Structure arborescente avec gestion du contenu par « feuilles », contrôle de diffusion des métadonnées, exploitation de protocoles dérivés de l’IMAP et du SMTP : l’architecture de DIME est complexe.
Derrière cet acronyme se cache le Dark Internet Mail Environment. A l’origine de cette initiative qui vise à sécuriser les communications électroniques faces aux écoutes indésirables émanant notamment des agences de renseignement, on retrouve quatre spécialistes du chiffrement : Jon Callas, Mike Janke, Phil Zimmermann et Ladar Levison.
Ce dernier avait créé Lavabit, une solution de messagerie chiffrée sur laquelle se serait appuyé Edward Snowden, ancien consultant de la NSA à l’origine des révélations sur le programme américain de surveillance PRISM. C’est justement pour éviter d’avoir à contribuer à ce programme que le service avait subitement fermé ses portes à l’été 2013. A l’époque, la loi américaine – assouplie depuis lors sous certains aspects – autorisait les agences de renseignement à demander aux entreprises des données d’utilisateurs, mais leur interdisait de divulguer des détails sur le sujet.
Phil Zimmermann n’a pas participé à la création de Lavabit, mais il a bien d’autres casquettes. On lui doit par exemple le logiciel de (dé)chiffrement cryptographique Pretty Good Privacy (PGP), créé en 1991, initialement pour permettre aux activistes antinucléaire d’échapper aux écoutes électroniques.
Phil Zimmermann est aussi à l’origine de la société Silent Circle, qui a développé le BlackPhone. Ce smartphone ultra sécurisé est basé sur PrivatOS, une déclinaison blindée d’Android avec chiffrement de bout en bout pour les fichiers, la messagerie, ainsi que les appels voix et vidéo sur Wi-Fi, EDGE, 3G et 4G.
Jon Callas (cofondateur et CTO de PGP Corporation) et Mike Janke (de Silent Circle) ont eux aussi rejoint la Dark Mail Technical Alliance (DMTA), qui s’est donné un objectif : « simplifier l’adoption d’un système de messagerie électronique sécurisé ».
Au coeur de ce système, on retrouvera deux protocoles : le DMTP (« Dark Mail Transfer Protocol ») et le DMAP (« Dark Mail Access Protocol »), qui seront respectivement exploités en remplacement du SMTP et de l’IMAP pour envoyer et recevoir des mails. L’avantage ? Un chiffrement par défaut… et en plusieurs couches. Il s’agit en fait de s’assurer qu’à chaque étape de l’acheminement d’un courriel, les intermédiaires ne puissent accéder qu’aux informations qui leur sont absolument nécessaires.
La DMTA reconnaît que le protocole TLS (« Transfer Layer Security »), aujourd’hui généralisé chez les fournisseurs de messagerie électronique, assure une protection relativement efficace. Mais il ne fonctionne que sur une interconnexion TCP : si un élément est compromis en aval sur la chaîne d’acheminement, des tiers ont la possibilité d’accéder aux clés de chiffrement, aux métadonnées ou tout simplement au contenu des messages.
C’est cet écueil qui explique l’architecture de DIME : excepté l’expéditeur et le destinataire, chaque élément de la chaîne ne peut connaître que ceux qui sont situés directement avant et après lui. L’identité des correspondants est chiffrée et encodée dans le sujet du message.
La DMTA met en oeuvre un système de chiffrement par couches permettant de restreindre l’accès à certaines parties du message. Chacune d’entre elles a ses propres clés privée et publique. Celles-ci doivent, pour être déclarées « de confiance », avoir été validées par une autorité de certification (plus de détails dans la documentation du projet ; 108 pages au format PDF). Une segmentation pratique pour économiser la bande passante et réaliser des actions qui ne nécessitent pas d’ouvrir entièrement le message (comme la validation des signatures).
Accessible dans un répertoire GitHub, DIME n’en est encore qu’au stade du pré-alpha. Pour motiver son adoption, la DMTA prévoit d’en diffuser les spécifications auprès des membres de l’IETF (Internet Engineering Task Force), qui participe à l’élaboration de standards Internet. En attendant, un « mode de confiance » permettra à un serveur DIME de générer des clés pour les clients de messagerie qui ne seraient pas compatibles.
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de l’hébergement Web ?
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…