« Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes. »

De quoi s'agit-il ?

Pourquoi chiffrer ?

Qui a accès à mes courriels ?

Bon, d'accord. Mais qui aurait intérêt à lire mes courriels ? Je n'ai rien à cacher.

Je n'ai jamais entendu parler de courriels chiffrés. Est-ce répandu ?

Comment ça marche ?

Les clefs.

Le chiffrement.

L'authentification.

Les certificats & les autorités de certification.

Quelques liens.

Choisir la méthode de chiffrement.

GnuPG

S/MIME

Obtenir facilement un certificat.

Gestion des clefs.

Le mot de la fin.

Si les concepts de base ne vous intéressent pas ou que vous êtes de ceux qui « font d'abord et regardent après » : alors une méthode aisée à mettre en œuvre vous attend ici.

De quoi s'agit-il ?

L'objet de cet article est de vous permettre d'authentifier et de chiffrer vos messages ou vos documents.

L'authentification consiste à poser une signature numérique sur un document ou un message. D'un point de vue légal, elle vaut une signature manuelle. Certains internautes utilisent déjà cette technique sans forcément le savoir quand ils font leur déclaration de revenus via Internet. En somme, ils font de la signature numérique comme Monsieur Jourdain faisait de la prose.

Les techniques mises en œuvre utilisent toutes des algorithmes basés sur des clefs doubles. En fait, il s'agit de techniques dérivées de l'ancêtre des logiciels de chiffrement à savoir PGP (Pretty Good Privacy).

Pourquoi chiffrer ?

Peu de personnes sont conscientes de l'importance de protéger leur correspondance privée. Toléreriez-vous qu'on ouvre les enveloppes de votre courrier avant qu'on ne le remette dans votre boîte aux lettres ? Pourtant, lorsque vous utilisez le courriel, c'est un peu ce qui se passe. Le bon raisonnement consiste à dire que lorsque vous faites un courrier électronique, vous écrivez en fait une carte postale.

Qui a accès à mes courriels ?

Pour qu'un courriel parvienne dans votre boîte aux lettres, il passe nécessairement par plusieurs étapes :

1. Le serveur de courriers de l'expéditeur.
2. Les serveurs intermédiaires éventuels pour acheminer le message vers votre boîte aux lettres.
3. Votre serveur de réception qui garde votre message avant que vous alliez le chercher.

Chacune de ces machines est administrée par un ou plusieurs informaticiens qui ont tous les accès sur l'ordinateur. C'est nécessaire pour pouvoir régler les problèmes, mais cela ouvre aussi la voie à certains indélicats. Ceux qui ont un compte chez un hébergeur doivent savoir qu'il peut à tout instant voir les mails qu'ils ont reçus, qu'il peut demander au serveur de mettre de côté une copie de tous leurs messages, etc. Évidemment, c'est rare. La plus élémentaire déontologie l'interdit. Cela dit, bien des serveurs sur Internet utilisent ce type de technologie. Jetez un œil ici par exemple.

Bon, d'accord. Mais qui aurait intérêt à lire mes courriels ? Je n'ai rien à cacher.

Une anecdote. J'ai fait mon service militaire dans les transmissions. Sur l'un des sites auxquels j'étais affecté, les standardistes avaient branché un amplificateur de guitare sur la ligne d'une des cabines publiques. Cela permettait à toutes les personnes présentes d'écouter les conversations en sirotant confortablement un café. Voici un extrait de l'une d'entre-elles.

« Bonjour ma chérie, comment vas-tu ?
- Bien, tu me manques tu sais ? Mais je dois te dire que j'ai pris deux kilos cette semaine.
- QUOI ! Tu as encore grossi ? Mais tu vas finir ÉNORME [...] »

Je vous laisse juge de ce type de procédé¹. Il n'en reste pas moins que ce brave troufion n'imaginait pas, lorsqu'il téléphonait à sa dulcinée, qu'une équipe de téléphonistes de son régiment s'étranglait de rire en écoutant sa conversation, de toute évidence, privée. Pourquoi l'aurait-on mis sur écoute ? En fait, il n'était que dans la mauvaise cabine au mauvais moment.

Considérez que chiffrer vos courriels consiste à mettre votre message dans une enveloppe.

Je n'ai jamais entendu parler de courriels chiffrés. Est-ce répandu ?

En fait, cela dépend de la culture du pays où l'on réside. Aux États-Unis l'utilisation du chiffrement est assez répandue. En France, c'est encore rare. Mais certaines organisations des droits de l'homme y travaillent. De plus, le commerce, cœur de nos sociétés, exige la confidentialité des transactions. La sécurité des données est un enjeu capital qui est désormais admis par les gouvernements occidentaux. Confidentialité des transactions commerciales et protection de la vie privée se rejoignent en l'occurence.

Comment ça marche ?

Les clefs.

Le principe de base consiste à créer une paire de clefs. Une clef publique, disponible à tous, qui peut circuler librement. Une clef privée dont vous êtes l'unique dépositaire. Chaque clef publique ne fonctionne qu'avec sa clef privée.

Il suffit d'une seule clef de la paire pour chiffrer. Ce qui est chiffré avec une clef publique ne peut être déchiffré qu'avec sa clef privée. Et vice-versa.

Tous les systèmes de chiffrement ou de signatures à clefs double sont basés sur ce postulat. Vous qui avez survolé le paragraphe précédent, relisez-le ; ce raisonement est le cœur du système.

Le chiffrement.

Pour chiffrer un message, vous devez détenir la clef publique du destinataire. Corollaire évident : votre correspondant doit posséder sa paire de clefs.

Une fois que les deux protagonistes ont créé leurs clefs respectives, les choses deviennent simples puisque les logiciels de chiffrement modernes automatisent l'échange des clefs publiques.

L'authentification.

L'authentification consiste à apposer une signature numérique sur un message ou un document. Vous pouvez signer vos courriels et vos documents. Contrairement à ce que son nom peut laisser penser, une signature numérique est bien plus que le pendant de la signature manuscrite. En effet, une signature témoigne simultanément de l'authenticité et de l'intégrité d'un message.

La signature numérique fonctionne de la manière suivante :

1. Le message est analysé et un algorithme calcule un nombre en fonction de son contenu.
2. Chiffrage de ce nombre avec la clef privée. Le résultat est en fait la signature.
3. Envoi du message et de la signature.

Le destinataire fait alors les opérations suivantes :

1. On utilise le même algorithme que l'expéditeur pour analyser le contenu du message et calculer son nombre.
2. Déchiffrement de la signature avec la clef publique.
3. Comparaison des deux nombres.

Si les deux nombres sont identiques, la signature est dite valide, c'est-à-dire que l'expéditeur du message est certainement celui qu'il prétend être et que le message n'a pas été modifié au cours de sa transmission.

Les certificats & les autorités de certification.

Un certificat est une clef publique authentifiée par une autorité de certification. Un certificat peut servir à signer numériquement des documents et pourra être utilisé pour, par exemple, faire des déclarations fiscales. Les autorités de certification peuvent être des sociétés privées (Verisign et sa filiale Thawte sont les plus connues au niveau mondial), des organismes publics tel le CNRS ou encore La poste.

Le certificat et le choix de l'autorité qui le délivre sont des éléments essentiels si vous voulez que vos signatures numériques aient une valeur légale. Certains secteurs d'activités tel la santé disposent de solutions techniques très élaborées même si le manque de coordination au niveau national génère des initiatives locales. En somme, c'est encore un peu la pagaille au niveau des autorités de certification, mais les choses avancent. Les courageux peuvent obtenir les détails sur les aspects légaux auprès de la Direction centrale de la sécurité des systèmes d'information.

Par un abus de langage on appelle aussi certificat l'ensemble clef privée, clef publique et signature de l'autorité ; ce n'est guère surprenant puisque l'ensemble est souvent fourni par le prestataire de sécurité.

Quelques liens.

Internet regorge de sites qui parlent du sujet. Allez ici, ou encore là. Une histoire de la cryptographie est disponible ici. Last but not least, les explications de la Direction centrale de la sécurité des systèmes d'information sur le sujet.

Choisir la méthode de chiffrement.

Il existe plusieurs logiciels qui permettent de chiffrer et/ou authentifier vos missives. Nous nous tiendrons dans ces pages à ceux qui sont les plus courants : à savoir GnuPG et S/MIME.

GnuPG est le pendant « libre  » de PGP. C'est à notre avis le moyen le plus sûr d'échanger sa correspondance. Cependant, PGP impose une mise en œuvre malaisée et n'a pas obtenu le succès que ce système mérite auprès du grand public. Optez pour lui si vous intégrez un groupe de personnes qui chiffrent déjà avec cette technologie.

S/MIME est tout aussi sûr que PGP. C'est un standard soutenu par les grands acteurs du monde informatique et il est intégré dans les grands logiciels de gestions de courriels tels que Thunderbird, Outlook Express, Apple Mail, Entourage, etc. Si vous abordez le chiffrement pour la première fois, optez pour lui. D'un point de vue conceptuel, cette norme pose certains problèmes ; mais son intégration dans les grands logiciels de mails facilite son adoption par vos correspondants. Last but not least, c'est S/MIME qui permet d'utiliser les certificats que vous trouverez dans le commerce.

Mise en œuvre.

GnuPG.

Si vous êtes sous UNIX (GNU/Linux, FreeBSD et consorts) vous trouverez votre bonheur en utilisant les outils GnuPG.

Pour les utilisateurs de MacOS ou de Windows, allez, selon votre environnement, sur la page consacrée à Mac OS X, MacOS ou Windows.

Il existe un logiciel de gestion de courriels qui tourne aussi bien sous GNU/Linux que Mac OS X ou Windows, je parle bien sûr de Thunderbird. Vous pouvez lui adjoindre une extension qui permet d'y adjoindre PGP : Enigmail. Si votre logiciel de messagerie ne permet pas d'intégrer PGP, c'est une bonne alternative.

S/MIME

Si l'emploi de S/MIME n'est pas vraiment simplissime, son intégration d'emblée dans les principaux logiciels de gestion de courriels facilite vraiment les choses. Plus de détails.

Obtenir facilement un certificat.

Il vous suffit de l'acheter après d'une entreprise qui en délivre. Pour en savoir plus.

Gestion des clefs.

Si vous avez un tant soit peu parcouru les liens qui parsèment cette page, vous vous êtes probablement dit que les gens qui écrivent les modes d'emploi de PGP et plus particulièrement les chapitres sur le maniement des clefs sont totalement paranoïaques. Il faut leur pardonner : c'est leur rôle. En substance, il faut retenir :

• Si vous êtes une personne publique, il faut être paranoïaque dans le maniement de votre clef privée. Dans le cas contraire, si vous êtes le seul à utiliser votre machine à la maison, pas d'affolement. Laissez votre clef privée sur votre machine et utilisez-la en automatique. Ne la sauvegardez pas. Une sauvegarde, ça s'égare. Si vous perdez votre clef, il vous suffira d'en créer une nouvelle.
• Ne transmettez jamais votre clef privée via Internet.
• Si vous utilisez un ordinateur au travail. Faites une paire rattachée à votre adresse de courriel professionnel avec éventuellement une copie de la clef privée chez vous. Faites une paire rattachée à votre adresse de courriel privée que vous laisserez à demeure sur le poste que vous avez à la maison et qui n'en bougera en aucun cas. Si le seul ordinateur dont vous disposez est celui du travail, ne soyez pas paranoïaque sur votre clef privée. Si vous avez des angoisses de possibilités d'accès à votre poste par des tierces personnes, il faut être prudent sur l'ensemble des données, pas seulement sur la clef. CQFD.

Le mot de la fin.

Tout cela a l'air bien compliqué. En fait, pas vraiment. Lancez-vous et les choses s'éclairciront d'elles-mêmes.

Les nouvelles technologies ont comme inconvénient d'être ... nouvelles. Le courriel est un moyen de transmission fabuleux mais, hélas, peu sûr. Protéger votre correspondance est le plus élémentaire des droits. D'un point de vue légal, vous pouvez déjà le faire.

Il manque aujourd'hui une réelle volonté des acteurs aussi bien politiques qu'industriels pour populariser cette pratique alors qu'elle pénétre le monde de l'entreprise. Pourtant, tous les ingrédients sont en place pour qu'on fasse des communications numériques privées et authentifiées de manière confortable et sûre. Aujourd'hui, le point d'achoppement est sans doute une méconnaissance des enjeux par le grand public ; en d'autres termes la culture du tout numérique n'est pas encore entrée totalement dans les mœurs. Ce n'est qu'une question de temps.