Chiffrement de bout en bout et signatures numériques dans Mailfence

Chiffrement de bout en bout (E2EE)

Le chiffrement de bout en bout est une méthode utilisée pour sécuriser les données chiffrées pendant leur déplacement d’une source vers une destination. Avec le chiffrement de bout en bout, les données sont chiffrées sur le système de l’expéditeur et seul le destinataire sera en mesure de les déchiffrer. Aucune autre personne ne pourra les lire ou les manipuler (que ce soit un fournisseur d’accès Internet, un fournisseur de services applicatifs, un programme de surveillance ou de piratage informatique, …). De ce fait, cela confère une confidentialité et une protection très grandes à toutes les communications.

Signature Numérique

C’est l’équivalent d’une  signature manuscrite ou d’un sceau apposé, mais offrant une sécurité inhérente bien supérieure. Une signature numérique vise à résoudre le problème de la falsification et de l’usurpation d’identité dans les communications numériques. Elle fournit une authenticité et une intégrité absolues à tous les messages.

 

Comment nous procédons

 

La solution sécurisée et privée Mailfence intègre OpenPGP, un protocole dont la réputation est établie, conçu par Phillip Zimmermann, qui a été par la suite affiné davantage dans la RFC-4880 (lien en anglais) avec le protocole S/MIME.

 

Nous tirons parti de l’OpenPGP.js (lien en anglais), une implémentation Javascript du standard OpenPGP qui est open-source et bien auditée (lien en anglais). Cela nous permet d’effectuer toutes les opérations cryptographiques complexes du chiffrement (ou décryptage) uniquement du côté client, sans épuiser les ressources de l’appareil.

Les opérations pas à pas en un coup d’oeil

Chaque processus cryptographique intègre une série d’étapes différentes qui vont et viennent entre le client et le serveur via TLS/SSL afin de mener à bien une opération particulière. Vous trouverez ci-dessous un diagramme linéaire pas à pas qui illustre le fonctionnement du chiffrement de bout en bout et des signatures numériques de Mailfence, ainsi que d’autres détails pertinents.

DE MAILFENCE À MAILFENCE

chiffrement de bout en bout

 

DE MAILFENCE VERS D’AUTRES FOURNISSEURS DE MESSAGERIE

Le chiffrement de bout en bout

Génération de clés

  1. Le navigateur client demande le code de génération de clé spécifique à partir du serveur après avoir reçu une demande de l’utilisateur. Le serveur envoie ce code spécifique au navigateur du client.
  2. La clé est alors générée sur l’appareil de l’utilisateur (dans le navigateur) et elle est chiffrée avec le mot de passe fourni grâce à l’algorithme de chiffrement AES-256. A ce stade, la clé publique est également publiée sur les serveurs de clés publiques (si l’utilisateur a aussi opté pour cette option).
  3. La clé chiffrée est ensuite poussée sur le serveur à partir du navigateur de l’utilisateur, de telle sorte qu’un utilisateur puisse y accéder à n’importe quel moment à partir de tout appareil de manière sécurisée et protégée.

* Pour l’importation de clé privée (déjà chiffrée avec la phrase d’authentification donnée par l’utilisateur), les étapes 1-3 seront ignorées.

  • Changement de phrase d’authentification
  1. Le navigateur client demande le code de changement de la phrase d’authentification spécifique ainsi que la clé chiffrée correspondante à partir du serveur après avoir reçu une demande de l’utilisateur. Le serveur envoie ce code spécifique avec la clé chiffrée associée au navigateur du client.
  2. L’utilisateur décrypte la clé en fournissant la phrase d’authentification correspondante et il la chiffre avec la nouvelle.
  3. La clé chiffrée est ensuite poussée vers le serveur à partir du navigateur de l’utilisateur.
  • Révocation de clé
  1. Le navigateur client demande le code de révocation de la clé spécifique ainsi que la clé chiffrée correspondante à partir du serveur après avoir reçu une demande de l’utilisateur. Le serveur envoie ce code spécifique avec la clé chiffrée associée au navigateur du client.
  2. L’utilisateur décrypte la clé en fournissant la phrase d’authentification correspondante.
  3. La clé est alors révoquée et son statut de révocation est également publié sur les serveurs à clé publique (si l’utilisateur a opté pour cette option). La clé est ensuite chiffrée avec la phrase d’authentification de l’utilisateur.
  4. Le navigateur client communique alors la clé chiffrée en retour au serveur.

* Pour générer un certificat de révocation : Dans l’étape 4, au lieu de révoquer la clé, l’application génère un certificat de révocation, que l’utilisateur peut utiliser lors de tout stade ultérieur pour réclamer la révocation de la clé.

  • Exportation de la clé
  1. Le navigateur client demande le code d’exportation de la clé spécifique avec la clé associée à partir du serveur après avoir reçu une demande de l’utilisateur. Le serveur envoie ce code spécifique avec la clé chiffrée associée au navigateur du client.
  2. L’utilisateur exporte alors (télécharge) cette clé chiffrée sur son appareil.
  • Suppression de clé
  1. Le navigateur client demande le code de suppression de clé spécifique avec la clé correspondante à partir du serveur après avoir reçu une demande de l’utilisateur. Le serveur envoie ce code spécifique avec la clé chiffrée associée au navigateur du client.
  2. L’utilisateur supprime alors la clé chiffrée sur son appareil.
  • Modification de la date d’expiration de la clé
  1. Le navigateur client demande le code de modification de la date d’expiration spécifique avec la clé correspondante à partir du serveur après avoir reçu une demande de l’utilisateur. Le serveur envoie ce code spécifique avec la clé chiffrée associée au navigateur du client.
  2. L’utilisateur décrypte la clé en fournissant la phrase d’authentification correspondante et modifie la date d’expiration. La clé est ensuite chiffrée de avec la phrase d’authentification de l’utilisateur.
  3. Le navigateur client retourne alors la clé chiffrée au serveur.
  • Envoi d’un email signé numériquement
  1. Le navigateur client demande le code de signature numérique spécifique avec la clé correspondante à partir du serveur après avoir reçu une demande de l’utilisateur. Le serveur envoie ce code spécifique avec la clé chiffrée associée au navigateur du client.
  2. L’utilisateur décrypte la clé en fournissant la phrase d’authentification correspondante.
  3. Le message électronique est signé numériquement (PGP/MIME), puis envoyé au destinataire.
  4. La clé est ensuite chiffrée avec la phrase d’authentification de l’utilisateur et retournée vers le serveur.
  • Envoi d’un email chiffré et signé numériquement
  1. Le navigateur client demande le chiffrement spécifique et le code de signature numérique avec la clé associée à partir du serveur après avoir reçu une demande de l’utilisateur. Le serveur envoie ce code spécifique avec la clé chiffrée associée au navigateur du client.
  2. L’utilisateur décrypte la clé en fournissant la phrase d’authentification correspondante.
  3. Le message électronique composé est signé numériquement (PGP/MIME), et chiffré avec la clé publique du destinataire (OpenPGP), puis il est envoyé.
  4. La clé est ensuite chiffrée avec la phrase d’authentification et retournée au serveur.

 

Mailfence, ce n’est pas simplement un service en ligne, mais un acteur d’un mouvement mondial visant à sauvegarder la vie privée. Rejoignez-nous et adoptez le chiffrement!

Obtenez votre messagerie securisée !


Faites passer le message !

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

code

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.