Le mois dernier, des développeurs de nombreux projets liés à OpenPGP se sont réunis au siège de Proton à Genève pour travailler ensemble et discuter de l’avenir de l’e-mail chiffré utilisant la norme OpenPGP. Proton s’était proposé d’accueillir la sixième édition du sommet (normalement) annuel après la réunion précédente à Berlin en 2019. Cependant, cette réunion avait été reportée en raison de la pandémie. Maintenant, avec la fin des confinements à travers l’Europe, nous avons enfin pu nous réunir à nouveau.
Étaient présents des développeurs de projets tels que Thunderbird(nouvelle fenêtre), Enigmail(nouvelle fenêtre) et Proton Mail(nouvelle fenêtre), des implémentations OpenPGP telles que Sequoia-PGP(nouvelle fenêtre), PGPainless(nouvelle fenêtre), OpenPGP.js(nouvelle fenêtre) et GopenPGP(nouvelle fenêtre), ainsi que l’Office fédéral allemand de la sécurité de l’information (BSI) (BSI)(nouvelle fenêtre). Les sujets de discussion allaient de la manière d’ajouter la cryptographie post-quantique à OpenPGP à l’amélioration de l’utilisabilité de l’e-mail chiffré.
Le moment était propice car la norme OpenPGP (RFC 4880) est actuellement dans les dernières étapes de réception d’une « actualisation cryptographique », qui modernise les primitives cryptographiques utilisées dans la norme, en ajoutant des algorithmes de signature et de chiffrement plus sécurisés. Le résultat de cela sera publié sous la forme d’un nouveau RFC dans un avenir proche. Les discussions se sont donc également orientées vers des sujets potentiels pour la normalisation après que ce travail soit achevé dans un possible « renouvellement de charte » du Groupe de travail OpenPGP.
Parmi les idées potentielles figuraient le transfert automatique des e-mails entrants lorsque le destinataire est « absent du bureau » de manière sécurisée (sans avoir besoin de partager la clé privée) ainsi que l’amélioration de la sécurité et de la performance de l’archivage des e-mails par un re-chiffrement symétrique des e-mails pour le stockage. La protection des en-têtes (par exemple, le chiffrement des sujets) et la confidentialité persistante ont également été discutées, parmi d’autres sujets.
Améliorer la norme OpenPGP et normaliser ces nouvelles fonctionnalités est important pour assurer une interopérabilité continue entre différents fournisseurs de messagerie électronique, même lorsque les e-mails sont chiffrés. Cela est particulièrement pertinent dans la discussion actuelle autour de l’interopérabilité versus le chiffrement de bout en bout : il est possible d’atteindre les deux, comme le démontre la communauté OpenPGP, bien que cela nécessite un effort dédié. Des réunions telles que le Sommet de l’e-mail OpenPGP aident à faciliter les discussions ouvertes entre les parties prenantes.
Un meilleur internet nécessite un chiffrement open source robuste
Proton est un fervent défenseur des normes ouvertes et des logiciels open source. Soumettre les propositions à l’examen par les pairs améliore la qualité et la sécurité, et s’accorde bien avec notre passé de physiciens et de scientifiques. C’est aussi pour cela que nous avons rendu toutes les applications Proton open source et les avons soumises à de nombreux audits par des tiers Proton apps open source(nouvelle fenêtre) et avons fait l’objet de nombreux audits par des tiers(nouvelle fenêtre).
Nous entretenons également les bibliothèques de chiffrement open source OpenPGP.js(nouvelle fenêtre) et GopenPGP(nouvelle fenêtre). Nous estimons que le maintien de ces bibliothèques de chiffrement est une partie essentielle de notre travail pour créer un meilleur internet où la vie privée est la norme. Si le chiffrement robuste est interopérable, facile à utiliser et librement disponible, il est plus facile pour les développeurs de créer des applications respectueuses de la vie privée par défaut, ce qui profite à tous.
Dans l’ensemble, le sommet a été très utile et productif. Il nous a permis de faire des progrès significatifs sur les sujets mentionnés précédemment. De plus, des engagements concrets ont été pris par nous et d’autres pour travailler sur l’e-mail chiffré dans l’intervalle.
Nous remercions tous ceux qui sont venus au sommet et espérons revoir tout le monde (et d’autres pour la première fois) lors du prochain !