… ce qui manque au chiffrement de mail pour vraiment décoller

Le problème n'est pas que la technologie n'existe pas mais qu'elle est difficile à utiliser ! Les gens :

• ne comprennent pas le système de clefs asymétriques
• ne savent pas créer une paire de clef PGP
• ne savent pas l'envoyer sur un serveur de clefs
• ne savent pas comment signer un email
• ne savent pas comment chiffrer un email
• ne savent pas si leur correspondant utilise la technologie

Réponse courte : il n'y en a pas. Réponse longue via ce post qui pourrait donner quelques idées.

Un programme qui travaillerait dans le client mail ou navigateur (typiquement, une extension Thunderbird/Firefox/whatever). L'idée est d'avoir quelque chose qui fasse le plus possible de façon invisible. Je veux pouvoir dire à ma grand mère “installe ça” et puis qu'elle ne se pose aucune question sur le fonctionnement. Je veux une solution en zéro-clic !

Le scénario typique d'utilisation serait.

• Au premier lancement
  1. Création d'une paire de clefs via GPG (recherche clef existantes ?)
  2. Publication sur le serveur pgp.mit.edu
• Signature automatique d'un email
• A l'envoie d'un email
  1. Recherche de clef PGP valides à cette adresse dans le keyring ou sur pgp.mit.edu
  2. Si valide envoie de message chiffré

Le dernier point est le plus délicat parce que l'on ne peut pas savoir si la personne utilise toujours cette clef. Imaginons que ce soit quelqu'un qui ai utilisé notre extension puis l'ai désinstallé sans révoquer les clefs. Comment faire ?

Une solution serait de voir si un échange de deux mails signés et valides est fait. A ce moment, on peut activer une règle de chiffrement automatique.

Si une personne a l'habitude de lire ses mails depuis son PC via Thunderbird, son Android via K9Mail, son iPad depuis iMail et via un webmail quand il utilise la machine de quelqu'un d'autre. Cas de figure très probable qui freinerait beaucoup l'adoption de ce genre d'extension.

Il faudrait une méthode de secours (un site web ?) qui permettrait de déchiffrer ses emails dans n'importe quel cas de figure. Ou beaucoup de motivation pour développer sur plein de plateforme (bon courga).

Si on veut une solution en zéro-clic, il faudra plein de paramètres par défaut (taille de clefs, algorithmes, serveurs…). Or les par-défauts, ça plaît jamais à tout le monde, surtout les geeks (sale engeance!). Donc il faut permettre aussi de configurer le tout via des écrans de configuration.