#1 Rassemblez les outils

Ce guide repose sur des logiciels sous licence libre ; ils sont complètement transparents et n'importe qui peut les copier ou en faire sa propre version. Cela les rend plus sûrs vis-à-vis de la surveillance que les logiciels privateurs (propriétaires) comme Windows ou macOS. Apprenez-en plus sur le logiciel libre en parcourant fsf.org ou bien, en français, framasoft.org et april.org.

La plupart des systèmes d'exploitation GNU/Linux disposent déjà de GnuPG. Si vous utilisez l'un de ces systèmes, vous n'avez donc pas à le télécharger. Si vous utilisez macOS ou Windows, l'installation de GnuPG est décrite plus loin. Toutefois, avant de configurer le chiffrement avec ce guide, vous aurez besoin d'installer sur votre ordinateur un logiciel (ou « client ») de messagerie. Thunderbird est l'un de ces clients. Il est installé par défaut dans de nombreuses distributions GNU/Linux (quelquefois sous le nom d'Icedove). Ce type de programme est un moyen alternatif d'accéder aux comptes de courriel (comme GMail) auxquels vous accédez habituellement via votre navigateur, mais propose des fonctionnalités supplémentaires.

[Étape 1.A : assistant d'installation (copie d'écran)]

Étape 1.a Configurez votre logiciel de messagerie avec votre compte de courriel

Lancez votre logiciel de messagerie et suivez les indications de l'assistant, qui vous guidera pas à pas pour le configurer avec votre compte de courriel. Cela se passe habituellement dans « Paramètres des comptes » → « Ajouter un compte de messagerie ». Il vous faudra demander ces paramètres à votre administrateur système ou les trouver dans la documentation de votre compte de courriel.

Résolution de problèmes

L'assistant ne démarre pas
Vous pouvez lancer l'assistant vous-même, mais l'option qui permet de le faire a un nom différent dans chaque programme de messagerie. Vous la trouverez dans la rubrique « [Fichier/]Nouveau » du menu principal (ou quelque chose d'approchant), sous un nom du genre « Ajouter un compte » ou « Compte courrier existant ».
Mon programme de messagerie ne trouve pas mon compte ou ne télécharge pas mes courriels.
Avant de chercher sur le web, nous vous conseillons de commencer par demander à d'autre personnes qui utilisent le même système de messagerie de vous indiquer les bons paramètres.
Je ne trouve pas le menu
Dans beaucoup de logiciels de messagerie récents, le menu principal est représenté par trois barres horizontales.

Étape 1.b Installez GnuPG

Si vous utilisez une machine sous GNU/Linux, GnuPG devrait être déjà installé et vous pouvez aller directement à la section 2.

En revanche, si vous utilisez une machine sous macOS ou Windows, vous devez d'abord installer le programme GnuPG. Sélectionnez votre système d'exploitation ci-dessous et suivez les explications. Dans le reste de ce guide, les étapes sont les mêmes pour les trois systèmes.

macOS

Installez GnuPG à l'aide d'un gestionnaire de paquet tiers

le gestionnaire de paquets par défaut de macOS rend difficile l'installation de GnuPG et des autres logiciels libres (comme Emacs, GIMP ou Inkscape). Pour faciliter les choses, nous vous recommandons d'utiliser « Homebrew », un gestionnaire de paquets tiers, pour installer GnuPG. Nous allons pour cela utiliser un programme nommé « Terminal » qui est préinstallé sur macOS.

# Copiez la première commande qui se trouve sur la page d'accueil de Homebrew en cliquant sur l'icône de droite et collez-la dans Terminal. Cliquez sur « Entrée » et attendez que l'installation se termine.

# Ensuite, installez GnuPG en saisissant le code suivant dans Terminal :
brew install gnupg gnupg2

Windows

Procurez-vous GnuPG en téléchargeant GPG4Win

GPG4Win est un logiciel de chiffrement pour le courriel et les fichiers qui inclut GnuPG. Téléchargez et installez la dernière version en choisissant les options par défaut. Une fois l’installation terminée, vous pouvez fermer toutes les fenêtres créées par l'installateur.

GnuPG, OpenPGP, c'est quoi tout ça ?

En général, les termes GnuPG, GPG, GNU Privacy Guard, OpenPGP et PGP sont utilisés de manière interchangeable. Techniquement, OpenPGP (Pretty Good Privacy) est la norme de chiffrement et GNU Privacy Guard (qu'on abrège souvent en GPG ou GnuPG) est le programme qui la met en œuvre. La plupart des clients de messagerie ont une interface pour GnuPG. Il y a aussi une nouvelle version de GnuPG appelée GnuPG2.

#2 Fabriquez vos clés

[Un robot à tête de clé qui brandit une clé publique et une clé privée]

Pour utiliser le système GnuPG, vous allez avoir besoin d'une clé publique et d'une clé privée (aussi appelée clé secrète) ; l'ensemble des deux est appelé « paire de clés ». Chacune d'elles est une longue suite de chiffres et de lettres, générés aléatoirement, qui vous est propre. Vos clés publique et privée sont liées entre elles par une fonction mathématique spécifique.

Votre clé publique n'est pas comme une clé physique, car elle est stockée dans un répertoire en ligne ouvert à tous, appelé « serveur de clés ». Les gens téléchargent et utilisent votre clé publique, au travers de GnuPG, pour chiffrer les courriels qu'ils vous envoient. Vous pouvez vous représenter le serveur de clés comme un annuaire ; les gens qui souhaitent vous envoyer un courriel chiffré peuvent le consulter pour trouver votre clé publique.

Votre clé privée se rapproche plus d'une clé physique, parce que vous la gardez pour vous (sur votre ordinateur). Vous utilisez GnuPG et votre clé privée pour décoder les courriels chiffrés que les autres personnes vous envoient. Vous ne devez en aucun cas communiquer votre clé privée à qui que ce soit.

À part chiffrer et déchiffrer, ces clés peuvent vous servir à signer des messages et à vérifier l'authenticité des signatures d'autres personnes. Nous y reviendrons dans la prochaine section.

[Étape 2.A : créer une paire de clés]

[Étape 2.A : choisir une phrase secrète]

Étape 2.a Créez une paire de clés

Fabriquez votre paire de clés

Nous allons nous servir de la ligne de commande dans un terminal pour créer une paire de clés en utilisant le programme GnuPG.

Que ce soit sur GNU/Linux, macOS ou Windows, vous pouvez ouvrir votre terminal (« Terminal » pour macOS, « PowerShell » pour Windows) à partir du menu Applications (certains systèmes GNU/Linux répondent au raccourci clavier Ctrl + Alt + T).

# Lancez gpg --full-generate-key pour démarrer l'opération.

# Pour le type de clé à créer, choisissez l'option par défaut 1 RSA et RSA.

# Pour la taille de la clé: 4096 produira une clé robuste.

# Pour la date d'expiration, nous suggérons 2y (2 ans).

Puis répondez aux questions concernant vos données personnelles.

Selon votre version de GPG, vous devrez peut-être mettre --gen-key à la place de --full-generate-key.

gpg --edit-key [your@email] fera apparaître d'autres paramètres que vous pouvez configurer.

Choisissez votre phrase secrète

Dans la fenêtre « Phrase secrète », choisissez une phrase secrète forte ! Vous pouvez le faire manuellement ou utiliser la méthode Diceware. La méthode manuelle est plus rapide mais moins sûre. Utiliser Diceware est plus long et nécessite des dés, mais crée un mot de passe que d'éventuels attaquants auront plus de mal à deviner. La méthode est expliquée dans le paragraphe « Make a secure passphrase with Diceware » (Fabriquez un mot de passe sûr avec Diceware) de cet article, écrit par Micah Lee. Vous trouverez des explications en français dans l'article de Wikipedia sur Diceware.

Si vous voulez choisir vous-même votre phrase secrète, trouvez quelque chose dont vous puissiez vous souvenir et qui ait douze caractères au minimum, dont au moins une lettre minuscule, une majuscule et un chiffre ou caractère non conventionnel (signe de ponctuation, par exemple). Ne reprenez jamais une phrase secrète qui vous a déjà servi ailleurs et n'utilisez pas de motif reconnaissable (date de naissance, numéro de téléphone, nom du chien, paroles de chanson, citation de livre, etc.)

Résolution de problèmes

GnuPG n'est pas installé
Vous pouvez vérifier si c'est bien le cas avec la commande gpg --version. Sur la plupart des systèmes GNU/Linux, vous obtiendrez alors ceci ou quelque chose d'approchant : Commande 'gpg' introuvable, mais elle peut être installée avec : sudo apt install gnupg. Utilisez cette commande pour installer le programme.
La commande gpg --full-generate-key ne fonctionne pas
Certaines distributions utilisent une version différente de GPG. Quand vous obtenez un message d'erreur du genre gpg: Option invalide "--full-generate-key", vous pouvez essayer les commandes suivantes :
sudo apt update
sudo apt install gnupg2
gpg2 --full-generate-key
Si cela résout le problème, vous devez continuer à utiliser gpg2 au lieu de gpg dans la suite de ce guide.

Selon votre version de GPG, vous devrez peut-être mettre --gen-key à la place de --full-generate-key.

Cela m'a pris trop longtemps de choisir la phrase secrète
Pas de souci. C'est important de bien réfléchir à votre phrase secrète. Quand vous serez prêt, il vous suffit de reprendre depuis le début pour créer votre clé.
Comment voir ma clé ?
Utilisez la commande suivante pour voir toutes les clés : gpg --list-keys. La vôtre doit être dans la liste et plus tard la clé d'Edward (section 3) y sera aussi.
Si vous voulez seulement voir la vôtre, vous pouvez faire gpg --list-key [votre@adresse_de_courriel].
Vous pouvez aussi utiliser gpg --list-secret-key pour voir votre clé privée.
Pour en savoir plus
Référez-vous à la documentation du GNU Privacy Handbook (Manuel de GnuPG) si vous voulez en savoir plus sur cette opération. Gardez l'option « RSA et RSA » (sélectionnée par défaut), parce que cette méthode est plus récente et mieux sécurisée que les algorithmes recommandés dans la documentation. Assurez-vous également que votre clé soit d'au moins 4096 bits si vous voulez être en sécurité.

Utilisation avancée

Paires de clés évoluées
Lorsque GnuPG crée une nouvelle paire de clés, il sépare la fonction de chiffrement de la fonction de signature grâce à des sous-clés. En utilisant correctement les sous-clés, vous pouvez sécuriser votre identité GnuPG et vous remettre d'une clé compromise beaucoup plus rapidement. Alex Cabal et le Wiki de Debian proposent de bons guides pour mettre en place une configuration de sous-clés sûre.

[Étape 2.B : envoyer la clé sur un serveur et créer un certificat]

Étape 2.b Quelques étapes importantes après la création

Envoyez votre clé sur un serveur de clés

Nous allons envoyer votre clé sur un serveur de clés ; de cette façon, toute personne qui souhaite vous envoyer un message chiffré peut télécharger votre clé publique depuis Internet. Dans le menu, il y a le choix entre plusieurs serveurs, mais ce sont essentiellement des copies l'un de l'autre. Cela marchera avec n'importe lequel, mais il est bon de noter celui sur lequel vous avez envoyé votre clé pour la première fois. Rappelez-vous également qu'il faut parfois quelques heures pour que les serveurs se synchronisent lorsqu'une nouvelle clé est envoyée.

# Copiez votre identifiant de clé : gnupg --list-key [votre@adresse_de_courriel] renvoie les informations concernant votre clé publique, en particulier son identifiant (keyID) qui est une suite unique de chiffres et de lettres. Copiez cet identifiant pour pouvoir l'utiliser dans la commande suivante.

# Envoyez votre clé sur un serveur : gpg --send-key [keyID]

Exportez votre clé vers un fichier

Utilisez la commande suivante pour exporter votre clé secrète de manière à pouvoir l'importer dans votre client de messagerie dans l'étape suivante. Pour éviter qu'elle ne soit compromise, sauvegardez-la en lieu sûr et assurez-vous que, si elle doit être transférée, cela se fera en toute sécurité. Pour exportez vos clés, vous pouvez utiliser les commandes suivantes :

$ gpg --export-secret-keys -a [keyID] > ma_cle_privee.asc
$ gpg --export -a [keyID] > ma_cle_publique.asc

Créez un certificat de révocation

En prévision d'une éventuelle perte ou compromission de votre clé, vous devez prendre la précaution de créer un certificat de révocation et de le sauvegarder dans un endroit sûr de votre ordinateur (reportez-vous à l'étape 6.C pour choisir cet endroit). Cette étape est essentielle pour l'autodéfense de votre courriel, comme vous le verrez dans la section 5.

# Copiez votre identifiant de clé : gnupg --list-key [votre@adresse_de_courriel] renvoie les informations concernant votre clé publique, en particulier son identifiant (keyID) qui est une suite unique de chiffres et de lettres. Copiez cet identifiant pour pouvoir l'utiliser dans la commande suivante.

# Créez un certificat de révocation : gpg --gen-revoke --output revoke.asc [keyID]

# Comme raison de la révocation, nous vous recommandons de mettre 1 = la clé a été compromise.

# Mais il n'est pas obligatoire de donner une raison. Vous pouvez simplement taper sur « Entrée » pour laisser la ligne vide et valider votre choix.

Résolution de problèmes

Je n'arrive pas à envoyer ma clé sur le serveur
Au lieu d'utiliser la commande générale pour téléverser votre clé, vous pouvez utiliser une commande qui spécifie le serveur de clés : gpg --keyserver keys.openpgp.org --send-key [keyID]
Ma clé ne semble pas fonctionner ou cela renvoie « accès non autorisé ».

Comme pour tout fichier ou répertoire, l'accès aux clés GPG est régi par des droits. Si ces derniers ne sont pas configurés correctement, votre système n'acceptera pas vos clés. Vous pouvez suivre les étapes suivantes pour vérifier et mettre à jour ces droits.

# Vérifiez vos droits: ls -l ~/.gnupg/*

# Donnez-vous les droits de lecture, écriture et exécution, et retirez-les aux autres. Ce sont les droits recommandés pour votre répertoire.
Vous pouvez utiliser cette commande : chmod 700 ~/.gnupg

# Configurez les droits de lecture et écriture pour vous seul. C'est ce qu'on recommande pour les clés à l'intérieur de votre répertoire.
Vous pouvez utiliser ce code : chmod 600 ~/.gnupg/*

Si pour une raison quelconque vous avez créé votre propre répertoire à l'intérieur de ~/.gnupg, vous devez aussi appliquer les droits d'exécution à ce répertoire. Ces droits sont nécessaires pour ouvrir les répertoires. Pour en savoir plus, consultez ce guide détaillé.

Utilisation avancée

En savoir plus sur les serveurs de clés
Vous trouverez des informations complémentaires dans le manuel des serveurs de clés. Vous pouvez aussi exporter directement vos clés sur votre ordinateur sous forme de fichier.
Tranfert de votre paire de clés

Pour éviter qu'elle ne soit compromise, sauvegardez-la en lieu sûr et assurez-vous que si elle doit être transférée, cela se fera en toute sécurité. Pour importer et exporter une paire de clés, utilisez les commandes suivantes:

$ gpg --export-secret-keys -a [keyID] > ma_cle_privee.asc
$ gpg --export -a [keyID] > ma_cle_publique.asc
$ gpg --import ma_cle_privee.asc
$ gpg --import ma_cle_publique.asc

Assurez-vous que l'identifiant indiqué est correct et, si c'est le cas, attribuez-lui le niveau de confiance ultime.

$ gpg --edit-key [votre@adresse_de_courriel]

Puisque cette clé est la vôtre, il faut choisir ultime. Vous ne devez en aucun cas attribuer ce niveau de confiance à la clé de quelqu'un d'autre.

Reportez vous à la Résolution de problèmes de l'étape 2.B pour complément d'information sur les droits. Quand vous transférez vos clés, vos droits peuvent être modifiés et des erreurs peuvent se produire. Cela peut être facilement évité si vos répertoires et fichiers ont les droits appropriés.

#3 Configurez le chiffrement du courriel

Thunderbird (ou Icedove) possède une fonctionnalité PGP qui facilite l'utilisation du chiffrement. Dans les étapes suivantes, vous allez importer et utiliser vos clés dans ce client de messagerie.

[Étape 3A : menu du logiciel de messagerie]

[Étape 3A : importer à partir d'un fichier]

[Étape 3A : succès]

[Étape 3.A : résolution de problèmes]

Étape 3.a Configurez votre logiciel de messagerie pour le chiffrement

Lorsque vous aurez configuré le chiffrement de votre courriel, vous pourrez commencer à contribuer au trafic chiffré sur internet. D'abord, nous allons demander à votre client de messagerie d'importer votre clé secrète et nous allons aussi apprendre comment trouver les clés publiques de vos correspondants sur les serveurs de clés, pour que vous puissiez envoyer et recevoir du courriel chiffré.

# Ouvrez votre client de messagerie et allez dans « Outils » → Gestionnaire de clés OpenPGP

# Dans « Fichier » → Importer une ou des clés secrètes depuis un fichier

# sélectionnez le fichier que vous avez sauvegardé sous le nom [ma_cle_privee.asc] à l'étape 2.B quand vous avez exporté votre clé.

# Déverrouillez avec votre phrase secrète.

# Vous verrez s'afficher « Les clés OpenPGP ont été correctement importées. »

# Allez dans « Paramètres des comptes » → « Chiffrement de bout en bout », assurez-vous que votre clé a été importée et choisissez Traiter cette clé comme une clé personnelle.

Résolution de problèmes

Je voudrais vérifier que l'importation s'est bien passée
Allez dans « Paramètres des comptes » → « Chiffrement de bout en bout ». Vous pouvez voir si l'identifiant de la clé personnelle associée à ce compte est bien présent. S'il n'y est pas, vous pouvez refaire l'étape Ajouter une clé après avoir vérifié que vous possédez une clé secrète active pour ce compte.

#4 Essayez !

[Dessin d'une personne et d'un chat dans une maison connectée à un serveur]

Maintenant vous allez faire un essai : correspondre avec un programme de la FSF, nommé Edward, qui sait comment utiliser le chiffrement. Sauf indication contraire, ces étapes sont les mêmes que lorsque vous correspondrez avec un personne vivante.

 [Étape 4.A : envoyer votre clé à Edward] 

Étape 4.A Envoyez votre clé publique à Edward

C’est une étape un peu particulière que vous n’aurez pas à faire quand vous correspondrez avec de vraies personnes. Dans le menu de votre logiciel de messagerie, allez dans « Outils » → « Gestionnaire de clés OpenPGP ». Vous devriez voir votre clé dans la liste qui apparaît. Faites un clic droit dessus et sélectionnez Envoyer une ou des clés publiques par courriel. Cela créera un nouveau brouillon de message, comme si vous aviez cliqué sur le bouton « Écrire », à part que votre clé publique apparaîtra en pièce jointe.

Remplissez le champ d’adresse du destinataire avec l’adresse edward-fr@fsf.org. Mettez au moins un mot (ce que vous souhaitez) dans le sujet et le corps du message. Ne l'envoyez pas tout de suite.

Nous voulons qu'Edward puisse ouvrir le message avec votre clé publique, ce premier message ne sera donc pas chiffré. Allez dans le menu « Sécurité » et choisissez Ne pas chiffrer.Ensuite seulement, envoyez le message.

Cela peut prendre deux ou trois minutes à Edward pour répondre. Entre-temps, vous pourriez aller voir la section de ce guide intitulée « Les bonnes pratiques ». Une fois que vous aurez reçu la réponse d'Edward, allez à l’étape suivante. Désormais, vous aurez simplement à faire la même chose lorsque vous correspondrez avec une vraie personne.

Lorsque vous ouvrirez la réponse d'Edward, GnuPG vous demandera peut-être votre phrase secrète avant d'utiliser votre clé privée pour la déchiffrer.

[Étape 4.B, option 1 : vérifier une clé]

[Étape 4.B, option 2 : importer une clé]

Étape 4.b Envoyez un courriel de test chiffré

Récupérez la clé d'Edward

Pour chiffrer un message destiné à Edward, vous avez besoin de sa clé publique. Il vous faut donc la télécharger d'un serveur de clés. Il y a deux méthodes :

Option 1. Dans le message que vous avez reçu d'Edward en réponse à votre premier courriel, il y avait sa clé publique. À la droite du message, juste au-dessus du texte, vous verrez un bouton « OpenPGP » avec un cadenas et une roue dentée juste à côté. Cliquez sur la roue et cliquez sur Rechercher… qui se trouve à côté du texte « Ce message a été signé avec une clé que vous ne possédez pas encore. » Les détails de la clé d'Edward s'afficheront.

Option 2. Ouvrez le gestionnaire de clés OpenPGP. Dans le menu « Serveur de clés », choisissez Rechercher des clés en ligne, puis remplissez le formulaire avec l'adresse edward@fsf.org et importez sa clé.

L'option Acceptée (non vérifiée) va ajouter cette clé à votre gestionnaire de clés ; elle peut désormais être utilisée pour envoyer des courriels chiffrés à Edward ou vérifier ses signatures numériques.

Dans la fenêtre « Clés correctement importées » → « Propriétés de la clé », vous verrez plusieurs adresses. C'est normal ; vous pouvez importer la clé en toute sécurité.

Puisque vous avez chiffré ce courriel avec la clé publique d'Edward, la clé privée d'Edward est nécessaire pour le déchiffrer. Edward est le seul à posséder cette clé privée, donc personne à part lui ne peut le déchiffrer.

Envoyez un courriel de test chiffré

Dans votre logiciel de messagerie, préparez un nouveau courriel adressé à edward-fr@fsf.org. Écrivez « Test de chiffrement » ou quelque chose d’approchant dans le champ de sujet, et mettez quelque chose dans le corps du message.

Cette fois-ci, choisissez Exiger le chiffrement dans le menu « Sécurité », puis envoyez le message.

Résolution de problèmes

Le destinataire est invalide, n'est pas de confiance ou n'a pas été trouvé
Vous verrez peut-être le message d'erreur ci-dessus, ou bien quelque chose de ce genre : « Impossible d’envoyer ce message avec un chiffrement de bout en bout, car il y a des problèmes avec les clés des destinataires suivants : ... » Cela peut vouloir dire que vous essayez d'envoyer un message chiffré à quelqu'un dont vous ne possédez pas encore la clé publique. Revenez aux étapes précédentes pour importer cette clé dans votre gestionnaire et ouvrez-le pour vérifier que la clé du destinataire est dans la liste.
Impossible d'envoyer le message
« Impossible d’envoyer ce message avec un chiffrement de bout en bout, car il y a des problèmes avec les clés des destinataires suivants : edward-fr@fsf.org. » peut vouloir dire que vous avez importé la clé d'Edward avec l'option « Non acceptée (aucune décision) ». Allez dans « Propriétés de la clé » en cliquant sur cette clé dans le gestionnaire, puis (dans « Votre acceptation », en bas de la fenêtre) choisissez l'option Oui, mais je n’ai pas vérifié qu’il s’agit de la bonne clé. Ensuite, envoyez le message à nouveau.
Je ne trouve pas la clé d'Edward.
Fermez les fenêtres qui sont apparues quand vous avez cliqué sur Envoyer. Assurez-vous que vous êtes connecté à Internet et réessayez. Si cela ne marche pas, vous pouvez télécharger la clé manuellement depuis le serveur de clés et l'importer en utilisant l'option Importer une ou des clés publiques depuis un fichier.
Messages déchiffrés dans le dossier Envoyés
Bien que vous ne puissiez pas déchiffrer les messages chiffrés avec la clé publique de quelqu'un d'autre, votre client de messagerie en enregistrera automatiquement une copie chiffrée avec votre propre clé publique. Vous pourrez la voir dans le dossier Envoyés, comme n'importe quel autre courriel. Ceci est normal et ne signifie pas que votre message a été envoyé non chiffré.

Utilisation avancée

Chiffrer des messages en ligne de commande
Vous pouvez également chiffrer et déchiffrer messages ou fichiers en ligne de commande si vous préférez. L'option --armor présente le résultat du chiffrement comme une suite de caractères ASCII (alphabet de base et chiffres).

Important : Conseils pour votre sécurité

Même si vous chiffrez vos courriels, le sujet n'est pas chiffré, donc évitez d'y mettre des informations sensibles. Comme les adresses des émetteurs et destinataires ne sont pas chiffrées non plus, un système espion peut déterminer qui communique avec qui. De plus, les services de surveillance sauront que vous utilisez GnuPG, même s'ils ne peuvent pas comprendre ce que vous dites. Quand vous enverrez une pièce jointe, vous pouvez choisir de la chiffrer ou non, indépendemment du message lui-même.

Pour vous prémunir de certaines attaques potentielles, vous pouvez désactiver le rendu HTML au profit du simple texte. Dans Thunderbird ou Icedove, cette option est ici : « Affichage » → « Corps du message en » → Texte seul.

[Étape 4.C : la réponse d'Edward]

Étape 4.c Recevez une réponse

Quand Edward recevra votre courriel, il utilisera sa clé privée pour le déchiffrer, puis vous répondra.

Cela peut prendre deux ou trois minutes à Edward pour vous répondre. Pendant ce temps, vous pouvez aller plus avant dans ce guide et consulter la section « Les bonnes pratiques ».

Edward vous répondra par un courriel chiffré disant que votre message a été reçu et déchiffré. Votre client de messagerie déchiffrera automatiquement le message d'Edward.

Un marqueur vert sur le cadenas du bouton OpenPGP indiquera que le message est chiffré, et un petit triangle orange sur la roue dentée indiquera que vous avez accepté la clé mais ne l'avez pas vérifiée. Si vous n'aviez pas encore accepté la clé, vous verriez un point d'interrogation à la place du triangle. Un clic sur ces icônes fait apparaître les propriétés de la clé.

Étape 4.d Envoyez un courriel de test signé

GnuPG inclut un moyen de signer vos messages et vos fichiers. Ces signatures attestent qu'ils proviennent bien de vous et qu'ils n'ont pas été altérés en chemin. Elles sont plus robustes que leurs cousines d'encre et de papier car elles sont impossibles à imiter. Il est en effet impossible de les créer sans votre clé privée (encore une bonne raison de conserver cette dernière bien à l'abri !)

Vous pouvez signer tous vos messages, quel que soit le destinataire ; c'est donc un excellent moyen de faire savoir aux gens que vous utilisez GnuPG et qu'ils peuvent communiquer avec vous en toute sécurité. S'ils n'ont pas GnuPG, ils pourront tout de même lire votre message et voir votre signature. S'ils utilisent GnuPG, ils pourront également vérifier que votre signature est authentique.

Pour signer un courriel destiné à Edward, écrivez un message à son adresse et cliquez sur l'icône du crayon à côté du cadenas. Elle deviendra jaune. Si vous signez un message, GnuPG vous demandera peut-être votre phrase secrète avant l'envoi car il a besoin de déverrouiller votre clé privée pour signer.

Dans « Paramètres des comptes » → « Chiffrement de bout en bout » vous pouvez cocher Ajouter ma signature numérique par défaut.

Étape 4.e Recevez une réponse

Quand Edward recevra votre courriel, il utilisera votre clé publique (que vous lui avez envoyée à la Section 3.a) pour vérifier que le message n'a pas été altéré et pour chiffer une réponse.

Cela peut prendre deux ou trois minutes à Edward pour vous répondre. Pendant ce temps, vous pouvez aller plus avant dans ce guide et consulter la section « Les bonnes pratiques ».

La réponse d'Edward arrivera chiffrée, parce qu'il préfère utiliser le chiffrement dans la mesure du possible. Si tout se passe comme prévu, le message doit contenir « Votre signature a été vérifiée. » Si votre courriel de test était également chiffré, il le mentionnera en premier.

Quand vous allez recevoir le courriel d'Edward et l'ouvrir, votre client de courriel va automatiquement détecter qu'il est chiffré avec votre clé publique et va utiliser votre clé privée pour le déchiffrer.

#5 Découvrez la « toile de confiance »

[Dessin de plusieurs clés interconnectées par un réseau de lignes]

Le chiffrement de courriel est une technologie puissante, mais il a une faiblesse : il requiert un moyen de vérifier que la clé publique d'une personne est effectivement la sienne. Autrement, il n'y aurait aucun moyen d'empêcher un attaquant de créer une adresse de courriel avec le nom d'un de vos amis, et des clés assorties permettant de se faire passer pour lui. C'est pourquoi les programmeurs de logiciel libre qui ont développé le chiffrement de courriel ont créé la signature de clé et la toile de confiance.

En signant la clé de quelqu'un, vous dites publiquement qu'après vérification vous êtes sûr qu'elle lui appartient, à lui et à personne d'autre.

La signature des clés et la signature des messages font appel au même genre d'opération mathématique, mais ont des implications très différentes. C'est une bonne pratique de signer vos courriels d'une manière générale, mais si vous signez les clés d'autres personnes sans faire attention, vous pouvez accidentellement vous porter garant de l'identité d'un imposteur.

Les gens qui utilisent votre clé publique peuvent voir qui l'a signée. Lorsque vous aurez utilisé GnuPG suffisamment longtemps, votre clé aura peut-être des centaines de signatures. Vous pouvez considérer une clé comme d'autant plus fiable qu'elle porte les signatures de nombreuses personnes à qui vous faites confiance. La toile de confiance est une constellation d'utilisateurs de GnuPG reliés entre eux par des chaînes de confiance exprimées au travers des signatures.

[Section 5 : faire confiance à une clé]

Étape 5.a Signez une clé

Dans le menu de votre logiciel de messagerie, allez dans le gestionnaire de clés OpenPGP, faites un clic droit sur la clé d'Edward et choisissez Propriétés de la clé.

Sous « Votre acceptation », vous pouvez sélectionner Oui, j'ai vérifié en personne que l'empreinte de cette clé est correcte.

Vous venez juste de dire « Je crois que la clé publique d'Edward appartient effectivement à Edward. » Cela ne signifie pas grand chose étant donné qu'Edward n'est pas une personne réelle, mais c'est un bon entraînement, et pour les personnes réelles c'est important. Vous en apprendrez plus sur la signature de clé dans la section Vérifier les identifiants avant de signer.

Identification des clés : empreinte et ID

Les clés publiques sont généralement identifiées par leur empreinte, une suite de caractères du genre F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (pour la clé d'Edward). Pour voir l'empreinte de votre clé publique et des autres clés publiques stockées dans votre ordinateur, ouvrez le gestionnaire de clés OpenPGP dans le menu de votre programme de messagerie, puis faites un clic droit sur la clé en question et choisissez « Propriétés de la clé ». Il est souhaitable de communiquer votre empreinte de clé en même temps que votre adresse de courriel, pour que les gens puissent vérifier qu'ils ont la bonne clé publique lorsqu'ils la téléchargent d'un serveur.

Il arrive qu'une clé publique soit désignée par un identifiant de huit caractères (keyID). C'est ce qu'on voit dans le gestionnaire de clés. Le keyID était utilisé auparavant pour l'identification, ce qui était alors sans danger, mais il est devenu non fiable. Vous devez vérifier l'empreinte complète pour vous assurer qu'il s'agit bien d'une clé appartenant à la personne que vous essayez de contacter. Les tentatives d'usurpation sont malheureusement courantes ; cela consiste à générer intentionnellement une clé dont les huit derniers caractères sont identiques à ceux d'une autre.

Important : Ce qu'il faut regarder quand on signe des clés

Avant de signer la clé d'une personne, vous devez vous assurer que cette clé lui appartient vraiment et qu'elle est bien qui elle prétend être. L'idéal serait que cette confiance s'établisse au fil du temps par des interactions et des conversations, ainsi que par l'observation de ses interactions avec les autres. Lorsque vous signez une clé, demandez à voir l'empreinte complète de la clé publique (et non pas l'identifiant court). Si vous estimez important de signer la clé d'une personne rencontrée pour la première fois, demandez-lui également de vous montrer une pièce d'identité et assurez-vous que le nom correspond bien à celui du propriétaire de la clé publique.

Utilisation avancée

Maîtrisez le réseau de confiance
Malheureusement, la confiance ne se propage pas entre utilisateurs de la manière qu'imaginent beaucoup de gens. Une des meilleures façons de renforcer la communauté GnuPG est de comprendre en profondeur le réseau de confiance et de signer avec précaution autant de clés d'autres personnes que le permettent les circonstances.

#6 Les bonnes pratiques

Chaque personne utilise GnuPGP à sa manière, mais il est important de suivre certaines pratiques de base pour garantir la sécurité de vos courriels. Ne pas les suivre peut constituer un risque pour la vie privée des personnes avec qui vous communiquez, de même que pour la vôtre, et peut être dommageable pour la toile de confiance.

[Section 6 : les bonnes pratiques (carte de visite comportant une empreinte de clé)]

Quand dois-je chiffrer ? Quand dois-je signer ?

Plus vous chiffrez de messages, mieux c'est. En effet, si vous ne chiffrez qu'occasionnellement votre courriel, chaque message chiffré pourrait alerter les systèmes de surveillance. Si tout votre courriel est chiffré, ou presque, les gens qui vous espionnent ne sauront pas par où commencer. Cela ne signifie pas que chiffrer uniquement certains de vos messages soit inutile. C'est un excellent début et cela complique la surveillance de masse.

À moins que vous ne souhaitiez pas révéler votre identité (ce qui requiert d'autres mesures de protection), il n'y a aucune raison de ne pas signer tous vos messages, chiffrés ou non. Non seulement cela permet aux utilisateurs de GnuPG de vérifier que ce message provient bien de vous, mais c'est aussi une méthode non intrusive de rappeler à chacun que vous utilisez GnuPG et de promouvoir les communications sécurisées. Si vous envoyez régulièrement des courriels signés à des persones non familières de GnuPG, il est bon d'ajouter un lien vers ce guide à votre signature (celle qui fait partie du message, pas la signature cryptographique).

[Section 6 : les bonnes pratiques (mot de passe et enveloppe)]

Soyez attentif aux clés non valides

GnuPG rend le courriel plus sûr, mais il est tout de même important de faire attention aux clés non valides, qui ont pu tomber entre de mauvaises mains. Un message chiffré avec une clé non valide est lisible par des programmes de surveillance.

Dans votre logiciel de messagerie, revenez au premier courriel chiffré qu'Edward vous a envoyé. Comme il l'a chiffré avec votre clé publique, il y aura un marqueur vert sur le cadenas du bouton « OpenPGP ».

Lorsque vous utilisez GnuPG, prenez l'habitude de jeter un coup d'œil à ce bouton. C'est là que vous verrez une alerte si vous recevez un courriel signé avec une clé non fiable.

Sauvegardez votre certificat de révocation en lieu sûr

Vous vous souvenez de l'étape où vous avez créé vos clés et enregistré le certificat de révocation produit par GnuPG ? Il est maintenant temps de copier ce certificat sur l'équipement de stockage le plus sûr que vous ayez : périphérique flash, disque amovible ou disque dur stocké dans un endroit sûr de votre maison, pas dans un appareil que vous gardez sur vous habituellement. En fait, le moyen le plus sûr que nous connaissons est d'imprimer le certificat de révocation et de garder le papier en lieu sûr.

Si jamais votre clé privée devait être perdue ou volée, vous auriez besoin de ce certificat pour prévenir les gens que vous n'utilisez plus cette paire de clés.

IMPORTANT : AGISSEZ RAPIDEMENT si quelqu'un s'empare de votre clé privée

Si vous perdez votre clé privée ou si quelqu'un s'en empare (par vol ou intrusion dans votre ordinateur), il est important de la révoquer immédiatement avant qu'un inconnu ne l'utilise pour lire vos courriels chiffrés ou imiter votre signature. Ce guide ne couvre pas la révocation de clé, mais vous pouvez suivre ces instructions. Une fois la révocation faite, créez une nouvelle clé et envoyez-la à chaque personne avec qui vous aviez l'habitude d'utiliser l'ancienne, en leur disant que cette dernière n'est plus valable.

GnuPG et le webmail

Lorsque vous accédez à vos courriels depuis un navigateur, vous utilisez un webmail, un programme de courriel localisé sur un site distant. Au contraire du webmail, votre programme de messagerie tourne sur votre ordinateur. Bien que le webmail ne puisse déchiffrer le courriel chiffré, il l'affichera quand même sous forme chiffrée. Si vous utilisez majoritairement un webmail, vous saurez ainsi que c'est le moment de lancer votre logiciel de messagerie pour lire le message en clair.

Intégrez votre clé publique à votre identité numérique

Tout d'abord, ajoutez votre empreinte de clé publique à votre signature de courriel, puis écrivez un message à au moins cinq de vos amis pour leur dire que vous venez d'installer GnuPG et pour leur donner votre empreinte de clé. Faites un lien vers ce guide et demandez-leur de vous rejoindre. N'oubliez pas qu'il y a aussi une magnifique infographie à partager.

Ensuite, commencez à mettre votre empreinte de clé partout où on peut voir votre adresse de courriel : vos profils sur les média sociaux, ainsi que vos blogs, sites web et cartes de visite (à la Free Software Foundation, nous mettons les nôtres sur les pages présentant nos équipes). Nous devons cultiver notre habitude du chiffrement au point de ressentir un manque lorsque nous voyons une adresse de courriel sans empreinte de clé.

Excellent travail ! Et maintenant, voyons la suite…