C’est quoi OpenPGP ? C’est l’un des protocoles standards pour le chiffrement/signature des données. Il s’agit de la norme de chiffrement des emails la plus utilisée. C’est également l’une des façons dont Mailfence assure la sécurité et la confidentialité de ses utilisateurs dans le monde entier.
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
OpenPGP et les inquiétudes en matière de confidentialité
Si vous demandez aux gens d’aujourd’hui s’ils sont inquiets de l’utilisation de leurs données par le gouvernement ou les entreprises, la plupart d’entre eux répondront par l’affirmative. Selon une étude de l’Agence des droits fondamentaux de l’Union européenne (2020 – lien en anglais), plus de la moitié des personnes utilisant Internet craignent que des criminels puissent utiliser les informations qu’elles partagent en ligne.
Dans le même temps, de l’autre côté de l’Atlantique, les Américains sont également inquiets et estiment pourtant qu’il est impossible de vivre sans que leurs données soient collectées par les entreprises (62%) ou le gouvernement (63%), selon une étude de Pew Research (2019 – lien en anglais).
Mais le fait est que vous avez raison de vous inquiéter de la collecte de données. Vous avez le contrôle sur votre vie privée, et une chose qui peut vous aider à cet égard est OpenPGP.
OpenPGP c’est quoi et comment ça fonctionne ?
Chiffrement, cryptographie, signatures numériques, clés privées et publiques… Autant d’idées et d’outils dont le commun des mortels a probablement entendu parler, mais qu’il ne comprend pas vraiment. Et ce que les gens ne comprennent pas leur fait généralement peur.
C’est pourquoi nous pensons qu’il est extrêmement utile de parler de l’un de ces outils, à savoir OpenPGP, de son fonctionnement et de la manière dont il peut vous aider à protéger la confidentialité de vos emails.
Ok, c’est quoi OpenPGP ?
PGP est l’abréviation de Pretty Good Privacy. C’est un système de chiffrement pour l’envoi d’emails et de fichiers chiffrés. Il a été créé et publié en 1991 pour protéger les fichiers sur les systèmes de babillard électronique (il s’agissait de serveurs utilisés pour permettre aux utilisateurs de se connecter avant Internet).
À l’origine, PGP pouvait être utilisé gratuitement par tous, mais après son rachat par Symantec, il est devenu une solution propriétaire.
C’est pourquoi Phill Zimmerman, l’auteur original de la norme PGP, a soumis une proposition de code open-source à l’Internet Engineering Task Force (IETF) en 1997 et c’est ainsi qu’est né OpenPGP.
OpenPGP est une norme de chiffrement qui utilise des algorithmes cryptographiques symétriques et asymétriques. Ainsi, OpenPGP profite du meilleur des deux mondes : l’efficacité du chiffrement symétrique et la sécurité du chiffrement asymétrique.
Comment ça marche ?
Pretty Good Privacy n’est pas si compliqué en fait. Prenons un exemple.
- La personne A (l’expéditeur) veut envoyer un email à son ami, la personne B (le destinataire), mais elle veut que cet email reste privé.
- La personne B (le destinataire) doit donc générer une clé publique et une clé privée. Vérifiez comment générer votre clé personnelle avec Mailfence (lien en anglais). Regardez notre vidéo et apprenez comment ajouter vos clés à votre compte.
- Ensuite, la personne B envoie sa clé publique à la personne A.
- À l’aide de la clé publique qu’elle vient de recevoir, la personne A peut chiffrer son email.
- Elle peut maintenant envoyer l’email chiffré à la personne B.
- Enfin, pour lire le message, la personne B doit le déchiffrer à l’aide de sa clé privée. Toute autre personne interceptant l’email ne pourra pas le lire, car il sera incompréhensible pour elle.
Quelle est la différence entre PGP, OpenPGP et GnuPG ?
Nous avons déjà évoqué la façon dont OpenPGP a été soumis comme proposition à l’IETF en 1997 par le créateur de PGP, Phil Zimmerman, pour éviter les problèmes de brevets.
Il y a également un troisième acteur dans cette histoire, et c’est GnuPG ou Gnu Privacy Guard (GPG).
Gnu Privacy Guard a été développé deux ans après OpenPGP en 1999 et est basé sur le standard OpenPGP que Zimmerman a soumis à l’IETF. Il s’agit d’une alternative gratuite à PGP que les utilisateurs peuvent télécharger, modifier, distribuer et utiliser pour chiffrer/déchiffrer les fichiers PGP et OpenPGP.
Récapitulatif : PGP original a été développé en 1991 et racheté plus tard par Symantec, puis OpenPGP a été soumis et approuvé par l’IETF en 1997 comme une alternative libre, et enfin GPG a été publié en 1999, basé sur la norme OpenPGP.
À quoi sert PGP/OpenPGP ?
Alors, que pouvez-vous faire avec PGP ou OpenPGP ?
- Chiffrer/déchiffrer des emails (ou des fichiers)
- Signer/vérifier des emails (ou des fichiers)
- Signer/vérifier des actions
L’exemple ci-dessus (voir “Comment fonctionne PGP ?”) explique déjà comment OpenPGP est utilisé pour chiffrer un email entre deux parties qui veulent garder leur correspondance privée.
OpenPGP peut également être utilisé pour vérifier l’identité de la personne qui envoie l’email. En bref, il s’agit de la vérification de la signature d’un email.
Pour ce faire, on utilise la signature numérique OpenPGP, qui est essentiellement un hachage de l’email chiffré à l’aide de la clé privée OpenPGP de l’expéditeur. Cette signature numérique est ensuite envoyée avec l’email.
Lorsque le destinataire reçoit l’email, il peut décrypter la signature numérique à l’aide de la clé publique de l’expéditeur. De cette façon, le destinataire pourra savoir si un seul caractère a été modifié, ce qui indique que le message a été falsifié en transit ou que la signature numérique est fausse et que l’expéditeur n’est pas celui qu’il prétend être.
Enfin, outre le fait de chiffrer et de signer des emails ou d’autres fichiers, OpenPGP peut également être utilisé pour signer des actions telles que l’établissement d’une identité de confiance, la révision d’un dépôt Github/Gitlab (lien en anglais), la publication d’un paquet Debian en amont (lien en anglais).
Avantages et inconvénients
OpenPGP a certainement ses avantages, mais il n’est pas parfait. Nous allons maintenant examiner les avantages et les inconvénients du chiffrement OpenPGP :
Avantages
- L’utilisation, le téléchargement et la modification sont gratuits.
Contrairement à PGP, qui appartient désormais à Symantec, OpenPGP est entièrement libre d’utilisation.
- Il est pratiquement inviolable et hautement sécurisé
Les clés de chiffrement d’OpenPGP ont généralement une longueur maximale de 4096 (chiffrement asymétrique) et 256 (symétrique) bits. Ces chiffres sont actuellement considérés comme sûrs par divers organismes de normalisation comme le NIST.
- Il améliore la sécurité des clouds
OpenPGP peut être extrêmement utile pour chiffrer les fichiers au repos (sur les serveurs) et ajouter une sécurité supplémentaire sur le cloud en cas de violation du nom d’utilisateur et du mot de passe.
Inconvénients
- Il n’est pas anonyme
OpenPGP est un outil de confidentialité et de sécurité, pas un outil d’anonymat. Rappelez-vous que la confidentialité permet aux autres de ne pas connaître vos actions, tandis que l’anonymat permet de ne pas connaître votre identité. Cela signifie que l’identité de l’expéditeur et du destinataire peut être retracée jusqu’à eux. Et ce, à moins qu’ils n’utilisent un alias d’email, un VPN ou un serveur proxy.
Il peut être intimidant
Bien que l’on s’y habitue au bout d’un moment, PGP peut être assez compliqué à configurer et à utiliser pour les nouveaux utilisateurs. Cela vaut en particulier pour la génération et la gestion des paires de clés. C’est pourquoi beaucoup de gens l’évitent en priant pour que tout se passe bien.
Mailfence a réussi à rendre son utilisation beaucoup plus facile pour tout le monde :
- Générer ou importer une clé privée et publique (liens en anglais).
- Partager une clé publique par email ou consulter cet article de blog pour partager une clé publique en trois étapes faciles.
- Découvrir et importer les clés publiques des destinataires en utilisant les normes les plus récentes.
- Envoyer des emails signés et/ou chiffrés.
L’expéditeur et le destinataire doivent tous deux l’avoir.
OpenPGP ne fonctionnera pas si une seule partie l’a installé. L’expéditeur et le destinataire doivent tous deux disposer d’un programme compatible OpenPGP pour pouvoir l’utiliser efficacement. Là encore, Mailfence a trouvé une solution à ce problème : utiliser uniquement le chiffrement symétrique lorsqu’une des parties ne prend pas en charge OpenPGP.
Ai-je besoin d’OpenPGP ?
La réponse à cette question ne devrait pas être basée sur la complexité de son utilisation ou son coût.
Elle devrait plutôt dépendre de la nécessité de protéger vos données sensibles par email ou vos fichiers. Bien que certains médias prétendent qu’OpenPGP est mort, c’est loin d’être la vérité. De plus en plus de personnes réalisent que l’Internet n’est pas sûr et qu’elles doivent protéger leurs données.
Mailfence utilise le chiffrement OpenPGP pour protéger vos emails sans problème. Chaque compte dispose d’un keystore OpenPGP intégré pour vous donner un contrôle total sur vos clés !
En outre, Mailfence offre une suite d’email privée et sécurisée qui comprend un agenda avec un planificateur de réunion et une gestion de groupes, un service de chat et un outil de stockage et de gestion de documents, le tout sécurisé par un chiffrement de bout en bout, des signatures numériques et la 2FA.