OpenPGP et GnuPG : 25 ans de chiffrement pour tous, ce qu'il faut savoir avant de s'y mettre

OpenPGP et GnuPG : 25 ans de chiffrement pour tous, ce qu’il faut savoir avant de s’y mettre

Il n'est jamais trop tard

Avatar de l'auteur

David Legrand

Publié dans

Logiciel

27/12/2016
62
OpenPGP et GnuPG : 25 ans de chiffrement pour tous, ce qu'il faut savoir avant de s'y mettre

Phil Zimmerman a créé PGP il y a 25 ans et le standard OpenPGP fêtera ses 20 ans l'année prochaine. L'occasion de faire le point sur ce qui a donné naissance à GnuPG, avant de nous attarder sur son utilisation pratique.

Après vous avoir expliqué les concepts de base de la cryptologie et du chiffrement, nous avons décidé de revenir en détail sur un premier outil qui a l'avantage d'être open source, multiplateforme et d'exister depuis près de 20 ans : Gnu Privacy Guard, aka GnuPG ou GPG.

Nous publierons dans le cadre de ce dossier une série de guides pratiques qui permettront de l'exploiter, de la simple création d'une paire de clefs au chiffrement de vos fichiers et de vos emails.

De PGP 1.0 à GnuPG 2.1 : 25 ans de chiffrement

Pour rappel, Phil Zimmerman a créé Pretty Good Privacy (PGP) en 1991, un projet qui s'était exporté hors des États-Unis (malgré les lois en vigueur à l'époque) à travers une solution ingénieuse : le code source avait été distribué sous la forme d'un livre, édité par MIT Press et qui nécessitait ensuite d'utiliser un outil d'OCR. Un épisode qu'il avait raconté en 2013 dans le cadre du reportage Une contre-histoire des internets :

À l'occasion du lancement de sa troisième version, le projet a été pris en charge par la société PGP Inc, rachetée plusieurs fois puis intégrée à Symantec en 2010. Mais c'est dès 1997 que le besoin de la création d'un standard qui n'était soumis à aucune licence ni aucun brevet s'est fait sentir. OpenPGP était alors né à travers la RFC2240 de l'Internet Engineering Task Force (IETF). Désormais, il s'agit de la RFC4880.

GnuPG est donc une implémentation open source de ce standard, dont la première version stable a vu le jour deux ans plus tard, en 1999. Un outil de référence, tant pour le chiffrement de documents que des emails dans de nombreuses applications. Fin 2013, peu après les révélations d'Edward Snowden, l'équipe faisait appel au financement participatif pour donner un nouvel élan au projet et mettre sur pieds la version 2.1. Sur 24 000 euros demandés, 36 732 euros ont été obtenus.

Aujourd'hui, OpenPGP et GnuPG sont contestés par certains (comme Moxie Marlinspike, co-auteur du protocole Signal) pour leur complexité, notamment lorsqu'il s'agit de messagerie instantanée ou de gestion depuis un appareil mobile. L'histoire retiendra en effet que lorsqu'Edward Snowden a cherché à contacter le journaliste Glenn Greenwald pour la première fois, celui-ci ne savait pas utiliser ces outils. Il a ensuite contacté Laura Poitras, plus habituée à ce genre de pratiques.

signalSignal Desktop
Signal, une messagerie électronique qui mise sur un chiffrement efficace, mais simple et transparent

Mais GnuPG reste un outil flexible, autorisant de nombreux usages dans le domaine du chiffrement. Si beaucoup voient en des applications comme Signal des remplaçants, il s'agit plutôt de bons compléments pour des besoins spécifiques, comme le rappelait récemment Neal H. Walfield, qui travaille sur GnuPG.

Bien qu'imparfait et sans doute pas assez « clef en main », il reste néanmoins important à connaître et à maîtriser dès lors que l'on s'intéresse à cette problématique, avec l'espoir de comprendre un minimum ce que l'on fait. Après tout, ce n'est pas parce que les voitures autonomes existent qu'il ne faut plus apprendre à conduire.

Trois branches et de nombreux outils

GnuPG est distribué seul, via deux branches principales : stable et moderne. La première est conservatrice dans ses fonctionnalités et intègre en général surtout des correctifs. La seconde implémente de nombreuses nouveautés. Il existe aussi une branche classique (1.4) pour ceux qui veulent assurer une compatibilité avec d'anciens systèmes.

Actuellement vous avez le choix entre la 2.0.30 – qui sera considérée comme en fin de vie le 31 décembre 2017 – et la 2.1.17. Cette dernière ne supporte plus les clef PGP-2 mais propose le support des algorithmes de cryptographie sur les courbes elliptiques (ECC), une procédure de création de clefs par défaut plus simple, des procédures d'ajout et de signature de clef rapides, des correctifs et autres améliorations diverses.

Notez que l'équipe de GnuPG distribue plusieurs outils, notamment des bibliothèques pour les développeurs. Gnu Privacy Assistant (GPA) est aussi disponible pour la gestion de vos clefs et smartcards, ainsi que pour le chiffrement de textes. Le site d'OpenPGP, lui, présente avant tout le standard et son histoire, ainsi que des outils qui l'exploitent pour différents usages.

Clef publique, clef privée, WOT et TOFU

Comme nous l'avons évoqué dans notre article sur le chiffrement, GPG propose un fonctionnement dit asymétrique. Ainsi, vous disposez d'une paire de clefs, l'une publique et l'autre privée (voir notre guide de création).

La première est à diffuser largement, elle permettra à des tiers de chiffrer des documents de manière à ce que vous seul puissiez les lire. De manière générale, il est recommandé de la mettre en avant dans des espaces qui vous appartiennent et où vous êtes clairement identifié : votre biographie sur Facebook ou Twitter, un service dédié comme Keybase, votre blog, etc.

Chiffrement asymétrique
Crédits : Roumanet/Wikipédia

Cette identification est nécessaire car n'importe qui peut créer une paire de clefs pour n'importe quel nom/email. C'est pour cela que le concept de « web of trust » a été mis en place, permettant à tout utilisateur d'indiquer qu'il certifie qu'une clef donnée correspond bien à une personne précise. Une action favorisée par les « key signing party ».

Pour ceux qui veulent aller plus loin, notez qu'un nouveau modèle de confiance dévoilé l'année dernière commence à être mis en place : Trust On First Use (TOFU). Il a notamment été détaillé dans ce journal de LinuxFR et vise à faciliter les échanges lors d'un premier contact.

La clef privée doit rester secrète. Elle vous permettra de signer des éléments pour prouver que vous en êtes à l'origine et qu'ils n'ont pas été modifiés, ou de déchiffrer ceux qui vous sont envoyés. Attention, si vous la perdez, elle sera impossible à remplacer. De plus, si vous changez de clef, la nouvelle ne permettra pas de déchiffrer les documents et emails chiffrés pour la précédente.

Une clef privée est toujours protégée par une phrase de passe qui permettra de la déverrouiller. Ainsi, si quelqu'un venait à la découvrir, tout ne sera pas perdu (mais il faudra éviter d'oublier cette phrase ou qu'elle soit trop facile à deviner). Une clef privée prend la forme d'une longue suite de caractères, vous pouvez donc la « sauvegarder » sous la forme papier (certains outils permettant de générer un PDF spécifique).

Identités, photos, commentaires et empreintes

Chaque paire de clefs peut être liée à une ou plusieurs identités. Celles-ci se composent de trois éléments : un nom, un email et un commentaire. Vous pouvez aussi ajouter des photos permettant de vous identifier. Bien entendu, cela ne doit pas forcément se faire sous votre vrai nom, et vous pouvez décider d'avoir un fonctionnement plus discret, avec une identité sous pseudonyme.

Chaque clef est identifiée par une empreinte de 40 caractères ou un ID qui se compose des huit derniers caractères de cette dernière. Lorsque vous voulez permettre d'identifier votre clef, veillez à bien communiquer l'empreinte complète pour éviter tout problème.

En effet, des cas de collisions sur l'ID ont été rencontrés ces derniers mois, il ne peut donc être considéré comme suffisant. L'idéal est d'ailleurs de proposer un lien vers le contenu complet de votre clef.

Détail clef GnuPG macOS GPG Keychain 

Quelle taille de clef choisir ?

Passons à la taille de la clef. Avec RSA – l'algorithme recommandé (ECC n'est proposé qu'en mode expert) – on considère que celle-ci est sécurisée à partir de 2048 bits, mais il est souvent conseillé d'utiliser une valeur supérieur. Le maximum est actuellement fixé à 4096 bits.

Utiliser cette valeur est donc le choix le plus « sécuritaire », qui devrait permettre de protéger votre contenu même si une solution venait à être trouvée pour casser le RSA 2048 bits (ce qui est encore loin d'être le cas). Attention néanmoins, certains outils sont limités à un fonctionnement sur 2048 bits et des appareils peu performants (smartphones par exemple) peuvent ne pas apprécier de devoir fournir une puissance de calcul importante pour une clef de 4096 bits. 

Des éléments à prendre en compte au moment de faire votre choix.

Date d'expiration et révocation

Le dernier point à prendre en compte est la date d'expiration. Celle-ci ne concerne que votre clef publique. Une clef privée ne peut, par essence, pas expirer.

Il s'agit là d'une protection utile, notamment si vous veniez à perdre l'accès à votre clef privée. Dans ce cas, vous ne pourrez plus modifier la date d'expiration de la clef publique, et celle-ci finira par apparaître comme invalide. Dans ses dernières versions, GPG utilise une durée de deux ans par défaut. N'hésitez pas à raccourcir cette limite, vous pourrez de toutes façons la rallonger à tout moment.

Il peut aussi être intéressant de changer régulièrement de clef. En effet, si vous chiffrez cinq ans d'échanges avec une même clef privée et que celle-ci vient à être découverte, c'est l'ensemble des messages qui pourra être déchiffré. Alors qu'en changeant régulièrement de clef, le risque sera plus limité.

Une notion notamment développée dans le concept de Perfect Forward Secrecy, comme nous l'évoquions dans notre précédent article, dont il peut être intéressant de s'inspirer. Tout dépend de votre besoin et du niveau de protection que vous voulez assurer à vos documents et emails.

Notez enfin que lorsque vous créez une paire de clefs, il vous sera conseillé de créer une clef de révocation. Cela permet, lorsque vous publiez vos informations sur un serveur de clefs, d'indiquer que votre clef privée a été compromise. Les personnes avec qui vous échangez sauront alors qu'ils ne doivent plus l'utiliser (nous reviendrons sur ce point plus en détails dans un prochain article).

Retrouvez notre dossier Chiffrement, clefs de sécurité et cryptobidules :

62
Avatar de l'auteur

Écrit par David Legrand

Tiens, en parlant de ça :

Le poing Dev – Round 8

Un grand huit émotionnel

22:05 Next 12
Guacamole sur un plateau

Guacamole sur un plateau (1/5) : on monte un bastion sécurisé

Vous cherchez le bastion ?

17:13 WebSécu 10
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique

Tu me vois, tu ne me vois plus

16:45 IAWeb 3

Sommaire de l'article

Introduction

De PGP 1.0 à GnuPG 2.1 : 25 ans de chiffrement

Trois branches et de nombreux outils

Identités, photos, commentaires et empreintes

Quelle taille de clef choisir ?

Le poing Dev – Round 8

Next 12
Guacamole sur un plateau

Guacamole sur un plateau (1/5) : on monte un bastion sécurisé

WebSécu 10
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique

IAWeb 3
IA Act

AI Act européen : un compromis de haute lutte, de rares interdictions

DroitIA 2
Panneau stop

Apple bloque Beeper, qui permettait d’utiliser iMessage sur Android

WebSoft 15

#LeBrief : faux avis sur Internet, enquêtes sur l’accord Microsoft et OpenAI, cybersécurité aux États-Unis

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 9
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 43
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 29

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 6

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 18

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 31
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 26
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Acheter sur Internet et payer avec sa carte bancaire

La DGCCRF traque les faux avis sur Internet avec son Polygraphe

ÉcoWeb 17

Logo OpenAI

Au Royaume-Uni et aux États-Unis, l’accord entre Microsoft et OpenAI à la loupe

Droit 4

Une main tenant de gros paquets de dollars

87 % des agences états-uniennes ne parviennent pas à respecter les normes de cybersécurité

DroitSécu 3

Florie Marie démissionne de la présidence du Parti Pirate International

Société 8

Commentaires (62)


KP2
Le 27/12/2016 à 10h04

#1

Merci pour cette série d’articles, c’est très important aujourd’hui :)

Vous avez prévu de faire un article sur la mise en œuvre concrète (installation, usage) et des comparatifs des solutions du marché ?


David_L Abonné
Le 27/12/2016 à 10h16

#2

Oui pour la mise en oeuvre, pour la comparaison ça me semble plus délicat sur le fond puisque le vrai point de comparaison intéressant c’est celui des audits <img data-src=" /> (mais si tu entends par là “voir comment utiliser diverses solutions” c’est bien prévu <img data-src=" />)


Ricard
Le 27/12/2016 à 10h22

#3






David_L a écrit :

mais si tu entends par là “voir comment utiliser diverses solutions” c’est bien prévu <img data-src=" />)


<img data-src=" />



SPlissken
Le 27/12/2016 à 10h34

#4

C’est bien joli tout ça. C’est valable pour des e-mail privés avec des personnes physiques . Mais quand on communique avec des administrations ou avec des sociétés,je suppose que ce n’est pas applicable ?


David_L Abonné
Le 27/12/2016 à 10h42

#5

Pourquoi ? Par exemple Facebook intègre une gestion d’OpenPGP :&nbsphttps://www.nextinpact.com/news/95275-facebook-lance-chiffrement-ses-emails-noti…


Pictou
Le 27/12/2016 à 10h51

#6

Tu peux développer? j’ai beaucoup de mal à comprendre ta question et le sens du mot valable, qu’est-ce qui bloquerait pour toi?


pharyon
Le 27/12/2016 à 11h01

#7

Merci David j’avais raté cet article. Du coup j’ai été paramétrer ma clé pub.

Vivement l’article sur la mise en oeuvre. En attendant il y a çahttps://ssd.eff.org/fr
&nbsp;


Anozer
Le 27/12/2016 à 11h13

#8

Super article. J’utilise les GPG Tools sur mac depuis quelque temps et j’avoue que c’est bien fichu. Ma seule interrogation concerne les serveurs de clés. Est-il utile de publier sa clé publique sur ce type de serveur ? J’ai lu plusieurs méfiances, notamment en ce qui concerne l’usurpation et la révocation.
&nbsp;
Sinon, que pensez-vous de ce type de serveur :&nbsphttps://keyserver.pgp.com/ ? Il nécessite une vérification de la propriété du mail associé à la clé pour publier. Ce que ne font pas les autres. Pourtant je n’ai pas l’impression que ce serveur soit couramment utilisé.


SPlissken
Le 27/12/2016 à 11h26

#9

Exemple. Je veux envoyer un mail au impôts. Je leur donne ma clé public. Je crypte l e-mail et j’envoie. L’administration des impôts va traiter cet e-mail ?

Idem pour n’importe qu elle entreprise. Genre j’échange des e-mail avec une agence de voyage. Comment ça se passe ? C’est ça le sens de ma question.


anonyme_2cd57f53cd6a58af895c155f5bf762e2
Le 27/12/2016 à 11h28

#10

Article intéressant , merci.
Comme certain, j’utilise déjà… avec Windows (oui, je sais, c’est pas terrible) + GPG4Win + Kleopatra + Thunderbird + Enigmail… et puis en + la crypto asymétrique est largement utilisé dans les crypto-monnaies (Bitcoin)… même certains exchanges ou wallets (Kraken ou GreenAddress par exemple) proposent de vous adresser des notifications par emails chiffrés PGP…


KP2
Le 27/12/2016 à 11h30

#11






David_L a écrit :

Oui pour la mise en oeuvre, pour la comparaison ça me semble plus délicat sur le fond puisque le vrai point de comparaison intéressant c’est celui des audits <img data-src=" /> (mais si tu entends par là “voir comment utiliser diverses solutions” c’est bien prévu <img data-src=" />)



Sur les comparaisons, il y a pleins de services en ligne dits “de mails sécurisés” qui proposent du chiffrement mais je doute sérieusement de la confidentialité de la clé.
Genre celui-ci par exemple :https://www.mailden.net/

Pour moi, le seul moyen d’avoir la garantie que les mails qu’on envoie sont bien chiffrés de bout en bout et indéchiffrables par quiconque sauf notre correspondant est d’utiliser un mailer local. Ca exclut de facto tous les services en ligne de webmails par exemple…



KP2
Le 27/12/2016 à 11h32

#12






SPlissken a écrit :

Exemple. Je veux envoyer un mail au impôts. Je leur donne ma clé public. Je crypte l e-mail et j’envoie. L’administration des impôts va traiter cet e-mail ?

Idem pour n’importe qu elle entreprise. Genre j’échange des e-mail avec une agence de voyage. Comment ça se passe ? C’est ça le sens de ma question.



Pour l’instant, toutes les institutions et les entreprises sont a 10km de pouvoir traiter ce genre de situation.
Au mieux, les administrations/entreprises qui ont mis un peu de sécurité dans les échanges avec leurs clients passent par un service de messagerie intégré à une application en ligne. Donc pas des mails…



anonyme_2cd57f53cd6a58af895c155f5bf762e2
Le 27/12/2016 à 11h35

#13






SPlissken a écrit :

Exemple. Je veux envoyer un mail au impôts. Je leur donne ma clé public. Je crypte l e-mail et j’envoie. L’administration des impôts va traiter cet e-mail ?

Idem pour n’importe qu elle entreprise. Genre j’échange des e-mail avec une agence de voyage. Comment ça se passe ? C’est ça le sens de ma question.


lol
Si t’envoies ta clé publique à une agence de voyage??? mais ils vont penser que t’es un dangereux terroriste à mon humble avis… et plus sérieusement, ils ne sauront même pas quoi en faire…
Ce qui est plus grave, c’est que l’immense majorité des banques, des grandes entreprises ou des administrations importantes n’utilisent pas du tout les mails chiffrés… certains doivent bien s’amuser à intercepter facilement tout ça…



SPlissken
Le 27/12/2016 à 11h35

#14

Donc c’est bien ce que je dit. Ça ne s’applique qu entre particuliers.


KP2
Le 27/12/2016 à 11h40

#15






SPlissken a écrit :

Donc c’est bien ce que je dit. Ça ne s’applique qu entre particuliers.



Ben, ça viendra peut-être un jour mais pour l’instant, ca ne sert pas à grand chose avec ce type de correspondant effectivement…

Moi, déjà, quand je vois des médecins m’envoyer des ordonnances avec un mail yahoo, je trouve ça complètement dingue. Si seulement les mecs savaient que les mails étaient l’équivalent électronique des cartes postales, ça les feraient peut-être réfléchir…



Pictou
Le 27/12/2016 à 11h41

#16

Est-ce que l’administration des impôts va traiter cet e-mail? Ca dépend est-ce qu’ils te demandent d’envoyer des mail cryptés ?

Idem pour l’entreprise, si l’entreprise exige des mails non cryptés, ils ne traiteront pas ton mail.

Mais ce système est souvent utilisé pour les gens d’une même boite qui doivent faire transiter des informations à cause de données confidentiels.

Aussi j’ai l’impression que tu as mal compris le truc.




  1. Tu génères une clé privée et publique.

  2. Tu envoies à quelqu’un une clé publique. Et aussi tu lui demande sa clé publique.

    3A) Cette personne t’envoie un message, elle va se servir de la clé publique que tu lui a envoyé pour&nbsp;chiffrer (crypter)&nbsp;le mail. Quand tu le reçois tu te serviras de ta clé privée pour déchiffrer le mail.

    3B) Tu envoies un mail à cette personne, et tu chiffres le mail avec sa clé publique. A la réception, la personne utilisera sa clé privée pour déchiffrer le mail.


KP2
Le 27/12/2016 à 11h42

#17






SPlissken a écrit :

Donc c’est bien ce que je dit. Ça ne s’applique qu entre particuliers.



Les journalistes commencent à avoir de plus en plus besoin de ce genre de chose. Surtout ceux qui font de l’investigation.



Pictou
Le 27/12/2016 à 11h42

#18

Non ça peut s’appliquer aussi aux entreprises si tu dois leur envoyer des documents confidentiels et que c’est le protocole.

C’est comme tout, si tu envoies un mail alors qu’on te demande un fax, ça ne marche pas non plus.


AhLeBatord Abonné
Le 27/12/2016 à 11h54

#19

SPlissken
Le 27/12/2016 à 11h57

#20

Ok , donc meme si on veut tout chiffrer pour proteger sa vie privée, on est a priori loin du compte &nbsp;en ce qui concerne les correspondances avec les administrations et les entreprises avec qui on pourrait avoir a faire.

Il n y a pas de loi ou de proposition de loi qui travaillent a faire appliquer/imposer tout cela ?


boogieplayer
Le 27/12/2016 à 11h58

#21

Pour les amoureux des webmail (gmail, yahoo…) il y a ça :&nbsphttps://www.mailvelope.com/en

vous pouvez éveiller vos proches avec ce type de possibilités peut être ?&nbsp;

Je vous rejoint, j’ai la chance (ils payent bien et beaucoup :p ) de faire du SaaS pour des banques, et bien malgré mon insistance pour qu’on échange avec des mails chiffrés (on s’échange des infos conf voir des pass d’accès) ils ne veulent/peuvent pas, du coup tous passe en clair !&nbsp;<img data-src=" />

Par contre ils m’obligent à ce que les accès au back user soit un mot de passe hyper compliqué et que l’utilisateur final va finir par noter sur un post-it sous l’écran…&nbsp;<img data-src=" />


Ricard
Le 27/12/2016 à 12h00

#22






SPlissken a écrit :

Exemple. Je veux envoyer un mail au impôts. Je leur donne ma clé public. Je crypte l e-mail et j’envoie. L’administration des impôts va traiter cet e-mail ?

Idem pour n’importe qu elle entreprise. Genre j’échange des e-mail avec une agence de voyage. Comment ça se passe ? C’est ça le sens de ma question.


Ben si tu CHIFFRES ton mail, c’est forcément avec la clé PUBLIQUE des impôts, donc ton mail sera traité exactement comme un mail non CHIFFRÉ.



Ricard
Le 27/12/2016 à 12h02

#23






Pictou a écrit :

Aussi j’ai l’impression que tu as mal compris le truc.


J’ai l’impression aussi.



De Compet Abonné
Le 27/12/2016 à 12h03

#24






SPlissken a écrit :

Exemple. Je veux envoyer un mail au impôts. Je leur donne ma clé public. Je crypte l e-mail et j’envoie. L’administration des impôts va traiter cet e-mail ?

Idem pour n’importe qu elle entreprise. Genre j’échange des e-mail avec une agence de voyage. Comment ça se passe ? C’est ça le sens de ma question.


Tu chiffres l’email avec leur clef publique s’ils en ont une et tu signes avec ta clef privée. &nbsp;Ton correspondant déchiffre avec sa clef privée et vérifie ta signature et l’intégrité du document avec ta clef publique.
Je ne sais pas si les impôts le font pour le public mais une procédure existe pour les entreprises.



SPlissken
Le 27/12/2016 à 12h09

#25

Effectivement j avais mal compris le truc.

&nbsp;Bref ca marche que si ton correspondant est partie prenante dans l’echange de mail chiffré.
&nbsp;
Je n ai encore jamais vu ce genre de possibilité d échange de mail chiffré avec les administrations ou entreprises avec lesquelles je correspond ou ai correspondu.


anonyme_2cd57f53cd6a58af895c155f5bf762e2
Le 27/12/2016 à 12h15

#26

Bon, il est temps pour moi de vous parler de Caramail (ça changera un peu de ProtonMail)…. oui, je sais ça fait drôle à dire comme ça, mais c’est leur “spécialité” (mailvelope inside).
http://www.01net.com/actualites/la-messagerie-caramail-revient-en-force-avec-des…


Kazer2.0 Abonné
Le 27/12/2016 à 12h15

#27

La limite par “défaut” est de 4096, mais il est très facile de faire plus (la mienne est de 8192, pas forcément utile mais c’était pour test)


Ricard
Le 27/12/2016 à 12h34

#28






SPlissken a écrit :

Je n ai encore jamais vu ce genre de possibilité d échange de mail chiffré avec les administrations ou entreprises avec lesquelles je correspond ou ai correspondu.


Je t’avoue que moi non plus.<img data-src=" />



Ricard
Le 27/12/2016 à 12h37

#29






BTCKnight a écrit :

Bon, il est temps pour moi de vous parler de Caramail (ça changera un peu de ProtonMail)…. oui, je sais ça fait drôle à dire comme ça, mais c’est leur “spécialité” (mailvelope inside).
http://www.01net.com/actualites/la-messagerie-caramail-revient-en-force-avec-des…


“Une fois qu’on a appuyé sur «&nbsp;Mettre en place une communication
chiffrée&nbsp;», cet assistant télécharge l’extension Mailvelope, demande la
création d’un mot de passe et propose la sauvegarde de la clé privée par GMX.”

Merci mais… non merci.<img data-src=" />



pharyon
Le 27/12/2016 à 12h55

#30

Tant que notre famille et amis n’utiliseront pas les outils qui vont bien on en restera à écrire des cartes postales ouverte à tout le monde.

Bilan 2016 : une personne de plus sur Signal, une personne de moins sur GPG.
Va falloir remettre une couche en 2017 :-)


anonyme_2cd57f53cd6a58af895c155f5bf762e2
Le 27/12/2016 à 12h56

#31






Ricard a écrit :

“Une fois qu’on a appuyé sur « Mettre en place une communication
chiffrée », cet assistant télécharge l’extension Mailvelope, demande la
création d’un mot de passe et propose la sauvegarde de la clé privée par GMX.”

Merci mais… non merci.<img data-src=" />


Ouais, c’est vrai, c’est pas cool … mais si je me rappelle bien, c’est juste une option facultative… pour Mme Michu qui risque sinon de perdre sa clé privée…
PS : oui, je sais que Mme Michu ne va pas utiliser forcément une messagerie sécurisée…



Sputnik93
Le 27/12/2016 à 13h00

#32






SPlissken a écrit :

Il n y a pas de loi ou de proposition de loi qui travaillent a faire appliquer/imposer tout cela ?


Oula non. Pour l’instant dans la tête des législateurs c’est: chiffrement=terroristes. Enfin, dans leur tête, ça doit plutôt être quelque chose comme “cryptement=terroristes” <img data-src=" />



luxian Abonné
Le 27/12/2016 à 13h04

#33

+1
Article intéressant, vulgarisateur pour ne pas se lasser d’un truc dont on a pas un besoin immédiat et impératif, et en même temps assez technique pour en apprendre.


KP2
Le 27/12/2016 à 13h07

#34






SPlissken a écrit :

Ok , donc meme si on veut tout chiffrer pour proteger sa vie privée, on est a priori loin du compte  en ce qui concerne les correspondances avec les administrations et les entreprises avec qui on pourrait avoir a faire.

Il n y a pas de loi ou de proposition de loi qui travaillent a faire appliquer/imposer tout cela ?



Ben surement pas, l’objectif des politiques (quelque soit leur bord) est justement de déchiffrer toutes les communications des citoyens. Donc ils vont pas pousser à l’adoption de ce genre de d’outils quand même…



Ricard
Le 27/12/2016 à 13h11

#35






Sputnik93 a écrit :

Oula non. Pour l’instant dans la tête des législateurs c’est: chiffrement=terroristes. Enfin, dans leur tête, ça doit plutôt être quelque chose comme “cryptement=terroristes” <img data-src=" />


“cryptagement=musulmans” <img data-src=" />



boogieplayer
Le 27/12/2016 à 13h36

#36

d’un autre coté, quand tu vois ça :&nbsp;https://pgp.mit.edu/ ça donne pas envie au néophyte de se lancer dans la submission de sa clé, ça donne toujours l’impression d’un truc de geek au fond de sa grotte&nbsp;<img data-src=" />

Il y’a ça à l’opposé, propre, smooth :&nbsp;https://keybase.io/&nbsp;


matroska
Le 27/12/2016 à 13h47

#37

La cryptation cay le mal !

<img data-src=" />


Glyphe
Le 27/12/2016 à 14h03

#38

A l’heure où la communauté de spécialiste en sécurité et en cryptographie outre-atlantique a largement réfléchi sur PGP et son utilisabilité, il est triste de voir qu’on commence&nbsp; à pousser cet outil dans la communauté francophone quand on le déconseille désormais pour le grand publique de l’autre côté.

Il vaut beaucoup mieux passer à des outils plus modernes et qui intègrent des mécanismes largement plus grand publique et pourtant tout autant sécurisés comme Signal, Wire, Cryptocat.

Je ne dis pas qu’il ne faut pas parler de PGP, mais franchement il est largement temps d’enterer cet outil plutôt que de faire sa promotion.


David_L Abonné
Le 27/12/2016 à 14h10

#39

Oui bon après les serveurs de clefs ça reste quand même bien intégré à tous les softs donc dans la pratique l’interface du MIT t’es pas obligé de te la taper <img data-src=" /> (et globalement le fonctionnement est en train d’être revu, ce qui ne sera pas un mal).

A l’inverse, Keybase a beau être une bonne idée et avoir une interface pas trop mal, ça reste tout de même assez complexe à appréhender (et je parle même pas des notions aux dénominations foireuses genre le tracking :p)


David_L Abonné
Le 27/12/2016 à 14h11

#40

Comme dit dans l’article, il faudrait aussi arrêter de penser qu’un nouveau truc doit forcément en remplacer un autre, ou faire dans l’absolutisme facile. Non parce que bon, Signal quand tu veux chiffrer un fichier, ça te fait une belle jambe quoi <img data-src=" /> (mais ça reste un bon outil, limité à ce qu’il est fait pour faire : de l’IM).

PS : et comme dit dans le dossier, on fait le tour de manière général. GnuPG est un outil qui en fait partie. Il reste tout de même une référence et un élément à comprendre quand on veut voir ce que c’est le chiffrement au delà de faire confiance à un cadenas dans des softs “clef en main”).


JeanM64 Abonné
Le 27/12/2016 à 14h17

#41

Bonjour,
Avec ce principe faut-il envoyer à chaque destinataire le même message crypté avec sa clé publique (un chef de service qui veux envoyer ses vœux à tous ses sous-fifres, par exemple) ça occupe bien le réseau ?
Pour les particuliers n’est-il pas plus intéressant de mettre&nbsp; en œuvre la signature électronique avec GNUPG qui garantie la non modification du message (et la datation de l’envoi ???), après tout, un particulier n’a pas grand chose à cacher (vu que l’état ont accès à tous les comptes bancaires, qu’il gère les propriétés ce qui permet le racket public, dans le temps il fallait être protégé pour avoir une activité ça a simplement changé de nom mais ce n’est pas l’objet de ma remarque). Le dépôt d’une clé publique chez un tiers de confiance est nécessaire pour utiliser cette signature électronique (et/ou le cryptage) questions : y a-t-il des tiers de confiance gratuits ? Le ministère de l’intérieur pourrait-il l’être (pas de confiance mais dépôt) là ou ON gère les cartes d’identité ou les cartes grises ? Ce serait un vrai service publique au service du public (donc ça ne doit pas être possible)…


boogieplayer
Le 27/12/2016 à 14h20

#42






David_L a écrit :

Oui bon après les serveurs de clefs ça reste quand même bien intégré à tous les softs donc dans la pratique l’interface du MIT t’es pas obligé de te la taper <img data-src=" /> (et globalement le fonctionnement est en train d’être revu, ce qui ne sera pas un mal).


Oui c’est sûr, cela étant tout ceci reste encore difficile pour ceux qui ne sont pas habitués à tout cela, ce n’est pas trivial. Je ne sais pas d’ailleurs si peut l’être, car quand tu aides les personnes à si mettre tu les routes vers&nbsphttps://www.gpg4win.org/features.html &nbsp;qui là encore demande un vrai effort de volonté.

Je l’ai déjà dit ici, je le redit, quand tu vois que les salariés du DSI d’une banque avec qui je travail n’utilise pas le moindre système de sécu pour s’échanger des mails. Mails dans lesquels il y a souvent des doc hyper confidentiels, ça me glace. Et attend, le pire, c’est que les mails qu’ils m’envoient ne sont même pas TLS ! C’est à dire je ne sais pas si en vrai c’est eux qui m’écrivent…&nbsp;<img data-src=" />

Bref, tout cela pour dire que la sécu c’est pas gagné dans les faits. Bien que je remarque depuis peu des chefs d’entreprises qui viennent de me voir uniquement pour avoir “un cadenas vert” sur leur site, ou pour être sûr que les données sont “sécurisées”, c’est dans le bon sens à ce niveau là. C’est lent, c’est compliqué, mais il me semble que ça progresse de ce coté là : ils ne savent pas comment faire, et ils nous demandent de le faire. C’est déjà pas si mal.



mgn
Le 27/12/2016 à 14h23

#43

Article très intéressant.

Dans un des prochains articles de la série, ce serait cool de comprendre comment gérer l’utilisation de ses clés au jour le jour. Malgré la quantité de documentation à ce sujet que j’avais lue [0] [1] [2] [3] [4] [5], c’est ce qui me retient de franchir le pas.

Quelques questions (et n’hésitez pas à corriger mes éventuelles erreurs ou incompréhensions) :




JeanM64 Abonné
Le 27/12/2016 à 14h25

#44

Il me semble que pour utiliser une clé très longue il faut une autorisation des services de l’armée, ça concernait les boîtes voulant utiliser le cryptage légalement il y a quelques années (si je me souviens bien ce service était à Issy les Moulineaux, c’était il y a une trentaine d’années) Cette limitation existe-t-elle encore ?


Pictou
Le 27/12/2016 à 14h55

#45

A la base, le chiffrement est fait pour transmettre dans un cercle extrêmement restreint des informations confidentiels.

Il serait possible d’envoyer un mail avec un chiffrement par clé publique/privée mais ça ne serait pas pratique car il faudrait chiffrer le mail avec la clé publique du destinataire et pas de l’expéditeur, je pense que tu as fait aussi la confusion.

Ensuite, il ne faut pas détourner les choses de leurs applications et s’étonner que ça ne marche pas des masses.
Par exemple j’évite d’utiliser la brosse à dent pour laver les toilettes et la brosse à chiotte pour me laver les dents.

Au delà de ça, si le but premier n’est pas de s’assurer que personne à part le destinataire ne puisse accéder à la donnée, le chiffrement n’a que peu d’intérêt.


pharyon
Le 27/12/2016 à 15h11

#46

Voilà ce qui en ressort c’est qu’en pratique la quasi totalité des utilisateurs ne se brossent plus les dents et ne nettoient plus leurs chiottes.
C’est à dire n’utilisent pas le chiffrement du tout.


sr17
Le 27/12/2016 à 15h12

#47

Je suis agréablement surpris de voir ce genre d’article sur PCInpact. Tout particulièrement en cette période de fête.





David_L Abonné
Le 27/12/2016 à 15h17

#48

Il faut bien occuper les rédacteurs et les lecteurs <img data-src=" />


Pictou
Le 27/12/2016 à 15h28

#49

&nbsp;Où veux-tu en venir? J’ai du mal à te comprendre.


127.0.0.1
Le 27/12/2016 à 15h48

#50

Le fait d’avoir deux “codes” (+ une passphrase), l’un devant rester absolument secret et l’autres devant absolument être communiqué au public, ca élimine déjà l’adoption de PGP par tous les michu/kevin et autres non-informaticiens.

Une chance sur deux que la mauvaise clé soit copier/coller dans le mauvais champs.


pharyon
Le 27/12/2016 à 15h51

#51

Il en ressort que globalement il faut trouver le bon outils pour répondre au bon besoin.
ex : sécuriser les échanges dans une messagerie instantanée ? Mail ? des Pièce jointe ? en webmail ? sur un smartphone ou un pc ?
&nbsp;
Et du coup le nombre de solution explose : gpg4win ? Signal ? K9-mail + Openkeychain ? brosse à dent ou brosse à chiotte ?
&nbsp;
Et devant toute cette complexité on lit dans les commentaires au dessus que même dans les DSI bancaire on préfère ne pas trop toucher à tout ça.

… je peux paraitre un peu cynique mais je tente de faire adopter un peu certains de ces outils et j’ai du mal à trouver la bonne façon. Les gens sont récalcitrants avec les mots de passe alors ça aide pas.

&nbsp;


Kwacep Abonné
Le 27/12/2016 à 16h12

#52






David_L a écrit :

)


Parfait.

&nbsp;Il y aura aussi un explication sur les différents algorithmes ? (RSA ou autre)



David_L Abonné
Le 27/12/2016 à 16h24

#53

Pas dans cette série là non (trop matheux), mais on a des choses en préparation sur le sujet <img data-src=" />


Pictou
Le 27/12/2016 à 17h02

#54

Après, la complexité du sujet est en elle-même très élevée. S’il y avait une solution simple, on l’utiliserait tous déjà.


KP2
Le 27/12/2016 à 17h40

#55






JeanM64 a écrit :

Il me semble que pour utiliser une clé très longue il faut une autorisation des services de l’armée, ça concernait les boîtes voulant utiliser le cryptage légalement il y a quelques années (si je me souviens bien ce service était à Issy les Moulineaux, c’était il y a une trentaine d’années) Cette limitation existe-t-elle encore ?



C’était une restriction légale sur les clés de plus de 128 bits mais ça fait bien longtemps que cette loi a sauté (dans les années 90 si je me trompe pas). Elle s’accompagnait aussi de restrictions sur l’exportation de technologies de chiffrement :)
Aujourd’hui, l’usage du chiffrement est totalement dérégulé dans la plupart des pays (occidentaux en tout cas).



bagofgnutea
Le 27/12/2016 à 19h31

#56

Belle article, Pour continuer dans la cryptographie/anonymat vous devriez faire un article sur TOR ou encore mieux Gnunet, contacter Jeff pour la partie cryptographie il est super pour expliquer ça.
Voila son travaille sur Xolotl&nbsp;(vidéo du dernier GHM ).
Sinon celui qui chapeaute le projet c’est Christian Grothoff.
https://gnunet.org/team


hellmut Abonné
Le 27/12/2016 à 19h36

#57

Encore un bel article sur le sujet! <img data-src=" />


Mais GnuPG reste un outil flexible, autorisant de nombreux usages dans le domaine du chiffrement. Si beaucoup voient en des applications comme Signal des remplaçants, il s’agit plutôt de bons compléments pour des besoins spécifiques, comme le rappelait récemment Neal H. Walfield, qui travaille sur GnuPG.

Merci pour le lien, son article est aussi très intéressant. <img data-src=" />


anonyme_2cd57f53cd6a58af895c155f5bf762e2
Le 27/12/2016 à 21h10

#58






127.0.0.1 a écrit :

Le fait d’avoir deux “codes” (+ une passphrase), l’un devant rester absolument secret et l’autres devant absolument être communiqué au public, ca élimine déjà l’adoption de PGP par tous les michu/kevin et autres non-informaticiens.

Une chance sur deux que la mauvaise clé soit copier/coller dans le mauvais champs.


ouais, enfin faut vraiment être sous-doué pour envoyer sa clé privée…. A ma connaissance tous les systèmes (je connais surtout Enigmail et Kleopatra…) vont envoyer par défaut la clé publique…



David_L Abonné
Le 27/12/2016 à 21h22

#59

Pourtant a une époque faire une recherche sur les dépôts open source sur des noms types de fichiers donnait des résultats… plutôt dingues <img data-src=" />

https://www.nextinpact.com/news/77002-github-ameliore-son-moteur-recherche-qui-d…


127.0.0.1
Le 28/12/2016 à 00h44

#60


  • J’ai entré la clé que tu m’as donné, mais ca ne marche pas.


    • Ah… je me suis peut être trompé. Je t’envoie l’autre clé par mail.

    • Non, ca ne marche pas non plus.

    • Ah… bon, bah, tant pis.



OlivierJ Abonné
Le 28/12/2016 à 12h43

#61






SPlissken a écrit :

Exemple.
Je veux envoyer un mail au impôts. Je leur donne ma clé public. Je crypte l e-mail et j’envoie. L’administration des impôts va traiter cet e-mail ?


Ça ne marche pas comme ça :




  1. si tu chiffres un message avec une clé privée, tout le monde peut la déchiffrer avec ta clé publique <img data-src=" /> .

  2. et je ne suis pas sûr que GPG puisse le faire, car le procédé de chiffrement asymétrique consiste à chiffrer avec une clé publique et déchiffrer avec une clé privée.

    Pour envoyer un message chiffré aux impôts, il faut prendre leur clé publique pour chiffrer ton message ; eux pourront le déchiffrer avec la clé privée qu’ils gardent précieusement.

    En revanche, donner sa clé publique à l’administration permet :

  3. de signer avec ta clé privée un message que tu leur envoies, c’est-à-dire que toi seul pourra émettre (avec ta clé privée) un message qui sera vérifiable par le récepteur avec la clé publique.

  4. recevoir un message chiffré de l’administration (tu seras le seul à pouvoir déchiffrer).
    &nbsp;

    BTCKnight a écrit :

    lol
    Si t’envoies ta clé publique à une agence de voyage??? mais ils vont penser que t’es un dangereux terroriste à mon humble avis… et plus sérieusement, ils ne sauront même pas quoi en faire…


    Surtout parce qu’il s’est planté dans la procédure, tu n’as pas relevé <img data-src=" /> .


    Pictou a écrit :

    Est-ce que l’administration des impôts va traiter cet e-mail?
    […]
    Aussi j’ai l’impression que tu as mal compris le truc.


    En effet (ces commentateurs qui ne lisent pas les articles <img data-src=" /> )



OlivierJ Abonné
Le 28/12/2016 à 12h51

#62






Sputnik93 a écrit :

Oula non. Pour l’instant dans la tête des législateurs c’est: chiffrement=terroristes.


Ah bon. Ca doit être pour ça qu’on utilise du chiffrement dans les cartes bancaires, et que le SSL (HTTPS) est quasi-obligatoire pour tous les sites de paiement en ligne (par exemple), sans parler des banques.



KP2 a écrit :

Ben surement pas, l’objectif des politiques (quelque soit leur bord) est justement de déchiffrer toutes les communications des citoyens. Donc ils vont pas pousser à l’adoption de ce genre de d’outils quand même…


N’importe quoi, la question était de la communication avec l’administration.
Par ailleurs, pour les communications avec les entreprises, bien évidemment l’État (via ses services comme l’ANSSI) encourage le chiffrement depuis longtemps (cf ci-dessus).



David_L a écrit :

Comme dit dans l’article, il faudrait aussi arrêter de penser qu’un nouveau truc doit forcément en remplacer un autre, ou faire dans l’absolutisme facile. Non parce que bon, Signal quand tu veux chiffrer un fichier, ça te fait une belle jambe quoi <img data-src=" /> (mais ça reste un bon outil, limité à ce qu’il est fait pour faire : de l’IM).


<img data-src=" />