«
»

Crypter ses emails avec Mozilla Enigmail

By Laurent Soron

Le but de cet article est d’installer les programmes nécessaires pour crypter/décrypter et signer ses mails avec Thunderbird.

Note: Thunderbird peut être téléchargé sur http://www.mozilla.com/en-US/thunderbird/

Comparable à Outlook Express livré avec Windows, Thunderbird gère vos emails. Son code source est ouvert et son développement est assuré par la Communauté (les internautes) piloté par la fondation Mozilla.
Il est extensible grâce à de nombreuses extensions qui permettent de personnaliser son interface et de lui ajouter de nombreuses fonctionnalités (tel les dossiers vituels, calendrier)

De par sa conception, il est plus moins sensible aux virus qu’Outlook Express

Quelques documentations sur ce logiciel:

Pré Requis

Toutes les étapes de la cryptographie se font très simplement, en quelques clics de souris.
Néanmoins si vous désirez lire un peu de théorie, ou simplement comprendre “comment ça marche”, je vous propose deux didacticiels:

Télécharger les éléments nécessaires

MD5 Summer

Page d’accueil: http://www.md5summer.org/download.html

MD5 est un algorithme mathématique qui calcule qu’un fichier n’a pas été modifié pendant le téléchargement. On peut l’utiliser par exemple pour vérifier une empreinte d’un CD (fichier ISO) avant de la graver.

GnuPG (Gnu Privacy Guard)

Page d’accueil: http://www.gnupg.org/

Gpg est un équivalent à PGP qui gère les clés, crypte, décrypte… les fichiers ou textes qu’on lui donne.

  • Sous Debian Linux, il suffit de taper la commande
    apt-get install gnupg

Note: Gpg se trouve dans /bin/gpg

Enigmail

Installation

Pour installer Enigmail:

  • Telechargez le paquetage a partir de l’adresse https://addons.mozilla.org/thunderbird/71/ dans votre navigateur internet (par exemple enigmail-0.94.1.1-tb.xpi)
  • Dans Thunderbird, ouvrez le menu Outils->Extensions et choisissez l’option Install
  • Selectionnez le fichier téléchargé et cliquez OK

Ensuite, vous pouvez traduire Enigmail dans votre langue en utilisant un Language Packs`. Selon le même principe, choisissez le paquetage correspondant à la page http://enigmail.mozdev.org/langpack.html.
L’installation suit le même principe que pour le package d’Enigmail.

Configuration

Lancez Thunderbird et ouvrez la page des Options d’Enigmail (menu Enigmail / Preferences).

  • Entrez le chemin de GPG:
    • Sous Debian, gpg se trouve a /bin/gpg
    • Sous Windows, à C:\Program Files\GNU\GnuPG\gpg.exe
  • Il faut ensuite activer le support d’Enigmail pour vos comptes email.
    Ouvrez la configuration des comptes email (Menu Edition / Mail & Newsgroups settings...)
    Pour chacun des comptes, cliquez sur OpenPGP Security et activez Activer le support OpenPGP support (Enigmail) pour cette identité (Enable OpenPGP support (Enigmail) for this account en anglais)

Création de la clé

La théorie
La configuration est presque fini, mais il reste encore une étape importante à faire: la création de la clé de cryptage.

En fait, en une étape, nous allons créer deux clés:

  • une publique est celle dont se serviront vos correspondants pour envoyer un message que vous seul(e) pourrez lire. Vous pouvez donc la distribuer en signature dans vos messages
  • une privée est celle qui permet de décrypter les messages, et doit donc être conservée et surtout sauvegardée. Elle ne doit JAMAIS être donnée à un tiers.Ces deux cles seront associées à une adresse email.Note: il vous dès maintenant réfléchir à une passphrase, un Mot de passe principal, suffisamment compliqué (un mélange de lettres et chiffres, majuscules et minuscules, sans rapport avec aucun mot du dictionnaire).
    Petit truc: pensez á une phrase et prenez la première lettre de chaque mot en respectant les majuscules et minuscules, en utilisant des chiffres.

    La Passphrase vous sera demandée lorsque vous souhaiterez signer, crypter ou décrypter un message. Un peu comme le code secret d’une carte bleue.

    Cela peut paraître long et ennuyeux, mais imaginez que ces éléments permettent à vos destinataires d’être sûr que vous êtes l’expéditeur du message, que celui ci n’a pas été intercepté, modifié… en cours d’acheminement. Vous avez dit paranoïaque ?
    D’un côté plus pratique, vous utilisez déjà cette technique en consultant votre banque en ligne, en déclarant vos impôts sur Internet. Demain, il sera possible de signer un acte notarial en utilisant la cryptographie.

    ATTENTION: Si un tiers se procure votre clé privée et connaît votre passphrase, il peut se faire passer pour vous sur Internet.

En pratique

  • Ouvrez Thunderbird et lancez le processus de création des clés:
    • Menu OpenPGP / Gestion de clés
    • Dans la nouvelle fenêtre Gestion de clefs OpenPGP, choisissez le menu Générer / Nouvelle paire de clés.
  • Choisissez le compte auquel sera associé la clé de cryptage.
  • Tapez deux fois votre Passphrase. Ajoutez éventuellement un commentaire dans la zone Commentaire.
  • Lancez la génération des clés en cliquant sur “Générer la clé key”.Les clés sont sauvegardés sous forme binaire sur votre disque dur dans le répertoire de GnuPG:
  • Sous Debian, $HOME/.gnupg
  • Sous Windows, C:\GnuPGLa clé publique est sauvegardée dans le fichier pubring.gpg
    La clé secrète est sauvegardée dans le fichier secring.gpgSauvegardez ces fichiers tout de suite sur un support amovible (disquette, cd). Ne laissez pas cette disquette n’importe où, elle contient votre clé privée!

    Note: Dans quelques jours, mois… Vous échangerez régulièrement des emails cryptés avec quelques personnes. Leur clé (publique) sera enregistrée dans votre “trousseau”, qui se trouve sur votre disque dur dans fichier trustdb.gpg dans le répertoire de GnuPG. Il sera une bonne idée d’en faire une sauvegarde aussi.

Utilisation Enigmail / OpenPGP en pratique

Maintenant que tout est mis en place, il est temps de passer dans ‘la partie émergée de l’iceberg’: l’utilisation de la cryptographie dans la correspondance.

La première chose qu’on serait tenté de faire est d’envoyer un mail à tout son carnet d’adresse pour qu’ils utilisent cette fameuse clé publique! Soyez en sûr, 99% s’en moqueront complètement… Commencez déjà par un bon ami auquel vous “commencerez le jeu” en lui envoyant votre clé publique. Oui, c’est un jeu, car lui aussi devra suivre le même chemin pour en arriver là.

Envoyer la clé publique dans un email

Tout se passe désormais dans la fenêtre où vous écrivez le mail. Donc, il faut commencer un nouvel email, taper le destinataire, taper un sujet et le corps du message.

Pour ajouter la clé publique au mail, allez dans le menu ‘Enigmail / insert Public Key’ et choisissez la clé correspondante à votre email.
Le résultat est qu’un gros bloc incompréhensible sera ajouté à la fin de l’email.

Pour vérifier qu’il s’agit bien de la clé publique, le bloc commence par
—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v1.2.4 (MingW32)

et se termine par —–END PGP PUBLIC KEY BLOCK—–

Vous pouvez envoyer votre email maintenant, rien ne change.

Signer et Crypter un email

Insérer la clé publique d’un destinataire dans son trousseau
Votre ami accepte le défi et vous envoit à son tour sa clé publique. Il pourrait en profiter pour crypter le mail, mais nous verrons cela plus tard.

Vous recevez donc un email comparable à celui que vous venez d’envoyer dans la partie précédente.

Pour éviter d’avoir à rechercher la clé publique de chaque destinataire à chaque fois qu’on veut envoyer un email crypté, on va enregistrer ces clés publiques dans le trousseau de Enigmail / OpenPGP. Cela se fait très simplement avec le menu Enigmail / Import public key.

Pour être complet, il faudrait parler du niveau de confiance des clés, qui définit à quel point vous vous fiez à cette clé. Vous pouvez par exemple vérifier l’identité de la personne avec sa carte d’identité.

Signer et Crypter un email

Maintenant que vous avez la clé privée d’un autre utilisateur, vous pouvez échanger des emails cryptés (enfin!).

Commencez un nouvel email, tapez comme d’habitude le destinataire, le sujet et le corps du message…
Et avant de l’envoyer, cliquez sur l’icône OpenPGP de la barre d’outils, une nouvelle fenêtre apparaît:

  • Signer le Message: signe le message. L’email ne sera pas crypté, mais le destinataire est sûr de l’auteur et que le message n’a pas été intercepté et modifié.
  • Crypter le Message: crypte le message. L’auteur est sûr que le contenu ne sera lisible que par le destinataire.Il est possible de signer ET crypter un message.Attention: le sujet n’est jamais crypté. Enigmail peut crypter les pieces attachées, mais tous les logiciels de cryptographie ne le font pas automatiquement.

    Lors de l’envoi du mail, Enigmail demande la passphrase pour crypter le corps du message. Néanmoins pour des raisons de facilité d’emploi, cette passphrase ne sera pas demandé pendant quelques minutes.

Décrypter un email

Par défaut, Enigmail décrypte automatiquement les emails cryptés, donc à l’ouverture d’un email crypté, votre passphrase vous sera demandé.

Conclusion

Cet article est relativement long, mais il est important de bien tout mettre en place. Ensuite, l’utilisation du cryptage est très simple, et presque transparent.

Néanmoins, j’insiste sur le fait qu’il est vital de garder au secret et de bien sauvegarder la clé privée et la passphrase.

De plus, Enigmail ne permet pas de spécifier la taille des clés. Même si aujourd’hui une taille de 1024 bits est largement suffisante, on peut être tenté de créer des clés de taille plus importante, par pur “paranoïa”.

Note: Ce document est sous license Creative-Common by-nc-sa


Mots-clefs : , , , ,

Cette entrée a été publiée le Vendredi, 17 août 2007 à 16:00 et est en lien avec Articles, Obsolete, OpenSource. Vous pouvez suivre toutes les réponses à cet article à l'aide du flux RSS 2.0. Vous pouvez laisser une réponse, ou un trackback depuis votre site.

Laisser un commentaire