OSSIR Bretagne - Trustedbird
TrustedBird, un client de messagerie de confiance
Par Laurent Cailleux – DGA
Trustedbird est un projet initié par la DGA, la DGSIC, British Telecom et Cassidian, dont le but est de mettre en place un système de messagerie adapté aux besoins militaires (sécurisation des échanges, délais de remise des messages garantis, suivis de la distribution du message, escalade automatique au n+1 ou supérieurs, etc…).
L’objectif est de disposer d’un service de messagerie capable d’assurer les missions en temps de paix, comme en temps de guerre (logique). Et permettant une utilisation en toute confiance (infrastructure + client de messagerie), ainsi qu’une ségrégation des messages par niveaux.
Le projet à commencé en 2007, et une version finalisée à vu le jour en 2010 sous le nom de TrustedBird.
Il s’agit d’un client de messagerie sécurisé basé sur Thunderbird, entièrement open-source, multi-plateformes et basé sur des standards ouverts et des standards de l’IETF. Ceci dans le but de garantir l’inter-opérabilité et la pérennité du service.
Trustedbird offre une série de services génériques tel que le support des notifications, l’interconnexion LDAP, etc… ainsi qu’une palette de services de sécurité comme l’authentification SASL externe, triple enveloppe, etc…
Les notifications basé sur DSN et MDN ou la notification de lecture du message dépendent du support de la part des serveurs de ces protocoles. Il faut donc maîtriser l’environnement serveur pour que la chaîne de transmission des notifications soit complète et fonctionnelle.
Le support LDAP est fait sous forme de plugin xpi, qui permet d’étendre la fiche de contact de l’utilisateur avec l’ensemble des information et des champs custom de l’annuaire LDAP. La QoS sur les messages est basé sur DSCP. Un système de filtrage des messages basé sur SIEVE permet de re-acheminer les messages au cas ou l’utilisateur soit absent pour permettre de re-acheminer le message sur une autre boite.
Coté sécurité, des mécanismes de signature électronique ont été ajouté à Trustedbird basé sur S/MIME et CMS. c’est un modèle de confiance basé sur une PKI et donc centralisé, contrairement à un modèle PGP dont le modèle de confiance est distribué.
Les messages se voient ajouter une étiquette de sécurité qui vient signer l’ensemble du message (en-tête + contenu), et ajouter des catégories de sécurité permettant par exemple d’indiquer le niveau de confidentialité du message, ou de préciser qui est habilité à recevoir se message. Les reçus sont eux aussi signés. Un système de triple enveloppe est en place pour pouvoir joindre un reçu chiffré spécifique à un service donné, auquel le destinataire n’a pas accès, permettant ainsi de tracer la réception du message par le serveur, et la réception par le destinataire.
L’extension de la signature des champs from: to: etc… à été ajoutée et fait l’objet d’un Internet Draft bientôt soumis à l’IETF, le but est de s’assurer de l’intégrité de l’intégralité du header mail et d’éviter qu’ils ne soient modifiées ou usurpés comme lors de l’attaque du ministère des finances.
Pour finir, l’ajout d’XIMF permet de gérer un ensemble de champs de formulaires avec des étiquettes métier spécifiques tel que le projet, le niveau de confidentialité, le degré d’urgence etc…. Et d’associer coté serveur, un ensemble de filtres permettant par exemple de répliquer le message ou de le re-router vers un ensemble de personnes lié au projet. Par exemple : envoi d’un message urgent à un responsable projet en vacances, et re-direction de ce dernier vers un intérimaire.
http://www.trustedbird.org/ pour plus d’informations.