Profitez des offres Memoirevive.ch!
PGP-GPG : mettez vos courriers dans des enveloppes (2ème partie)

GPG est la solution de référence pour mettre son courrier électronique dans des enveloppes fermées. Dans la première partie de cette série d'articles, je vous ai expliqué les raisons de ce choix et quelques bases théoriques pour en comprendre le fonctionnement.

Aujourd'hui, je vous propose de télécharger ce logiciel sur votre ordinateur et d'en comprendre le jargon.

Récupérer les sources

Le site de GPG est . C'est parfait pour ceux qui compilent eux-même leurs logiciels, et pour ceux qui surveillent de très près les mises à jour. Mais, si comme moi, vous faites partie de ceux qui préfèrent qu'un installateur se charge de tout, et de préférence qu'il soit adapté au Mac, je vous conseille vivement d'aller sur le site de Mac GPG, ici.

C'est un peu déconcertant au premier regard. Il y a 9 ensembles de fichiers proposés en téléchargement. Plus les versions antérieures, les archives et les sources. Voici une copie d'écran que j'ai faite, il n'y a pas longtemps :

site Mac GPG

En fait, vous aurez besoin de :

  1. GnuPG for OS X (c'est le moteur)

    Vous pourriez vous arrêter là, mais pour bénéficier systématiquement d'une interface graphique,vous devez aussi télécharger :

  2. GPG Keychain Access (pour gérer les clés)
  3. GPGPreferences (pour gérer les préférences)

    Enfin, pour utiliser GPG afin de crypter des fichiers dans votre ordinateur (autre-ment dit, en rendre l'accès impossible sans un mot de passe), il vous faudra :

  4. GPGFileTool (outil fichier, pour ceux que l'anglais rebute vraiment)

Suivant les cas, ce sont des fichiers image disque ou des archives "zippées". Je suis sûr que vous saurez vous débrouiller…

À moins d'être profondément paranoïaque, vous pouvez faire l'impasse sur la vérification des MD5.

  • D'abord, parce que vous téléchargez directement sur des miroirs de SourceForge. Il faudrait donc que le miroir que vous utilisez soit compromis. Or, le scandale aurait déjà été découvert (ou le serait très vite), et ça aurait fait du bruit…
  • Deuxième raison : bien que d'un point de vue théorique, ce soit une bonne chose, c'est une opération qui nous entraînerait trop loin hors du propos de ce guide.
  • Dernière raison, pas la moindre : si vous êtes méfiant à ce point là, vous ne devez pas me faire confiance, surtout pas quand je vous explique comment vérifier la validité d'une source…

Avant de quitter le site de Mac PGP, je vous suggère de vous inscrire à leur liste de diffusion d'annonces. Elle est ici. Vous serez tenu au courant des nouveautés et des mises à jour. C'est une liste très peu bavarde (quelques messages par an au maximum).

Un dernier p'tit tour (en Suisse) avant de finir

logo GPGmailIl vous manque encore quelque chose : l'adaptateur pour Mail. Il est disponible en téléchargement ici. Avec les sources, comme il est toujours de règle dans la bonne cryptographie. Au passage, remercions Stéphane Corthésy qui maintient, depuis des années, cet adaptateur.

Attention à bien prendre la version adaptée à votre félin, ce ne sont pas les mêmes pour le Jaguar et le Tigre… Et désolé si je vous laisse chercher dans la page, qui est bien longue, mais pour peu qu'il y ait une mise à jour, le lien que j'aurais fait ne serait plus valable.

Petit rappel : si vous voulez utiliser GPG avec un autre logiciel de courrier électronique que Mail, vous aurez également besoin d'un adaptateur.

  • Pour Eudora, c'est ici.
  • Pour Entourage, c'est .
  • Et pour Mailsmith, c'est là-bas.

Si vous n'avez pas de chance et que votre logiciel préféré ne figure pas dans cette liste, vous n'avez plus qu'à faire une recherche sur Google, et prier le bon Dieu… Si Dieu ne répond pas, il vous reste la possibilité de réclamer au développeur qu'il insère cette fonctionnalité dans la prochaine version de votre logiciel. En dernier recours, enfin, vous pouvez crypter vos messages en passant par le terminal et de les copier/coller dans votre logiciel de courrier (exotique). Mais là, franchement, c'est tellement galère que vous laisserez vite tomber…

N'allez pas trop vite !

Je sais, je sais. Vous voudriez cliquer sur le bouton "installer" et oublier tout le reste. Pas de bol, c'est pas comme ça que ça marche. Vous devez d'abord comprendre le jargon. Est-ce que vous prendriez le volant d'une voiture sans savoir passer les vitesses ?

GPG fait appel à de clés. Il y en a deux. Il y a une première clé, dite clé publique, qui sert à crypter (à fabriquer l'enveloppe). À fermer le message, si vous préférez. Cette clé, vous pouvez la distribuer comme vous voulez. La mettre sur votre site ouèbe. La publier dans un annuaire (il en existe des spécialisés dans cet usage, on le verra plus tard).Vous ne courrez strictement aucun risque à diffuser votre clé publique.

En face de cette clé publique, il y a votre clé privée. Celle qui permet de déchiffrer les messages. Celle là, vous vous en seriez douté, il ne faut pas la diffuser. Jamais. C'est avec elle que vous allez déverrouiller les messages que vous recevez. Cette clé est conservée dans votre ordinateur (pour ceux qui parlent Unix, elle est dans le fichier ~/.gnupg/secring.gpg). Et pour un maximum de sécurité, elle est protégée par un mot de passe, ce qui évite qu'elle soit utilisée en cas de vol de l'ordinateur. Maintenant, si votre mot de passe est toto

À quoi ça ressemble, une clé publique et une clé privée ? À ça :

paire de clefs

Mais non, je blague ! Ce sont des bits (donc c'est vachement difficile à représenter, à moins de donner dans un humour pré-ado qui n'a pas sa place sur Cuk). La clé publique peut également être diffusé sous forme d'une suite de chiffres et de lettres. Voici, par exemple, ma clé publique :

-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.4.1 (Darwin)
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=vvdQ
-----END PGP PUBLIC KEY BLOCK-----

Qui a demandé à quoi ressemble ma clé privée ? Non mais, est-ce que je vous demande votre code de carte bancaire, moi ? Quoi, vous insistez ? Bon, d'accord :

11001001110101…

Comment ça marche ?

Quand quelqu'un vous envoie un message, il va chercher votre clé publique, celle que vous avez diffusé partout. Il indique à GPG, qu'il a installé dans son ordinateur, que vous êtes le destinataire. GPG effectue alors une suite complexe de calculs basés sur votre clé publique et fabrique un texte crypté, c'est à dire illisible. Mais alors, vraiment illisible… C'est ce texte codé qui est envoyé par courrier électronique.

Quand vous recevez ce message, votre version de GPG appelle votre clé privée (la clé ultra-secrète qui ne doit jamais être révélée). Avec cette clé, il peut décoder le texte illisible. Mais sans cette clé, il ne peut rien faire…

La bonne affaire, me direz-vous. Ce qu'un ordinateur a fait, un autre peut le défaire. Même en transformant un texte en chiffres (A=1, B=2, etc.), en multipliant ce chiffre par 3 356 548 358 156 568 157 (ou tout autre nombre), et en faisant un modulo 525 668 123 589 583, la puissance de calcul des machines est telle qu'on peut faire l'opération inverse. Il suffit de chercher assez longtemps, avec une machine assez puissante.

Bravo, vous avez tout à fait raison. À un tout petit détail près : il vous faudra 12 684 411 568 années de calculs. Allez, j'avoue, ces chiffres sont pifométriques… En revanche, l'ordre de grandeur est vrai ! Votre courriel est dans une enveloppe qui restera fermée un bon petit moment.

Vous bénéficiez donc d'un niveau de sécurité considérable. Dans les faits, il sera bien plus facile d'envoyer une équipe du GIGN chez vous pour y aller "en force". Ou de demander à des Services Spéciaux de poser un sniffer sur votre clavier. Ou tout simplement, de vous obliger, par voie du justice, à donner votre clé privée. Mais rien de tout cela n'est accessible, ni aux petits barbouzes du dimanche, ni aux FAI indiscrets…

À suivre

Dans le prochain article, nous verrons comment installer et configurer GPG. Parce que vous, je ne sais pas, mais moi, j'ai la grosse tête.

9 commentaires
1)
Cheg
, le 24.06.2005 à 01:20

encore! encore! :)

2)
Serge
, le 24.06.2005 à 03:42

Va falloir créer une section « feuilleton » sur Cuk. ;-)

3)
pilote.ka
, le 24.06.2005 à 04:46

Olivier, je ne sais pas pourquoi mais cet article est plus lisible que le premier. Or il faut commencer par le plus facile.
Tu commences à me convaincre. Je me demande simplement si on peut débrayer le cryptage, car mes mails sont insuportablement quelcoques en général.

4)
François Cuneo
, le 24.06.2005 à 06:26

Olivier, je ne sais pas pourquoi mais cet article est plus lisible que le premier. Or il faut commencer par le plus facile.
Tu commences à me convaincre. Je me demande simplement si on peut débrayer le cryptage, car mes mails sont insuportablement quelcoques en général.

Ouuuuaaaaah Olivier, t’as réussi à rendre pilote.ka presque un tout petit peu positif! Très fort!!!:-)

5)
Olivier Pellerin
, le 24.06.2005 à 08:22

Je me demande simplement si on peut débrayer le cryptage, car mes mails sont insuportablement quelcoques en général.

Oui, on peut débrayer. En cliquant sur un bouton, directement dans la fenêtre principale. C’est expliqué dans la prochaine partie.
Et rassure-toi : le moteur de GPG est insensible à la qualité de ta prose…

6)
Yves
, le 24.06.2005 à 10:51

Palmarès des couche-tard et/ou des lève-tôt:

24 juin 2005

Cheg 1h20
Serge 3h42
pilote.ka 4h46
Okazou 5h21 – 5h26 – 5h27 – 5h35 – 5h41
François Cuneo 6h26

7)
Jérôme
, le 24.06.2005 à 11:44

il y a votre clé privée. Celle qui permet de déchiffrer les messages. C’est avec elle que vous allez déverrouiller (ou vérifier) les messages que vous recevez.

Il y a une petite erreur. La clé privée sert bien à déchiffrer les messages reçus, par contre elle n’est pas utilisée pour vérifier la signature des messages reçus. Lorsqu’une personne signe un message, elle va utiliser sa propre clé privée, puis la vérification de la signature se fera avec la clé publique de la personne en question. Ainsi, tout le monde sera capable de vérifier la provenance du message.

8)
Olivier Pellerin
, le 24.06.2005 à 13:32

Il y a une petite erreur…

Oups ! Merci, j’ai corrigé l’article.

9)
ToTheEnd
, le 24.06.2005 à 20:48

Yves: ton relevé ne compte pas parce que des fois, je rentre dans un tel état que je ne peux pas poster… la dernière fois que j’ai essayé (c’était un mail), le lendemain, j’ai relevé que le mail que j’avais envoyé comptait 7 pages de « r »… réflexion faite, je m’étais endormi sur le clavier avec avoir écrit un truc incompréhensible…

Moralité: ne conduisez pas si vous avez bu mais écrivez!

T