Si vous êtes préoccupé par la confidentialité en ligne et électronique, le cryptage est la meilleure chose pour vous rassurer. En utilisant des protocoles de cryptage solides, vous pouvez vous assurer que vos données sont à l'abri des regards indiscrets et que seules les personnes que vous décidez de voir vos informations y ont accès.
L'une des méthodes de cryptage les plus courantes s'appelle PGP. Cet article vous expliquera ce qu'est PGP, à quoi il sert et comment l'utiliser.
PGP signifie "Pretty Good Privacy". PGP est le plus souvent utilisé pour envoyer des messages chiffrés entre deux personnes. Il fonctionne en cryptant un message à l'aide d'une clé publique liée à un utilisateur spécifique ; lorsque cet utilisateur reçoit le message, il utilise une clé privée connue d'eux seuls pour le déchiffrer.
Vous ne savez pas ce qu'est une clé publique ou une clé privée ? Consultez ces termes de cryptage de base avant de poursuivre votre lecture. Cela aidera à rendre la terminologie du chiffrement beaucoup plus facile à comprendre.
Ce système garantit qu'il est facile d'envoyer des communications cryptées car la seule chose nécessaire pour crypter un message est une clé publique et le programme PGP approprié. Mais c'est aussi assez sûr, car les messages ne peuvent être déchiffrés qu'avec des clés privées connues protégées par un mot de passe.
En plus du cryptage, PGP permet également les signatures numériques. En signant votre message chiffré avec votre clé privée, vous fournissez au destinataire un moyen de voir si le contenu du message a été modifié. Si même une seule lettre du message est modifiée avant d'être déchiffrée, la signature sera invalidée, alertant le destinataire d'un acte criminel.
Tout au long de cet article, je parlerai à la fois de PGP et de Gnu Privacy Guard (GnuPG ou GPG).
GPG est une implémentation open-source de PGP et fonctionne sur les mêmes principes. À moins que vous n'achetiez un produit compatible PGP auprès de Symantec, la société qui détient actuellement les droits d'auteur et la société PGP, vous utiliserez probablement GPG.
Voici un bref historique de PGP, OpenPGP et GPG.
PGP : Développé par Phil Zimmerman en 1991, PGP est l'une des méthodes de cryptage numérique les plus durables et l'outil de cryptage de courrier électronique le plus populaire. Maintenant détenu par Symantec mais sous licence par des milliers d'entreprises.
OpenPGP : Jusqu'en 1992, la cryptographie figurait sur la liste américaine des munitions en tant qu'équipement militaire auxiliaire. Ce qui signifiait que l'exportation de l'outil PGP de Zimmerman vers des pays internationaux était un crime grave. En fait, Zimmerman a fait l'objet d'une enquête pour avoir enfreint la loi sur le contrôle des exportations d'armes, telle était la puissance de l'outil de cryptage PGP à l'époque.
En raison de ces restrictions, le groupe de travail OpenPGP a été formé avec l'aide de l'Internet Engineering Task Force (IEFT). La création d'une version open source de PGP a éliminé les problèmes liés à l'exportation de la cryptographie tout en garantissant que n'importe qui pouvait utiliser l'outil de chiffrement.
GnuPG : GnuPG (GPG) est une implémentation de la norme OpenPGP et est considéré comme une alternative solide au PGP de Symantec.
Il est important de noter que les algorithmes de chiffrement sont interchangeables entre ces options. Ils sont conçus pour fonctionner ensemble afin de permettre aux utilisateurs d'utiliser l'un ou l'autre sans perdre l'accès aux données importantes.
La mécanique mathématique de PGP est extrêmement compliquée. Cependant, la vidéo ci-dessous vous donnera une idée générale du fonctionnement du système.
Le chiffrement PGP utilise une combinaison de chiffrement à clé symétrique (une clé à usage unique) et de chiffrement à clé publique (clés uniques au destinataire).
Il est impossible de dire qu'une méthode de cryptage particulière est sécurisée à 100 %. Cela dit, PGP est généralement considéré comme extrêmement sûr. Le système à deux clés, les signatures numériques et le fait que PGP est open source et a été largement approuvé par le public contribuent tous à sa réputation comme l'un des meilleurs protocoles de chiffrement.
L'expert en sécurité de renommée mondiale Bruce Schneier a un jour qualifié PGP de "ce qui se rapproche le plus du cryptage de niveau militaire", et PGP.net affirme qu'il n'y a "aucune faiblesse pratique".
Alors, est-ce que PGP est sécurisé ? Eh bien, Edward Snowden a utilisé PGP pour envoyer des fichiers à Glenn Greenwald lorsqu'il a dévoilé l'histoire qui a suscité beaucoup d'intérêt pour le chiffrement. Et si c'est assez bon pour Snowden, c'est assez bon pour la plupart --- sinon la totalité --- des autres personnes qui ont besoin de chiffrer des choses.
Différents types d'algorithmes de chiffrement peuvent être utilisés avec PGP, bien que l'algorithme RSA soit assez courant. Si vous n'avez jamais entendu parler du cryptage RSA, soyez assuré qu'il est vraiment très fort. RSA figure sur notre liste d'algorithmes de chiffrement courants, qui fournit plus de détails.
Selon DigiCert, il faudrait plusieurs quadrillions d'années à un ordinateur de bureau standard pour casser un certificat SSL RSA 2048 bits.
Cela signifie que si vous aviez commencé à essayer de casser ce certificat au moment du Big Bang, vous n'auriez pas fini avant la fin de l'univers. RSA 2048 bits est couramment utilisé comme algorithme standard pour PGP.
Gnu Privacy Guard utilise l'algorithme AES par défaut. AES est l'un des algorithmes de chiffrement les plus puissants disponibles publiquement. Pour référence, si le gouvernement américain spécifie quelque chose comme top secret, il porte le cryptage AES-256. Et si c'est assez bon pour les agences de sécurité nationale et le gouvernement, c'est assez bon pour vous.
Alors que les analystes de cryptage et les passionnés de crypto pourraient discuter toute la journée du meilleur algorithme à utiliser, GnuPG dit que "les algorithmes de GnuPG sont si bien conçus pour ce qu'ils font qu'il n'y a pas de" meilleur ". Il y a juste beaucoup de choix personnels et subjectifs."
Vous en savez un peu plus sur le fonctionnement de PGP. Vous pouvez maintenant le mettre en pratique.
Comme mentionné, PGP est un outil de chiffrement sous licence appartenant à Symantec. Vous pouvez utiliser GnuPG comme alternative gratuite et open source.
GPG est une application en ligne de commande uniquement. Si ce n'est pas votre tasse de thé, vous pouvez utiliser un outil GPG avec une interface visuelle à la place.
Vous devrez également vous assurer que vous disposez des outils appropriés pour votre client de messagerie.
Par exemple, Apple Mail a un support intégré pour PGP. Le programme d'installation de Gpg4win contient une option de cryptage dans Outlook. Enigmail vous permet de chiffrer les e-mails dans Thunderbird, tandis que des outils comme Mailvelope et Flowcrypt vous permettent d'utiliser vos clés PGP pour le webmail.
Selon le logiciel que vous utilisez, vous utiliserez différentes méthodes pour générer de nouvelles clés.
Dans GPG Suite sur macOS, il vous suffit de cliquer sur Nouveau . Vous entrez quelques détails, comme votre nom et le type de clé. Vous devrez également décider de télécharger ou non votre clé publique sur un serveur de clés.
En général, c'est une bonne idée, car cela permettra à d'autres de trouver votre clé publique et de vous envoyer des messages cryptés, même si vous n'avez pas communiqué auparavant. Cependant, si vous débutez avec PGP, vous voudrez peut-être attendre avant de télécharger, car vous ne pouvez pas changer votre nom ou votre adresse e-mail une fois que vous l'avez téléchargé.
Le processus de génération de clé est également similaire dans d'autres outils. L'exemple ci-dessous provient du gestionnaire de clés Gpg4win Privacy Assistant. Il vous guide tout au long du processus de création de clé.
Encore une fois, le processus d'activation du chiffrement PGP dans votre client de messagerie varie. La meilleure façon de savoir exactement ce que vous devez faire est de rechercher dans les fichiers d'aide du client de messagerie. Vous pouvez également effectuer une recherche sur Internet pour "[email client name] enable PGP."
Par exemple, macOS GPG Suite installe le module complémentaire PGP pour Apple Mail et ajoute automatiquement les informations et icônes nécessaires. Par contre, vous devrez importer manuellement vos clés de chiffrement dans Microsoft Outlook.
Si vous souhaitez en savoir plus sur l'importation et la création de clés, vous pouvez vous inscrire à notre cours gratuit sur la sécurité des e-mails, qui couvre cela et bien plus encore.
Vous êtes maintenant prêt à envoyer des e-mails signés PGP ! Cependant, il y a une autre étape importante. Pour que quelqu'un déchiffre un e-mail que vous lui envoyez, vous avez besoin de sa clé publique. Le moyen le plus simple consiste à échanger les clés personnellement, que ce soit par e-mail, message instantané ou autre.
Vous pouvez publier votre clé publique à votre site Web ou à votre biographie Twitter si vous le souhaitez, car il n'y a aucun risque de publier votre clé publique. Assurez-vous simplement qu'il s'agit de votre clé publique et non de votre clé privée --- c'est le bit qui doit rester sécurisé à tout moment.
Il existe plusieurs serveurs de clés publiques sur lesquels vous pouvez rechercher des clés publiques appartenant à vos amis, votre famille, vos collègues ou autres.
Sur macOS, GPG Keychain Access, qui fait partie de GPG Tools, vous permet de rechercher des clés directement dans l'application. Il existe également des outils de recherche de serveurs de clés en ligne, tels que le PGP Global Directory ou le MIT PGP Public Key Server. Une fois que vous avez trouvé une clé pour votre contact, vous devez la télécharger et l'importer dans votre application en suivant les procédures spécifiques requises.
Bien que de nombreux outils de chiffrement d'e-mails gratuits et open source utilisent PGP, le nombre d'options de chiffrement de fichiers est beaucoup plus petit.
Pourtant, certaines implémentations permettent aux utilisateurs de chiffrer des fichiers à l'aide de PGP. Par exemple, les utilisateurs Windows peuvent utiliser Kleopatra de Gpg4win pour crypter un fichier ou un dossier en utilisant les mêmes clés de cryptage que votre compte de messagerie. Les utilisateurs Windows peuvent également consulter Cryptophane, un outil open source pour signer et chiffrer avec PGP.
Les utilisateurs de Mac et Linux voudront probablement utiliser Seahorse. Alternativement, vous pouvez utiliser GPG via la ligne de commande. Voici comment chiffrer des fichiers à l'aide de GPG à l'aide de la ligne de commande Linux.
Toutefois, si vous souhaitez chiffrer des fichiers ou des dossiers individuels sur votre système local, les utilisateurs Windows doivent vérifier comment chiffrer à l'aide de VeraCrypt.
Vous n'avez pas besoin de comprendre les cryptomaths compliqués derrière PGP pour savoir que c'est un excellent système de cryptage. Et vous n'avez pas besoin d'être un génie de l'informatique pour en profiter pour chiffrer vos e-mails et vos fichiers, augmentant considérablement votre sécurité en ligne et électronique. En téléchargeant quelques outils, vous pouvez commencer à chiffrer les informations sensibles dès aujourd'hui.
N'oubliez pas de consulter notre article sur les fournisseurs de messagerie les plus sécurisés, dont beaucoup sont équipés d'outils de chiffrement intégrés. Ils rendent le cryptage encore plus simple !