ASSURER LA CONFIDENTIALITÉ DE SES EMAILS AVEC THUNDERBIRD ET PGP

 Plus de 200 milliards d’emails sont envoyés dans le monde chaque jour. Si l’email est un moyen extrêmement pratique pour échanger des informations, c’est également un outil très vulnérable :

interception, usurpation d’identité, surveillance de boîte mail etc., sont autant de problèmes auxquels peuvent être confrontés les utilisateurs de boîtes emails. Il existe pourtant des moyens simples d’assurer la confidentialité de vos échanges sur Internet.

UTILISER UN CLIENT MAIL ET NON UN WEBMAIL

Un des moyens d’augmenter la confidentialité de vos eemails est d’utiliser un logiciel d’envoi et de réception d’emails tel que Thunderbird.

L’un des aspects les plus importants de la sécurité d‘envoi d’emails est le mode de connexion que vous utilisez pour accéder à votre service de messagerie. Thunderbird permet de contrôler le mode de connexion à votre serveur de messagerie. Vous devez utiliser à chaque fois que c’st possible SSL (Secure socket layer) ou TLS  (Transport Layer security). Ces protocoles protègent votre mot de passe email d’une éventuelle interception que ce soit par un logiciel tiers installé sur votre système ou par tout point situé entre Thunderbird et votre serveur de messagerie.

Configuration de Thunderbird

Thunderbird est un logiciel libre. Vous pouvez le télécharger gratuitement sur le site de la fondation Mozilla. Une fois Thunderbird installé, vous devez le paramétrer pour qu’il puisse se connecter à votre serveur de messagerie. Ne paniquez pas, Thunderbird fait (presque) tout, tout seul.

Lorsque vous lancez Thunderbird pour la première fois, un assistant vous aide à configurer l’articulation entre votre compte et le client mail. Au lancement de cet assistant, si vous avez déjà une adresse email, cliquez sur  “Passer cette étape et utilisez mon adresse existante”. Tout ce que vous avez à connaître est votre adresse email, votre nom d’utilisateur et votre mot de passe. Entrez ces informations dans l’écran suivant. Thunderbird récupère pour vous  les informations sur le serveur de messagerie. Le logiciel configure automatiquement les adresses email des services email les plus répandus : Gmail, Yahoo, Hotmail… Sur la capture ci-dessous, nous utilisons une adresse Gmail.

Si toutefois votre adresse email ne se trouve pas dans la base de données de service mail de Thunderbird, vous devrez configurer manuellement votre compte mail. Vous aurez cette fois besoin de :

  • votre adresse email
  • votre nom d’utilisateur
  • votre mot de passe
  • le nom et le protocole du serveur recevant les emails (imap.exemple.com pour le protocole IMAP ou pop.exemple.com pour le protocole POP)
  • Le nom du serveur sortant (smtp.exemple.com)

Vous pouvez trouver ces informations dans les pages de support du fournisseur de votre service de messagerie.

Pour vous assurer que Thunderbird utilise bien SSL ou TLS, rendez-vous dans Outils > paramètres des comptes > Paramètres serveur, et vérifiez la section “Paramètres de sécurité”.

L’utilisation de Thunderbird et des protocoles TLS ou SSL ne protège que la connexion entre votre ordinateur et le serveur de messagerie. Ceux-ci n’assurent pas la confidentialité de vos échanges avec un tiers. Vos emails peuvent en effet être interceptés en de nombreux points entre votre serveur de messagerie et l’ordinateur du destinataire de votre e-mail. Pour pallier ce problème, il est possible de chiffrer ses emails de bout en bout en utilisant le protocole PGP (Pretty Good Privacy).

CHIFFRER SES EMAILS AVEC PGP

La cryptographie (ou l’art d’écrire « caché ») est la principale technique utilisée pour assurer de manière effective la confidentialité de vos communications électroniques.

PGP est le protocole que nous allons utiliser pour chiffrer nos emails de bout en bout. L’utilisation de PGP supprime toute possibilité d’interception. Vos emails sont chiffrés de bout en bout, et seul le destinataire du mail envoyé a la possibilité de le déchiffrer. Veuillez noter que le “Sujet : ”, de même que le reste des en-têtes de vos emails chiffrés avec PGP, ne sont quant à eux pas chiffrés.

Chiffrement = Buit
L’envoi d’emails chiffrés peut constituer un signal d’alerte pour les autorités et peut éventuellement attirer une attention non désirée. Il existe un autre moyen d’envoyer des emails de manière anonyme mais sécurisée : les emails jetables.

Afin de comprendre comment mettre en oeuvre PGP dans Thunderbird, il est important de balayer d’abord le principe de la cryptographie asymétrique sur lequel repose PGP.

La Cryptographie Classique

Alice et Bertrand, qui veulent échanger des messages secrets, conviennent entre eux d’un code de chiffrement et de déchiffrement (une clé). Ensuite, ils s’échangent des messages en utilisant la clé dans un sens pour le chiffrement, puis dans l’autre pour le déchiffrement.

Cette technique a toutefois un inconvénient. Si une troisième personne intercepte les messages dans lesquels Alice et Bertrand échangent leur clé de chiffrement, elle pourra lire et même émettre de faux eemails à destination de ces deux personnes. Par conséquent, pour que cette technique soit parfaitement sûre, il faut qu’Alice et Bertrand échangent leurs clés sans que celles-ci puissent être interceptées, en se rencontrant par exemple.

La Cryptographie Asymétrique

Pour remédier à ce problème, il est préférable d’utiliser la cryptographie dite asymétrique. Deux clés sont alors nécessaires : une clé pour encrypter, une autre pour décrypter. La clé pour encrypter (appelée clé publique) peut être échangée sans danger sur Internet car elle ne permet pas de décrypter un message. La clé pour décrypter (clé secrète), elle, ne doit jamais être communiquée.

Avec la cryptographie asymétrique, Alice possède une paire de clés qui lui est propre (une clé publique qu’elle diffuse et une clé secrète qu’elle conserve). Alice envoie sa clé publique à Bertrand, qui l’utilise pour encrypter ses messages à destination d’Alice. Seule Alice, à l’aide de sa clé secrète, peut ainsi décrypter les messages de Bertrand. Doté lui aussi d’une paire de clés, Bertrand envoie sa clé publique à Alice, qui peut dès lors répondre à ses messages en toute confidentialité.

Toutefois, la clé publique étant échangée sur Internet sans protection particulière, il est recommandé de vérifier la validité de celle-ci auprès de son propriétaire. C’est pourquoi chaque clé publique possède une courte suite de caractères, appelée empreinte (ou “fingerprint”), qu’il est facile d’échanger de vive voix ou par téléphone.

Une clé non vérifiée peut être une fausse clé émise par une troisième personne mal intentionnée, rendant le chiffrement totalement inutile. Il est important de comprendre que toute la fiabilité de la cryptographie asymétrique repose sur la protection de la clé secrète, mais aussi sur la vérification de la clé publique du correspondant.

OpenPGP (« Open Pretty Good Privacy ») est le standard de cryptographie asymétrique. La solution logicielle la plus utilisée pour créer, utiliser une paire de clés et gérer les clés publiques de ses correspondants est GnuPG (« GNU Privacy Guard »). Cette solution est utilisable avec votre client mail aussi bien sous Mac, que Windows et Linux.

UTILISER PGP DANS THUNDERBIRD

Installer PGP sous Windows

Pour envoyer des emails chiffrés, vous avez besoin de 3 choses :

  1. Un logiciel permettant de générer votre clé secrète et de gérer les clés publiques de vos contacts : gpg4win
  2. Un client mail installé sur votre poste : Thunderbird
  3. Un plugin permettant de chiffrer les emails : enigmail

Après avoir téléchargé et installé gpg4win, installez le plugin Enigmail pour ThunderBird.

  1. Dans Thunderbird : menu Outils > Modules complémentaires. La fenêtre des plugins s’ouvre.
  2. Entrez “Enigmail” dans la barre de recherche et cliquez sur l’icône de recherche.
  3. Cliquez sur “Ajouter cette extension”.
  4. Une fois l’installation effectuée, redémarrez le Thunderbird.

Installer PGP sous Mac OS X

Pour installer PGP sous Mac, il vous suffit d’installer la suite d’outils gratuite et open source GPGTools. Elle contient tous les outils nécessaires à l’utilisation de PGP sous mac OS X.

Créez votre clé PGP

Pour chiffrer vos emails avec PGP, il vous faut créer une clé publique et une clé privée. Cette opération se fait simplement dans Thunderbird en suivant les étapes proposées par l’assistant de création PGP. Pour le lancer : dans Thunderbird, OpenPGP >> Assistant de configuration.

 

Une fois l’assistant lancé, suivez la procédure. Conservez les options sélectionnées par défaut :

Signature : “Oui, je veux signer tous mes messages” – vous allez authentifier tous les emails que vous enverrez avec votre clé privée

Chiffrement : “Non, je préfère créer des règles par destinataires pour ceux dont je possède la clef publique” – vous ne chiffrerez pas tous les emails que vous enverrez, vous déciderez pour qui vous chiffrerez les messages.

Préférences : “Oui” – vous autorisez l’assistant à effecteur des modifications dans le formatage par défaut de vos emails ; ceux-ci doivent être en texte brut pour être compatible avec PGP.

Clef Open PGP introuvable :  Si vous n’avez pas de clé PGP, dans cet écran, l’assistant vous propose d’en créer une.

Créer une clé : afin que tout le monde ne puisse pas utiliser votre clé secrète, l’assistant vous propose de la protéger par un mot de passe. Rentrez un mot de passe dans les deux champs. L’utilisation des fast words est une bonne technique pour créer des mots de passe robustes.

Tout est prêt, vous n’avez plus qu’à lancer la création de votre clé PGP ! Cliquez sur suivant.

Optionnel : vous avez la possibilité de créer un certificat de révocation. Ce certificat vous servira à invalider votre clé publique en cas de perte de celle-ci. Enregistrer le sur votre disque et gardez le précieusement.

Note : Si l’assistant vous demande le chemin de l’application GnuPG, celle-ci a été installée lorsque vous avez installé GPG4win et se trouve dans sur votre disque dans Program Files (x86) > GNU > GnuPG > gpg2.exe

La création de votre clé PGP est terminée, vous pouvez désormais envoyer des emails chiffrés à vos correspondants… Pour peu que vous disposiez de leurs clés publiques.

Envoyer un message chiffré

Dans Thunderbird, composez un nouveau message (bouton écrire). La fenêtre de composition apparaît. En bas à droite se trouvent deux icône : un stylo et une clé.

Ces deux icônes vous permettent de signer ou chiffrer un message. Cliquez sur l’icône de la clé (celle-ci doit passer en jaune) et composez votre message.

Lorsque vous cliquez sur envoyer, si vous n’avez pas récupéré la clé publique de votre correspondant, Thunderbird vous propose de la télécharger pour vous. Dans l’écran ci-dessous, cliquez sur “Télécharger les clés manquantes”.

Une fenêtre de sélection de serveurs hébergeant des clés publiques s’affiche alors.

Thunderbird vous propose en standard les annuaires de clés publiques les plus utilisées. Sélectionnez l’un des serveurs[b] et cliquez sur OK. Si votre correspondant a publié sa clé sur l’un des annuaires proposés, vous devriez pouvoir la récupérer sans problème.

Cliquez sur OK pour lancer le téléchargement de la clé.

A la fin de la procédure, un écran affiche le résultat de l’opération.

Fermez cet écran. La clé de votre correspondant apparaît désormais dans la liste proposée par le logiciel. Sélectionnez la et cliquez sur OK.

Si vous avez protégé votre propre clé par un mot de passe (ce que vous avez dû faire si vous avez suivi ce tutoriel pour la création de clé), Thunderbird vous demande alors d’entrer votre mot de passe pour chiffrer le message à partir de votre clé secrète. Entrez votre mot de passe et cliquez sur OK.

Le message est envoyé !

Il existe d’autres moyens d’importer la clé publique d’un correspondant. Celui-ci peut, par exemple, vous transmettre sa clé publique par mail et vous donner l’empreinte de celle-ci. L’empreinte est un numéro unique qui identifie de manière sûre une clé publique. En vérifiant l’empreinte d’une clé, vous vous assurez d’adresser le message au bon destinataire.

Pour plus d’informations sur les possibilités de PGP et la gestion de clés, consultez la documentation complète d’enigmail.