Chiffrez vos mails sans prise de tête !

Ndlr : Merci à Xavier du groupe @cyberéthique (sur la messagerie Signal) pour cet article.

Le mail n’est vraiment pas la meilleure façon de communiquer de façon confidentielle et sécurisée. Comme nous l’a rappelé Snowden en 2019 :

I would not (and do not) use email, except as throwaways for registration. Email is a fundamentally insecure protocol that, in 2019, can and should be abandoned for the purposes of any meaningful communication. Email is unsafe. I'd use @Signalapp or @Wire as a safer alternative.

— Edward Snowden (@Snowden) September 21, 2019

« le mail est fondamentalement un protocole non sécurisé qui, en 2019, peut et devrait être abandonné pour toutes les communications importantes. Le mail n’est pas sécurisé. J’utiliserai Signal ou Wire comme alternative sécurisée. » (traduction approximative)

On ne peut pas faire plus clair.

Néanmoins, en 2024, le mail est toujours très largement utilisé et nous sommes encore largement contraints de communiquer par mail. Il faut donc sécuriser ce canal de communication.

Deux solutions: vous souscrivez un service mail qui fournit le chiffrement des mails nativement ou alors vous utilisez le protocole opensource de référence PGP « Pretty Good Privacy » pour chiffrer vos mails, quel que soit votre fournisseur de mail.

Pour faire les choses simplement, on va utiliser ici le logiciel Thunderbird dont on a vu le paramétrage dans un précédent article et qui permet de chiffrer ses mails très simplement.

Sommaire

1. Explication sur le chiffrement : cette partie explique la notion de base très vulgarisée sur la notion de « chiffrement asymétrique ».
2. Configurer le chiffrement : cette partie explique comment générer vos clés de chiffrement, et publier votre clé publique.
3. Chiffrer un mail : cette partie explique comment chiffrer un mail, et comment trouver la clé de chiffrement d’un correspondant.

Au fait, qu’est-ce que le chiffrement ?

Chiffrer (et non crypter !) consiste à prendre un texte en clair, et à le rendre illisible par les personnes qui n’ont pas les moyens techniques pour déchiffrer le message.

On prend un texte en clair, on exécute une opération mathématique via une clé et on obtient alors un texte chiffré. La seule manière de le déchiffrer, c’est de connaître la clé. (chiffrement de Vigenère)

Le problème qui se pose ici est : comment transmettre la clé à un correspondant en s’assurant que personne d’autres n’y ait accès et sans devoir rencontrer physiquement la personne?

Ce problème a été résolu en adoptant une nouvelle approche du chiffrement.

Le chiffrement asymétrique

On utilise 2 clés : une pour chiffrer, et une pour déchiffrer. Avec cette méthode, on transmet la clé de chiffrement (appelée « publique »), mais pas la clé de déchiffrement (appelée « privée » ou « secrète »).

De cette manière, on peut transmettre sans crainte la clé publique. Et, sans la clé privée, celle qui sert à déchiffrer, que nous gardons bien secrète sans la transmettre à personne, il devient impossible pour les autres de déchiffrer le message.

Concrètement, pour envoyer un message chiffrer, vous aurez besoin d’une seule chose : sa clé publique pour lui envoyer un mail chiffré.

Pour recevoir un mail chiffré (peut-être attendez-vous une réponse au mail que vous venez de chiffrer et d’envoyer), il faudra deux prérequis : publier votre clé publique pour que l’expéditeur la trouve, avoir configuré votre clé privée dans Thunderbird.

Configurer le chiffrement

Dans Thunderbird, il est assez facile de configurer le chiffrement. Il suffit de suivre les étapes suivantes :

• Si vous avez cliqué sur « Chiffrement de bout en bout » juste après la configuration de votre adresse mail, passez à l’étape suivante. Cliquez sur le menu hamburger (en haut à droite : ☰), puis sur « Paramètres des comptes ». À droite, dans la section correspondant à l’adresse mail que vous souhaitez configurer, sélectionnez « Chiffrement de bout en bout ».
• Cliquez ensuite sur « Ajouter une clé… » :

• Créer ou importer la clé :

• Si vous voulez créer une clé, cliquez sur « Continuer ».
• Sinon, pour importer une clé que vous utilisiez par le passé, cochez d’abord « Importer une clé OpenPGP existante », puis suivez les instructions à l’écran.

• Paramètres de la clé :

• Réglez la durée de validité de votre clé selon vos besoins.
• Dans « Type de clé », sélectionnez « ECC (courbe elliptique) ».
• Ensuite, cliquez sur « Générer la clé », puis sur « Confirmer ».

• Vous devriez obtenir quelque chose comme :

• Publier la clé, en cliquant sur « Publier ». Si tout se passe bien, une confirmation s’affiche à l’écran, et vous recevrez un mail de la part d’opengpg.org. Désormais toute personne pourra vous envoyer un mail chiffré.

• Sauvegarder votre clé privée : il est extrêmement important de sauvegarder votre clé secrète. Sans elle, vous seriez dans l’incapacité de lire vos mails chiffrés. Pour ce faire, n’hésitez pas à faire des copies de cette clé sur plusieurs supports !

1. Développez les informations à l’aide de la petite flèche en haut à droite de la section correspondant à votre clé qui vient d’être générée :

1. Cliquez ensuite sur « Plus », puis « Sauvegarder la clé secrète dans un fichier ». Il vous sera alors demandé l’emplacement du fichier (la clé se trouve dans le fichier), puis il vous sera demandé un mot de passe pour chiffrer ce fichier (ce qui empêchera toute personne qui a accès à votre ordinateur de voler votre clé privée).
2. Choisissez un mot de passe solide, que vous enregistrerez dans keepass 😉

Notez que c’est également ici que vous pourrez révoquer la clé, c’est-à-dire la rendre inutilisable par le public, et que vous pourrez la supprimer. Vous pourrez aussi envoyer votre clé publique par mail à vos contacts si vous ne souhaitez pas publier votre clé publique sur Internet. Mais cela rend plus compliqué la gestion des clés.

On peut maintenant chiffrer nos mails

Pour chiffrer un mail, rien de plus simple… Il faut d’abord importer la clé de son correspondant, puis activer le chiffrement.

Importer la clé publique de votre destinataire

Quand vous rédigez votre mail : (ne loupez pas cette ligne, vous ne trouveriez probablement pas le bouton dont on parle juste après)

En haut, à gauche, au-dessus du nom d’expéditeur, cliquez sur la petite flèche à droite d’« OpenPGP ».

• Cliquez ensuite sur « Assistant des clés ».
• Vous obtenez alors quelque chose comme :

Cliquez alors sur « Recherchez des clés publiques en ligne… » (ou juste en dessous si vous avez reçu la clé publique de votre correspondant directement). Si vous lisez le message : « Aucune clé disponible », c’est qu’il n’est pas possible de chiffrer le mail pour votre destinataire. Vous pouvez fermer la fenêtre. En revanche, s’il est écrit « Une clé a été trouvée mais n’a pas encore été acceptée. », alors continuez !

Cliquez alors sur « Résoudre… », puis sur « Accepter ».

On chiffre !

Pour chiffrer votre mail, vous devez activer le bouton « Chiffrer » à droite du bouton « Envoyer », en haut à gauche.

Exporter sa configuration Thunderbird

Pour différentes raisons (changement d’ordinateur, réinstallation de Windows pour passer à Linux), vous pouvez avoir besoin de reconfigurer Thunderbird de zéro…

Mais c’est sans compter les avancées technologiques du 21ᵉ siècles… Thunderbird intègre une fonctionnalité d’import/export du profil (de votre configuration si vous préférez).

Cette partie se charge de vous expliquer cette opération très simple qui pourrait vous faire gagner beaucoup de temps.

Pour exporter :

1. Allez dans le menu hamburger (en haut à droite : ☰), puis dans « Outils », « Exporter ».
2. Cliquez sur « Exporter ».
3. Sélectionnez le dossier où doit être enregistré l’export (ce sera un fichier zip).
4. Patientez un petit peu, puis cliquez sur « Terminer ».
5. C’est tout… N’hésitez pas à faire plusieurs copies sur des périphériques différents de ce fichier zip !

Pour importer :

1. Allez dans le menu hamburger (en haut à droite : ☰), puis dans « Outils », « Importer ».
2. Cliquez sur « Exporter ».
3. Sélectionnez : « Importer depuis un fichier », puis cliquez sur « Continuer ».
4. Cliquez de nouveau sur « Continuer ».
5. Naviguez jusqu’à votre fichier d’export.
6. Cliquez ensuite sur « Continuer », puis sur « Lancer l’importation ».
7. Patientez… puis cliquez sur « Terminer ».
8. Vous serez alors successivement appelé à entrer les mots de passes de vos adresses mails (ceci ne sont pas enregistrés dans la sauvegarde pour des raisons de sécurité). Il faudra les renseigner, et vous pouvez cocher la case pour que ceux-ci ne vous soient plus demandés à l’avenir.
9. Si vous utilisiez des clés de chiffrement, vous devrez les réimporter manuellement en suivant les indications données plus haut.

A vous de jouer !