• 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 03/01/2024

Échangez des mails en toute sécurité avec GPG

Dans ce chapitre, je vous propose de mettre en place un échange d’emails chiffrés et signés avec le logiciel GPG.

Installez et configurez Thunderbird

Vous aurez besoin du logiciel d'email Thunderbird et d'un compte email configuré sur Thunderbird. Vous pouvez télécharger Thunderbird en francais sur leur site et l'installer avec les options par défaut.

Ouvrez ensuite Thunderbird et entrez les informations de connexion de votre email. Dans mon cas, j'utilise l'adresse Gmail occryptogpg@gmail.com. Thunderbird détecte automatiquement les serveurs email associés à Gmail, il suffit de cliquer sur Terminer. Sinon, il faut entrer manuellement les serveurs de votre compte email en cliquant sur Configuration manuelle.

Installez GPG pour Windows

Nous allons utiliser la suite GPG4win qui inclut différents outils pour utiliser GPG.

Allez sur https://www.gpg4win.org/ et cliquez sur Download Gpg4win. La version actuelle est la 3.1.5.

Exécutez le programme gpg4win-.exe pour l'installer. Vous pouvez choisir les composants à installer en plus de GnuPG. Nous utiliserons Kleopatra qui est une interface graphique de gestion de clés et certificats. Laissez les options par défaut et cliquez surSuivant.

Cliquez ensuite sur Installer. Lorsque l'installation est terminée, cliquez sur Suivant puis Fermer

Installation de GPG
Installation de GPG

Générez une paire de clés avec Kleopatra

Kleopatra va se lancer automatiquement après l'installation de Gpg4win. Cliquez sur Nouvelle paire de clés.

Kleopatra
Kleopatra 

Entrez votre nom et l'adresse email que vous utiliserez pour échanger des emails chiffrés.

Assistant de création
Assistant de création

Vous pouvez cliquer sur Configuration avancée pour voir les paramètres de la paire de clés. Par défaut, Kléopatra va générer 2 paires de clés

  • la paire de clé principale servira à signer les emails et à certifier les sous-clés (c'est-à-dire signer les certificats des sous-clés) ;

  • la sous-clé servira à chiffrer les emails.

La durée de validité d'une clé est par défaut de 2 ans. La clé publique utilise le système de cryptographie à clé publique RSA avec une taille de clé de 2048 bits. Vous avez également la possibilité d'utiliser le système DSA pour la signature, et ElGamal, une variante de DSA, pour le chiffrement. Vous pouvez également choisir ECDSA et ECDH, qui utilisent la cryptographie à courbes elliptiques, plus performante mais moins courante dans GPG. Pour ce chapitre, nous garderons RSA.

Configuration avancée Kleopatra
Configuration avancée Kleopatra

Cliquez sur Annuler pour revenir à la fenêtre précédente, puis cliquez sur Suivant et Créer. La clé est générée aléatoirement en utilisant l'entropie externe. Entrez ensuite un mot de passe qui sera utilisé pour chiffrer la clé privée sur votre disque dur. Faites OK puis Terminer. Votre paire de clés est maintenant créée.

Utilisez GPG sur Thunderbird avec l'extension Enigmail

 Ouvrez Thunderbird, cliquez sur le menu, puis modules complémentaires.

Modules complémentaires
Modules complémentaires

Sélectionnez Enigmail puis ajouter à Thunderbird. Cliquez sur Installer maintenant.

Installation
Installation

Cliquez sur Menu > Enigmail > Assistant de configuration. Cliquez sur Suivant

 

Puis cliquez sur Suivant pour sélectionner la clé que vous venez de créer avec Kleopatra. Cliquez sur Terminer

Configurez une autre adresse email

Pour échanger un email, vous avez besoin d'un email expéditeur et d'un email destinataire. Le premier email configuré précédemment est occryptogpg@gmail.com, et nous l'appellerons email destinataire car il sera le premier destinataire d'un email chiffré.

Créez maintenant un deuxième compte email expéditeur sur une autre machine en reproduisant les étapes ci-dessus, ou en clonant votre machine virtuelle. Il faut générer une nouvelle paire de clés sur la machine de l'expéditeur. Dans cet exemple, j'utiliserai occryptoexp@gmail.com comme email expéditeur.

Exportez une clé publique par email

Avec le chiffrement à clé publique, l'expéditeur doit connaître la clé publique du destinataire afin de chiffrer un message avec cette clé publique.

Depuis l'email destinataire, dans Thunderbird, cliquez sur Écrire puis Enigmail et Joindre ma clé publique

Joindre ma clé publique
Joindre ma clé publique

Entrez ensuite l'email expéditeur et faites Envoyer

Importez une clé publique par email

Dans l'email expéditeur, sur Thunderbird, ouvrez l'email que vous venez de recevoir contenant la clé publique destinataire. Faites un clic-droit sur la pièce jointe et faites Importez une clé OpenPGP. Puis cliquez sur D'accord pour ajouter la clé dans Kleopatra.

Open GPG
Open GPG

Envoyez un email chiffré et signé

Toujours depuis l'email expéditeur, cliquez sur Répondre à l'email que vous venez de recevoir. Thunderbird a détecté que vous possédez la clé publique associée à l'adresse email du destinataire de l'email. Le cadenas est donc activé, ce qui signifie que l'email sera chiffré avec la clé publique du destinataire. Pour signer l'email avec votre clé privée, cliquez sur le crayon à côté du cadenas.

Crayon

Pour vérifier votre signature, le destinataire a besoin de la clé publique de l'expéditeur. Joignez donc votre clé publique en cliquant sur Enigmail et Joindre ma clé publique.

Entrez un message dans l'email puis envoyez-le. Vous pouvez cliquer sur Protéger l'objet pour que GPG chiffre le sujet du mail. Entrez ensuite le mot de passe de votre clé, GPG en a besoin pour lire votre clé privée sur le disque dur afin de signer l'email.

Ouvrez et déchiffrez un email chiffré

Passez de nouveau à la machine de l'email destinataire. Ouvrez l'email chiffré que vous venez de recevoir. Entrez le mot de passe de votre clé, afin que GPG puisse débloquer votre clé privée pour déchiffrer l'email. L'email déchiffré s'affiche alors.

Email
Email

Validez la signature d'un email

La dernière étape consiste à valider la signature de l'email que vous venez d'ouvrir. Pour cela, vous avez besoin de la clé publique de l'expéditeur, qui était attachée en pièce jointe de l'email. La clé publique a été automatiquement ajoutée dans Kleopatra lorsque vous avez déchiffré l'email. Vous pouvez refermer l'email et le réouvrir afin de vérifier la signature de l'email. Enigmail confirme au-dessus de l'email que la signature de l'email correspond à la clé publique de l'expéditeur. 

Signature vérifiée
Signature vérifiée

En résumé

  • GPG est un logiciel open source gratuit basé sur le standard de cryptographie à clé publique PGP ; 

  • Kleopatra est une interface graphique qui vous permet de gérer vos clés et certificats ; 

  • Enigmail est un module de chiffrement et de signature du courrier électronique. 

Maintenant que vous avez terminé la seconde partie de ce cours, je vous propose de tester vos connaissances pour valider la compétence "Sécuriser des communications avec la symétrie asymétrique et l'infrastructure de clés publiques", en répondant au quiz !

Exemple de certificat de réussite
Exemple de certificat de réussite