Le chiffrement des mails par PGP

Note : 
Pas encore de vote

Pour quel type de lecteur ?
Tout le monde


Introduction

Cet article a pour vocation de faire prendre conscience aux gens de l’intérêt, voire de la nécessité, de chiffrer ses mails. En effet, bien que cela puisse paraître inutile à première vue et pour beaucoup de gens, en transposant cette action à la vie de tous les jours elle parait évidente.
Ce comportement montre bien la schizophrénie que l’on retrouve dans notre société actuelle d'un point de vue de la sécurité entre la vie de tous les jours et la vie informatique des personnes. Tout le monde met des alarmes pour protéger sa maison aussi bien que la maison blanche, mais les gens laissent leurs ordinateurs aussi sécurisés qu’une cabane en bois… Il y a pourtant des données dans les ordinateurs aussi importantes que des objets dans une maison, voire plus : une télévision se remplace, trois années de photos de vacances de vos enfants c'est déjà plus difficile.
Peut-être un manque de formation des utilisateurs, peut être aussi un manque d’information à ce sujet. C’est justement dans l’étape d'information que ce billet trouve son intérêt.
Dans une seconde partie, je détaillerai la méthode à suivre pour pouvoir envoyer des mails sécurisés sur un exemple concret avec le logiciel Thunderbird pour tout type de systèmes d’exploitation.

Qu’est-ce que le PGP ?

L’acronyme PGP veut dire “Pretty Good Privacy”. C’est un logiciel permettant de réaliser du chiffrement de mails ou de fichiers via la méthode des clés asymétriques (explications plus bas). Il a été créé par l’américain Phil Zimmermann et rendu libre au téléchargement en 1991, action qui a d’ailleurs beaucoup déplu au gouvernement (imaginez ça : des gens qui peuvent se contacter sans que la NSA ou le FBI soient au courant ou puissent vérifier les informations transmises, c'était (c’est encore d'ailleurs) une catastrophe nationale ^^). Finalement quelques années plus tard le gouvernement américain a abandonné l’affaire.

Mais en fait, pourquoi chiffrer ses mails ?

Question intéressante, quand je parle du PGP à mon entourage j'ai le plus souvent cette réponse : « bah, je m’en fiche, je n’ai rien à cacher ». Je me demande alors si ces personnes utilisent des enveloppes pour envoyer leur courrier ou si ils écrivent tout sur des cartes postales.
Bien entendu que tout le monde à des choses à cacher, ces informations ont même une expression pour les désigner : on appelle ça la vie privée… bien qu’elle soit balayée sous le tapis avec l’utilisation sans limite des réseaux sociaux, mais ça c’est une autre histoire.

Pour faire la liaison avec les mails : un mail non chiffré est exactement comme une lettre à la poste sans enveloppe. Ça vous arrive sûrement d'envoyer des papiers officiels ou privés par mail pour des logements, une location, pour vos enfants, votre employeur sans même vous en rendre compte. Je vous invite désormais à vous poser cette question la prochaine fois que vous enverrez un mail contenant des documents importants : le feriez-vous par la Poste sans enveloppe ? Envoyer une fiche de paye par La Poste sans enveloppe ? Votre carte nationale d’identité ou encore votre carte vitale ?
Probablement pas (enfin j’ose espérer que personne ne le ferait, sinon je ne peux plus rien pour vous).

Bon OK, ça c'est mon avis me direz-vous, alors écoutons ce que dit son créateur à ce sujet :

« Que se passerait-il si tout le monde estimait que les citoyens honnêtes devraient utiliser des cartes postales pour leur courrier ? Si un non-conformiste s’avisait alors d’imposer le respect de son intimité en utilisant une enveloppe, cela attirerait la suspicion. Peut-être que les autorités ouvriraient son courrier pour voir ce que cette personne cache. »
« De la même manière, ce serait excellent si tout le monde utilisait la cryptographie de manière systématique pour tous ses e-mails, qu’ils soient innocents ou non, de telle sorte que personne n’attirerait la suspicion en protégeant l’intimité de ses e-mails par la cryptographie. Pensez à le faire comme une forme de solidarité. »

Enfin, pour les personnes qui me diraient « oui mais c’est compliqué, tout ça… ça prend du temps et blablabla et blablabla… », rassurez-vous : ça ne prend pas plus de temps d’envoyer un mail chiffré qu’un mail non chiffré. Et même si c'était plus long : votre vie privée ou la confidentialité de certains documents est-elle moins importante que quelques secondes passées à la chiffrer ?

Comment fonctionne le PGP ?

Le PGP fonctionne sur le principe de la cryptographie asymétrique. C'est à dire que chaque utilisateur possède deux clés : une privée et une publique.
La clé publique est comme son nom l'indique… publique. C'est à dire que vous pouvez (devez) la partager au plus grand nombre de personnes pour qu’ils vous envoient des mails chiffrés. La clé privée sert à déchiffrer les mails reçus qui ont été précédemment chiffrés avec la clé publique.
Prenons un exemple pour expliquer le fonctionnement du chiffrement asymétrique :

Imaginons que Gaston possède une paire de clé PGP : une publique et une privée. Il envoie sa clé publique à Jeanne pour qu’elle lui envoie des messages sans que Prunelle puisse les intercepter et les lire. Jeanne écrit alors son message puis le chiffre avec la clé publique de Gaston. Gaston reçoit alors le message qui est chiffré sur la boite mail et peut alors le déchiffrer avec sa clé privée.

Si Prunelle intercepte le message entre les deux ordinateurs, il ne verra que le message chiffré. La seule solution pour lui de lire le mail c'est de trouver la solution unique parmi… des milliards et des milliards de solutions possibles (ce que aucun ordinateur à l'heure actuelle peut résoudre, d'où la puissance de cette méthode). En effet, pour une paire de clé PGP en 2048 bits le nombre de solutions est de 22048. Pas la peine de sortir votre calculatrice elle n'y arrivera pas, même un logiciel de calculs mathématiques n'en est pas capable :-D. C’est dire le nombre pharamineux de solutions.

Après la théorie, la pratique…

Après vous avoir un peu assommé avec des formules et des nombres, passons maintenant à la pratique. ;-)

Comment utiliser le PGP ?

Le plus simple est de passer par le logiciel GPG (“Gnu Privacy Guard”) prenant en charge le chiffrement PGP. Ce logiciel est totalement libre, gratuit et open source et est compatible sur tous les systèmes d'exploitation (GNU/Linux, Windows et Mac). Les logiciels de messagerie électronique possèdent des plugins permettant son utilisation :

N’utilisant que Enigmail sur Thunderbird depuis une distribution GNU/Linux, je ne peux pas vous détailler la procédure à suivre pour la configuration sur d'autres logiciels ou systèmes d’exploitations. Je vous invite à vous renseigner sur les liens donnés ci-dessus correspondant à votre système d'exploitation.

Enigmail

Enigmail s’installe à partir des Addons de Mozilla (ici).
Une fois l’addons installé et Thunderbird redémarré un nouvel onglet est apparu dans la barre des menus en haut de la fenêtre.
Cliquez sur « Assistant de configuration » et une nouvelle fenêtre s'ouvre. Suivez alors les instructions de l'assistant pour finaliser la création des paires de clés.

Une fois l’assistant terminé vous êtes désormais possesseur d'une paire de clé PGP. Bravo. :-) Pour rendre publique votre clé publique vous pouvez la mettre en pièce jointe automatique à tous vos mails (c’est ce que je fais, et en plus de ça j’explique dans ma signature son utilité) ou encore la déposer sur une base de données de clés publiques. Le site du MIT par exemple en propose un : ici.

Conclusion

Le chiffrement par PGP n’est malheureusement pas encore assez connu du grand public. Et pour certaines personnes au courant de cette protection, ils pensent que cela n'est pas très « utile »…

Par cet article j’espère avoir convaincu des personnes à faire le premier pas pour réellement protéger ses communications par mail. J’invite désormais ces personnes à en parler autour d’eux pour convaincre à leur tour le plus de monde possible. Cela n’a rien de difficile et permet une protection optimale des données envoyées par mail. Par définition : ne faites pas confiance à vos fournisseurs d'adresse mail (Google, Microsoft, Yahoo, etc.), vous ne pouvez pas savoir ce qu’ils font des données auxquelles ils ont accès dans vos mails. C'est bien connu que Google affiche des publicités ciblées à partir de mots clés pris dans vos mails1

Pour en savoir plus…

Voilà quelques liens que vous pouvez visiter pour en savoir plus sur ce sujet :

1. Voir paragraphe 2 de la section IV.B page 14 du rapport de la CNIL sur la publicité ciblée sur l’Internet ici

Catégorie: 

Ajouter un commentaire

S'abonner à Comments for "Le chiffrement des mails par PGP"