Facebook propose depuis quelques mois d'afficher une clef publique OpenPGP sur le profil de ses utilisateurs et de l'utiliser pour envoyer des notifications chiffrées. Nous avons décidé de vous expliquer comment procéder en utilisant GnuPG (GPG).
Alors que nous venons de vous apprendre à générer une paire de clefs presque parfaite en utilisant GnuPG (GPG), certains se demandent comment l'utiliser. Outre le chiffrement de fichiers que nous avons déjà évoqué, il est possible d'en profiter pour les échanges par email.
Malheureusement, rares sont les sociétés ou même les acteurs publics à proposer un chiffrement et une signature électronique des messages, que cela passe par GPG ou non. Étrangement, l'un des rares à l'avoir mis en place n'est pas le plus grand ami des adeptes de la vie privée, puisqu'il s'agit de... Facebook.
L'annonce date de juin 2015 et le service est toujours en place depuis. Il a plusieurs intérêts : communiquer votre clef publique (permettant de vous envoyer des éléments chiffrés, voir notre article), vous assurer qu'une notification reçue par email a bien été émise par Facebook, mais aussi vous assurer de la confidentialité de ces échanges. Les notifications pouvant, selon vos paramètres, contenir des copies de conversations Messenger, cela peut s'avérer utile.
Tout se passe au sein de la section Clé publique des paramètres de sécurité, à laquelle vous pourrez accéder en cliquant sur ce lien. Vous y trouverez un espace pour partager votre clef publique, indiquer si vous voulez ou non qu'elle soit utilisée pour chiffrer vos échanges avec Facebook et un lien pour récupérer la clef publique de la société.
Télécharger et importer la clef publique de Facebook
C'est par cette première étape que nous allons commencer. Pour cela, vous devrez bien entendu disposer d'une machine avec GPG d'installé, et si possible un gestionnaire de clefs. Si cela est le plus souvent le cas par défaut sous Linux, n'hésitez pas à suivre notre guide d'installation pour macOS et Windows.
La clef publique de Facebook est distribuée à l'adresse suivante :
Celle-ci se présente sous la forme d'un fichier facebook.asc que vous pourrez intégrer à votre gestionnaire de clefs (Kleopatra, GPA, GPG Keychain, etc.) d'un simple glisser-déposer ou en utilisant la fonction d'import. Bien entendu, vous pouvez aussi tout simplement utiliser un terminal et la ligne de commande :
gpg --import facebook.asc
Une fois cette étape effectuée, vous devriez voir apparaître la clef de Facebook dans votre gestionnaire de clefs ou en tapant la commande gpg -k dans votre terminal.
Vous êtes désormais capable de chiffrer des contenus pour les envoyer à Facebook, mais aussi de vérifier que le réseau social est bien à l'origine d'un document ou d'un message.
Afficher votre clef publique sur votre profil Facebook
Comme nous l'avons évoqué dans notre article sur la création d'une paire de clef « presque parfaite », votre clef publique doit être facilement trouvable dans un espace qui vous est associé (à votre nom ou votre pseudonyme). L'idéal est de partager cet élément sur des pages HTTPS, que ce soit votre blog, des services dédiés ou un annuaire tel que ceux de SKS.
La problématique des annuaires étant qu'une clef ne peut être retirée ou modifiée simplement, il peut être utile de disposer d'un ou plusieurs endroits où vous diffusez la clef publique que vous utilisez actuellement. Pour rappel, celle-ci permet à n'importe qui de vous envoyer un document/message chiffré mais aussi de vérifier que vous êtes bien à l'origine d'un document/message que vous avez signé (voir notre article).
Pour la partager sur Facebook, cela ne passera pas par le partage d'un fichier. Il faudra en effet entrer le contenu de votre clef publique dans un champ prévu à cet effet. Celle-ci doit répondre au standard OpenPGP, GPG est donc parfaitement adapté (voir cet article pour comprendre la nuance).
Pour récupérer le contenu de votre clef publique, vous aurez plusieurs possibilités selon votre système et les outils installés. Pour rappel, votre clef est en général affichée en gras (puisque vous disposez aussi de la clef privée), et correspond à votre nom/adresse email.
Des outils comme GPA ou GPG Keychain vous permettent simplement de copier son contenu dans le presse papier (clic droit sur la clef, copier), d'autres comme Kleopatra vous proposeront simplement de l'exporter dans un fichier qu'il vous faudra ensuite ouvrir avec un éditeur.
Vous pouvez là encore passer par un affichage ou un export via une ligne de commande. Dans ce dernier cas, vous devrez ouvrir le fichier avec votre éditeur préféré. Vous pouvez identifier votre clef avec son email, son ID ou son empreinte :
gpg -a --export [email protected]
gpg -a --export [email protected] > public_key.asc
Une fois le contenu du fichier récupéré, vous pouvez le placer dans le champ prévu à cet effet dans les paramètres de Facebook, et enregistrer. Elle sera alors affichée dans la section Informations générales et coordonnées de la section À propos de votre profil.
Comme pour tous les autres paramètres, vous pourrez choisir sa visibilité (vous uniquement, vos amis, public, etc.) et même éditer directement votre clef publique :
Recevoir des notifications chiffrées de Facebook
Si jamais vous voulez recevoir des notifications chiffrées de la part de Facebook, il vous suffira de cocher la case prévue à cet effet des paramètres de sécurité. Il vous sera alors demandé de confirmer cette action en tapant votre mot de passe.
Attention, afin de pouvoir lire les notifications chiffrées depuis l'un de vos appareils, il devra contenir votre paire de clefs, la clef publique de Facebook et disposer d'un client email compatible avec GPG ou avec une extension dédiée. Un point que nous aborderons dans un prochain article.
Retrouvez notre dossier Chiffrement, clefs de sécurité et cryptobidules :
- Chiffrement : notre antisèche pour l'expliquer à vos parents
- OpenPGP et GnuPG : 25 ans de chiffrement pour tous, ce qu'il faut savoir avant de s'y mettre
- GPG : création de votre première paire de clefs et chiffrement d'un fichier
- GPG : comment créer une paire de clefs presque parfaite
Commentaires (16)
Facebook Messenger propose maintenant cette fonction mais ne semble pas mentionner la clé : j’imagine que c’est une version simplifiée qui n’a pas besoin d’afficher la clé ? (c’est pour cela que Facebook précise bien que les messages ne seront lisibles que sur un appareil ?)
" />
Je n’y comprends rien à ces histoires de chiffrement, et je ne m’attendais pas à ce que Facebook s’y mette.
Facebook et chiffrement c’est quand même antinomique comme procédé.
" />
Ok, merci.
" />
Cela réduit un peut l’intérêt du bouzin, surtout quand on utilise au moins deux appareils (PC et téléphone).
Facebook c’est super chiffré et sécurisé à l’usage, à la connexion… Ce qui m’est moins c’est la revente et la fuite massive de données personnelles.
" />
https://www.nextinpact.com/news/101643-messenger-facebook-propose-desormais-conversations-chiffrees-en-option.htm
Vous parlez de ça ? Si oui, c’est un chiffrement des conversations dans Messenger qui n’a rien à voir avec GPG, donc il n’est pas prévu de gérer des clefs maison.
Je plains ceux qui croient chiffré ces données sur facebok
" />
Il faut être naïf
Disons que c’est bien chiffré en effet (genre si tu paramètres le tout correctement, FB t’envoie des e-mails chiffrés bien comme il faut). Cela dit, ça n’a rien de protecteur vis-à-vis du peeping Tom en chef, Facebook lui-même, et cette fonction entretient doucement la confusion entre sécurité et “privacité”…
Question naïve : Facebook (et/ou Google) n’ont ils pas la puissance de calcul nécessaire à cracker une clé gpg ?
Très bon article, merci.
J’espère aussi que lorsque vous ferez l’article concernant les client emails compatibles avec GPG (+ extensions) vous parlerez abondamment de Enigmail qui est quand même d’après moi l’une des meilleurs extension au monde (carrément…).
C’est sur que si Trump leur demande “gentiment”, ils vont pas forcément refuser… et puis sinon la NSA a bien “quelques moyens” pour cracker des clés… (10 milliards de $ de budget, ça peut aider…).
Chaque chose en son temps, couvrir GPG demande pas mal de temps, on pose les bases et après on rentre “dans le dur” ;)
Non… sauf s’ils nous font des cachoteries et ont un ordinateur quantique (avec suffisamment de qbits) planqué dans un placard ;)
(ou si ta clé RSA fait 2048 bits ou moins) (oui soyons un peu parano, on est sur une news PGP quand même)