Comment partager une clé publique OpenPGP en 3 étapes

Partager ou échanger des clés publiques OpenPGP de manière sécurisée et fiable peut être difficile. Dans ce post, nous présenterons quelques méthodes simples mais fiables pour échanger des clés publiques OpenPGP. Nous opérerons par étapes : comment obtenir une clé publique OpenPGP, comment obtenir séparément son empreinte, et enfin comment vérifier qu’elle appartient à son propriétaire revendiqué.

Étape – 1: Échangez la clé publique OpenPGP

La toute première étape est de partager ou d’échanger la clé publique OpenPGP avec votre destinataire. Voici quelques-unes des manières les plus courantes et les plus efficaces pour le faire.

Un email signé numériquement

Envoyez un email signé numériquement en joignant votre clé publique  à votre destinataire. Votre destinataire doit faire la même chose. Pour ce faire, vous devrez préalablement disposer de l’adresse e-mail de votre destinataire.

Dans Mailfence, suivez les étapes suivantes :

1. Composez votre message.

OpenPGP public key

2. Joignez votre clé publique

3. Signez numériquement votre message

Note :

  • Assurez-vous que l’adresse e-mail que vous utilisez pour envoyer ou recevoir le message est la bonne (obtenue de manière fiable : rencontre en personne, par téléphone, …), car elle peut être usurpée.

Applications de messagerie instantanée

Il existe plusieurs applications de messagerie sur mobile, qui vous permettent aussi d’envoyer des fichiers. Pour cela, vous devrez préalablement disposer du numéro de téléphone mobile de votre destinataire et vous devez tous deux être disponibles (et enregistrés) sur l’application correspondante.

Voici quelques-unes des applications mobiles pour partager ou échanger votre clé publique avec votre destinataire :

  • WhatsApp
  • Signal (recommandé)

Note :

  • Utilisez le véritable numéro de téléphone mobile de votre destinataire (obtenu par moyen fiable: rencontre en personne, par téléphone, …) car il peut être usurpé.
  • Si vous n’êtes pas certain de l’identité de votre contact, suivez les étapes nécessaires à la vérification de contact spécifique à chaque application.

Comptes de médias sociaux

De nos jours, beaucoup de gens sont sur les médias sociaux (Facebook, Twitter, …). Cependant, des restrictions propres à chaque plateforme s’appliquent en matière d’envoi de messages directs à d’autres utilisateurs.

Utilisez l’une des plateformes sociales suivantes :

  • Twitter

Copiez simplement le texte de votre clé publique OpenPGP et envoyez-le comme message direct à votre destinataire

clé publique OpenPGP

  • Facebook

Copiez simplement le texte de votre clé publique OpenPGP et envoyez-le comme message direct à votre destinataire

Vous pouvez utiliser d’autres plateformes, comme Google+, … en suivant la même procédure.

Vous pouvez parfois trouver l’empreinte de la clé publique OpenPGP sur le site d’un utilisateur ou sur tout autre type de présence en ligne. Dans Mailfence, vous pouvez utiliser  la sauvegarde de documents pour partager votre clé publique au moyen du lien d’accès direct.

1. Allez dans le répertoire « Mes documents »  de votre compte Mailfence, cliquez sur la roue, puis cliquez sur « Créer un dossier public »

2. Téléchargez votre clé publique OpenPGP

3. Faites un clic droit sur votre clé publique et cliquez sur « Accès direct »

4. Partagez le lien fourni sous la rubrique « Accès public » avec vos destinataires et d’autres personnes

Note :

  • Les faux profils de médias sociaux sont fréquents, assurez-vous d’utiliser le bon profil (en faisant des vérifications afin d’établir sa fiabilité).
  • Les profils sociaux peuvent être piratés. Recherchez d’éventuels éléments suspects dans le profil de votre destinataire, afin de vous assurer qu’il n’a pas été piraté.

Dépôt de clé publique: Keybase.io

Un dépôt de clé publique est un lieu où l’on conserve les clés publiques de différentes personnes. Keybase.io est un dépôt clé publique, qui permet aux utilisateurs de relier leur clé avec leurs appareils connectés et d’y joindre également plusieurs comptes sur les médias sociaux. Cela apporte plus de légitimité à leur identité, laquelle peut être recoupée avec les autres plateformes de réseaux sociaux. Il facilite également la vérification des signatures numériques. Keybase.io est parfaitement adapté à la fonctionnalité OpenPGP de Mailfence.

1. Créez votre compte

2. Téléchargez votre clé publique PGP (Vous devrez aussi la signer, en utilisant votre clé privée dans l’assistant ci-dessous)

3. Installez divers appareils et connectez plusieurs comptes sociaux – pour établir votre identité

Autres dépôts de clés publiques

Il existe d’autres serveurs de clés publiques ouverts, qui ne vous obligent pas à créer un compte et/ou à signer votre clé publique avant de la télécharger. Toutefois, leur communiquer des clés publiques est un processus irréversible (votre clé ne pourra être supprimée ni modifiée, sauf en cas de changement de date d’expiration, d’ajout de sous-clés, …). Un autre inconvénient de ces serveurs de clés est que votre UID (nom et adresse email) devient public.

Si vous ne souhaitez communiquer votre clé publique sur d’autres serveurs de clés publiques via Mailfence, suivez les étapes suivantes :

1. Allez dans Paramètres -> Messages -> cryptage et cliquez sur votre clé personnelle

2. Cliquez sur « Publier sur le serveur de clé publique »

Note :

  • Comme tout le monde peut publier une clé publique sur ces serveurs de clés publiques ouverts, vérifiez qu’il n’est pas corrompu avant de copier l’empreinte de votre clé publique.
  • Évitez de copier l’empreinte d’une clé publique révoquée ou expirée.

Étape – 2: Obtenez l’empreinte d’une clé publique OpenPGP en utilisant une autre méthode

Après avoir partagé ou échangé la clé publique avec votre destinataire, l’étape suivante vise à acquérir l’empreinte digitale de la clé publique correspondante en utilisant une autre méthode. Les clés publiques peuvent être usurpées, il ne faut donc surtout pas s’abstenir de cette étape.

Email signé numériquement

Envoyez un e-mail signé numériquement. Il doit inclure votre empreinte de clé publique dans le corps du message. Demandez à votre destinataire de faire de même.

Sur Mailfence, cela peut être réalisé en suivant les étapes suivantes :

1. Composez votre message, tout en incluant votre empreinte de clé publique OpenPGP

2. Signez numériquement votre message et envoyez-le.

Note :

  • Assurez-vous que l’adresse e-mail à laquelle vous adressez ce message ou de laquelle vous avez reçu un courriel est la bonne (obtenue d’une manière fiable : rencontre en personne, par téléphone, …) car elle peut être usurpée.

Applications de messagerie instantanée ou d’appel

Elles nécessiteront que vous disposiez préalablement du numéro de téléphone mobile de votre destinataire. Un simple appel téléphonique suffit. Pour la messagerie instantanée : vous et votre destinataire doivent être tous deux disponibles (et enregistrés) sur l’application correspondante.

Voici quelques-unes des applications mobiles pour partager ou échanger votre empreinte de clé publique avec votre destinataire :

  • WhatsApp
  • Signal (recommandé)

Note :

  • Assurez-vous que vous disposez du bon numéro de téléphone mobile de votre destinataire (obtenu par un moyen fiable : rencontre en personne, par téléphone, …) car il peut être usurpé.
  • Si vous n’êtes pas certain de l’identité de votre contact, suivez les différentes étapes de vérification spécifiques à chaque application.

Comptes de médias sociaux

De nos jours, beaucoup de gens sont sur les médias sociaux (Facebook, Twitter, …). Cela en fait un moyen simple pour partager ou échanger votre empreinte de clé publique. Cependant, des restrictions propres à chaque plateforme s’appliquent en matière d’envoi de messages directs à d’autres utilisateurs.

Utilisez l’une des plateformes sociales suivantes :

  • Twitter

Copiez simplement le texte de votre clé publique OpenPGP et envoyez-le comme message direct à votre destinataire

Vous pouvez aussi inclure l’empreinte de votre clé publique OpenPGP dans la section « A propos » de votre profil.

  • Facebook

Copiez simplement le texte de votre clé publique OpenPGP et envoyez-le comme message direct à votre destinataire.

Ajoutez l’empreinte de votre clé publique OpenPGP dans la section « A propos » de votre profil.

 

Vous pouvez utiliser d’autres plateformes, comme Google+, … en suivant la même procédure.

Vous pouvez parfois trouver l’empreinte de la clé publique OpenPGP sur le site d’un utilisateur ou sur tout autre type de présence en ligne. Sur Mailfence, vous pouvez utiliser  la sauvegarde de documents pour partager votre clé publique au moyen du lien d’accès direct.

1. Allez dans le répertoire « Mes documents »  de votre compte Mailfence, cliquez sur la roue, puis cliquez sur « Créer un dossier public »

2. Téléchargez votre clé publique OpenPGP

3. Faites un clic droit sur votre clé publique et cliquez sur « Accès direct »

4. Partagez le lien fourni sous la rubrique « Accès public » avec vos destinataires et d’autres personnes

Note :

  • Les faux profils sont fréquents sur les médias sociaux, assurez-vous d’utiliser le bon profil (en faisant des vérifications afin d’établir sa fiabilité).
  • Les profils sociaux peuvent aussi être piratés. Recherchez d’éventuels éléments suspects dans le profil de votre destinataire, afin de vous assurer qu’il n’a pas été piraté.

Dépôts à clé publique ouverts

Vous pouvez utiliser n’importe quel dépôt de clés publiques (par exemple, Keybase.io ou d’ autres serveurs de clés publiques ouverts) pour obtenir les empreintes de clé publique. Le but est d’obtenir l’empreinte de clé publique en utilisant un autre moyen.

Sur Mailfence, suivez les étapes suivantes :

1. Allez dans Paramètres -> Messages -> Cryptage -> Ajouter une clé publique -> Rechercher dans les serveurs de clés publiques

2. Entrez le nom ou l’ID de l’email ou l’ID de la clé de votre destinataire et appuyez sur Entrée. L’empreinte de la clé publique (s) sera affichée.

Note :

  • Évitez de copier l’empreinte d’une clé publique révoquée et/ou expirée
  • L’objectif est d’acquérir l’empreinte digitale en utilisant un autre moyen. Utilisez autant de méthodes alternatives que possible pour obtenir l’empreinte de clé publique, et recoupez celles que vous avez trouvées.

Étape – 3: Vérifiez que la clé publique OpenPGP appartient en effet à son propriétaire revendiqué

Enfin, après avoir obtenu la clé publique de votre destinataire (s) et son empreinte en utilisant une méthode différente, il est facile de procéder à la vérification. Il vous suffit de comparer l’empreinte de la clé publique que votre destinataire vous a communiquée avec l’empreinte que vous avez trouvée. Si elle correspond, vous pouvez être sûr que la clé publique communiquée appartient en effet à son propriétaire revendiqué. Désormais, vous pourrez l’utiliser en toute sécurité pour communiquer avec votre (vos) destinataire (s).

Sur Mailfence, suivez la procédure suivante :

1. Allez dans Paramètres -> Messages -> Cryptage -> Cliquez sur la clé publique de votre destinataire

2. Copiez l’empreinte de la clé publique OpenPGP obtenue (à l’étape 2) et utilisez la fonction « rechercher » de votre navigateur (par exemple, appuyez sur Ctrl + F)

3. Si elle correspond, vous pouvez être sûr que la clé publique obtenue appartient à son propriétaire revendiqué. Vous pouvez l’utiliser pour communiquer en toute sécurité avec votre (vos) destinataire (s).

Notes importantes

Rencontre en personne : Si vous connaissez déjà votre destinataire et qu’il vous est possible de le rencontrer en personne, il s’agit probablement de la meilleure option. Vous pouvez partager ou échanger la clé publique en utilisant une clé USB. Échangez ensuite son empreinte oralement ou par tout autre moyen sûr et fiable. L’étape 3 s’applique toujours dans ce cas de figure.

Une dernière note : N’oubliez pas de vérifier que la clé publique n’a pas été révoquée ou qu’elle n’est pas expirée.

Obtenez votre messagerie securisée !

Suivez-nous sur twitter/reddit et restez informés à tous moments.

L’équipe Mailfence

 


Faites passer le message !

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *