Un service de webmail baptisé Lavaboom propose de fournir un chiffrement facile du courrier électronique sans jamais conserver les clefs de chiffrement privées de ses utilisateurs et donc consulter le contenu des messages. Basé en Allemagne et fondé par Felix Müller-Irion, Lavaboom a été baptisé en référence à Lavabit, le fournisseur de messagerie cryptée crée par Ladar Levison qui aurait été utilisé par l'ancien consultant de la NSA Edward Snowden. Rappelons que Lavabit a décidé de fermer ses portes en août dernier suite à une injonction du gouvernement américain sur la divulgation de la clef SSL privée qui aurait permis aux agences fédérales américaines de déchiffrer tous les emails des utilisateurs.

Lavaboom a conçu son système de cryptage de bout en bout, ce qui signifie que seuls les utilisateurs seront en possession des clefs secrètes nécessaires pour déchiffrer les messages qu'ils reçoivent des autres. Lavaboom appelle cette fonction « zero-knowledge privacy» et a mis en oeuvre une plate-forme qui permet de chiffrer et déchiffrer localement les emails à l'aide du code JavaScript exécuté à l'intérieur des navigateurs des utilisateurs et non pas sur des serveurs distants.

Réduire les risques d'interception

Le but de cette mise en oeuvre est de protéger les utilisateurs contre toute interception du trafic mail en amont. En déplaçant le chiffrement sur le navigateur de l'utilisateur, Lavaboom se place dans l'impossibilité de fournir des emails en texte brut ou des clefs de chiffrement si un gouvernement en fait la demande. Bien que cela permette de protéger les utilisateurs contre les tentatives de collectes de données passives réalisées par des services de renseignement comme la NSA, le service de Lavaboom ne sera probablement pas capable de protéger les utilisateurs contre d'autres techniques d'attaque. Notamment l'exploitation de failles - comme celle touchant OpenSSL - que ces organismes de sécurité ont à leur disposition. Précisons d'ailleurs que pour le hachage, Lavaboom a préféré utiliser le SHA-512, qui appartient à la famille SHA-2, plutôt que l'outil de RSA, soupçonné de collaborer passivement avec la NSA.

Tous ceux qui sont intéressés par le service peuvent demander à rejoindre la phase de bêta test, qui commencera dans environ deux semaines. Jusqu'à 250 Go (environ 1000 emails) par mois, le service Lavaboom sera gratuit et utilisera l'authentification bidirectionnelle basée sur une paire de clefs publique-privée avec un mot de passe. L'abonnement premium coûtera 8 € par mois et permettra aux utilisateurs d'utiliser 1 Go d'espace de stockage et une option d'authentification en trois étapes. « En plus de votre paire de clefs et d'un mot de passe, nous pouvons soit vous envoyer un code généré aléatoirement ou vous pouvez choisir d'utiliser la solution YubiKey de Yubico. Ou même les deux. Nous vous recommandons toutefois fortement d'utiliser YubiKey (25$ la clef USB standard)», a déclaré Lavaboom sur son site Internet, qui était malheureusement inaccessible ce matin.

OpenPGP pour le chiffrement des mails

Le service de Lavaboom utilise la norme de chiffrement OpenPG  qui est basée sur un système de chiffrement  reposant sur une clef publique. Chaque utilisateur a donc une clef publique et une autre privée qui forme la paire de clefs. Le code JavaScript de Lavaboom et la clef privée de l'utilisateur sont toutefois stockés dans le cache du navigateur, ce qui conduit à certaines limitations. D'une part, cela associe à la clef un navigateur et rend l'accès au compte uniquement possible depuis le terminal qui héberge le cache du navigateur. « N'effacez jamais votre cache Lavaboom » prévient le fournisseur de service de messagerie électronique sur son site Internet. «Nous n'offrons pas de service de récupération de mot de passe, car nous ne le pouvons pas ! Une fois que vous aurez créé votre clef privée, toutes vos données resteront chiffrées jusqu'à l'utilisation de cette clé. Nous ne proposerons aucun remboursement du service si vous perdez votre clef privée ».

Lavaboom explique également que ses serveurs sont disséminés un peu partout sur le sol allemand. « Si nous devions répondre à une injonction de justice, nous comptons sur un grand tollé, puisque nous sommes sous la juridiction de la loi allemande avec les meilleures lois sur la protection de la vie privée dans le monde », indique le fournisseur de services de messagerie sur son site web. «Si nous devions jamais être forcés par le BSI ou le BND [les services  des sécurité allemands] à renoncer à toutes nos données, soyez assurés que nous avons mis quelque chose en place qui peut détruire en quelques minutes nos disques durs ».