I. Un peu d'histoire…

Dans des temps immémoriaux, quand la communication se faisait par papier, de nombreux expéditeurs de courrier avaient besoin d'un minimum de confidentialité. Cela prend la forme de plusieurs choses pas si éloignées que ça les unes des autres :

  • assurer au destinataire que le courrier n'a pas été ouvert/lu durant son transit ;
  • permettre au destinataire de vérifier l'identité de l'expéditeur (surtout si l'information véhiculée est importante, convoitée ou stratégique… mais pas que) ;
  • coder le message de façon à ce que seul le destinataire puisse le lire/comprendre.

Pour cela, plusieurs solutions ont été utilisées au fil du temps, dont par exemple une qui selon moi se rapproche le plus de la solution utilisée en informatique : le sceau. Ben oui. On cachetait les enveloppes avec de la cire chaude, dans laquelle on « imprimait » un motif, unique, représentant une personne ou une famille. Un annuaire permettait de s'y retrouver, c'était un simple bouquin papier.

Mais le système est resté.

II. Pourquoi chiffrer ?

On peut trouver tout un tas de raisons valables. Mais avant d'entrer dans les détails, un petit rappel pas trop technique…

II-A. Comment un courriel transite-t-il sur le net ?

Les e-mails se déplacent sur Internet par le biais de copies successives. Admettons que vous envoyiez un mail à un ami du village voisin. Souvent, au minimum, cela représente :

 
Sélectionnez
Votre ordinateur (copie originale) -> un premier ordinateur chez votre fournisseur d'accès (copie 1) -> un second ordinateur chez votre fournisseur d'accès (copie 2) -> un premier ordinateur chez le fournisseur d'accès de votre destinataire (copie 3) -> un second ordinateur chez le fournisseur d'accès de votre destinataire (copie 4) -> l'ordinateur de votre ami (copie chez le destinataire)

II-B. Et ensuite ?

Voilà, c'est dit. Et maintenant, est-ce que vous voyez où je veux en venir ? Non ? C'est simple :

entre votre machine et celle de votre ami, ce mail a été répliqué au moins quatre fois, sur quatre disques durs différents (quatre serveurs de courrier chez les FAI) en autant de copies conformes. Et derrière chacun de ces quatre disques durs, se cachent des entreprises commerciales, des informaticiens curieux, des administrations publiques diverses et variées, et j'en passe…

Or, aujourd'hui, la législation (européenne entre autres) relative à la lutte contre la cybercriminalité prévoit (et impose aux FAI) la conservation de ces copies de vos courriers

Un e-mail qui n'a pas été chiffré avant d'être envoyé sur Internet, c'est comme une carte postale sans enveloppe : les postiers, le facteur, les voisins… tout le monde peut lire la carte postale dans votre dos… et là, c'est comme si elle était photocopiée par quatre personnes et gardée « au cas où ».

II-C. « Mais il n'y a rien de secret dans mes correspondances, m'voyez… » - Vous croyez ?

Je n'en suis pas si sûr. D'abord, il y a des tas de correspondances qui demandent à rester secrètes ! Par exemple les conversations entre un avocat et son client, entre des médecins au sujet d'un patient… Tout ce qui touche au secret professionnel, en fait.

Ensuite, il y a votre vie privée. Alors oui, de nos jours (et c'est bien triste - merci Facebook et autres), cette notion tend à se réduire. Utilisons un autre mot : intimité. Quand vous allez dans la salle de bain, vous vous débrouillez pour que tout le voisinage ne puisse pas vous voir ? (Dans le cas contraire, vous avez peut-être un problème !) Ou quand vous échangez des photos parfois « suggestives » avec votre amoureux(se) du moment… pensez-vous au technicien de votre FAI qui, derrière son écran, peut lire votre courrier et lui aussi apprécier les clichés ?

« J'aimerais mieux pas ».

Image non disponible

Essayez de déchiffrer ça !

III. Comment ça marche ?

La façon la plus simple et la plus répandue de chiffrer son courrier électronique et de certifier que c'est bien vous qui l'avez envoyé, c'est PGP/GPG.

  • PGP, ça correspond à « Pretty Good Privacy ». C'est un logiciel de cryptographie hybride (c'est-à-dire pour les plus courageux qu'il utilise à la fois la cryptographie symétrique et asymétrique). Il est cependant payant, mais suit le standard OpenPGP, ce qui le rend compatible avec d'autres logiciels équivalents.
  • GPG, pour « GNU Privacy Guard ». C'est l'implémentation du standard OpenPGP pour le projet GNU. GPG est donc compatible avec la plupart des distributions Linux, avec Windows (via GPG4win) ou encore avec Mac OS (via MacGPG - <troll> vie privée, Apple ? O_o </troll>). Notons aussi qu'il existe APG (« Android Privacy Guard »), implémentation de GPG pour les smartphones/tablettes sous Android. Pratique et simple d'utilisation, il s'interface directement avec le client mail K9 !
  • OpenPGP, puisque ça fait deux fois que j'en parle : c'est un format de cryptographie créé par l'IETF (Internet Engineering Task force, pas des rigolos quoi). Il définit donc le format des messages, des certificats de sécurité… afin que les différents systèmes qui cohabitent soient compatibles entre eux. Si vous voulez en savoir plus, vous pouvez lire (en anglais) la RFC 4880.

III-A. Le « trousseau de clés »

Il consiste en réalité en deux petits fichiers : une clé « publique », destinée à être diffusée sur le net (principalement via des serveurs de clés comme celui du MIT) et servant à vos amis pour chiffrer les messages qu'ils vous envoient ou pour vous authentifier.

Il y a aussi une clé « privée » qui doit rester sur votre machine. Elle sert à déchiffrer les messages qui vous sont envoyés, entre autres.

Votre clé peut être « signée » par d'autres utilisateurs du système (généralement, on fait ça en face-à-face…) afin de renforcer sa confiance. Elle peut aussi se voir ajouter des sous-clés, si vous vous créez une nouvelle adresse mail. Et en cas de clé privée compromise, elle peut être révoquée afin de réduire le risque d'usurpation d'identité.

Pour vous montrer, si vous regardez ma clé perso, vous voyez que celle-ci a été signée par quelques personnes de mon entourage dont @HadDevallez qui me lit très certainement avec de petits yeux avides de savoir (COUCOU).

On peut donc voir ça comme un cadenas (la clé publique) et la clé du cadenas (la clé privée).

III-B. Envoi de mails via Thunderbird : EnigMail

EnigMail utilise votre trousseau de clés pour signer numériquement et/ou chiffrer (au choix) vos courriels. La signature numérique permet à votre destinataire de s'assurer que c'est bien vous qui avez envoyé le mail et qu'il n'a pas été modifié entretemps. Le chiffrement, lui, rend votre message incompréhensible à toute personne ne disposant pas de la clé privée de votre destinataire.

Une fois ce logiciel installé et configuré, tout se fait de manière transparente. Le mot de passe de déverrouillage de la clé privée vous sera demandé de temps en temps, et c'est tout.

III-C. Et la messagerie instantanée ?

Loin de moi l'idée d'être un expert en la matière et de connaître tous les logiciels adaptés.

Personnellement, j'utilise Gajim (ou Pidgin) pour chatter via Jabber (et donc Google Talk, Facebook…) car il supporte GPG et que c'est super simple à configurer. Ne vous privez pas de l'essayer ! De la même façon, Beem ou Gwibber (sous Android) supportent l'encryption pour sécuriser vos discussions.

Je vous conseille également la lecture de ce billet chez @Zilkos, à qui j'ai donné un coup de main au cours de son élaboration. Ça peut éclaircir certaines zones d'ombre laissées par cet article !

IV. Le mot de la fin…

Chiffrer vos correspondances, c'est important. Ne croyez pas que ce soit une question de secret, de choses à cacher, voire illégales. Sachez que de toute façon la justice peut vous demander de déchiffrer vos données.

Idéalement, chiffrez tous vos mails : dans le cas contraire, cela peut mettre en évidence l'éventuel caractère secret des rares courriels chiffrés.

C'est une démarche simple, qui une fois mise en place ne pose aucun souci supplémentaire à l'utilisateur. Vous ne trouvez pas que ça vaut le coup de prendre 15-20 min pour installer ça une bonne fois pour toutes ?