Journées du Logiciel Libre 2026

Proton Mail est un fournisseur de mail propriétaire qui se targue de protéger la vie privée de ses usagers. Et cela en deux fonctionnalités principales :

1. le chiffrement des messages transmis aux correspondants, en utilisant PGP et ce dans une interface facile à utiliser. Sur ce plan c'est plutôt réussi.

2. la résistance aux requêtes judiciaires via le chiffrement des messages stockés sur le serveur. La promesse est que seul l'usager puisse accéder au contenu et métadonnées des mails. Mais en pratique cette promesse n'est que partiellement tenue : de nombreuses métadonnées restent stockées en clair (sujet, expéditeur, destinataire, date, etc.).

Le code source des clients Proton Mail (y compris le client web) est accessible, permettant de s'assurer de la sûreté du chiffrement. Il existe aussi une passerelle à installer sur son ordinateur pour continuer à accéder aux mails avec un client classique comme Thunderbird, en IMAP par exemple.

Mais le code du serveur n'est pas disponible, empêchant de créer son propre service de mails chiffrés.

La proposition de cet atelier est de travailler sur une spécification pour un nouveau service de mail où les mails sont stockés chiffrés, et qui ne leake aucune donnée ou métadonnée à l'hébergeur du serveur, permettant une protection très forte de la vie privée.

Des compétences en cryptographies seront utiles, mais pas nécessaires. Il s'agit ici de réfléchir à la conception du protocole client/serveur pour atteindre une forte protection de la vie privée.

(Le chiffrement lui-même se reposera sur libsodium.)

Comme cette protection serait inutile sans des clients qui font également attention à la vie privée des usagers et usagères, une seconde spécification pour les clients sera également utile, et nous en discuterons dans la seconde partie de l'atelier : quelles fonctionnalités sont nécessaires pour protéger les communications des lanceuses et lanceurs d'alertes, des journalistes, des militant⋅e⋅s ?