Chiffrer ses mails avec GnuPG
Tout d'abord, vous vous demandez sans doute quel est l'intérêt de chiffrer un email, vu que celui-ci ne contient pas de données confidentielles. Je vais vous indiquer mes raisons personnelles :
- Cela renforce votre anonymat : aucun webmail n'a besoin de savoir votre nom, votre profession, ainsi que les dossiers échangés par email.
- Être sûr de la confidentialité des messages échangés : vous êtes sûr que seuls le destinataire pourra déchiffrer le message. Ni les FAI ni les webmails pourront le déchiffrer.
- Renforcer votre conviction de libriste : chiffrer un email correspond à défendre la vie privée et la liberté du Net.
Maintenant que vous savez tout ça, il est grand temps de vous griller les neurones de vous aider à comprendre le processus de chiffrement/déchiffrement.
Enfin, une dernière précision pour les utilisateurs de Windows. GnuPG est uniquement disponible sous GNU/Linux. Si vous voulez chiffrer vos e-mails, vous allez devoir utiliser un autre logiciel, WinPT, dont un tutoriel est proposé par Sebsauvage.
Fonctionnement
Nous allons utiliser une analogie avec le monde réel, qui rend plus simple la compréhension :
Imaginons deux personnes : Bob et Jeanne. Bob veut envoyer un message chiffré à Jeanne. Jeanne lui envoie donc une valise avec une serrure ouverte. Bob y met son message, et verrouille la valise. Jeanne peut donc déverrouiller la valise.
Bien sûr, le seul risque existant est que l'on trafique la clé publique envoyée par Jeanne, mais c'est relativement rare, car ceux-ci peuvent être signées ou stockées dans des serveurs de clés sécurisés.
Si on récapitule : Jeanne génère une clé publique et une clé privée. La clé publique peut être envoyée sur un serveurs de clés ou bien envoyées par email dans un fichier. Bob le chiffre avec sa clé privée, ce qui prouve qu'il est l'expéditeur, et seul Jeanne pourra l'ouvrir ! Vous pouvez en savoir plus ici.
L'installation
Pour chiffrer et déchiffrer le message, il faut que les deux correspondants et les outils adaptés. Il nous faut donc :
- GNUpg, normalement inclus sous Linux. Il sert à générer et déchiffrer les messages chiffrés. En quelque sorte, c'est le moteur du chiffrement.
- Enigmail, une extension pour Thunderbird. Pour chiffrer et déchiffrer les messages facilement, vous devrez utiliser Thunderbird pour lire vos emails, ce qui est d'ailleurs recommandé.
Pour vérifier si GNUpg est installé, vérifier avec Synaptic si le paquet "gnupg" est installé. Sinon, l'installer avec Synaptic ou le terminal :
sudo pacman -Sy gnupg #ArchLinux
sudo apt-get install gnupg #Ubuntu et ses dérivés
sudo aptitude install gnupg #Debian
Pour installer Enigmail, la façon la plus sécurisée de le faire et de le trouver dans les dépôts officiels. Installez le paquet "enigmail", tout en s'étant assuré que Thunderbird est correctement installé et paramétré. Sinon, vous devrez au préalable l'installer.
Générer les clés
Pour pouvoir chiffrer vos emails, vous devez générer votre paire de clés (publique + privée). Ouvrez Thunderbird : une fenêtre d'Enigmail vous proposera de les générer. Fermez cette fenêtre, car elle est source de problèmes de droits UNIX et de l'encodage par défaut des emails. Ensuite, trouvez l'onglet "OpenPGP", puis "Gestion des clefs". Une fenêtre s'ouvre, avec toutes les clés (ça sert de répertoire). Faites "Générer" --> "Nouvelle paire de clefs". Une fenêtre type s'ouvre :
Saisissez les informations demandées dont le mot de passe qui protégera votre paire de clés sur cet ordinateur (les clés générées ne sont pas liées au compte email, mais à l'ordinateur). Je vous recommande aussi de cocher la case "La clé n'expire jamais" si vous êtes un débutant. Vous risqueriez avoir des problèmes de transition lors de l'expiration de la clé.
Pour renforcer la sécurité, allez dans l'onglet "Avancé". Choisissez la taille de la clé maximale (4096 chez moi). Ensuite, cliquez sur "Générer". Pendant ce temps-là, patientez en surfant, téléchargeant des pièces jointes, jouer à des jeux, etc. : cela augmentera l'entropie est renforcera le côté aléatoire de la génération des clés. Une petite popup vous avertira de la fin de la génération. Votre clé est maintenant utilisable, mais pour faciliter la tâche à vos correspondants, il vous faudra manipuler certaines options...
Configuration avancée et utilisation pratique
Fermez toutes les fenêtres concernant OpenPGP, et allez dans l'onglet intitulé "Édition", puis "Paramètre des comptes". Allez dans la partie "OpenPGP", et cochez ces deux cases :
- Signer les messages chiffrés par défaut : puisque vous chiffrez vos messages, autant les signer pour que le destinataire soit sûr de l'authenticité du message...
- Toujours utiliser PGP/MIME : normalement, si vous chiffrez vos messages, vous perdrez tout code HTML (image incluses, signature animée...). Le PGPG/MIME est en quelque sorte le "remplaçant" du code HTML lorsque vous chiffrez vos messages. Vous gardez donc les images incluses !
Après avoir enregistré ces paramètres, nous allons voir comment chiffrer ou déchiffrer un message.
Cliquez sur "Écrire", comme vous le faites habituellement pour écrire un email. Après avoir écrit le message cliquez sur "OpenPGP" --> "Chiffrer le message". Vous pouvez après cliquer sur "Envoyer". Une autre fenêtre devrait s'ouvrir, vous indiquant que vous ne possédez pas la clé publique du destinataire. Cliquez sur "Télécharger les clés manquantes" pour les télécharger à partir d'un des principaux serveur de clés. Vous devrez ensuite donner votre mot de passe protégeant votre clé privée, puis le message chiffré sera envoyé.
Vous pouvez faire un test en vous envoyant un message à vous-même : la fenêtre ne s'ouvrira pas, car vous possédez déjà votre clé publique. Nous allons voir comme uploader ses clés publiques sur un serveur de clés, exporter/importer ses clés, et créer un certificat de révocation.
Commencez par ouvrir le gestionnaire de clés. Ensuite, commencez à saisir le début de votre adresse email : la clé apparaît. Faites un clic droit --> "Envoyer les clefs publiques vers un serveur de clés". Envoyez-les sur tous les serveurs par défaut. Chez moi, le serveur dont le nom commence par "ldap://" semble indisponible. Voilà, vous avez uploadé vos clés !
Pour exporter vos clés dans un fichier pour l'importer dans un autre ordinateur, faites un clic droit --> "Exporter les clefs dans un fichier", puis suivez les instructions, tout en prenant garde à inclure la clé privée. Pour importer des clefs, faites "Fichier" --> "Importer des clefs depuis un fichier", et suivez les instructions (en sélectionnant le fichier généré lors de l'exportation.
Pour créer un certificat de révocation, il faut d'abord connaître son utilité : elle sert tout simplement à révoquer vos clefs sur les serveurs de clés ! Pour cela, il faudra faire un clic droit --> "Créer et enregistrer un certificat de révocation". Ce fichier sera à envoyer sur les serveurs de clés pour révoquer la clé publique, afin d'éviter que des correspondants vous envoient des messages indéchiffrables !
IMPORTANT : il est fortement recommandé de stocker le certificat de révocation et le fichier contenant la paire de clés dans un lieu sûr et de le chiffrer à l'aide d'un outil comme Truecrypt !
.
...