Comment signer et chiffrer des e-mails avec Thunderbird


La tendance actuelle sur Internet est la réémergence des arnaques par messagerie électronique (hameçonnage). Bon nombre de ces tentatives d’escroquerie se font par usurpation d’identité : les escrocs essaient de se faire passer pour une autre personne. Nous recevons tous tellement de spams que parfois nous doutons même de la légitimité des emails que nos proches nous envoient, ou à l’inverse, nous finissons par être induits en erreur par des emails illégaux. Par ailleurs, un autre aspect des messages électroniques est qu’il leur manque le dispositif naturel de confidentialité des échanges : les e-mails que vous envoyez ou recevez sont comme des cartes postales, ils peuvent être lus par les différents systèmes qu’ils traversent. Pour résoudre ces problèmes, nous apprendrons comment signer et chiffrer votre courrier électronique à l’aide du logiciel de messagerie open source Mozilla Thunderbird.

Comprendre les principes du chiffrement asymétrique

Derrière ce terme un peu barbare se cache la pierre angulaire de la plupart des procédés qui permettent de rendre confidentielles les transactions sur Internet.

paire clé privée-clé publique

En plus de ces méthodes, il n’est pas nécessaire de se plonger dans les détails techniques ni même de s’aventurer dans des concepts mathématiques (ce qui dépasse complètement mes compétences), mais il est crucial de comprendre la philosophie du chiffrement asymétrique pour utiliser correctement les mécanismes de signature. Cryptage des e-mails.
Ces mécanismes reposent sur la possession par chacun d’une paire de clés numériques, une clé publique et une clé privée.Ils portent bien leur nom :

  • Votre clé privée ne peut appartenir qu’à vous : le fait que vous l’ayez et que le seul à la posséder vous permet de prouver que vous êtes bien vous-même.Il est généralement protégé par un mot de passe ou un code PIN que vous seul connaissez. Il servira à signer vos e-mails et également à déchiffrer les e-mails qui vous sont envoyés par votre correspondant.
  • Votre clé publique doit être distribuée à tous vos contactsGrâce à lui, ils pourront vérifier que l’email a bien été signé de votre main (ou plutôt de votre clavier) et ils pourront chiffrer l’email jusqu’à votre destination.

Par conséquent, nous comprenons l’importance de garder votre clé privée en sécurité : elle ne doit jamais être perdue, et encore moins volée.

Nous reconnaissons également le principe de base selon lequel les clés publiques de tous les communicants doivent être échangées entre eux.

Il est important de comprendre ces deux principes afin de comprendre ce qui suit. Avant de passer au chapitre suivant, n’hésitez pas à relire les fonctions des clés publiques et privées pour vous convaincre de la corrélation du système.

Comment obtenir la clé de cryptage

Avant de voir que nous pouvons le générer nous-mêmes, encore faut-il mentionner le fait que nous pouvons nous le procurer en l’achetant auprès d’un soi-disant organisme de certification.

En effet, la loi française prévoit une place pour les paires de clés privées/publiques (souvent appelées simplement « certificats », même si le terme « certificat » ne spécifie en réalité que la clé publique). Ainsi, certains organismes, comme les chambres de commerce et d’industrie, sont autorisés par l’État à générer et à vendre des certificats de valeur juridique réelle aux particuliers pour prouver leur identité, comme une carte d’identité. Ces certificats ont un coût, ne sont valables que pour une durée limitée (jusqu’à 3 ans, mais la tendance est à 1 an), et ne peuvent être obtenus qu’en les présentant personnellement et en présentant une « carte d’identité » au point de distribution. Ils sont stockés la plupart du temps sur la clé USB et ne peuvent être utilisés qu’à partir de là.

A Voir  Virus en mise à jour flash, comment savoir si vous êtes infecté ?

Clé de chiffrement contenant une paire de clés privée-publique-publique.

Attention à ne pas vous tromper, il existe plusieurs types de certificats : nous n’aborderons ici que les certificats qui certifient l’identité d’une personne, pas un serveur informatique (ou un hébergeur ou un nom de domaine).

Lorsque le certificat est fourni par une autorité de certification, la confiance du tiers dans la preuve numérique de votre identité repose sur le fait que l’entité qui vous a délivré le certificat est autorisée par l’État à le faire, et prendra les mesures nécessaires avant en vous fournissant les étapes pour vérifier votre identité.

Comme mentionné précédemment, Cependant, vous pouvez générer vous-même gratuitement votre paire de clés privée/publique, prenez Thunderbird comme exemple. Dans ce cas, la confiance du tiers dans la preuve numérique de votre identité dépendra de la façon dont vous lui transmettez la clé publique : par exemple, par remise manuelle via une clé USB, lors d’un apéritif convivial (ou vous le feriez par téléphone ou La vidéo lui dicte… Je plaisante, même si ça risque d’être terriblement fastidieux !). Notez que dans le cas de votre propre génération, le certificat n’a aucune valeur légale, mais peut signer et chiffrer les e-mails comme n’importe qui d’autre.

Pour le reste, nous nous mettrons dans la situation de générer nous-mêmes le certificat.

Préparer Thunderbird pour signer et décrypter les e-mails

L’opération est très pratique et peut être effectuée en quelques clics.

Générer une paire de clés

C’est la première étape : Thunderbird va générer la paire de clés via le module OpenPGP. Pour cela, vous devez vous rendre dans les paramètres de votre compte.

Dans les paramètres du compte de messagerie pour lequel vous souhaitez configurer le chiffrement, accédez à chiffrement de bout en bout » et cliquez sur « ajouter une clé « .

Dans l’assistant de création ou d’importation de clé, sélectionnez  » Créer une nouvelle clé OpenPGP « .

Sélectionnez les paramètres de création de la clé : période de validité, algorithme de chiffrement et taille de la clé. N’importe quel paramètre peut être utilisé ici, mais à titre d’illustration, sachant que plus la clé est longue, plus il est difficile pour les pirates de la craquer, mais en retour plus il faut d’effort de calcul pour chiffrer/déchiffrer les emails sur votre ordinateur. Le type de cryptage « ECC » est plus récent que « RSA » et a une plus grande puissance de cryptage avec la même longueur de clé.

Enfin, concernant la durée de validité de la clé, elle n’a pas d’importance dans notre discussion actuelle. Après la date d’expiration, vos futures signatures ne seront plus valides, mais vous pourrez bien entendu continuer à décrypter les emails que vous avez déjà reçus. Vous pouvez modifier très simplement la date de validité de la clé via le gestionnaire correspondant. Notez qu’il est de bonne pratique de renouveler les clés périodiquement (par exemple tous les 3 ans), même si ce n’est pas obligatoire.

A Voir  Apple iPhone 14 : Pas de Pro, pas d'affichage ProMotion 120Hz

Ensuite, vous pouvez confirmer la création de la clé.

Maintenant que la paire de clés privée-publique est créée, nous pouvons désormais signer les e-mails ainsi que les décrypter, tout cela grâce à notre clé privée. Nos correspondants pourront vérifier les signatures de nos emails grâce à la clé publique que nous leur remettons, qui fonctionne en tandem avec notre clé privée, un peu comme une clé et un cadenas.

enregistrer la clé privée

C’est une bonne pratique car perdre la clé privée empêchera de déchiffrer tous les mails que nous avons déjà reçus : ce serait bien de les jeter à la poubelle.La sauvegarde a lieu à gestionnaire de clés.

Nous choisissons la clé à enregistrer (dans notre cas il n’y en a qu’une) et choisissons l’option  » enregistrer la clé dans le fichier Ensuite on choisit un répertoire pour contenir la clé, puis on définit un mot de passe (obligatoire) pour protéger le fichier.

Envoyer un e-mail signé

C’est juste un jeu d’enfant, dans la fenêtre d’édition habituelle d’un email, il suffit de dérouler le menu « Sécurité » et de sélectionner « Options » signer numériquement ce message « .

Le message sera alors signé avec votre clé privée, ce qui prouvera que vous êtes bien l’expéditeur du message. De plus, une signature électronique prouvera que votre message n’a pas été modifié entre le moment où il a été envoyé depuis votre Thunderbird et son arrivée dans la boîte aux lettres de votre correspondant, ce qui est très important.

Votre correspondant pourra alors vérifier la signature de votre email en cliquant sur la partie openPGP de l’email.

Importer la clé publique du correspondant pour chiffrer les e-mails

importer la clé publique

Comme vous le savez, pour pouvoir chiffrer un email à un correspondant, vous devez disposer de sa clé publique. Vous l’avez eu sur la dernière clé USB Apéritif, maintenant il faut l’importer dans Thunderbird. Cela se passe dans le gestionnaire de clés.
Nous choisissons les fonctionnalités Importer la clé publique du fichier » On pointe alors sur le fichier contenant la clé publique que notre correspondant nous a donné.

Il ne reste plus qu’à vérifier l’import de la clé.

Nous sommes maintenant prêts à envoyer un e-mail crypté à ce correspondant.

Envoyer un e-mail crypté au correspondant

Super facile : nous élargissons à nouveau le menu » Sécurité fenêtre d’édition de message, cette fois sélectionnez  » besoin de cryptage (Notez que les e-mails sont également automatiquement signés). Le mail sera alors crypté avec la clé publique de votre correspondant et lui seul pourra le décrypter avec sa clé privée.

Votre correspondant pourra alors vérifier les informations de sécurité de l’email :

Ne chiffrez pas les lignes d’objet des e-mails

Thunderbird crypte également les sujets des e-mails par défaut pour plus de sécurité. C’est bien, mais trouver un e-mail spécifique sur une liste de diffusion peut être très pénible.

Personnellement, je préfère que Thunderbird ne chiffre pas le sujet des messages C’est un peu moins sécurisé, mais on peut facilement retrouver un mail avec un sujet dans la liste sans avoir à les déchiffrer un par un.

Cette option n’est pas en surbrillance et doit être disponible via l’éditeur de configuration ; pas de panique, cela se produit…