Nous sommes Charlie

Chiffrer ses e-mails avec GPG4Win

Par le Temps de lecture estimé : 5min 6 Commentaires

À l’ère où la NSA et les différents gouvernements nous surveillent allégrement, il peut nous sembler important de chiffrer nos mails. En effet, sans moyen de chiffrement, c’est comme si on écrivait sur une carte postale avec un crayon à papier. Tout le monde peut lire le message et le modifier. Le chiffrement serait comme « rajouter une enveloppe » à notre message.
Nous allons utiliser pour cela GPG. GPG fait du chiffrement asymétrique. Mais qu’est-ce le chiffrement asymétrique ?
Imaginons 2 protagonistes, Alice et Bob. Alice génère deux clés : sa clé privée qu'elle garde pour elle et qu'elle ne divulguera pas et une clé publique qu'elle diffuse. Elle donne donc cette seconde clé à Bob. Bob veut envoyer un message à Alice. Il chiffre donc son message avec la clé publique d'Alice et lui envoie le texte chiffré. Alice déchiffre le message avec sa clé privée. Par analogie, la clé publique est comme un cadenas et la clé privée la clé du cadenas.
Alice envoie donc la boite avec le cadenas ouvert. Bob met le message et referme (pas besoin de clé). Comme seul Alice à la clé, juste elle peut lire !
Un utilisateur lambda : Oui, mais ont m’a dit que les serveurs de mon FAI sont chiffrés ?
En effet, si vous vous connectez à votre boite mail en https, la connexion au serveur est chiffré. Mais le mail sera en clair.

Commençons la pratique.
Votre seul prérequis sera donc d’avoir Thunderbird.

Installation


Rendez–vous sur la page de téléchargement de GPG4Win. Choisissez la version light.
Téléchargez–le et double-cliquez sur l’installateur. Cliquez sur suivant. Acceptez la licence, suivant, Si vous voulez utiliser avec Outlook, choisissez GPGOL (mais je vous déconseille. De toute manière, on utilise Thunderbird). Sélectionnez bien GPA.
picture

Puis suivant, suivant en laissant par défaut les valeurs. Vous devez redémarrer votre ordinateur.

Générer votre clé


En interface graphique


Lancez GPA.
Dans clés ► Nouvelle clé (ou ctrl+N). Remplissez le formulaire.

Générer votre clé en ligne de commande


Ouvrez l’invite de commande (executer→cmd). Après, c’est comme sous Gnu/Linux (copie avec autorisation de Vinm)
taper :
gpg --gen-key

Première question, le type de clé désiré :
Sélectionnez le type de clef désiré :
(1) RSA et RSA (par défaut)
(2) DSA et Elgamal
(3) DSA (signature seule)
(4) RSA (signature seule)
Quel est votre choix ? |

Prenez le choix par défaut.
Choisir le choix par défaut ou plus selon le niveau de sécurité.
les clefs RSA peuvent faire entre 1024 et 4096 bits de longueur.
Quelle taille de clef désirez-vous ? ( 2048 ) |

Indiquez le temps de validité.
Veuillez indiquer le temps pendant lequel cette clef devrait être valable.
0 = la clef n'expire pas
= la clef expire dans n jours
w = la clef expire dans n semaines
m = la clef expire dans n mois
y = la clef expire dans n ans
Pendant combien de temps la clef est-elle valable ? (0) |

Vous devez maintenant créer l’identité de la clé.
Une identité est nécessaire à la clef ; le programme la construit à partir
du nom réel, d'un commentaire et d'une adresse électronique de cette façon :
« Heinrich Heine (le poète) »

Nom réel :

Maintenant, choisissez votre passephrase servant à décoder les messages :

Une phrase de passe est nécessaire pour protéger votre clef secrète.
Entrez la phrase de passe :

Lier la clé à l’adresse mail


Allumez Thunderbird et installez dans les modules Enigmail. Puis allez dans options puis « paramètres du compte » puis dans la sous catégorie « OpenPGP ».
Choisissez l’option « utiliser un identifiant de clé particulier » et choisissez votre clé. Vous pouvez choisir si vous devez chiffrer vos messages par défaut.
picture


Comment rajouter une clé publique ?
Dans GPA, cliquez sur le bouton « importer » et choisissez votre clé.
Et comment exporter votre clé publique ?
Dans GPA, sélectionner votre clé puis cliquez sur « exporter ».

De retour dans votre boîte mail, vous pouvez écrire un message.
Vous avez un bouton (avec un cadenas) dans le menu « OpenGPG ». Cliquez sur la flèche. Choisissez « Chiffrer le message ». Vous pouvez aussi choisir l’option « Signer le message ».
picture

⚠ Pour chiffrer un message, il faut avoir la clé publique du destinataire !
Vous savez maintenant chiffrer vos mails. Si vous voulez chiffrer vos conversations instantanées, vous avez un excellent tutoriel sur pidgin OTR.
Qwerty
Gravatar @Vinm
Cool la version windows ! ;)
Gravatar @galex-713
Hum… même si ça permet de se protéger d’éventuels pirates, GPG4Win ne permet absolument pas de se protéger de la NSA, comme le disait Snowden : « Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it.  » (http://www.theguardian.com/world/2013/jun/17/edward-snowden-nsa-files-whistleblower#block-51bf3588e4b082a2ed2f5fc5). En effet utiliser Windows, ça donne tout à la NSA automatiquement… à moins d’utiliser un firewall vraiment puissant qui bloque touts les protos privateurs, déchiffre à la volée les flux chiffrés, et vide les hidden channels…

« En effet, si vous vous connectez à votre boite mail en https, la connexion au serveur est chiffré. Mais le mail sera en clair. » Alors ça c’est juste le cas d’un webmail, et c’est inexact (en tout cas exprimé maladroitement) :
Quand le webmail est chiffré, la connexion est chiffrée, donc le mail est chiffré. C’est le cas de gmail.
Le truc c’est que ce qui est chiffré, c’est le trajet de l’ordinateur utilisateur au webmail, puis du webmail au serveur mail (encore que ça dépend des services), et de ce serveur mail aux serveurs mail intermédiaires (peut-être, s’ils le supportent tous, et c’est pas toujours le cas), puis de ces serveurs au serveur mail destinataires (idem), potentiellement du serveur mail destinataire au webmail (s’il utilise un webmail, et là encore ça dépend des services) et puis du serveur mail destinataire (ou du webmail) à l’utilisateur destinataire (s’il le veut, et si le serveur mail destinataire le supporte).
Donc en clair, peuvent voir le mail non-chiffré : le proprio du webmail, le proprio du serveur mail de l’envoyeur, le proprio des serveurs mails intermédiaires, le proprio du serveur mail destinataire et l’éventuel proprio du webmail du récepteur.
Donc au final les pirates informatique ne peuvent pas le lire, et le FAI non plus… ah, si touts les serveurs entre les deux serveurs chiffrent, et ça ils le font pas tous, donc ya des chances non-négligeable pour qu’en fait le FAI puisse le lire ou le modifier…
Dans le cas du chiffrement point à point, avec GPG, seul l’émetteur et le récepteur peuvent le lire.

Oh et puis GPG3Win ça a l’air compliquéééééééééééééééééééééé ! Moi j’ai rien à faire, juste appuyer sur le gros « + » vert trop joli dans Seahorse avec son interface simplifiée et intuitive, et après GNOME gère le reste…
Et il gère pas l’import depuis les serveurs de clé principaux ? Et pas d’import automatique ?

Une coquille : « Allumez Thunderbird et installez dans les modules Egnimail. »/« Allumez Thunderbird et installez dans les modules Enigmail. »
Gravatar @qwerty
Je vois pas la coquille.
Si, tu peux importer/exporter depuis les serveurs de clé, mais j’ai pas encore eu l’usage.
Et c’est pas si compliqué que cela :p
Gravatar @galex-713
La coquille réside dans « Egnimail » au lieu de « Enigmail ».
Et l’usage est que t’as pas à demander aux gens pour avoir leur clé :p et c’est automatisé et facile.

« C’est pas si compliqué que ça » <
  • c’est ce que disent touts les Windowsiens :p

Gravatar @qwerty
Le problème, c’est de savoir si c’est vraiment la personne ou non.
Gravatar @galex-713
Oui mais pour ça tu as le PGP Web of Trust, la toile de confiance PGP : tu signes la clé de ceux dont tu es sûr qu’elle leur appartient (ils te l’ont refilé physiquement par exemple, ou moins : ils t’ont lus l’empreinte au téléphone), et du coup tu peux faire confiance aux clés signées par ceux qui sont signés par ceux que t’as signé, etc.
Les signatures sont automatiquement téléversées sur les serveurs de clés.
Je sais pas si t’as remarqué mais GPG te dis dans les mails combien tu peux faire confiance aux gens.
Genre si ta clé est signée par vinm, qui est signé par un gars qui est signé par rms qui est signé par Benjamin Sonntag que j’ai signé, on peut être sûr qu’on est bien la bonne personne (et si c’est directement moi qui signe rms encore plus, et si je signe vinm encore plus, et si je te signe toi alors là c’est le max).
Le site fait de la modération a priori : votre commentaire apparaîtra après validation.