Vous avez toujours voulu chiffrer vos mails, mais vous ne savez pas comment faire ? Voilà un guide exhaustif et pas à pas pour vous expliquer comment protéger votre correspondance. Certifié compréhensible pour les débutants !

Les révélations spectaculaires d’Edward Snowden sur la surveillance généralisée des communications électroniques vous ont enfin convaincu de changer vos habitudes sur Internet afin de préserver vraiment la confidentialité de vos discussions avec vos proches ? Alors il est grand temps que vous vous mettiez à chiffrer votre courrier électronique, afin que personne ne puisse lire votre correspondance.

Malheureusement, la sécurisation des mails ne se fait pas (encore) d’un claquement de doigt. Pour que vos messages bénéficient effectivement d’un bon niveau de protection, il va vous falloir au préalable installer quelques logiciels sur l’ordinateur et régler un certain nombre de paramètres. Rassurez-vous : ces étapes ne sont pas bien compliquées. En réalité, le plus dur sera de changer ses habitudes.

Dans ce guide, nous avons fait le choix de focaliser notre attention sur Windows.

La raison est simple : le système d’exploitation de Microsoft est celui qui est le plus répandu. Cet article est donc susceptible d’aider un nombre plus important de personnes que si nous avions pris comme point de départ une distribution Linux ou Mac OS X. Mais dans les faits, les explications données pour Windows ne sont pas très différentes de celles que l’on pourrait donner pour d’autres plateformes.

Réunir les applications nécessaires

1 — Thunderbird, le client de messagerie

Pour commencer, il va vous falloir un client de messagerie. C’est par lui que l’on recevra le courrier électronique et que l’on effectuera ensuite les opérations de chiffrement et de déchiffrement des messages. Notre choix s’est porté sur Thunderbird. Il s’agit d’un logiciel dont le développement se fait sous l’égide de la fondation Mozilla, qui édite également le célèbre navigateur web Firefox.

Plusieurs raisons justifient l’utilisation de Thunderbird.

Non content d’être gratuit, il s’agit d’un programme dont le code source peut être vérifié par tous à n’importe quel moment. C’est donc un logiciel dans lequel on peut avoir raisonnablement confiance, puisqu’il est bien plus difficile d’y cacher durablement des portes dérobées ou du code malveillant : il ne faudrait pas longtemps pour que qulqu’un tombe dessus et donne l’alerte.

En outre, il peut recevoir des extensions, ce qui sera très pratique pour la suite.

Mozilla Thunderbird
Thunderbird

2 — GPG4Win, le client de chiffrement

Il vous faudra ensuite télécharger Gpg4win. C’est ce programme qui aura la responsabilité de chiffrer et déchiffrer votre courrier, comme son nom le laisse deviner (il signifie « GPG pour Windows »). Et comme Thunderbird, il s’agit d’un logiciel libre dont le code source peut être contrôlé à tout moment par n’importe quel utilisateur, s’il en a les compétences, ce qui limite là encore les risques de tomber sur un programme vérolé.

Gpg4win est un outil qui n’a pas besoin de beaucoup d’attention de votre part. Une fois que vous l’aurez téléchargé et installé sur l’ordinateur, il n’y aura plus besoin de s’occuper de lui. En effet, c’est à travers Thunderbird et Enigmail (voir ci-dessous) que le logiciel sera sollicité.

3 — Enigmail, l’extension qui fait la liaison

Le dernier logiciel à installer est Enigmail. Il s’agit d’un module complémentaire qui vient se greffer à Thunderbird. Son rôle est de lier Thunderbird et Gpg4win. Cette extension peut être récupérée directement depuis le client de messagerie.

Pour cela, cliquez sur le menu « Outils » en haut du logiciel et sélectionnez « Modules complémentaires ». Un nouvel onglet s’ouvre alors. Tapez Enigmail dans le champ de recherche prévu à cet effet pour trouver le programme et lancer le téléchargement. Une fois cette étape achevée, Thunderbird devra redémarrer pour finaliser l’installation.

Comment configurer thunderbird pour pgp ?

Une fois que vous avez installé ces trois programmes, il va falloir ajouter votre compte de messagerie pour pouvoir consulter vos messages dans Thunderbird. Si ce n’est pas déjà fait, rendez-vous dans le menu « Fichier » puis « Nouveau » et sélectionner « Compte courrier existant ». Là, vous devez rentrer votre identifiant, votre adresse de courrier électronique et votre mot de passe, sinon vous ne pourrez pas voir vos mails.

Ces données sont conservées par Thunderbird pour vous garantir un accès à vos boîtes aux lettres dans le temps, mais elles ne sont pas récupérées par Mozilla.

Si vous utilisez Gmail comme boîte de messagerie, Thunderbird réussira à récupérer les paramètres IMAP et POP3 appropriés. Idem pour les principaux services concurrents ainsi que les boîtes aux lettres mis à disposition par les grands opérateurs (Orange, Free, SFR…). Si ce n’est pas le cas, il vous faudra inscrire vous-même les réglages adéquats ou vérifier que vous n’avez pas fait d’erreur en tapant votre mail ou votre mot de passe.

Création d'un compte courrier
Entrez votre adresse électronique et votre mot de passe. Thunderbird devrait parvenir à configurer automatiquement votre compte.

Qu’est-ce qu’une clé cryptographique ?

La prochaine étape consiste à créer vos clés cryptographiques. La première, qui sera privée, doit précieusement rester secrète, tandis que la seconde, qui sera publique, devra au contraire être distribuée aux contacts avec qui vous souhaitez pouvoir discuter en ayant l’assurance que vos échanges resteront secrets même s’ils sont interceptés. C’est par Enigmail, via Thunderbird, que la création s’effectue.

Mais avant cela, il faut comprendre comment les clés fonctionnent dans le cadre d’une cryptographie asymétrique. C’est avec la clé privée que les messages sont signés. Cette opération permet de certifier que l’expéditeur est bien celui qui est à l’origine du message qui vient d’être reçu et qu’il n’a pas été altéré lors de son acheminement. Cette vérification se fait du côté du destinataire, avec la clé publique correspondante.

C’est la même chose pour le chiffrement. Les messages sont rendus illisibles avec la clé publique de celui à qui l’on s’adresse, et ce dernier utilisera alors sa clé privée pour déchiffrer le message de son contact. Et si ce dernier veut répondre, il utilisera la clé publique de l’émetteur. Celui-ci utilisera alors sa clé privée pour déchiffrer le courrier reçu en retour.

Cryptographie asymétrique
CC odder — Bob chiffre le message avec la clé publique d’Alice (coloriée en vert) et envoie le texte chiffré. Alice déchiffre le message grâce à sa clé privée (coloriée en rouge).

comment créer sa clé dans enigmail ?

Pour créer vos clés cryptographiques, vous devez vous rendre dans le menu « Enigmail » et sélectionner « Assistant de configuration ». Choisissez ensuite la première option : « je préfère la configuration standard », qui est la plus adaptée si vous débutez avec PGP. Cliquez sur suivant et optez pour « je veux créer une nouvelle paire de clefs pour signer et chiffrer mes messages  ». Validez ensuite avec « Suivant ».

À partir de là, vous verrez un rappel sur le principe des clés privée et publique et sur le rôle que joue la phrase secrète. C’est comme un mot mot de passe : vous devez inscrire au moins 8 caractères (chiffre, lettre et symbole). Faites en sorte d’en créer complexe mais que vous êtes capable de mémoriser. Choisissez ensuite le compte mail auquel vous comptez rattacher vos clés cryptographiques, puis passez à l’étape suivante.

À ce moment-là, les clés sont générées.

Création de clé
Processus de création des clés cryptographiques.

À l’issue de ce processus, vous devrez créer un certificat de révocation qu’il vous faudra conserver précieusement. C’est en effet avec celui-ci que vous pourrez dire aux autres utilisateurs que vos clés cryptographiques ne sont plus valides pour une raison ou pour une autre (parce qu’elles ont été compromises ou parce qu’elles sont sur le point d’expirer et que vous comptez en utiliser de nouvelles).

Le certificat de révocation « est utilisable pour invalider votre clef publique, en cas de perte de votre clef privée. Veuillez le transférer sur un support pouvant être stocké en sécurité comme un CD ou une disquette. Si quelqu’un met la main sur ce certificat, il pourra rendre votre clef inutilisable » prévient Enigmail. Une fois que vous avez validé cette partie, Enigmail annonce qu’il est « maintenant prêt à l’emploi ».

Vous pouvez vérifier l’existence de vos clés cryptographiques en vous rendant à nouveau dans la gestion de clés. Vous verrez dans le champ principal votre mail. Si vous faites un clic droit dessus, vous verrez de nombreuses actions possibles : tout en bas, dans « Propriété de la clé » vous verrez notamment le type d’algorithme utilisé (RSA), la taille de la clé (4096 bits), la date de création et la date d’expiration.

Comment diffuser sa clef publique ?

Maintenant que vous êtes en possession de votre clé publique, il va falloir la diffuser. C’est en effet avec elle que vos correspondants pourront vous adresser des messages chiffrés. Il existe deux grandes manières de communiquer votre clé publique. La première consiste à l’attacher en pièce-jointe dans un courrier électronique, tandis que l’autre nécessite de la publier sur des serveurs de clés.

Si vous optez pour la première méthode, il vous faudra ouvrir Thunderbird et cliquer sur le bouton « Écrire ». Préparez votre e-mail comme d’habitude, en choisissant le ou les destinataires, en indiquant l’objet du message et en rédigeant votre courrier. Ensuite, cliquez simplement sur le bouton « Attacher ma clé publique », puis sur le bouton « Envoyer ». Le mail est parti.

C’est la clé publique qui doit être diffusée. Il ne faut surtout pas partager sa clé privée.

À noter qu’en fonction des réglages activés dans Enigmail, vous pourrez voir un message vous demandant s’il faut chiffrer et / ou signer le courrier et sa pièce-jointe. Puisque n’avez pas encore transmis votre clé publique, il ne faut pas encore chiffrer votre message (sinon il sera inexploitable). Cependant, vous pouvez le signer. Dans ce cas-là, il vous faudra renseigner la phrase de passe pour finaliser l’envoi.

Si vous choisissez la seconde solution, ouvrez Thunderbird et cliquez dans le menu « Enigmail » puis « Gestion de clés ». Une nouvelle fenêtre s’ouvre alors. Allez dans le menu « Serveur de clés » et cliquez sur « Envoyer les clés publiques ». L’envoi se fait alors sans plus attendre. Les serveurs de clés constituent une bonne solution pour diffuser plus largement sa clé publique et pour trouver et récupérer celles d’autres personnes.

Une mise en garde de taille s’impose néanmoins : il est absolument impossible d’effacer les informations que vous enverrez sur un serveur de clés. Une fois que vous avez mis en ligne votre clé publique, elle restera toujours accessible : tout ce que vous pourrez faire, c’est la révoquer pour indiquer aux autres utilisateurs que vous ne la jugez plus fiable. Et même ainsi, elle restera en ligne et accessible par tous.

Il est donc essentiel de bien réfléchir à la question. Les serveurs de clés sont effectivement pratiques, mais leur mode de fonctionnement fait que les informations d’identité que vous enverrez ne pourront en aucun cas être supprimées par la suite. Faites-le ou ne le faites pas, mais il n’y a pas d’essai.

Il n’est pas possible de supprimer les clés envoyées sur les serveurs de clés. Vous ne pourrez que les révoquer.

Comment récupérer une clef PGP publique ?

Pour obtenir de clés publiques, vous avez plusieurs possibilités. Si vous connaissez des proches qui utilisent PGP, vous pouvez d’abord leur demander de vous envoyer en pièce jointe leur clé publique. Si vous en obtenez une, cliquez sur le mail puis, en bas du message, faites un clic droit sur la pièce jointe. Vous devriez avoir l’option « Importez une clé OpenPGP ». Si le processus réussit, une fenêtre Enigmail vous l’indiquera.

Vous pouvez aussi récupérer des clés publiques depuis un fichier. Pour cela, passez par le menu « Enigmail », puis « Gestion de clés ». Dans la nouvelle fenêtre, cliquez sur le menu « Fichier » et « Importer des clés depuis un fichier ». Sélectionnez le fichier en question (son extension doit être .asc, .gpg ou .pgp). Si l’importation se déroule bien, vous recevrez là encore un message de confirmation.

Il est enfin possible de passer par un serveur de clés pour obtenir des clés publiques. Toujours dans la fenêtre de gestion de clés, cliquez sur « Serveur de clés » et « Trouver les clés pour tous les contacts ». Cette instruction peut toutefois nécessiter un temps particulièrement long avant d’aboutir. Vous pouvez également chercher des clés en particulier en inscrivant son identifiant dans le champ prévu à cet effet.

Comment signer un mail avec pgp ?

Si vous voulez simplement signer un mail sans le chiffrer, il suffit de le préparer en cliquant sur le bouton « Écrire ». Vérifiez ensuite les paramètres d’Enigmail : le bouton avec un cadenas doit être décoché, mais pas celui avec l’icône en forme de crayon. Si c’est le cas, vous verrez une phrase sur la droite indiquant « Ce message sera signé ». Ces réglages peuvent aussi être effectués en cliquant sur le bouton « Enigmail ».

Lors de l’envoi, une fenêtre pourra apparaître en indiquant que vous devez entrer la phrase de passe pour déverrouiller la clef secrète pour le certificat OpenPGP. Une fois cette étape effectuée, le mail sera envoyé.

La signature cryptographique d’un mail avec PGP permet de garantir la provenance du courrier électronique et de s’assurer que son contenu n’a pas été altéré. Dans votre boîte d’envoi ou si vous recevez un mail signé, vous verrez la forme particulière que prend le message, puisque son contenu est encadré par des informations PGP destinées à confirmer l’intégrité du message.

Mail signé
Un exemple de mail chiffré, avec un bandeau vert indiquant l’identifiant de la clé et la date de la signature.

comment chiffrer et déchiffrer un mail avec pgp ?

Pour le chiffrement d’un mail, le processus est identique à la signature cryptographique. Lors de l’envoi du mail, vous devez prendre garde à cocher bouton avec un cadenas. Vous pouvez également, si vous le souhaitez, signer le message chiffré en cochant l’icône en forme de crayon. En fonction de vos préférences, Enigmail précisera si le mail est chiffré ou s’il est chiffré et signé.

Contrairement à la signature cryptographique, qui ne peut préserver la confidentialité du message en cas d’interception, le chiffrement permet de garantir que celui-ci demeurera illisible tant que l’assaillant ne possède pas la clé privée (d’où l’intérêt de la garder à l’abri et de ne jamais la partager). Le mail est alors inexploitable, puisqu’il n’est plus qu’un mélange de lettres, de chiffres et de symboles sans signification particulière.

À noter que le chiffrement du mail ne concerne que le corps du texte et les éventuelles pièces jointes que vous attacherez. Ce processus ne concerne ni les métadonnées du mail ni son objet. Il est donc conseillé de ne pas mettre une information que vous jugez sensible dans ce champ. Gardez-la pour le mail lui-même et préférez une phrase plutôt générale, qui n’en dit pas trop.

Pour le déchiffrement d’un mail chiffré envoyé par un correspondant dont vous avez déjà la clé publique, rien de plus simple. Il suffit de cliquer sur le message reçu et Thunderbird ouvrira une fenêtre dans laquelle vous devrez entrer votre phase de passe. Une fois cela fait, le déchiffrement aura lieu et vous pourrez prendre connaissance du courrier envoyé par l’émetteur.

Mail chiffré
Exemple de mail chiffré. Pour déchiffrer le texte, il faut au préalable indiquer la phrase de passe qui déverrouillera l’utilisation de la clé privée.

comment révoquer une clé cryptographique ?

Les clés que vous créez avec Enigmail ont par défaut une durée de vie de cinq ans. Une fois l’échéance passée, elles ne sont plus considérées comme fiables (il existe toutefois des astuces pour prolonger leur durée de vie). Mais pour une raison ou pour une autre, vous pourriez avoir besoin de les révoquer plus tôt : par exemple parce que votre clé privée a été compromise ou parce que vous désirez en créer une plus robuste.

Dans ce cas-là, la méthode la plus simple est de vous rendre dans la fenêtre de gestion de clés et de cliquer droit sur celle que vous souhaitez révoquer. Vous trouverez alors l’option correspondante. Validez l’option et entrez la phase de passe associée à la clé. Vous verrez alors un message de confirmation vous indiquant le message suivant :

« La clef a été révoquée. Si cette clef est disponible sur un serveur de clefs, il est recommandé de l’envoyer à nouveau afin que les autres utilisateurs puissent voir la révocation ». Dans ce cas-là, cliquez droit sur la clé révoquée (qui est maintenant grisée dans le gestionnaire) et appuyez sur « Envoyer les clés publiques sur un serveur de clés ». De cette façon, les autres sauront que la clé n’est plus fiable.

Une clé révoquée ne peut plus signer ou chiffrer de nouveaux mails, mais elle peut encore être utilisée pour déchiffrer les anciens messages.

Une mise en garde s’impose. En révoquant une clé, vous ne serez plus en mesure de signer avec, et une fois distribuée, d’autres utilisateurs ne seront plus en mesure de chiffrer en l’utilisant. Mais il sera toujours possible s’en servir pour déchiffrer les anciens messages qui étaient chiffrés avec cette clé.

Vous pouvez également révoquer une clé en utilisant le certificat de révocation qui a été généré au moment de la création des clés cryptographiques. Si vous ne l’avez pas détruit par inadvertance et réussissez à remettre la main dessus, il vous suffira de vous rendre dans le gestionnaire de clés et de suivre le chemin « Fichier » puis « Importer des clefs depuis un fichier ». Choisissez le bon fichier et validez.

L’import est alors réussi et la clé révoquée (elle doit être grisée et en italique dans le gestionnaire). Comme avec la première méthode, il vous faudra sans doute actualiser l’information sur les serveurs de clés, si vous aviez envoyé préalablement votre clé publique dessus. De cette façon, les autres utilisateurs sauront à quoi s’en tenir et privilégieront une clé valide.

Partager sur les réseaux sociaux

Articles liés