PGP-GPG : mettez vos courriers dans des enveloppes (2ème partie)

GPG est la solution de référence pour mettre son courrier électronique dans des enveloppes fermées. Dans la première partie de cette série d'articles, je vous ai expliqué les raisons de ce choix et quelques bases théoriques pour en comprendre le fonctionnement.

Aujourd'hui, je vous propose de télécharger ce logiciel sur votre ordinateur et d'en comprendre le jargon.

Récupérer les sources

Le site de GPG est là. C'est parfait pour ceux qui compilent eux-même leurs logiciels, et pour ceux qui surveillent de très près les mises à jour. Mais, si comme moi, vous faites partie de ceux qui préfèrent qu'un installateur se charge de tout, et de préférence qu'il soit adapté au Mac, je vous conseille vivement d'aller sur le site de Mac GPG, ici.

C'est un peu déconcertant au premier regard. Il y a 9 ensembles de fichiers proposés en téléchargement. Plus les versions antérieures, les archives et les sources. Voici une copie d'écran que j'ai faite, il n'y a pas longtemps :

En fait, vous aurez besoin de :

1. GnuPG for OS X (c'est le moteur)

   Vous pourriez vous arrêter là, mais pour bénéficier systématiquement d'une interface graphique,vous devez aussi télécharger :

2. GPG Keychain Access (pour gérer les clés)
3. GPGPreferences (pour gérer les préférences)

   Enfin, pour utiliser GPG afin de crypter des fichiers dans votre ordinateur (autre-ment dit, en rendre l'accès impossible sans un mot de passe), il vous faudra :

4. GPGFileTool (outil fichier, pour ceux que l'anglais rebute vraiment)

Suivant les cas, ce sont des fichiers image disque ou des archives "zippées". Je suis sûr que vous saurez vous débrouiller…

À moins d'être profondément paranoïaque, vous pouvez faire l'impasse sur la vérification des MD5.

• D'abord, parce que vous téléchargez directement sur des miroirs de SourceForge. Il faudrait donc que le miroir que vous utilisez soit compromis. Or, le scandale aurait déjà été découvert (ou le serait très vite), et ça aurait fait du bruit…
• Deuxième raison : bien que d'un point de vue théorique, ce soit une bonne chose, c'est une opération qui nous entraînerait trop loin hors du propos de ce guide.
• Dernière raison, pas la moindre : si vous êtes méfiant à ce point là, vous ne devez pas me faire confiance, surtout pas quand je vous explique comment vérifier la validité d'une source…

Avant de quitter le site de Mac PGP, je vous suggère de vous inscrire à leur liste de diffusion d'annonces. Elle est ici. Vous serez tenu au courant des nouveautés et des mises à jour. C'est une liste très peu bavarde (quelques messages par an au maximum).

Un dernier p'tit tour (en Suisse) avant de finir

Il vous manque encore quelque chose : l'adaptateur pour Mail. Il est disponible en téléchargement ici. Avec les sources, comme il est toujours de règle dans la bonne cryptographie. Au passage, remercions Stéphane Corthésy qui maintient, depuis des années, cet adaptateur.

Attention à bien prendre la version adaptée à votre félin, ce ne sont pas les mêmes pour le Jaguar et le Tigre… Et désolé si je vous laisse chercher dans la page, qui est bien longue, mais pour peu qu'il y ait une mise à jour, le lien que j'aurais fait ne serait plus valable.

Petit rappel : si vous voulez utiliser GPG avec un autre logiciel de courrier électronique que Mail, vous aurez également besoin d'un adaptateur.

• Pour Eudora, c'est ici.
• Pour Entourage, c'est là.
• Et pour Mailsmith, c'est là-bas.

Si vous n'avez pas de chance et que votre logiciel préféré ne figure pas dans cette liste, vous n'avez plus qu'à faire une recherche sur Google, et prier le bon Dieu… Si Dieu ne répond pas, il vous reste la possibilité de réclamer au développeur qu'il insère cette fonctionnalité dans la prochaine version de votre logiciel. En dernier recours, enfin, vous pouvez crypter vos messages en passant par le terminal et de les copier/coller dans votre logiciel de courrier (exotique). Mais là, franchement, c'est tellement galère que vous laisserez vite tomber…

N'allez pas trop vite !

Je sais, je sais. Vous voudriez cliquer sur le bouton "installer" et oublier tout le reste. Pas de bol, c'est pas comme ça que ça marche. Vous devez d'abord comprendre le jargon. Est-ce que vous prendriez le volant d'une voiture sans savoir passer les vitesses ?

GPG fait appel à de clés. Il y en a deux. Il y a une première clé, dite clé publique, qui sert à crypter (à fabriquer l'enveloppe). À fermer le message, si vous préférez. Cette clé, vous pouvez la distribuer comme vous voulez. La mettre sur votre site ouèbe. La publier dans un annuaire (il en existe des spécialisés dans cet usage, on le verra plus tard).Vous ne courrez strictement aucun risque à diffuser votre clé publique.

En face de cette clé publique, il y a votre clé privée. Celle qui permet de déchiffrer les messages. Celle là, vous vous en seriez douté, il ne faut pas la diffuser. Jamais. C'est avec elle que vous allez déverrouiller les messages que vous recevez. Cette clé est conservée dans votre ordinateur (pour ceux qui parlent Unix, elle est dans le fichier ~/.gnupg/secring.gpg). Et pour un maximum de sécurité, elle est protégée par un mot de passe, ce qui évite qu'elle soit utilisée en cas de vol de l'ordinateur. Maintenant, si votre mot de passe est toto…

À quoi ça ressemble, une clé publique et une clé privée ? À ça :

Mais non, je blague ! Ce sont des bits (donc c'est vachement difficile à représenter, à moins de donner dans un humour pré-ado qui n'a pas sa place sur Cuk). La clé publique peut également être diffusé sous forme d'une suite de chiffres et de lettres. Voici, par exemple, ma clé publique :

-----BEGIN PGP PUBLIC KEY BLOCK----- Version: GnuPG v1.4.1 (Darwin) mQGiBEKc3NgRBACM3Gp8UIE1R4vfJMBKR0JYfjKGJaB3r/ZYu0iyyLYvBKtSzTr9 ZFgKhissSPiUFLwF8QsWJ6RXtffD4puuzzf05S8zifgWnZCljQ6e5is6e5pPnmg9 0CjQ2AC0KPXNJkvVj+em/WvUrN1BdRGCcKrKW/0a8HGE0Jguh5Dkusqv3wCgyjTW U84TB3GS0DyL+QeaquzNd6cEAIW49dnKuqdpyv67Mjn9AKU5vG89nB+b9YfN7J9c 6sO2uhBcmTCNnHrlHeyo1NdMc08JptSHRijDMn9bLFQH6k40f6XcsYRUgjk9jrrs O3G6fCJMKyGa6zCsYdkSveDX3a/eQdEudjZxzx9cWpGGreyvQtkrDcDCvb0UrkLk HNKtA/9IB6th7A0JFU6S5RNWWDgVsO0oZpveaGpa+0YzZFw2ShmTY3FUSETHvPP1 Leg6e5JkQrYc0jChKo9pIUtQR9RXb3suzFugxwxuuGRaWSa/hLFknXFQPeQTQhym M7uDw675o27WJ5ZiqrhHv8kmWyzBg7W20DFqWHCugjAHlxAAqrQmT2xpdmllciBQ ZWxsZXJpbiA8b2xpdmllckBwZWxsZXJpbi5mcj6IYQQTEQIAIQIbAwYLCQgHAwID FQIDAxYCAQIeAQIXgAUCQpznbAIZAQAKCRBmZt0FLQr0AUXoAJ9W4mxuLl3xNlzJ Nq8QBwbibeg6IQCfV7tqjhXL4oN8eemlBVYQn/1zAyG0Ik9saXZpZXIgUGVsbGVy aW4gPGN1a0BwZWxsZXJpbi5mcj6IXgQTEQIAHgUCQrrGTwIbAwYLCQgHAwIDFQID AxYCAQIeAQIXgAAKCRBmZt0FLQr0ATz3AJ9Fqq+XHcJz+P8Vlg2sBy8aX68EvwCa AusX6FxcKdhW9WPGV38XNiPO0SG0K09saXZpZXIgUGVsbGVyaW4gPGxlY3RldXJz LmN1a0BwZWxsZXJpbi5mcj6IXgQTEQIAHgUCQrrGfgIbAwYLCQgHAwIDFQIDAxYC AQIeAQIXgAAKCRBmZt0FLQr0AQHeAKDIC9ZQoUk297BSjRunYcHY+/vBqwCfRT9c TLELahDwkAgKZwAPOfFeegC5Ag0EQpzdGxAIAM57477YKkfPXD20wGIYSVHPeref KGX7h9cGRadqU4bMRjJPEUbAMKpf2pmlTCbt/HhsMen2I8PuXChScy5BPEL19LyT ghY79HzpdA8MncCHyWfz61f+MYc2+506PoNygvoeKH48J7ycf06plQgEX6GBOk8Z L5RHzi3HUtXx3ABmjPOYhUTVMtBkQIs9TSW14kfokPZew1aRazExtaCg0hOv6Prq oUg/tE5NVdeP9FErpJYrHbyVOH1h1FnfCP18ynCCql4b0NRwIJ6b4POtBwMBP++C HjbYFGXdYz++mr620wqC3XGQMJq/dvIJYsruUejFZWPV99vzjQmeitDKTOsAAwUI AJ+MeNOFIfev1rjNPWPg36CnMzJn4WDf4a8ZYhQem7kNYwHVB2fvIdQPQ0CeKC3I RQWDe/DBnB6dd0ICYYdSiugLEinG8LTH4/51ZfHCDUdLOpDPQdurBIhpwle8gbUQ J2E99TF/IKS/3aZcGWIXv4aEhFF3GB3E3tWfJybCe2yjIEq1i2+3BUSSS6JHOD48 sWA+uaLool47224XOz5QfK5oD/b5nS/rbBAflU+Zw9SfASCKCYTwv2mNnp28Lrni 3HeSDsGoFxTh5NN6Be/Ure1XHwVRDE9/F89gUA5UAeNJFB0FZ8P3Ib/Py8mb66zU JUyUYOlneLcp5hNXBNXidLCISQQYEQIACQUCQpzdGwIbDAAKCRBmZt0FLQr0Ab79 AKCAfXc1DPlh9j1/VOecZLq6L7XXrACdHRJtimGhpvRgRFofBpKm8bXxhOg= =vvdQ -----END PGP PUBLIC KEY BLOCK-----

Qui a demandé à quoi ressemble ma clé privée ? Non mais, est-ce que je vous demande votre code de carte bancaire, moi ? Quoi, vous insistez ? Bon, d'accord :

11001001110101…

Comment ça marche ?

Quand quelqu'un vous envoie un message, il va chercher votre clé publique, celle que vous avez diffusé partout. Il indique à GPG, qu'il a installé dans son ordinateur, que vous êtes le destinataire. GPG effectue alors une suite complexe de calculs basés sur votre clé publique et fabrique un texte crypté, c'est à dire illisible. Mais alors, vraiment illisible… C'est ce texte codé qui est envoyé par courrier électronique.

Quand vous recevez ce message, votre version de GPG appelle votre clé privée (la clé ultra-secrète qui ne doit jamais être révélée). Avec cette clé, il peut décoder le texte illisible. Mais sans cette clé, il ne peut rien faire…

La bonne affaire, me direz-vous. Ce qu'un ordinateur a fait, un autre peut le défaire. Même en transformant un texte en chiffres (A=1, B=2, etc.), en multipliant ce chiffre par 3 356 548 358 156 568 157 (ou tout autre nombre), et en faisant un modulo 525 668 123 589 583, la puissance de calcul des machines est telle qu'on peut faire l'opération inverse. Il suffit de chercher assez longtemps, avec une machine assez puissante.

Bravo, vous avez tout à fait raison. À un tout petit détail près : il vous faudra 12 684 411 568 années de calculs. Allez, j'avoue, ces chiffres sont pifométriques… En revanche, l'ordre de grandeur est vrai ! Votre courriel est dans une enveloppe qui restera fermée un bon petit moment.

Vous bénéficiez donc d'un niveau de sécurité considérable. Dans les faits, il sera bien plus facile d'envoyer une équipe du GIGN chez vous pour y aller "en force". Ou de demander à des Services Spéciaux de poser un sniffer sur votre clavier. Ou tout simplement, de vous obliger, par voie du justice, à donner votre clé privée. Mais rien de tout cela n'est accessible, ni aux petits barbouzes du dimanche, ni aux FAI indiscrets…

À suivre

Dans le prochain article, nous verrons comment installer et configurer GPG. Parce que vous, je ne sais pas, mais moi, j'ai la grosse tête.