Après 3 ans, pourquoi le chiffrement de bout en bout de Gmail est toujours absent

Share on FacebookTweet about this on TwitterShare on Google+Pin on Pinterest

TROIS ANS ont passé depuis que Google a annoncé qu’il offrirait un add-on de chiffrement de bout-en-bout pour Gmail, un changement potentiellement massif dans les options de confidentialité d’un morceau de logiciel utilisé par plus d’un milliard de personnes. Il ne s’est toujours pas concrétisé. Et bien que Google insiste que son plugin de cryptage n’est pas évaporé, le dernier mouvement de la société a laissé les critiques avec l’impression que le futur crypté de bout en bout de Gmail paraît nuageux au mieux – sinon totalement évaporé.

Vendredi dernier, Google a tranquillement annoncé que E2EMail, une extension pour Chrome qui crypterait et déchiffrait les messages Gmail de façon transparente, n’était plus un effort de Google. Au lieu de cela, la société a invité la communauté des développeurs externes à adopter le code open source du projet. Google a pris soin de souligner dans un billet de blog décrivant le changement qu’il n’a pas renoncé à travailler sur son outil de cryptage de messagerie. Mais les cryptographes et les membres de la communauté de la vie privée voient le mouvement comme la confirmation que Google a officiellement rétroéclairé une initiative critique de confidentialité et de sécurité.

«Le vrai message est qu’ils ne développent pas activement ce projet comme un projet Google», dit Matthew Green, un cryptographe et informaticien à l’Université Johns Hopkin qui a étudié de près les entreprises de technologie des produits de cryptage de messagerie. Green note qu’après près de trois ans, il est heureux de voir tout code provenant du travail de cryptage Gmail de Google. Mais ce n’est pas le plugin de chiffrement de courriel fini que Google avait promis. « C’est certainement un peu décevant, compte tenu de l’engouement que Google a généré autour de ce projet à un moment donné, de voir qu’ils ne poursuivent pas cela comme une caractéristique principale de Gmail », dit Green.

Lorsque Google a annoncé pour la première fois en juin 2014 qu’il construirait un outil de cryptage pour Gmail, connu sous le nom de « End-to-End », le mouvement a été considéré comme faisant partie de la réponse spectaculaire de Google à la surveillance NSA révélée par le liquidateur Edward Snowden. Mais l’échec du projet à sortit d’une phase de «recherche» – même si des communications telles que l’iMessage d’Apple, Facebook Messenger, WhatsApp de Facebook et même Viber offrent un cryptage de bout en bout à leurs centaines de millions ou de milliards d’utilisateurs – ont déçu La communauté de la vie privée. Les commentateurs sur la page Github du projet ont demandé plus d’un an si Google a abandonné l’extension de cryptage.

La décision de Google de remettre E2Email aux développeurs open-source ne fait que cimenter cette perception. «Si je devais placer un pari, je dirais que c’est un signe révélateur que le projet ne va nulle part», affirme Jeremiah Grossman, chercheur en sécurité Web, chef de la stratégie de sécurité du cabinet de sécurité Sentinel One. « C’est un moyen pour eux d’obtenir leur travail là-bas, mais pour s’absenter d’obligations futures. »

Green, qui a parlé aux ingénieurs Google sur le projet, affirme que l’initiative de bout en bout n’a jamais reçu le personnel nécessaire pour le faire avancer. Aujourd’hui, dit-il, l’attention totale que Google consacre au projet équivaut à une fraction d’un employé à plein temps. «Le résultat est que Google ne fera pas beaucoup plus sur le cryptage de bout en bout», dit Green.

Les ingénieurs de sécurité de Google, quant à eux, disent qu’ils ont à peine abandonné leur poussée de cryptage. Mais rendre le cryptage des e-mails facile, est beaucoup plus difficile qu’il pourrait paraître pour le public. Contrairement à WhatsApp ou Facebook Messenger, le projet End-to-End de Gmail a cherché à verrouiller le cryptage sur les e-mails, un ancien protocole qui doit encore interagir avec des milliards de clients en dehors du contrôle de Google. Et Somogyi souligne que ses ingénieurs ont également dû construire et raffiner une toute nouvelle bibliothèque de code cryptographique en javascript, une pierre d’achoppement nécessaire pour des outils sécurisés de cryptage basés sur le Web, et qu’on croyait inaccessible il y a quelques années.

Plus récemment, l’équipe s’est concentrée sur le problème plus vaste de la gestion des clés: la tâche délicate consistant à distribuer, suivre et rechercher en toute sécurité les clés de cryptage uniques qui permettent aux utilisateurs de déchiffrer les messages cryptés et de prouver leur identité. Ce problème pose depuis des décennies PGP, le système de cryptage Google base son projet de cryptage Gmail sur. Les ingénieurs de Google travaillent maintenant à le résoudre avec un projet appelé Key Transparency, avec des chercheurs de Princeton, Yahoo et Open Whisper Systems.

Share on FacebookTweet about this on TwitterShare on Google+Pin on Pinterest