Introduction

Lorsque vous envoyez un mail, son contenu peut être lu par "n'importe qui". C'est comme envoyer une lettre, toutes les mains par lesquelles elle transite pourront regarder son contenu.

Pour conserver son contenu privé, vous devrez la chiffrer, ainsi seul le destinataire pourra lire son contenu, les autres ne verront que des choses incompréhensibles.

Le chiffrement par clé est un type de chiffrement qui utilise une combinaison de deux clés (clé publique, clé privée), qui ensemble forment une paire indissociable.

Pour assurer une sécurité optimale, il est recommandé de conserver votre clé privée sur une clé usb et de la garder précieusement.

Chiffrement

Envoyer un mail chiffré

Pour envoyer un mail chiffré à quelqu'un, vous devez disposer de la clé publique du destinataire pour chiffrer le message, ainsi il pourra le déchiffrer.

Recevoir un mail chiffré

Pour recevoir un mail chiffré, vous devez donner votre clé publique à l'envoyeur. Vous le déchiffrerez ensuite avec votre clé privée et uniquement avec celle-ci. C'est pourquoi ces deux clés forment une paire, et c'est pourquoi il est si important de s'assurer que votre clé privée ne tombera jamais entre les mains d'un indésirable (si vous voyez de qui je parle, ces gens avec un uniforme bleu ou un costard).

Pourquoi l'intégrité de la clé publique est essentielle

Un point crucial de ce type de chiffrement est la distribution de la clé publique. Le chiffrement ne sera sûr que si l'envoyer est sûr que cette clé est bien celle du destinataire du message. Un tiers pourrait très bien vous donnner une clé publique avec le nom du destinataire en vous disant que c'est bien la sienne, puis ensuite simplement intercepter votre message et le déchiffrer vu que vous l'aurez malheureusement chiffré avec leur clé publique.

Il est obligatoire qu'une clé privée vous soit donnée en personne ou à travers un certificat sécurisé (cette méthode est beaucoup trop dangereuse).

Web of Trust

Le concept du Web of Trust apparut pour la première fois en 1992 dans le manuel de PGP version 2, créé par Phil Zimmermann :

"Plus le temps passe, plus vous allez accumuler des clés d'autres personnes que vous souhaiteriez désigner comme personnes de confiance. Ainsi chaque personne choisira ses propres personnes de confiance, et chacun distribuera au fur et à mesure avec ses clés une collection de signatures d'autre personnes, partant du principe que ceux qui recevront ces clés feront confiance à quelques unes de ces signatures, ce qui entrainera l'émergence d'un réseau décentralisé et privé de clés de confiance."

Pour plus d'informations sur ce concept et des explications sur sa mise en place, voyez ici : http://www.cryptnet.net/fdp/crypto/keysigning_party/en/keysigning_party.html.

Signer les clés des contacts de confiance

Lorsque vous échangez des clés avec des personnes en qui vous croyez, vous savez à qui vous vous adressez. Vous utiliserez votre clé pour signer celles de ces personnes, ce qui aide à créer le Web of Trust, et supprime les risques d'attaques man-in-the-middle ou les scénarios d'interception par des tiers.

Logiciels utiles

PGP (Pretty Good Privacy) est l'origine du système de chiffrement. Il est maintenant privé, lucratif, et appartient à Symantec qui le vend en abonnement. Son équivalent open source aujourd'hui est GPG (GNU Privacy Guard), disponible pour la plupart des systèmes d'exploitation. Les deux sont basés sur le standard OpenPGP et sont globalement inter compatibles.

GNU Privacy Guard

GnuPG est l'implémentation complète et gratuite d'OpenPGP, comme spécifié dans la RFC 4880. Il permet de chiffrer données et communications, et inclue un système de gestion des clés. GnuPG, aussi connu sour le nom GPG, est un outil en ligne de commandes avec des possibilités de s'intégrer aisément avec d'autres applications. Un grand nom d'applications front-end et bibliothèques sont disponibles. Sa version 2 apporte le support de S/MIME.

Page d'accueil du projet GPG

Le projet EnigMail

EnigMail est une extension pour les produits Mozilla Thunderbird et Seamonkey, disponible sur tout système faisant tourner ces logiciels. Il vous permet de recevoir/envoyer des mails signés et/ou chiffrés avec le standard OpenPGP très simplement. Lorsque vous le démarrez pour la première fois, un guide est lancé pour faire une configuration basique, et vous avez aussi un manuel de démarrage sur internet pour les nouveaux utilisateurs.

Page d'accueil du projet EnigMail - Guide de démarrage

Claws Mail

Claws Mail est un client mail léger, rapide, et user-friendly pour Windows et *NIX. Il est fourni avec le plugin GPGME et pré-configuré pour une utilisation immédiate. Son design et son interface sont assez identiques à ceux d'autres clients célèbres, donc facile à prendre en main, il y a des raccourcis clavier pour à peu près tout. Les messages sont gérés par le format MH standard, qui fournit un accès rapide et une sécurité. Il vous sera aussi possible d'importer dessus des mails venant d'autres clients, et de les exporter tout aussi facilement. Beaucoup d'autres fonctionnalités comme RSS, calendrier, gestion de la LED de notification des portables sont disponibles grâce à des plugins.

Page d'accueil du projet Claws Mail

Gpg4win

Gpg4win fonctionne à partir de Windows XP, et supporte les architectures 32 et 64 bits. Le plugin Outlook GpgOL est compatible avec Microsoft Outlook 2003 et 2007, mais pas 2010.

Page d'accueil du projet Gpg4win

GnuPGk - GUI Windows pour GPG

Un GUI front-end codé en C#. Compatible avec PGP aussi donc très utile pour le chiffrement/déchiffrement. Il intègre aussi une gestion du shell, permettant de chiffrer/déchiffrer d'un simple clic droit.

Page d'accueil du projet GnuPGk

Portable PGP

Outil bien rempli, légé, et open-source pour PGP, codé en Java. Il permet de chiffrer/déchiffrer, signer, et vérifier du texte/fichiers dans une interface graphique très bien pensée. C'est une très bonne manière de démarrer ave PGP. Fonctionne sous Oracle Java 7, Windows 7 (64 bits), Mac OSX, et Ubuntu (64 bits) OpenJDK. Version portable disponible.

Page d'accueil du projet Portable PGP

GPG Tools - Une boîte à outils pour Mac

Utilise GPGP pour chiffrer/déchiffrer, signer et vérifier des fichiers/messages. Permet de gérer votre trousseau de clés avec très peu de clics, et de profiter de GPG de la façon la plus simple possible. Compatible OSX 10.6+.

En téléchargeant GPG Tools avec le plugin Enigmail, les utilisateurs Mac peuvent utiliser aussi bien Apple Mail que les produits Mozilla, très pratique.

Page d'accueil du projet GPG Tools

Où démarrer

Chiffrez un compte mail dont vous disposez déjà, en utilisant Thunderbird avec Enigmail, Apple Mail avec GPG Tools, Outlook avec Gpg4win.

Pour Windows et Linux, utilisez Enigmail ou Claws Mail.

Pour Mac, installez GPG Tools et utilisez Apple Mail ou Thunderbird (avec Enigmail).

Si vous souhaitez plus d'informations à ce sujet, et un guide pas-à-pas pour l'installation de Thunderbird/Enigmail/GPG, vous pouvez visiter https://securityinabox.org/en/thunderbird_main.

Sécuriser sa clé GPG

Faites comme la NSA, voici des informations qui nous viennent de The Register : http://www.theregister.co.uk/2013/08/22/guardian_snowden_advice.

Ressources additionnelles

iPGMail - PGP pour iOS

Application iOS permettant d'envoyer ou recevoir des mails chiffrés avec PGP.

Télécharger - Site officiel

oPenGP

Application iOS permettant de supporter le standard OpenPGP (RFC 4880), fonctionne pour GPG & PGP.

Télécharger

Android Privacy Guard (APG) - Client GPG pour Android

Vu sur leur site : "Il n'y a pas de chiffrement par clé publique sur Android, ce qui est pourtant important, c'est pourquoi APG essaie de combler ce manque, avec des nouvelles fonctions ajoutées rapidement. Nous espérons que APG grandisse avec une implémentation OpenGPG totalement fonctionnelle de GPG, ou du calibre de PGP.". Fonctionne avec K-9 Mail.

Télécharger - Site officiel

CounterMail

Fournisseur de service webmail basé en Suède, avec support GPG intégré. Le mail est chiffré sur votre machine, puis seulement ensuite envoyé, et inversement. Accepte Bitcoin. Très sécurisé, protège des attaques man-in-the-middle, protection par clé usb.

Page d'accueil du projet CounterMail

Shazzlemail

Une application iOS et Android gratuit qui vous permet d'envoyer un mail sécurisé à un contact. Vous pouvez aussi l'utiliser sur votre ordinateur avec un client qui supporte POP/SMTP, comme Outlook. Les données transitent sur une ligne sécurisée, et ne sont sauvegardés que sur votre appareil, pas sur un cloud quelconque pseudo-sécurisé. Basé au Massachussets.

Site officiel

Cryptocat

Messagerie instantanée sécurisée. Vous devez utiliser au minimum la version 2.1.12 pour assurer votre sécurité. Lisez ceci pour comprendre pourquoi.

Site officiel et téléchargement

SafetyJabber

Client Jabber avec intégration du chiffrement PGP pour Windows, Mac, et iOS. Version gratuite disponible au téléchargement.

Site officiel

Utiliser GPG avec des webmails standards

Mailvelope est un plugin pour le chiffrement des webmaills, compatible Firefox et Google Chrome. C'est totalement open-source, est basé sur OpenPGP.js, une bibliothèque OpenPGP pour JavaScript. Son avantage est qu'il est livré préconfiguré pour un panel de fournisseurs dont Gmail, GMX, Outlook, Posteo, WEB.DE, Yahoo, mais il peut être ajusté pour fonctionner avec d'autres.

Quelconque plugin qui permettrait de chiffrer ce que vous tapez en cliquant sur un bouton est totalement inutile d'un point de vue sécurité. Mailvelope règle ce probleme en ouvrant un éditeur de texte externe pour composer votre message, le chiffre, puis l'insère sur le rédacteur de votre fournisseur. Ce plugin dispose aussi d'un système de gestion et de génération de clés.

Mailvelope est encore en version beta, et ne supporte pour l'instant pas l'ajout chiffré de pièces jointes. Il vous est vivement conseillé de lire les instructions pour utiliser correctement ce plugin si vous souhaitez assurer votre sécurité.

Les renseignements étrangers utilise internet pour se couvrir et communiquer clandestinement sans se faire repérer. Ne croyez pas que la NSA ou le DOJ sont si puissants. Personne ne l'est vraiment, et ils peuvent faire des erreurs.