Je chiffre ma correspondance car il voit tout, il entend tout, il dit tout.

Installation d’un logiciel de chiffrement pour les courriers électroniques sur votre chromebook et explications sur l’utilisation de logiciels chiffrés.

Depuis ses débuts en 1965, le courrier électronique est devenu un des acteurs majeurs de la communication autant professionnelle que personnelle. On échange plus facilement l’adresse électronique qu’un numéro de GSM, tant on est sûr de pouvoir contacter la personne ou l’entité professionnelle. En 2017, il s’échangeait chaque jour 269 milliards de courriers électroniques en dehors des spams. Ce simple chiffre montre bien l’importance de ce mode de communication et sa place actuelle dans la société, mais aussi ses dangers. Doit-on alors chiffrer systématiquement les courriers électroniques ? Bref état des lieux et proposition d’un outil pour les chiffrer sur nos chromebook.

Historique rapide du courrier électronique

Jusqu’au début des années 1990, l’échange d’informations s’effectuait pour la majeure partie de la population sous deux formes : la voix et l’écriture. La voix par l’émission d’ondes dans des appareils de communication permettait l’échange d’un bout à l’autre de la Terre. La météo pouvait avoir des conséquences en emportant des phrases dans les limbes, tout comme les communications via  l’alphabet Morse. Concernant l’écriture, les échanges avaient lieu par train, bateau, à pied, etc….
Par le biais de la démocratisation du réseau Internet, le courrier électronique a pris son essor, même s’il existait depuis 1965. La définition même de l’adresse électronique a été proposée en 1972 par Ray Tomlinson dont la fameuse arobase @. Même si cela peut surprendre, une adresse électronique sera lue de droite à gauche par les automates des serveurs.

Mais qu’est-ce que le courrier électronique ?

Un courrier électronique, e-mailmail ou courriel est un message écrit et envoyé électroniquement via un réseau informatique. On appelle messagerie électronique l’ensemble du système qui permet la transmission des courriers électroniques. Elle respecte des règles normalisées afin d’autoriser le dépôt de courriels dans la boîte aux lettres électronique d’un destinataire choisi par l’émetteur.
Pour émettre ou recevoir des messages par courrier électronique, il faut disposer d’une adresse électronique et d’un client de messagerie (ou d’une messagerie web permettant l’accès aux messages via un navigateur web). (Source Wikipédia).

Les règles d’utilisation du courrier électronique

Comme toute fonction sur l’Internet, il existe des règles bien précises dans l’emploi du courrier électronique. Il s’agit de lignes directrices datant d’octobre 1995, élaborées car « dans le passé, la population de personnes utilisant l’Internet, étaient techniquement orientés et comprenaient la nature du transport et des protocoles. Aujourd’hui, la communauté des internautes comprend des personnes qui sont nouvelles dans l’environnement. Celles-ci (les débutants) ne connaissent pas la culture et n’ont pas besoin de connaître le transport et les protocoles. Afin d’amener ces nouveaux utilisateurs dans la culture de l’Internet rapidement, ce guide offre un ensemble minimal des comportements que les organisations et les individus peuvent prendre et adapter pour leur propre usage« . (extrait de Les règles de la Netiquette RFC 1855 Netiquette Guidelines d’octobre 1995 » à retrouver ici au format texte.) Entre autres, des règles bien précises sont édictées sur la manière de répondre à un courrier électronique. On peut retrouver celles-ci en français sur le blog de J.C. Etiemble.

Combien coûte un courrier électronique à la planète ?

Pour chaque courrier électronique envoyé, nous le payons par un peu de pollution. Une nuisance  non visible à l’inverse d’un sac de plastique jeté dans la nature, mais existant par le biais des serveurs transportant  et hébergeant le fichier.


Un mail = 19 grammes de CO2
.
« Les infrastructures informatiques ont donc un impact important sur l’environnement. L’ADEME estimait effectivement en 2014 qu’1 Mo envoyé correspondait à 15 grammes de CO2 ! Ainsi, selon le poids de l’e-mail échangé, l’impact peut varier : imaginons que vous envoyiez 30 mails par jour à différents destinataires pendant un an, cela correspond à presque 330 kg de CO2, soit plusieurs milliers de km d’essence utilisés en voiture« , comme l’indique le site quelleenergie.fr.

Pourquoi chiffrer des courriers électroniques ?

Selon Wikipédia, « il faut savoir que lorsqu’un message électronique est envoyé, celui-ci transite par plusieurs ordinateurs (le message est enregistré sur le disque dur de ce qu’on appelle des serveurs relais) avant d’arriver sur l’ordinateur du destinataire. Ce « voyage » n’est pas sans péril. En effet, ces ordinateurs appartiennent à des entreprises, des administrations ou des personnes qui peuvent ne pas s’embarrasser de scrupules et lire ce courriel. Celui-ci, de par sa conception même et les protocoles qu’il utilise, circule en clair, c’est-à-dire non chiffré, comme une carte postale sans enveloppe. L’intérêt du chiffrement est là car même si le risque d’interception est faible, il augmente régulièrement. De plus, même si celui qui fait transiter le message a une déontologie professionnelle et une éthique qui lui interdisent de le lire, il peut être important de cacher son contenu, pour protéger d’éventuels secrets professionnels ou tout simplement son intimité. »

Comment se protéger ?

La seule manière de protéger un courrier électronique est son chiffrement. Il se définit selon Wikipédia, comme étant « un chiffrage procédé de chiffrement grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement« .
Un système de chiffrement est dit :

  • chiffrement symétrique quand il utilise la même clé pour chiffrer et déchiffrer.
  • chiffrement asymétrique quand il utilise des clés différentes : une paire composée d’une clé publique, servant au chiffrement, et d’une clé privée, servant à déchiffrer. Le point fondamental soutenant cette décomposition publique/privée est l’impossibilité calculatoire de déduire la clé privée de la clé publique. (source Wikipédia).

Le chiffrement a été considéré en France jusqu’en 1996, comme une arme de guerre de deuxième catégorie. Depuis cette date, il est possible d’utiliser des logiciels de chiffrement comme PGP (voir plus bas). L’emploi d’une application dont les fichiers sources sont vérifiables, est très conseillé.

Utiliser Mailvelope

Sur le nombre d’extensions que propose le Chrome Web Store sur le chiffrement des données, nous avons retenu Mailvelope. La première raison est qu’il fait partie des logiciels proposés dans OpenPGP (voir plus bas pour plus d’informations sur cet acronyme). La seconde concerne la facilité dans sa configuration et son utilisation tout en restant discret. « Mailvelope permet de chiffrer et de déchiffrer les courriels directement dans le compte de messagerie web de votre fournisseur de messagerie web favori. Il s’intègre directement dans le compte d’utilisateur de messagerie web et il est facile à utiliser dans le travail quotidien. Il est pré-configuré pour les fournisseurs de messagerie web (courriel web) suivants: • Gmail™ •  Outlook.com™ • Posteo™ • web.de™ • Yahoo!™ mais il peut être ajusté pour qu’il fonctionne avec d’autres fournisseurs de messagerie web. » comme il est indiqué sur la page de Chrome Web Store.
Petite précision pour finir, Mailvelope s’appuie comme de nombreuses extensions/applications de chiffrement sur OpenPGP pour chiffrer vos données. « Ce n’est donc pas un logiciel mais un format pour l’échange sécurisé de données qui doit son nom à l’application de cryptographie historique, Pretty Good Privacy (PGP) » comme l’indique Wikipédia.
Son créateur Philip Zimmermann expliquait qu’il avait créé le logiciel PGP car « si l’intimité est mise hors la loi, seuls les hors-la-loi auront une intimité. Les agences de renseignement ont accès à une bonne technologie de chiffrement. De même les trafiquants d’armes et de drogues. Mais les gens ordinaires et les organisations politiques de base n’avaient pour la plupart pas eu accès à ces technologies de chiffrement de « qualité militaire » abordable. Jusqu’à présent. » (source Wikipédia)

Après le téléchargement et l’installation de l’extension Mailvelope, un nouvel icône a fait son apparition dans l’omnibar.

Il vous suffit de cliquer sur celui-ci, pour que la fenêtre suivante apparaisse.

Cliquer sur la roue dentée et la fenêtre suivante apparaît.

Deux possibilités vous sont offertes : soit générer une clé, soit en importer une. La seconde possibilité ne nous intéresse pas, puisque nous considérons que si vous avez déjà utilisé ce type de produit, aussi bien sous Windows, MacOs ou Linux, vous en connaissez son emploi dans les grandes lignes.
Pour générer une clé, cliquer sur le bouton bleu. Une nouvelle fenêtre apparaît.

Pour le nom, faites un mélange de chiffres et de lettres assez court. Le bouton Evolué, permet de choisir la taille de la clé (4096 ou 2048) et sa date d’expiration. Concernant la phrase secrète, pas question d’en avoir une du genre 123456, mélanger plutôt chiffres, lettres majuscules et minuscules et même des espaces. Mais ne choisissez pas un mot de passe du genre « Lepetitchatestmortledimanche1janvier2018 » mais plutôt « Le petit chat est mort le dimanche 1 janvier 2018« . Même si le premier mot de passe vous semble assez solide, il le sera moins que celui avec les espaces.
Une petite astuce permettant de ne pas communiquer votre adresse électronique principale. Créer une adresse GMail, utilisée uniquement par Mailvelope. Aller dans les Paramètres et demander le transfert de tous les courriers arrivant vers une autre adresse. Pas obligatoirement votre adresse principale, mais permettant de mettre des filtres avant de les renvoyer vers celle-ci. Si demain vous cessez d’utiliser l’extension Malvelope et par là-même l’adresse associée, vous ne recevrez plus de spams et autres email du même type.
J’entends déjà des questions dans les commentaires du genre « Mais comment faites-vous pour retenir vos mots de passe ? » Tout simplement en ayant un cahier. Même si cela peut étonner, je suis contre les logiciels coffre-fort et pour deux rasions :

  • je ne sais pas s’il n’y a pas une porte dérobée à l’intérieur même de l’application,
  • si les bases de données sont volées ou copiées, suis-je certain que celles-ci sont bien protégées contre d’éventuels malfaisants armés de pinces monseigneur numériques »..

Le cahier vous assure une discrétion toute relative, mais au moins vous l’avez avec vous. A l’inverse du postcritp que l’on ira coller contre l’écran ou à l’intérieur de la housse du chromebook, ce support peut être mélangé avec des cahiers mettant celui-ci dans un certain anonymat. Nous avons trop vu, dans notre vie professionnelle, de mots de passe non changés, du type admin pour le login et Enter pour le password. Je comprends que vivre dangereusement pour certaines personnes, peut donner des frissons, mais quand même il y a des limites.

Vous avez indiqué toutes les informations demandées, il ne vous reste plus qu’à patienter après avoir validé en cliquant sur le bouton Générer. Cette opération peut prendre un certain temps suivant la longueur de la phrase secrète. A ce sujet, il ne vous est pas possible de voir ce que vous inscrivez lors de sa saisie, donc prenez votre temps. N’oubliez pas qu’une tabulation fait partie de votre phrase secrète comme une ponctuation.

Si vous revenez à l’omnibarre de Chrome, en cliquant sur l’icône de Mailvelope, de nouvelles informations s’affichent. Avec la dernière option, vous allez pouvoir chiffrer des fichiers en indiquant dans les options (deuxième fenêtre) si vous désirez chiffrer le fichier en format texte.
Nous venons de voir qu’il vous est possible de chiffrer des fichiers, intéressons-nous maintenant au chiffrement du courrier électronique. Mais tout d’abord, lors de la génération de votre clé chiffrée, vous avez indiqué une adresse email et demander le téléversement de votre clé publique sur le serveur de Maivelope. Ce dernier vous renvoie pour contrôle un courrier chiffré.

Pour déchiffrer ce message, cliquer sur l’enveloppe avec le cadenas. Dans la fenêtre, inscrire votre mot de passe crée auparavant, c’est à dire votre fameuse phrase secrète. La fenêtre suivante apparaît.

Il s’agit ici uniquement de valider l’adresse électronique que vous avez communiquée lors de la génération de la clé. C’est la seule et unique fois où cela vous sera demandé. Intéressons-nous maintenant au courrier électronique et la manière de chiffrer vos envois.

En cliquant sur Nouveau message, une fenêtre s’affiche avec à l’intérieur un pictogramme. Cliquer dessus et une fenêtre mobile apparaît.

 

Cette fenêtre est mobile puisque à l’inverse d’une fenêtre GMail, celle-ci peut être déplacée en dehors du logiciel. Il ne vous reste plus qu’à rédiger votre courrier. En chiffrant votre courrier, vous revenez à l’espace habituel lorsque vous rédigez un courrier. La suite vous la connaissez….

Avant de continuer, arrêtons-nous quelques instants sur les termes employés pour la protection des courriers électroniques.
Depuis le début de cet article nous avons employé les termes de chiffrement et déchiffrement. Pour les matérialiser par une image, nous dirons que si le chiffrement et le déchiffrement sont une clé physique, le chiffrement activera par exemple la condamnation des portes d’un véhicule et le déchiffrement déverrouillera celles-ci.
Maintenant concernant le terme cryptage, son opposé étant décryptage, celui-ci est réservé à l’action de casser un message chiffré sans connaître la clé à l’inverse du déchiffrement. Si nous revenons à notre image, nous pouvons dire que le décryptage serait de fracturer une portière du véhicule pour le voler puisque n’ayant pas la clé.  » Il apparaît donc que mis au regard du couple chiffrer/déchiffrer et du sens du mot « décrypter », le terme « crypter » n’a pas de raison d’être  » dixit Wikipedia. Pour terminer, nous dirons que les termes « encryptage », « cryptage » et ses dérivés sont des anglicismes récents, tirés de l’anglais encryption. Le mot « chiffrement » est un terme utilisé depuis le XVIIe siècle dans le sens de chiffrer un message, comme l’explique très bien le blog ryfe.fr.

Maintenant cliquer sur le pictogramme dans l’omnibarre et sélectionner Options évoluées puis Modifier les paramètres de sécurité. Vous pouvez définir le temps donné au logiciel de courrier électronique, de mémorisation de votre phrase secrète. Vous pourrez aussi modifier l’arrière plan de sécurité suivant un accord avec votre correspondant, une sorte de signal dans le signal. Concernant l’onglet Serveur de clés, vous pouvez en sélectionner un autre. Pour d’autres informations d’utilisation de l’extension Mailvelope, vous les trouverez à cette adresse.

Nous avons abordé partiellement le logiciel Mailvelope qui reste d’un emploi assez intuitif et d’une prise en main rapide. Pour ce qui me concerne j’utilise de manière journalière cette extension. Il ne s’agit pas de me cacher du monde pour dire à un ami de venir manger un prochain jour à la maison. Mais simplement je tiens à mon intimité, elle m’appartient et non à des inconnus. L’enlever serait dire que toute décision que je  prends peut être sujet à prise de connaissance, modification, critiques, etc…. par des anonymes. Bref, m’enlever mon libre arbitre que je ne désire pas donner à autrui.

Mailvelope
Mailvelope
Développeur: www.mailvelope.com
Prix: Gratuit

Vous cryptez tous vos fichiers et courriers électroniques, venez nous en parler dans les commentaires. Vous laissez vos fichiers aux quatre vents comme vos courriers électroniques, venez nous dire pourquoi dans les commentaires.

Si vous avez trouvé une faute d’orthographe, informez-nous en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée s’il vous plaît,.

5 comments

  1. william guerin Reply
    Bonjour,

     

    Est ce completement « transparent » pour la personne recevant les mails? C’est à dire doit elle posséder également un logiciel de chiffrement/déchiffrement ou reçoit elle le message directement clair?

    • Mister Robot Post authorReply
      Bonjour

      Merci d’avoir posé la question. J’attendais qu’un personne la pose. L’article étant déjà assez long, je n’ai pas pu aborder le sujet du chiffrement et déchiffrement et comment déchiffrer les courriers électroniques chiffrés.

      La personne reçoit le courrier chiffré. Si elle n’a pas un logiciel ou une extension pour ceux utilisant ChromeOs, elle ne pourra pas le lire. Si elle veut déchiffrer le courrier, elle devra s’équiper d’un logiciel/extension. Par convention, on appelle la clef de déchiffrement la clef privée et la clef de chiffrement la clef publique. La clef qui est choisie privée n’est jamais transmise à personne alors que la clef qui est choisie publique est transmissible sans restrictions.

      Ce système permet deux choses majeures :

      Chiffrer le message à envoyer : l’expéditeur utilise la clef publique du destinataire pour coder son message. Le destinataire utilise sa clef privée pour décoder le message de l’expéditeur, garantissant la confidentialité du contenu.
      S’assurer de l’authenticité de l’expéditeur : L’expéditeur utilise sa clef privée pour coder un message que le destinataire peut décoder avec la clef publique de l’expéditeur ; c’est le mécanisme utilisé par la signature numérique pour authentifier l’auteur d’un message. (source Wikipédia)

      Travaillant déjà sur ce sujet,  il sera posté prochainement un article sur ce sujet. Mais en tout état de cause, oui la personne doit avoir un logiciel de chiffrement/déchiffrement. Bien sûr il n’est pas obligatoire qu’il soit le même.

      Si tu as d’autres questions, n’hésite pas.

      Mister R.

       

  2. BERNARD SORET Reply
    Doit on en déduire qu’il ne faut pas entièrement faire confiance a Gmail pour la confidentialité des mails ?

    Dans quelques cas très précis j’utilise la messagerie chiffrée

    Protonmail

    • Mister Robot Post authorReply
      Bonjour

      Si bien sûr, mais…. »Si vous utilisez un compte professionnel et si l’option correspondante a été activée par votre organisation, vous pouvez renforcer la sécurité de vos messages à l’aide du protocole S/MIME (Secure/Multipurpose Internet Mail Extensions). » comme le rappelle cette aide sur GMail. Donc le chiffrage de bout en bout avec clé publique et clé privé.
      Pour l’utilisateur « lambda » le chiffrement n’aura pas lieu à moins que je me trompe, d’ou l’utilisation d’une extension se basant sur OpenPGP.
      Pour ce qui concerne le transport du courrier par Gmail il sera chiffré si je ne me trompe pas.
      « Pour que les messages soient chiffrés par l’outil de sécurité pendant leur acheminement, le fournisseur de messagerie de l’expéditeur et celui du destinataire doivent toujours utiliser le protocole TLS » comme l’indique une autre aide GMail. Comme nous ne savons pas si le destinataire à un fournisseur utilisant ce protocole, il est donc conseillé de chiffrer.
      Pour ce qui concerne ProtonMail, bonne application avec effectivement une ouverture de son code source.

      Cordialement

      Mister R.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *