Lavaboom - Un service d'email sécurisé pour remplacer Lavabit
Avec l’affaire Snowden, il y a eu pas mal de “morts” dont la société Lavabit. Je ne sais pas si vous vous en souvenez pour pour vous rafraichir la mémoire, Lavabit était un service d’email sécurisé créé par Ladar Levison. Snowden avait eu la bonne idée de créer sa boite là bas pour éviter que ces communications soient lues par la NSA. Malheureusement, la justice américaine a exigé de Ladar Levison qu’il communique les clés de déchiffrement pour tout son service, ce qui mettait en péril tous ses clients.
Il a alors préféré saboter son propre service et a fermé sa société. Adios Lababit !
Du coup, ça manquait de sang neuf dans le milieu des emails sécurisés. Et voici qu’arrive Lavaboom ! Se revendiquant digne héritier de Lavabit, ce service propose dans sa version gratuite 500 MB de stockage (environ 2000 emails), un chiffrement de bout en bout et de l’authentification en 2 étapes. Lavaboom fonctionne aussi avec la Yubikey et se veut simple pour les noobs et agréable à utiliser sur un smartphone.
Ce qui est important à retenir là dedans, c’est le chiffrement de bout en bout. En gros, à la création de votre boite mail, vous disposez d’une clé publique (que vous pouvez mettre sur un serveur comme SKS-Pool ou MIT-Pool), mais aussi d’une clé privée que vous êtes le seul à posséder. Cela signifie que même les admins de Lavaboom ne pourront pas accéder à vos emails, y compris sous la torture. Si je me souviens bien, c’est sur ce même principe qu’a été construit Mega.
Ceux qui en veulent un peu plus pourront débourser quelques euros par mois et profiter d’une authentification en 3 étapes et d’un stockage un peu plus important. Notez qu’il sera possible de payer en Bitcoin, ce qui permet aussi de renforcer l’anonymat du bidule.
Ce service qui rentre en phase de beta publique le 15 avril a été créé par Felix Müller-Irion et est basé en Allemagne donc en “théorie” un peu plus loin des griffes de la NSA.
Question sécurité, ça a l’air pas mal. Toutefois, rien n’est infaillible et comme on l’a vu avec Mega, si Lavaboom se fait poutrer pour mettre en place un dispositif spécial ou si votre ordinateur est vérolé, votre clé privée pourrait être dérobée. Après, si les “humains” derrière font bien leur boulot, le risque reste quand même limité.
Lavaboom n’est pas encore lancé, mais vous pouvez déjà vous pré-inscrire ici.