-
Chiffrer ses mails avec Enigmail
Les e-mails sont un moyen efficace de communiquer avec ses amis, ses collègues, ou encore sa famille, mais
il ne permettent pas d’authentifier l’identité de l’expéditeur, ou de s’assurer qu’ils ne sont déchiffrables que par le
destinataire.Une des solutions à ce problème est le chiffrement des messages, qui va rendre ceux-ci uniquement lisibles par la personne possédant la clé permettant de les déchiffrer.
Enigmail est un module complémentaire de Mozilla Thunderbird qui une fois installé va vous permettre de protéger
la confidentialité de vos communications par courrier électronique.
Enigmail est une interface graphique conçue pour faciliter l'utilisation l'outil de chiffrement GnuPG avec
Thunderbird.Enigmail s'appuie sur la méthode de cryptographie asymétrique, ou cryptographie à clé publique.
Tutoriel réalisé sur Xubuntu 12.04.3 LTS et Thunderbird 24.
Si vous souhaitez installer enigmail sur Windows, je vous conseille cet excellent tutoriel.Tutoriel « enigmail sur Windows »
Il existe 2 techniques principales pour chiffrer des données.
Chiffrement symétrique : utilise une clé secrète unique pour chiffrer et déchiffrer.
L'expéditeur envoie une clé secrète au destinataire.
L'expéditeur chiffre avec cette clé des données et les envoie.
Le destinataire pourra déchiffrer ces données grâce à la clé que l'expéditeur lui avait envoyé auparavant.
La clé est donc uniquement connue par l'expéditeur et le destinataire.(cliquer sur l'image pour l'agrandir)
Chiffrement asymétrique : utilise une clé publique pour chiffrer et une clé privée pour déchiffrer.
L'expéditeur souhaite communiquer avec le destinataire.
L'expéditeur et le destinataire génère chacun deux clés, une publique et une privée.
Le destinataire envoie sa clé publique à l'expéditeur.
L'expéditeur chiffre les données avec cette clé et les envoie.
Le destinataire déchiffre les données avec sa clé privée.
La clé privée de l'expéditeur n'est pas connue du destinataire et inversement.
(cliquer sur l'image pour l'agrandir)
GnuPG est installé par défaut sur Ubuntu 12.04.
Pour installer enigmail il existe 2 méthodes :
- La 1ère en se rendant ici :
- La 2ème via la commande :
sudo apt-get install enigmail
Une fois enigmail installé, vous pouvez vérifier que son installation a bien été complétée en voyant le bouton OpenPGP dans la barre d'outils de Thunderbird.
(cliquer sur l'image pour l'agrandir)
Avant de commencer à utiliser Enigmail et GnuPG pour authentifier et chiffrer vos messages, vous devez d'abord vous assurer que les deux programmes communiquent normalement entre eux.
Pour cela cliquez sur OpenPGP puis Préférences.
(cliquer sur l'image pour l'agrandir)
Si les 2 programmes communiquent bien ensemble, vous devriez voir apparaitre la ligne GnuPG trouvé dans /usr/bin/gpg.
Lorsque vous écrirez un mail chiffré, le mot de passe de votre clé privé vous sera demandé, et si vous renvoyez un autre mail après plus de 5 mn, le mot de passe vous sera de nouveau demandé.
Vous pouvez changer cette valeur par défaut ou bien cocher la case Ne jamais demander la phrase secrète.
(cliquer sur l'image pour l'agrandir)
Si GnupG n'a pas été trouvé, cochez l'option Outrepasser et cliquez sur le bouton Parcourir pour localiser GnuPG sur votre ordinateur.
(cliquer sur l'image pour l'agrandir)
Pour générer une paire de clés, cliquez sur OpenPGP puis sur Assistant de configuration.
(cliquer sur l'image pour l'agrandir)
Cocher la 1ère ligne et cliquez sur suivant.
(cliquer sur l'image pour l'agrandir)
L'assistant vous demande ensuite si vous voulez signer tous les messages sortants ou si vous souhaitez configurer des règles différentes pour différents destinataires.
En règle générale, il est conseillé de signer tous les messages afin que vos correspondants aient une confirmation qu'ils viennent bien de vous.
Les destinataires du message n'ont pas besoin d'utiliser des signatures numériques ou PGP pour lire un message signé numériquement.
Sélectionnez la 1ère ligne et cliquer sur suivant.
(cliquer sur l'image pour l'agrandir)
L'assistant va vous demander si vous souhaitez chiffrer tous vos messages sortants.
Sélectionnez la 1ère option que si vous avez les clés publiques de toutes les personnes avec qui vous allez correspondre.
Sélectionnez la 2ème ligne et cliquez sur suivant.
(cliquer sur l'image pour l'agrandir)
Cochez la 1ère ligne pour éviter d'avoir à configurer d'autres paramêtres par la suite et cliquez sur suivant.
(cliquer sur l'image pour l'agrandir)
Vu que nous n'avons aucune clé publique / privée de crées, nous allons cocher la 1ère case et cliquer sur suivant.
(cliquer sur l'image pour l'agrandir)
Votre clé privée doit être protégée par un mot de passe (8 caractères minimum), mot de passe qui sera utilisé pour déchiffrer les messages.
Utilisez un mot de passe fort avec des majuscules, minuscules, des chiffres et des signes de ponctuation et n'utilisez pas des mots du dictionnaire.
Une fois celui-ci renseigné, cliquez sur suivant.
(cliquer sur l'image pour l'agrandir)
L’assistant de configuration vous fait un récapitulatif de vos choix.
Cliquez sur suivant pour générer les deux clés.
(cliquer sur l'image pour l'agrandir)
La génération des clé doit se faire de manière aléatoire.
Cette génération se fait par l'intermédiaire d'actions que vous effectuerez sur votre ordinateur pendant la génération des clés ( frappe au clavier, mouvement de souris, navigation sur le web...)
Ces actions auront pour but de créer des bits aléatoires et plus ces bits aléatoires seront nombreux, plus la clé sera robuste.
(cliquer sur l'image pour l'agrandir)
Une fois la génération de la clé terminée, l'assistant nous recommande de créer un certificat de révocation pour la clé.
Ce certificat a pour fonction d'annuler la clé en cas de perte ou en cas de perte de mot de passe de celle-ci.
Je vous recommande de ne pas perdre ce certificat.
(cliquer sur l'image pour l'agrandir)
(cliquer sur l'image pour l'agrandir)
Pour enregistrer celui-ci, le mot de passe de votre clé vous sera demandé ( phrase secrète ).
(cliquer sur l'image pour l'agrandir)
Le certificat de révocation étant bien crée, cliquez sur ok.
(cliquer sur l'image pour l'agrandir)
La configuration est maintenant terminée.
Pour finir, cliquez sur Terminer.
(cliquer sur l'image pour l'agrandir)
Nous allons maintenant jeter un coup d'oeil sur nos clés.
Pour cela, cliquer sur OpenPGP puis sur Gestions des clefs.
Vous allez pouvoir voir que vos clés sont bien présentes.
! Veillez à ne pas perdre vos clés...
(cliquer sur l'image pour l'agrandir)
Effectuez un double-clic sur les clés pour avoir des informations sur celles-ci ( identifiant de la clé, type de clés, empreinte, date d'expiration..).
(cliquer sur l'image pour l'agrandir)
En cliquant sur Sélectionner l'action, vous aurez des choix d'actions comme modifier la phrase secrète, révoquer la clé...
(cliquer sur l'image pour l'agrandir)
Pour exporter ma clé publique, je choisis ma clé, puis je clique sur Fichier.
Pour exporter ma clé publique, je peux soit envoyer celle-ci par mail, soit l'exporter dans un fichier sur une clé USB pour la redistribuer.
ici, je choisis l'option Exporter des clés vers un fichier.
(cliquer sur l'image pour l'agrandir)
Je choisis l'option Exporter uniquement les clés publiques.
(cliquer sur l'image pour l'agrandir)
Je choisis l'emplacement de sauvegarde et je clique sur Enregistrer.
(cliquer sur l'image pour l'agrandir)
Voici à quoi ressemble une clé publique.
(cliquer sur l'image pour l'agrandir)
Chez mon destinataire, je vais dans OpenPGP, Gestion des clefs.
Ensuite je clique sur Fichier puis Importer des clefs depuis un fichier.
(cliquer sur l'image pour l'agrandir)
Je vais chercher la clé publique que j'avais enregistré sur ma clé USB et je clique sur Ouvrir.
(cliquer sur l'image pour l'agrandir)
Si l'importation s'est bien déroulée, un boite de dialogue vous en informe.
(cliquer sur l'image pour l'agrandir)
Vous pouvez voir que ma clé publique a bien été importée.
Une fois que ma clé publique a bien été importée chez mon destinataire, je récupère sa clé publique et je l'importe de la même manière.
(cliquer sur l'image pour l'agrandir)
Il est possible de déterminer un niveau de confiance d'une clé en faisant un clic-droit sur la clé puis en cliquant sur Définir le niveau de confiance du propriétaire.
(cliquer sur l'image pour l'agrandir)
Si vous recevez une clé publique d'une source inconnue, dans ce cas ne faites pas confiance pour le moment tant que son identité n'a pas été vérifiée.
Pour des amis ou des proches, vous pouvez leur accorder votre confiance.
(cliquer sur l'image pour l'agrandir)
Une fois que nous avons échangé nos clés publiques respectives, nous allons tester l'envoi d'un mail chiffré.
Mais avant, nous allons vérifier les options OpenPGP pour le compte mail.
Vérifiez que le support OpenPGP est bien activé, que l'identifiant de clé est bien le votre et que la signature et le chiffrement des messages sont bien cochés.
Ecrivons notre 1er mail.
Remarquez les 2 icônes en bas à droite.
Celle de gauche (crayon) indique que le message sera signé et celle de droite (clé) que mon message sera chiffré.
(cliquer sur l'image pour l'agrandir)
Entrez votre mot de passe et cliquez sur OK pour envoyer le mail.
(cliquer sur l'image pour l'agrandir)
Du coté du destinataire, mon mail est bien arrivé (selon vos paramètres, le mot de passe de la clé privée peut vous être demandé pour déchiffrer le mail).
Le message a bien été déchiffré par la clé privée du destinataire.
Comme nous avons échangé nos clés publiques, vous pouvez voir que ma signature dans la barre verte apparaît comme correcte, si la clé n'avait pas été importé un message "la signature n'a pu être vérifié" apparaîtrait.
Vous pouvez également vérifier l'identifiant de la clé.
(cliquer sur l'image pour l'agrandir)
Le destinataire me répond en retour et je vois que sa signature dans la barre verte apparaît comme correcte et que le message a bien été déchiffré par ma clé privée.
Vous pouvez également vérifier l'identifiant de la clé.
(cliquer sur l'image pour l'agrandir)
Je vais maintenant essayer de lire le mail, via mon webmail.
Vous pouvez voir que le message ne peut être affiché car il est chiffré.
Les messages chiffrés doivent être ouverts sur le client Thunderbird sur lequel les clés ont été générées, auquel cas vous aurez un message chiffré, impossible à lire.
(cliquer sur l'image pour l'agrandir)
Conclusion :
Vous en savez un peu plus sur le chiffrement des e-mails avec enigmail.
Je n'ai pas détaillé certaines options auquel cas ce tutoriel aurait bien été plus long.
N'hésitez pas à me faire part de vos retours d'expériences sur l'utilisation d'énigmail ou d'autres logiciels de chiffrement de mails.
Tags : chiffrement, thunderbird, enigmail, GnuPG
-
Commentaires