Avec la multiplication des problèmes de sécurité informatique (espionnage, piratage, vol de données…), la question du chiffrement est de plus en plus souvent au cœur des débats. Si des solutions efficaces et relativement simples existent pour tout ce qui est stockage des données, les échanges sont plus problématiques.
En effet, pour chiffrer efficacement ses échanges avec un tiers, par exemple par e-mail, il faut utiliser un algorithme de chiffrement asymétrique, qui évite de fait transiter les clés de déchiffrement sur les canaux de communication. Le principe est simple : une clé dite publique sert à chiffrer, une autre dite privée sert à déchiffrer. C’est sur ce principe que repose notamment PGP, le très célèbre logiciel de chiffrement et de signature des mails.
Mais il y a un gros frein à la généralisation de l’utilisation de ce type de solutions : le besoin de connaissance des clés publiques des personnes que l’on veut contacter. Devoir contacter chaque nouvel interlocuteur pour lui demander sa clé est en effet fastidieux, en plus de ralentir considérablement les communications.
Pour remédier à ce problème, Google a lancé un nouveau projet open source : Key Transparency. Le but du projet est de mettre en place un annuaire de clés publiques distribué et répliqué auprès d’un ensemble de serveur volontaires et de fournir des outils libres permettant d’interroger cet annuaire et de vérifier l’intégrité d’une réponse, tout en empêchant la capture de l’intégralité des données (l’annuaire ne peut être interrogé que pour demander les clés correspondant à tel ou tel identifiant, pas pour récupérer arbitrairement les identifiants et les clés associées).
Si l’initiative est intéressante, on est toutefois pour l’instant loin d’un produit réellement utilisable, et encore plus loin d’une solution utilisable par le grand public. La route est donc encore longue avant une vraie sécurisation des échanges par mail, qui sont clairement aujourd’hui parmi les échanges les moins sécurisés sur Internet, beaucoup de messages circulant de serveur en serveur sans le moindre chiffrement, pas même un simple chiffrement TLS point à point entre les deux serveurs ! À quand par exemple une solution officielle pour pouvoir facilement utiliser PGP dans Gmail ?