Les webmails sécurisés par une extension OpenPGP dans Chrome
Une extension JavaScript d'OpenPGP pour Chrome sécurise les webmails.
Les chercheurs de l'entreprise de sécurité allemande Recurity Labs viennent de livrer une extension JavaScript de la spécification OpenPGP qui permet aux utilisateurs de chiffrer et de déchiffrer des messages mail. Appelé GPG4Browsers, l'utilitaire fonctionne comme une extension de Google Chrome, et sait aussi travailler avec Gmail. Selon ses développeurs, GPG4Browsers est un prototype, mais il supporte presque tous les chiffrements symétriques et asymétriques, ainsi que les fonctions de hachage spécifiques au standard OpenPGP. Cette spécification utilise un chiffrement à clé publique pour chiffrer et signer numériquement les messages et autres données. Elle est basée sur le programme PGP (Pretty Good Privacy) original et est couramment utilisée pour sécuriser les échanges effectués par courriel.
Une variante de PGP pour travailler avec un client de messagerie particulier sur un ordinateur local pourrait gêner les utilisateurs peu férus de technique. Il faut aussi préciser que cette fonction n'est pas portable. L'utilisateur de PGP qui souhaiterait envoyer et recevoir des e-mails cryptés depuis un autre ordinateur, devrait l'installer sur un premier système, puis importer ses clés privées et publiques dans la base de données locale, connue sous le nom de Trousseau, puis configurer son client de messagerie. Les avantages d'un module JavaScript qui tourne dans le navigateur, c'est qu'elle ne nécessite pas de client de messagerie dédié ou d'autres logiciels installés sur l'ordinateur. Pour le moment, GPG4Browsers ne fonctionne que dans Google Chrome et n'est pas disponible au téléchargement depuis le Chrome Web Store. Toutefois, si l'on en croit la dénomination de l'utilitaire, l'extension devrait être portée sur d'autres navigateurs.
Un outil bridé, mais à fort potentiel
Les utilisateurs souhaitant tester la fonction peuvent télécharger le module manuellement et l'installer comme une extension non empaquetée. Pour cela, dans Préférences>Extensions de Chrome, il faut cocher le « mode développeur » et cliquer sur «Charger l'extension non empaquetée». La version actuelle est limitée par le fait qu'elle ne peut pas générer de clés privées, même si le menu existe. Ce qui laisse penser que la fonction sera probablement disponible dans une future version. L'importation de clés publiques et privées fonctionne très bien et lorsque l'on navigue dans Gmail, on peut voir une icône de verrouillage noire affichée dans la barre d'adresse. En cliquant sur celle-ci, on ouvre une boîte de dialogue pour composer un message chiffré ou signé numériquement. De même, quand un message crypté arrive dans la boîte de réception de Gmail, le navigateur demande à l'utilisateur s'il veut l'ouvrir avec GPG4Browsers. L'extension peut décrypter les messages signés avec GnuPG (GNU Privacy Guard), un système PGP Open Source répandue, mais seulement si la compression de données n'est pas utilisée. Le code source de GPG4Browsers est disponible sous licence GNU Lesser Public, si bien que l'outil peut être facilement amélioré pour être adaptée à d'autres services de webmails. Les développeurs fournissent une documentation qui mentionne les API disponibles.
Cette intégration de JavaScript d'OpenPGP offre commodité et portabilité, mais elle a aussi quelques inconvénients. « Dans la mesure où il n'est pas possible d'effacer les données privées de la mémoire et où JavaScript ne peut garantir une exécution dans un environnement sécurisé, cette technique ne doit pas être utilisée dans des environnements où la confidentialité et l'intégrité des données transmises est importante, » préviennent les développeurs. Cela signifie que GPG4Browsers ne doit sans doute pas être utilisé sur des ordinateurs sur lesquels il y a raison de croire qu'ils pourraient être infectés par des logiciels malveillants ou compromis. Cependant, dans des cas comme ceux-là, l'utilisateur peut toujours démarrer à partir d'un CD Linux ou un environnement équivalent en lecture seule.