Dans ce chapitre, je vous propose de mettre en place un échange d’emails chiffrés et signés avec le logiciel GPG.
Installez et configurez Thunderbird
Vous aurez besoin du logiciel d'email Thunderbird et d'un compte email configuré sur Thunderbird. Vous pouvez télécharger Thunderbird en francais sur leur site et l'installer avec les options par défaut.
Ouvrez ensuite Thunderbird et entrez les informations de connexion de votre email. Dans mon cas, j'utilise l'adresse Gmail occryptogpg@gmail.com. Thunderbird détecte automatiquement les serveurs email associés à Gmail, il suffit de cliquer sur Terminer. Sinon, il faut entrer manuellement les serveurs de votre compte email en cliquant sur Configuration manuelle.
Installez GPG pour Windows
Nous allons utiliser la suite GPG4win qui inclut différents outils pour utiliser GPG.
Allez sur https://www.gpg4win.org/ et cliquez sur Download Gpg4win. La version actuelle est la 3.1.5.
Exécutez le programme gpg4win-.exe pour l'installer. Vous pouvez choisir les composants à installer en plus de GnuPG. Nous utiliserons Kleopatra qui est une interface graphique de gestion de clés et certificats. Laissez les options par défaut et cliquez surSuivant.
Cliquez ensuite sur Installer. Lorsque l'installation est terminée, cliquez sur Suivant puis Fermer
Générez une paire de clés avec Kleopatra
Kleopatra va se lancer automatiquement après l'installation de Gpg4win. Cliquez sur Nouvelle paire de clés.
Entrez votre nom et l'adresse email que vous utiliserez pour échanger des emails chiffrés.
Vous pouvez cliquer sur Configuration avancée pour voir les paramètres de la paire de clés. Par défaut, Kléopatra va générer 2 paires de clés :
la paire de clé principale servira à signer les emails et à certifier les sous-clés (c'est-à-dire signer les certificats des sous-clés) ;
la sous-clé servira à chiffrer les emails.
La durée de validité d'une clé est par défaut de 2 ans. La clé publique utilise le système de cryptographie à clé publique RSA avec une taille de clé de 2048 bits. Vous avez également la possibilité d'utiliser le système DSA pour la signature, et ElGamal, une variante de DSA, pour le chiffrement. Vous pouvez également choisir ECDSA et ECDH, qui utilisent la cryptographie à courbes elliptiques, plus performante mais moins courante dans GPG. Pour ce chapitre, nous garderons RSA.
Cliquez sur Annuler pour revenir à la fenêtre précédente, puis cliquez sur Suivant et Créer. La clé est générée aléatoirement en utilisant l'entropie externe. Entrez ensuite un mot de passe qui sera utilisé pour chiffrer la clé privée sur votre disque dur. Faites OK puis Terminer. Votre paire de clés est maintenant créée.
Utilisez GPG sur Thunderbird avec l'extension Enigmail
Ouvrez Thunderbird, cliquez sur le menu, puis modules complémentaires.
Sélectionnez Enigmail puis ajouter à Thunderbird. Cliquez sur Installer maintenant.
Cliquez sur Menu > Enigmail > Assistant de configuration. Cliquez sur Suivant
Puis cliquez sur Suivant pour sélectionner la clé que vous venez de créer avec Kleopatra. Cliquez sur Terminer
Configurez une autre adresse email
Pour échanger un email, vous avez besoin d'un email expéditeur et d'un email destinataire. Le premier email configuré précédemment est occryptogpg@gmail.com, et nous l'appellerons email destinataire car il sera le premier destinataire d'un email chiffré.
Créez maintenant un deuxième compte email expéditeur sur une autre machine en reproduisant les étapes ci-dessus, ou en clonant votre machine virtuelle. Il faut générer une nouvelle paire de clés sur la machine de l'expéditeur. Dans cet exemple, j'utiliserai occryptoexp@gmail.com comme email expéditeur.
Exportez une clé publique par email
Avec le chiffrement à clé publique, l'expéditeur doit connaître la clé publique du destinataire afin de chiffrer un message avec cette clé publique.
Depuis l'email destinataire, dans Thunderbird, cliquez sur Écrire puis Enigmail et Joindre ma clé publique.
Entrez ensuite l'email expéditeur et faites Envoyer
Importez une clé publique par email
Dans l'email expéditeur, sur Thunderbird, ouvrez l'email que vous venez de recevoir contenant la clé publique destinataire. Faites un clic-droit sur la pièce jointe et faites Importez une clé OpenPGP. Puis cliquez sur D'accord pour ajouter la clé dans Kleopatra.
Envoyez un email chiffré et signé
Toujours depuis l'email expéditeur, cliquez sur Répondre à l'email que vous venez de recevoir. Thunderbird a détecté que vous possédez la clé publique associée à l'adresse email du destinataire de l'email. Le cadenas est donc activé, ce qui signifie que l'email sera chiffré avec la clé publique du destinataire. Pour signer l'email avec votre clé privée, cliquez sur le crayon à côté du cadenas.
Pour vérifier votre signature, le destinataire a besoin de la clé publique de l'expéditeur. Joignez donc votre clé publique en cliquant sur Enigmail et Joindre ma clé publique.
Entrez un message dans l'email puis envoyez-le. Vous pouvez cliquer sur Protéger l'objet pour que GPG chiffre le sujet du mail. Entrez ensuite le mot de passe de votre clé, GPG en a besoin pour lire votre clé privée sur le disque dur afin de signer l'email.
Ouvrez et déchiffrez un email chiffré
Passez de nouveau à la machine de l'email destinataire. Ouvrez l'email chiffré que vous venez de recevoir. Entrez le mot de passe de votre clé, afin que GPG puisse débloquer votre clé privée pour déchiffrer l'email. L'email déchiffré s'affiche alors.
Validez la signature d'un email
La dernière étape consiste à valider la signature de l'email que vous venez d'ouvrir. Pour cela, vous avez besoin de la clé publique de l'expéditeur, qui était attachée en pièce jointe de l'email. La clé publique a été automatiquement ajoutée dans Kleopatra lorsque vous avez déchiffré l'email. Vous pouvez refermer l'email et le réouvrir afin de vérifier la signature de l'email. Enigmail confirme au-dessus de l'email que la signature de l'email correspond à la clé publique de l'expéditeur.
En résumé
GPG est un logiciel open source gratuit basé sur le standard de cryptographie à clé publique PGP ;
Kleopatra est une interface graphique qui vous permet de gérer vos clés et certificats ;
Enigmail est un module de chiffrement et de signature du courrier électronique.
Maintenant que vous avez terminé la seconde partie de ce cours, je vous propose de tester vos connaissances pour valider la compétence "Sécuriser des communications avec la symétrie asymétrique et l'infrastructure de clés publiques", en répondant au quiz !