Qu’est-ce que le WKD ?
Le Web Key Directory (WKD) est un protocole qui simplifie la récupération des clés de chiffrement publiques OpenPGP liées aux adresses électroniques.
Grâce à WKD, les utilisateurs de Mailfence peuvent accéder facilement aux clés publiques OpenPGP pour chiffrer les courriels, garantissant ainsi que seul le destinataire prévu peut décoder et lire le message.
Ce système améliore la sécurité des communications par courrier électronique en rationalisant le processus de chiffrement.
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Mailfence - Obtenez votre email gratuit et sécurisé.
4.1 sur base de 177 avis utilisateurs
Petit rappel sur le chiffrement à clé publique
Pour comprendre l’importance du WKD, rappelons brièvement les principes fondamentaux du chiffrement à clé publique.
Le chiffrement à clé publique (également appelée chiffrement asymétrique) repose sur des paires de clés apparentées :
- une clé publique : cette clé est partagée ouvertement pour le chiffrement des messages ou la vérification des signatures ;
- une clé privée : cette clé reste confidentielle et est utilisée pour le déchiffrement ou la création de signatures.
Chaque utilisateur souhaitant utiliser le chiffrement de bout en bout pour sécuriser ses communications devra créer une telle paire de clés. Ces clés sont mathématiquement liées, mais une clé privée ne peut être déduite de la clé publique correspondante, ce qui en garantit la sécurité.
Si l’expéditeur et le destinataire disposent tous deux de leur paire de clés, l’expéditeur peut chiffrer un message à l’aide de la clé publique du destinataire. De son côté, le destinataire déchiffre le message à l’aide de sa propre clé privée.
Cela pose toutefois un problème : comment connaître la clé publique d’un destinataire ? Surtout si vous n’avez jamais communiqué avec lui auparavant ?
Si vous êtes un lanceur d’alerte et que vous vous adressez à un organe de presse, il se peut que celui-ci ait publié ses clés publiques sur son site web. C’est le cas du Guardian, par exemple, qui publie les clés publiques de tous ses rédacteurs sur son site web. De même, nous publions notre clé publique ici si vous souhaitez nous contacter en toute sécurité.
Cependant, si ce n’est pas le cas, comment découvrir la clé publique OpenPGP de quelqu’un ? C’est là qu’intervient WKD.
Fonctionnement de WKD
WKD fonctionne de manière à simplifier la découverte des clés publiques OpenPGP.
La première étape consiste, pour un domaine de messagerie, à publier les clés publiques OpenPGP de ses utilisateurs dans un répertoire spécifique de ses serveurs web.
Ce processus suit un protocole standard:
- les clés sont généralement stockées dans le répertoire
.well-known/openpgpkey/. - vous pouvez accéder à la clé de chaque utilisateur via une URL unique.
Lorsqu’un client de messagerie a besoin d’une clé publique OpenPGP, il interroge l’annuaire WKD du domaine du destinataire. Le client construit la requête sur la base de l’adresse électronique.
La clé publique est ensuite récupérée via une connexion HTTPS, ce qui réduit le risque de falsification pendant le transfert.
La clé OpenPGP récupérée est utilisée pour chiffrer le courrier électronique. Le destinataire du courriel le déchiffre ensuite à l’aide de sa clé privée. Si WKD ne trouve pas de clé, il existe d’autres méthodes comme les serveurs de clés traditionnels ou le partage manuel.
Si vous souhaitez en savoir plus, consultez ce guide sur les meilleures pratiques OpenPGP, qui explique comment découvrir les clés publiques.
Un exemple rapide
Prenons un exemple rapide. Alice souhaite envoyer un courrier électronique chiffré à Bob, un utilisateur de Mailfence, à l’adresse bob@mailfence.com.
Tout d’abord, le client de messagerie d’Alice interroge mailfence.com pour obtenir la clé publique de Bob à l’aide de WKD. S’il la trouve, le client télécharge en toute sécurité la clé publique de Bob.
Alice peut alors chiffrer le courriel avec la clé OpenPGP de Bob et l’envoyer. Bob déchiffrera l’e-mail de son côté avec sa clé privée OpenPGP, garantissant ainsi une communication sécurisée et chiffrée de bout en bout.
Pourquoi le WKD est-il utile ?
Pour résumer, voici quelques-uns des principaux avantages du WKD :
- Récupération simplifiée des clés. Avant le WKD, il fallait échanger les clés publiques manuellement, ce qui pouvait impliquer des pièces jointes à des courriels, des clés USB ou des serveurs de clés tiers. Ces méthodes étaient peu pratiques et sujettes à des erreurs en matière de confidentialité et de sécurité des données. WKD automatise ce processus en permettant aux clients de messagerie de récupérer les clés directement à partir du domaine de messagerie du destinataire, sans intervention manuelle.
- Sécurité renforcée. La récupération des clés publiques via WKD s’appuie sur des connexions HTTPS chiffrées, ce qui réduit la probabilité d’interception ou de falsification pendant la transmission. Cette approche directe minimise les risques tels que les attaques de type « man-in-the-middle ».
- Favorise l’adoption du chiffrement. La complexité des méthodes de cryptage traditionnelles a découragé de nombreux utilisateurs. En simplifiant la découverte des clés, le WKD encourage une utilisation plus répandue du courrier électronique chiffré, ce qui en fait une option pratique pour la communication quotidienne.
- Maintient les clés à jour. WKD récupère les clés publiques en temps réel à partir du domaine de messagerie du destinataire, ce qui augmente la probabilité d’utiliser la clé la plus récente et la plus valide. Cela réduit les risques d’utiliser des clés périmées ou compromises.
Comment nous utilisons WKD chez Mailfence
Depuis 2021, Mailfence prend en charge WKD.
Cela signifie que lorsque vous générez une paire de clés OpenPGP ou que vous l’importez dans la base de données de clés de votre compte Mailfence, la clé publique correspondante (y compris l’adresse électronique et le nom) sera accessible au public sur notre serveur Web Key Directory.
Il existe cependant les conditions suivantes :
- l’adresse électronique associée est basée sur le nom de domaine « mailfence.com » ;
- l’adresse électronique de l’utilisateur est associée à la clé ID utilisateur. Elle est représentée par une icône de clé à côté de l’adresse « From » dans le compositeur de messages ;
- la clé est associée à l’adresse principale ou alias du compte Mailfence.
Les utilisateurs peuvent également télécharger des clés publiques OpenPGP à partir de domaines externes (ou de services) qui prennent en charge WKD dans le répertoire de clés de leur compte Mailfence. Les propriétaires de domaines personnalisés devront le configurer pour les domaines qu’ils possèdent ou peuvent utiliser WKD en tant que service.
Conclusion
Le protocole Web Key Directory (WKD) est une étape importante pour rendre plus accessible le chiffrement de bout en bout basé sur OpenPGP.
En automatisant la découverte des clés et en réduisant la dépendance à l’égard des systèmes tiers, WKD simplifie le cryptage, permettant ainsi à un plus grand nombre d’utilisateurs de communiquer en toute sécurité. Chez Mailfence, nous nous engageons à soutenir des innovations telles que WKD afin de garantir à nos utilisateurs des interactions en ligne sûres et privées.
