Envoyer des informations sensibles de manière sécurisée par e-mail (et par d’autres voies en ligne) donne parfois l’impression d’être un agent de la CIA en mission clandestine. Et si une personne malintentionnée interceptait mon e-mail et l’utilisait à des fins illicites ? Informations bancaires, dossiers d’entreprise, ou même la fameuse recette secrète de votre grand-mère qui fait le bonheur de votre famille depuis des générations : Toutes ces informations pourraient se retrouver entre de mauvaises mains. Et s’il existait un moyen d’éviter ce risque ? Pretty Good Privacy est la solution. Créé en 1991 par Phil Zimmermann et diffusé en tant que norme ouverte sous le nom d’OpenPGP en 1997, ce programme de chiffrement éprouvé peut être utilisé pour chiffrer des textes, des fichiers, des e-mails ou même des disques entiers.
Il constitue un véritable garde du corps numérique.
En quoi consiste PGP exactement ? Intéressons-nous de plus près à ce programme.
Pretty Good Privacy, ou PGP, est sans doute le package logiciel de protection de fichiers et d’e-mails le plus utilisé au monde. Ce logiciel de chiffrement protège les e-mails privés contre les pirates et autres utilisateurs. Seul le destinataire prévu est en mesure d’ouvrir le message et/ou de consulter son contenu.
PGP fonctionne en utilisant deux clés ou formules mathématiques cryptographiques standard. La première clé, ou « clé publique », convertit le message ou fichier brut en une forme de code incompréhensible et indéchiffrable, même par les meilleurs informaticiens de la Sillicon Valley. Le destinataire qui utilise la deuxième clé peut ensuite saisir un code de déchiffrage pour redonner au message sa forme originale. Cette deuxième clé est appelée « clé privée ».
Comment fonctionne Pretty Good Privacy ?
Maintenant que vous connaissez mieux Pretty Good Privacy, examinons son fonctionnement. PGP utilise un système de clés, dans lequel chaque utilisateur possède une clé privée qu’il est le seul à connaître. Il associe les technologies de clés symétrique et asymétrique (la cryptographie à clé publique et la cryptographie à clé privée) pour chiffrer les données lorsqu’elles se déplacent entre les réseaux. Ce système peut sembler complexe, alors si vous n’avez pas encore tout à fait compris, ne désespérez pas. Prenons un exemple concret.
Imaginons que vous travaillez pour une ONG de premier plan dans le secteur de la santé et que vous venez de découvrir une fraude colossale, s’élevant à plusieurs millions d’euros. À votre plus grand désarroi, vous apprenez que c’est la direction de l’ONG, assistée d’un cabinet d’audit, qui a mis au point ce stratagème et a ainsi détourné de l’argent pendant presque 10 ans. Cela met non seulement en péril la crédibilité de l’organisation, mais pourrait également compromettre les services qu’elle est censée apporter à une communauté démunie.
Votre conscience vous empêche d’ignorer cette grande injustice. Vous souhaitez porter cette information à l’attention d’Élise X, une journaliste d’investigation de renom (fictive) de votre pays, mais vous souhaitez également protéger votre identité et garantir que l’information parvienne à la journaliste, et elle seule.
Ayant entendu parler de Pretty Good Privacy par un ami féru de technologie et légèrement paranoïaque, vous consultez votre moteur de recherche habituel pour vous procurer ce programme. Vous compilez ensuite toutes vos découvertes et faites part à Élise du scandale en lui envoyant, à l’aide de Pretty Good Privacy, un e-mail chiffré et sécurisé : « Bonjour Élise, je viens de découvrir une potentielle fraude impliquant XYZ et souhaitais porter ce sujet à votre attention. Faites-moi savoir si vous êtes disponible prochainement pour en discuter en personne. »
Pretty Good Privacy génère une clé de session unique après la compression du fichier. Grâce à la cryptographie à clé symétrique, cette clé chiffre le texte en clair (plaintext) pour le convertir en texte de chiffrement (ciphertext). Vous pouvez vous détendre (un peu) en sachant que vos communications avec la journaliste d’investigation sont désormais en sécurité et qu’il y a très peu de chances qu’elles soient exposées. Élise X (qui ne manquera pas de mener une enquête approfondie) reçoit ensuite le texte de chiffrement, la clé de session chiffrée et la signature numérique. Le message qui arrive dans la boîte de réception de la journaliste peut ressembler à ceci :
y/masPq7TSrGUAeTY7Kcbjt5jKR/k37yVca0ZgRVn3ADSV0x3lznpJKx5siH91Hh3z2OrQObmp2Nco2U0+58
DPX2Seic5o+YaW+J8fsjNInEsqcncbbJ54OWb6wIGUf/PPXHdgH/Haisfv6vxt0gL1gDlt0X5aBftQLz6SgTaTe9
phV9M72hStbFCrMiXry8/EOwiuTuUpYrI6B1Cz1u0vWWZXsCYi2K+kasSusr+2Uj61NC9qjDHMblxCG+RsXC
Comment Élise lit-elle votre message ? Elle le déchiffre à l’aide de sa clé privée. Cette opération rétablit le format d’origine du code, c’est-à-dire le langage courant. Le meilleur dans tout ça ? Il est très peu probable que quiconque découvre que vous êtes le lanceur d’alerte. Seuls vous et Élise X, et éventuellement le chat qui était sur vos genoux lorsque vous avez écrit le message, connaissez la vérité.
Comment installer Pretty Good Privacy ?
Alors, vous avez décidé d’envoyer des messages chiffrés ? Voici comment procéder :
1) Choisissez votre fournisseur PGP. Vous pouvez en choisir plusieurs en fonction de votre système d’exploitation. Les plus populaires sont les suivants :
- GPG4Win (Windows)
- GPGTools (macOS)
- Engmail (Linux Ubuntu)
- OpenKeyChain (Android)
- iPGMail (appareils mobiles iOS)
Il vous suffit de trouver et de télécharger une version à jour, en vous assurant de le faire directement sur le site de l’éditeur ou d’une alternative de confiance, et de suivre les instructions d’installation. Jusqu’ici, vous procédez comme avec tout autre logiciel. Toutefois, l’utilisation de votre PGP devient ensuite légèrement plus complexe.
2) Générez une clé PGP. Ne soyez pas effrayé par la longue liste d’instructions, vous n’avez pas besoin d’être un professionnel de l’informatique pour y parvenir. Voici un exemple tiré de GPGTools pour Mac :
- Lorsque vous démarrez le logiciel, une fenêtre contextuelle indiquant « Create a new key pair » (« Créer une nouvelle paire de clés ») s’affiche.
- Saisissez votre nom, votre adresse e-mail et un mot de passe, puis cliquez sur « Create key » (Créer une clé). Pour créer votre mot de passe, vous pouvez utiliser un gestionnaire de mots de passe, tel qu’Avira Password Manager, qui vous aide à générer, stocker et gérer vos mots de passe de manière sécurisée.
- Un court message vous indiquant que la clé est en train d’être générée s’affiche, puis une nouvelle fenêtre contextuelle vous confirme que votre clé a été créée. (Vous pouvez maintenant charger votre clé publique en cliquant sur « Upload Public Key » (Charger une clé publique) ou ignorer cette étape en sélectionnant « No, Thanks! » (Non merci !). Votre clé et son empreinte sont désormais affichées lorsque vous lancez l’application GPG Keychain.
3) Créez un certificat de révocation PGP à utiliser si vous oubliez ou perdez votre clé privée, ou si un tiers réussit à l’obtenir. Il vous permettra alors de révoquer la clé. Pour créer un certificat de révocation, sélectionnez simplement la clé PGP, cliquez dessus avec le bouton droit de la souris, puis sélectionnez « Create Revocation Certificate » (Créer un certificat de révocation) dans le menu.
Quel niveau de sécurité offre Pretty Good Privacy et en vaut-il la peine ?
Lorsqu’il est utilisé correctement, que ce soit à titre personnel ou professionnel, PGP est considéré comme extrêmement sécurisé. La méthode de chiffrement déploie des algorithmes réputés inviolables : il est donc quasi impossible pour des pirates d’intercepter vos données si vous les protégez avec PGP.
Dans l’ensemble, le chiffrement offert par PGP représente un outil puissant pour la protection de vos données et de votre confidentialité en ligne, voire pour votre propre sécurité, si les informations que vous partagez sont susceptibles de vous attirer des problèmes si elles se retrouvaient entre de mauvaises mains. Toutefois, à une époque où tant de choses sont possibles en un geste à partir d’un téléphone portable, de l’organisation d’un rendez-vous à l’achat d’un frigo, PGP peut sembler complexe et difficile à utiliser. Tout dépend du niveau de confidentialité dont vous avez besoin et des efforts que vous êtes prêt à fournir pour en bénéficier. Pour la plupart d’entre nous, il existe d’autres solutions plus conviviales, économiques ou même gratuites, pour vous aider à protéger votre vie numérique. Avira propose de nombreux produits et services dédiés à la sécurité, la confidentialité en ligne et l’optimisation des performances des appareils. Par exemple, découvrez les fonctions et avantages d’Avira Free Security.