dimanche 28 décembre 2014
Lorsque vous envoyez un mail, son contenu peut être lu par « n’importe qui ». C’est comme envoyer une lettre, toutes les mains par lesquelles elle transite pourront lire le contenu. Pour rendre le message privé vous devrez le chiffrer, ainsi seul le destinataire pourra le lire et il sera illisible pour tout un chacun.
PGP est une solution fiable pour protéger vos communications par e-mail en interdisant la lecture de vos courriels à toutes personnes qui n’en sont pas les destinataires. PGP offre une protection contre les gouvernements peu scrupuleux de votre intimité ou l’espionnage délictueux de votre connexion à Internet, ainsi que, dans une moindre mesure, empêche vos e-mails d’être lus si l’ordinateur sur lequel ils sont stockés est volé.
Le chiffrement par clé est une combinaison de deux clés (publique et privée) qui forment une paire indissociable.
L’ensemble des deux clés est appelé « paire de clefs ». Chacune d’elles est une longue suite de chiffres et de lettres, générés aléatoirement, qui vous est propre. Vos clefs publique et privée sont liées entre elles par une fonction mathématique spécifique. Ces clés peuvent également vous servir à signer des messages et à vérifier l’authenticité des signatures d’autres personnes.
Pour envoyer un mail chiffré vous devez disposer de la clé publique du destinataire pour chiffrer le message. Votre correspondant pourra déchiffrer votre courriel à l’aide de sa clé privée. Votre clef publique n’est pas comme une clef physique, car elle est stockée dans un répertoire en ligne ouvert à tous, appelé « serveur de clefs ». Les gens téléchargent et utilisent votre clef publique, au travers de GnuPG, pour chiffrer les courriels qu’ils vous envoient. Vous pouvez vous représenter le serveur de clefs comme un annuaire ; les gens qui souhaitent vous envoyer un courriel chiffré peuvent le consulter pour trouver votre clef publique.
Pour recevoir un mail chiffré, vous devez donner votre clé publique à l’expéditeur. Vous le déchiffrerez ensuite avec votre clé privée. Votre clef privée se rapproche plus d’une clef physique, parce que vous la gardez pour vous : sur votre ordinateur, téléphone ou clé USB. Vous utilisez GnuPG et votre clef privée pour décoder les courriels chiffrés envoyés par vos correspondants.
- Vous ne devez en aucun cas communiquer votre clef privée à qui que ce soit.
Un point crucial de ce type de chiffrement est la distribution de la clé publique. Le chiffrement ne sera sûr que si l’expéditeur est certain que cette clé est bien celle du destinataire du message. Un tiers pourrait très bien vous donner une clé publique avec le nom d’un destinataire XXX en vous disant que c’est bien la clé de XXX, puis ensuite intercepter et déchiffrer votre message avec cette clé publique falsifiée.
Le concept du Web of Trust apparut pour la première fois en 1992 dans le manuel de PGP version 2 de Phil Zimmermann.
« Plus le temps passe, plus vous allez accumuler des clés de contacts que vous souhaiteriez désigner comme personnes de confiance. Ainsi chaque personne choisira ses propres personnes de confiance, et chacun distribuera au fur et à mesure avec ses clés une collection de signatures d’autre personnes, partant du principe que ceux qui recevront ces clés feront confiance à quelques unes de ces signatures, ce qui entraînera l’émergence d’un réseau décentralisé et privé de clés de confiance. »
Lorsque vous échangez avec des personnes de confiance vous savez à qui vous vous adressez. Vous utiliserez votre clé privée pour signer leurs clés, ce qui aide à créer le Web of Trust « toile de confiance », et supprime les risques d’attaques man-in-the-middle ou les scénarios d’interception par des tiers.
PGP est à l’origine du système de chiffrement des courriels. Il est maintenant privé et lucratif. Il appartient à la société Symantec qui le vend par abonnement. Son équivalent open source (libre et gratuit) est GPG (GNU Privacy Guard) qui est disponible pour la plupart des systèmes d’exploitation. Les deux sont basés sur le standard OpenPGP et sont globalement compatibles.
GnuPG est l’implémentation complète et gratuite d’OpenPGP, comme spécifié dans la RFC 4880. Il permet de chiffrer les données et inclue un système de gestion des clés. GnuPG, aussi connu sour le nom GPG, est un outil en ligne de commandes qui peut s’intégrer facilement avec d’autres applications. Un grand nombre d’applications graphiques et bibliothèques sont disponibles.
Enigmail est une extension pour les produits Mozilla Thunderbird et Seamonkey, disponible sur tout système faisant tourner ces logiciels. Il vous permet de recevoir/envoyer des mails signés et/ou chiffrés avec le standard OpenPGP très simplement. Lorsque vous le démarrez pour la première fois, un guide est lancé pour faire une configuration basique, et vous avez aussi un manuel de démarrage sur internet pour les nouveaux utilisateurs.
Claws Mail est un client de messagerie léger, rapide, et convivial pour Windows et Linux. Il est fourni avec le plugin GPGME pré-configuré pour une utilisation immédiate. Son design et son interface sont assez identiques à ceux d’autres logiciel. Il est facile à prendre en main. Il permet d’importer les mails venant d’autres clients et de les exporter tout aussi facilement. D’autres fonctionnalités comme RSS, calendrier, gestion de la LED de notification des portables sont disponibles grâce à des plugins.
Gpg4win fonctionne de Windows XP à Windows 10 et supporte les architectures 32 et 64 bits. Le plugin Outlook GpgOL est compatible avec Microsoft Outlook 2003, 2007, 2010, 2013 et 2016 (32 & 64bit).
Cette boîte à outils utilise GPGP pour chiffrer/déchiffrer, signer et vérifier les fichiers/messages. Permet de gérer votre trousseau de clés très simplement. Compatible macOS 10.9 et plus récent.
En téléchargeant GPG Tools avec le plugin Enigmail, les utilisateurs Mac peuvent utiliser aussi bien Apple Mail que les produits Mozilla. Très pratique.
La surveillance de masse viole nos droits fondamentaux et fait planer un risque sur la liberté d’expression. Le guide référence « Autodéfense courriel » vous apprendra les bases du chiffrement du courriel. Une fois que vous l’aurez assimilée, vous serez en mesure d’envoyer et recevoir des courriels brouillés, et ainsi faire en sorte qu’un outil de surveillance ou un voleur qui les intercepterait ne puisse pas les lire.
Protection contre la Surveillance : Astuces, outils et guides pratiques pour des communications en ligne plus sécurisées.