'y connecte en POP3 ou IMAP et gère en local le chiffrement.
Le service distant, lui, voit uniquement un contenu chiffré.
Dans ce cas, reste tout de même le problème des métadonnées (qui a envoyé le message, à qui, à quelle heure...), que l'équipe n'a pas encore résolu.
Pour l'instant, elle envisage d'envoyer de fausses correspondances pour noyer le tout ou de passer par Tor.
Pour ceux qui voudraient une nouvelle adresse, le serveur peut également le faire seul.
L'équipe peut générer un sous-domaine en nom.nspy.co qui sera lié au boitier via un service de DNS dynamique.
L'envoi des messages à des personnes ne chiffrant pas leurs mails doit lui aussi être pratique.
Le système se fonde sur un webmail Roundcube, adapté pour être utilisé avec PGP.
L'interface propose ainsi d'envoyer le message sans chiffrement, avec chiffrement, ou de le rendre disponible via un lien, un peu à la manière de ce que proposent des services comme ProtonMail.
Cette dernière possibilité consiste à envoyer en clair un lien temporaire protégé par un captcha ou une question secrète.
Une technique qui n'est pas sans rappeler ce que propose ProtonMail, qui vient de passer en version 2.0.
Un mix de logiciels et de services libresLe serveur permettra également de répondre directement au message depuis l'interface.
Il sera même possible d'ouvrir un espace permanent pour que les contacts puissent y écrire des correspondances sans avoir besoin d'adopter une solution de chiffrement de leur côté.
Au rayon des bonnes idées, le serveur permettra également de disposer de dossiers privés, uniquement accessibles à partir du réseau local.
Le boîtier en lui-même est très classique : il s'agit d'une instance de Postfix installée sur Debian, équipée de Spamassassin.
Comme tout serveur email, il permet donc l'accès aux mails via un client fixe.
Pour configurer l'accès au Net, il s'occupera, en principe, lui-même de la redirection de ports, par exemple en modifiant automatiquement la configuration du routeur. Pour fournir une connexion en HTTPS au webmail, il génèrera seul un certificat gratuit au premier démarrage, via l'initiative Let's encrypt, soutenue entre autres par l'EFF ou encore Mozilla.
De leur côté, les clés PGP de chaque adresse sont générées à l'ajout du compte sur le serveur et automatiquement envoyées aux serveurs du MIT, qui propose un répertoire public facilement consultable.
Vu qu'il est fondé sur des logiciels libres, il sera bien entendu modifiable, par exemple pour ajouter des logiciels comme ownCloud ou Yunohost, histoire d'étendre les fonctionnalités.
De base, il fournira d'ailleurs l'accès aux journaux système.
Un tiers de l'objectif rempli et une livraison prévue dès juin 2016La campagne, lancée il y a quelques jours, a atteint près d'un tiers de son objectif.
Alors qu'ils demandent 95 000 euros pour mener à bien leur projet, les concepteurs ont déjà récolté près de 38 000 euros.
Les contreparties vont du simple autocollant à un appareil à tarif réduit.
Actuellement il est possible de l'acquérir pour 59 euros au lieu de 79 euros.
Il est possible de grimper à des contributions de 5 000 euros pour les plus enthousiastes.
Le planning de livraison, lui, est clairement fixé : en décembre, l'équipe prévoit une première version bêta de la partie logicielle, avec un matériel industrialisable.
Elle devrait être suivie par deux autres bêtas en février et avril 2016.
Ces tests devraient notamment permettre de travailler sur la partie réseau, dans des situations réelles.
L'équipe promet par ailleurs de faire auditer son produit.
Les premiers boîtiers devront, eux, être livrés en juin 2016 aux soutiens de la campagne Kickstarter, tandis que les commandes publiques sont prévues pour le mois suivant.
Cela sans compter les éventuels ajouts si la campagne dépasse son objectif initial, comme une application mobile ou des services supplémentaires.
Ils envisagent ainsi un système de sauvegarde en pair à pair.
Si le boitier est connecté au moins 70 % du temps, les messages seraient distribués vers d'autres serveurs Own-Mailbox en cas de déconnexion, pour être redirigés vers le bon une fois que celui-ci sera de retour en ligne.
L'équipe proposera également un logiciel de récupération à installer sur PC, pour brancher directement le serveur à un ordinateur et l'utiliser de manière transparente. Le serveur pourrait en outre inclure « certains services Framasoft, afin de permettre le partage de gros fichiers, la planification d’événements, et l'édition collaborative de documents et de tableurs partagés ».
Reste à voir si cette initiative arrivera à se faire une place parmi les (nombreux) projets actuels de messagerie chiffrée et à attirer au-delà des initiés.
à suivre ...
Source NextINpact
Sam 12 Sep - 10:28