Guide de survie des aventures sur Internet

Le chiffrement des communications

Fiche n°12 du Guide de survie des aventures sur Internet

, par CECIL, LDH, ritimo

Si protéger ses données enregistrées est une bonne pratique, il est tout aussi pertinent de protéger ses communications : courriels, discussions et échanges avec les sites Internet.

12.1 Le chiffrement asymétrique

S’agissant des communications, les méthodes de chiffrement sont différentes de celles présentées précédemment dites « symétriques » (le même code est utilisé pour chiffrer et déchiffrer).

En effet, il faut que la personne ou le serveur avec qui l’on communique soit capable aussi bien de déchiffrer les messages qui lui sont envoyés que de chiffrer ceux qu’elle envoie pour que la communication ne puisse être comprise par une entité qui «  écouterait  » le réseau.

Une solution est de partager un code entre correspondant·es (chiffrement symétrique), mais cela implique une confiance totale et pose de gros problèmes pratiques (transmission du code, besoin d’autant de codes que d’échanges...). Des solutions plus efficaces permettent de ne pas «  partager  » son code de déchiffrement tout en chiffrant la communication.

Ce sont les méthodes de chiffrement dites « asymétriques ». De façon simplifiée, chaque correspondant·e utilise deux clés : une clé publique communicable à tou·tes, servant à chiffrer les messages, et une clé privée nécessaire pour les déchiffrer.

La clé privée, à ne pas communiquer, peut être protégée par une phrase de passe personnelle.

Cela peut sembler étrange qu’une clé qui permet de « chiffrer » ne puisse pas permettre de « déchiffrer », mais ces méthodes ont fait leurs preuves. Une image utilisée est que la clé publique correspond à des cadenas ouverts distribués aux autres, qui une fois refermés par eux ne peuvent être ouverts que par la détentrice de la clé privée (qui a envoyé les cadenas). Ces méthodes sont aussi utilisables en tant que «  signature  » pour authentifier une communication ou un document. On signe le document avec sa clé privée, dont l’authenticité peut être vérifiée à la réception grâce à la clé publique.

12.2 Chiffrer ses navigations

Une des applications de cette méthode est le protocole TLS (pour Transport Layer Security) couramment utilisé sans en avoir toujours conscience en naviguant sur Internet. C’est le « s » du «  HTTPs  » ou le petit cadenas qui apparait dans la barre d’adresse du navigateur. Automatiquement, avant toute transmission d’informations, les deux ordinateurs mis en contact (exemple : le vôtre et celui de votre banque), génèrent puis se transmettent leurs clés publiques et déchiffreront avec les clés privées correspondantes.

Ce petit « s » a donc une importance considérable. Sans cela, un « espion » connecté à un réseau Wi-Fi ou au réseau filaire du quartier ou du nœud réseau, le propriétaire du nœud Tor de sortie de la communication, etc., pourrait connaitre le contenu des échanges (coordonnées bancaires...).

Le module complémentaire « HTTPs Everywhere » de l’EFF permet de tester en permanence s’il est possible d’établir une communication en HTTPs et si oui la force.

Heureusement le HTTPs est quasiment devenu systématique et les navigateurs récents essayent toujours de vérifier de se connecter au site de façon chiffrée – il faut toutefois rester vigilant si le cadenas indique un problème.

Attention, l’HTTPs protège la confidentialité du contenu des échanges, mais l’existence d’une communication entre A et B et son horaire restent connus. Pour dissimuler cette information d’autres protections sont nécessaires.

12.3 Chiffrer ses échanges personnels

Une autre application de ce mécanisme de clé privée / clé publique consiste à chiffrer volontairement ses communications personnelles (courriels, messagerie instantanée, SMS et autres communications par ordiphone...).

Pour ce faire, il existe un standard efficace « OpenPGP » pour Pretty Good Privacy qui est notamment mis en œuvre par un logiciel libre appelé GPG (GNU Privacy Guard).

Même si OpenPGP est moins « automatique » que l’HTTPs, il est possible de chiffrer ses courriels à condition de convaincre ses correspondant·es d’en faire autant.

12.3.1 Chiffrer ses courriels

Avec Thunderbird

Depuis 2020, Thunderbird intègre, par défaut, les outils nécessaires au chiffrement PGP :

Il faut pour cela utiliser le « Gestionnaire de clés OpenPGP » qui peut être trouvé dans la barre de menu colonne « Outils » → « Gestionnaire de clés openPGP » ou dans les « Paramètres des comptes » ligne « Chiffrement de bout à bout ». Une fois le gestionnaire ouvert, cliquer sur « Génération » → « Nouvelle paire de clés ».
Choisir l’adresse concernée, dans les paramètres avancés choisir une RSA 4096 (sur le délai d’expiration voir « pour aller plus loin »). Cliquer sur « Générer la clé ».

Ainsi est générée la paire « clé publique / clé privée », la clé privée étant protégée par Thunderbird.

Attention, pour protéger les échanges qui seront chiffrés avec cette méthode de regards indiscrets, il est nécessaire de protéger l’accès à Thunderbird par une phrase de passe.

Pour cela, il s’agit d’aller dans « Préférences », onglet « Vie privée et sécurité », « Utiliser un mot de passe principal », puis d’indiquer une phrase de passe qui protégera l’accès aux clés et courriels chiffrés.

Ces opérations sont relativement faciles, celle de chiffrer un message également. Ces échanges chiffrés nécessitent toutefois que les autres correspondant·es disposent aussi d’une paire de clés et que l’on récupère leurs clés publiques.

Pour cela soit on reçoit la clé publique par courriel et en ouvrant le fichier Thunderbird proposera de l’importer comme une clé PGP.

On peut également ouvrir le gestionnaire de clés, cliquer sur « Fichiers » → « Importer ou une des clés publiques depuis un fichier » précédemment enregistré. Sans cette transmission, il faut la chercher dans un annuaire.
L’accès à ces annuaires se fait dans le gestionnaire. Cliquer sur « Serveurs de clefs » et indiquer l’adresse courriel recherchée en espérant que sa clé soit publiée. On peut essayer sur des sites tel que keys.openpgp.org.

À chaque rédaction de courriel, muni de la clé publique d’un·e correspondant·e, on peut alors chiffrer le message en appuyant sur le cadenas « Sécurité » → « Exiger le chiffrement » dans la fenêtre de rédaction.

Le même cadenas permet aussi d’authentifier son message par une signature chiffrée.

En utilisant un Webmail

Il est également possible d’utiliser le module Mailvelope sur Firefox (ou Chrome), qui gère l’utilisation de PGP pour les Webmails à partir du navigateur. Cette solution n’est pas la plus conseillée car le navigateur est un logiciel plus complexe qu’un logiciel dédié à la seule gestion des courriels, et a plus de chance de permettre une attaque sur la confidentialité des échanges (par exemple via un autre module).

Cette possibilité fonctionne quel que soit le Webmail, de préférence ceux conseillés par ce guide, mais même chez les acteurs commerciaux (Gmail, Yahoo, Free, Laposte.net, etc.).

Il suffit d’ajouter l’extension Mailvelope, alors un petit logo entouré s’affiche dans la barre de recherche. Appuyer sur ce logo et cliquer sur « Trousseau ».
Soit l’on dispose d’une paire de clés que l’on peut «  importer  », soit le module peut en générer en indiquant une phrase de passe pour la protéger.

Pour chiffrer avec Mailvelope :

En étant connecté sur son Webmail, l’icône d’un petit bloc-notes avec un crayon apparait dans le corps du courriel. Si l’on possède la clé publique d’un destinataire, en cliquant sur cette icône il est possible de chiffrer le message.

Pour lire un courriel chiffré, il suffit de saisir sa propre phrase de passe.

Attention, si ces opérations sont basiques, il est dans des usages poussés facile de rencontrer des problèmes (clés perdues, multicomptes, etc.), ces indications sont sommaires et ont pour seule vocation d’aider à faire découvrir cet outil. Il est vivement recommandé de consulter des tutoriels plus complets disponibles en fin de fiche pour comprendre les erreurs à ne pas commettre si on souhaite pouvoir compter sur la protection apportée  !

À noter en complément à la fiche 8 sur les hébergeurs de courriels alternatifs, le Webmail suisse ProtonMail propose à la fois un chiffrement PGP par défaut entre titulaires de compte ProtonMail, mais aussi un mécanisme de chiffrement à clé unique / symétrique (transmise par un autre biais) pour transmettre des courriels chiffrés à des personnes peu motivées à installer un dispositif ou l’autre. Il peut constituer une solution convenable dans certaines situations pour chiffrer des échanges courriels.

12.3.2 Chiffrer ses échanges tchats, vocaux et vidéos

Les discussions sur Internet ne passent pas seulement par courriels : forums, discussions directes, qu’elles soient audio, vidéo ou textuelles par tchat.

Il existe des solutions (utilisables sur les différents systèmes d’exploitation) qui permettent de discuter en ligne de façon plus sécurisée et que ce guide recommande :

  • Jitsi.org, (en remplacement de Skype et Zoom) qui offre un service protégé pour des échanges audio et/ou de tchat ;
  • Element.io, qui s’appuie sur le réseau-protocole décentralisé Matrix qui permet de chiffrer de bout-à-bout les échanges textuels même de groupe, mais aussi des conversations audios et vidéos et qui fonctionne sur toutes les plateformes (ordinateurs et ordiphones).
  • Tox.chat et Jami.net offrent des services de conversations audio comme textuels chiffrés.

Ces logiciels sont globalement assez simples à prendre en main et intuitifs dans leurs fonctionnements, le plus difficile reste de convaincre ses correspondant·es de les utiliser  !