pgp tout savoir

PGP (Pretty Good Privacy) : tout savoir sur le système de chiffrement d’email

PGP (Pretty Good Privacy) est un système de chiffrement open-source, couramment utilisé pour le cryptage d’emails ou de fichiers. Découvrez tout ce que vous devez savoir : présentation, fonctionnement, cas d’usage, meilleurs logiciels…

 » Les murs ont des oreilles « . À l’ère d’internet, ce proverbe est toujours d’actualité. Toutes nos communications, nos publications et même nos documents sont surveillés sur le web.

Les autorités, les gouvernements, les géants de la tech du GAFAM et les cyberespions interceptent chaque jour de nombreux messages. Pour préserver la confidentialité de vos échanges écrits, il est donc nécessaire d’utiliser un système de chiffrement comme PGP.

Qu’est-ce que PGP ?

PGP (Pretty Good Privacy) est un système de chiffrement utilisé pour crypter des données et des fichiers sensibles. On l’utilise également pour envoyer des emails chiffrés.

Inventé en 1991, PGP s’est imposé comme un standard pour la sécurité des emails. Sa popularité est liée à deux principaux avantages.

Tout d’abord, ce système est à l’origine un  » freeware  » (logiciel gratuit). Cette gratuité lui a permis de se propager très rapidement parmi les internautes qui désiraient profiter d’un niveau de sécurité supplémentaire pour leurs échanges d’emails.

En outre, PGP utilise à la fois le chiffrement symétrique et le chiffrement par clé publique. Ceci permet à des utilisateurs de s’envoyer des messages chiffrés, sans même avoir besoin d’échanger des clés de chiffrement privées au préalable. Ainsi, le PGP permet de renforcer facilement et à moindre coût la sécurité des emails.

PGP : comment ça fonctionne ?

Il existe de nombreux systèmes de chiffrement. En guise d’exemples, on peut citer SSL pour le chiffrement de sites web, ou Kerberos pour l’authentification des utilisateurs d’un réseau.

Le PGP partage plusieurs caractéristiques avec ces systèmes. Il repose sur une combinaison entre les clés de chiffrement symétriques, et les clés de chiffrement publiques.

Tout d’abord, PGP génère une clé de session aléatoire en utilisant un premier algorithme. Cette clé est un très long nombre qui ne peut pas être deviné, et ne peut être utilisé qu’une seule fois.

La clé de session est ensuite chiffrée. Ce chiffrement est effectué en utilisant la clé publique du destinataire. Chaque clé publique est associée à une personne en particulier, mais n’importe qui peut l’utiliser pour lui envoyer un message.

L’expéditeur envoie sa clé de session PGP chiffrée au destinataire, et celui-ci est ensuite en mesure de la déchiffrer en utilisant sa clé privée. En utilisant la clé de session, le destinataire peut finalement déchiffrer le message.

Le chiffrement symétrique est plus rapide que le chiffrement par clé publique, mais requiert le partage d’une clé de chiffrement en texte clair avec le destinataire. Ce fonctionnement ne serait pas sécurisé.

C’est la raison pour laquelle on utilise une clé de chiffrement publique pour chiffrer la clé de session. Ainsi, PGP combine l’efficacité du chiffrement symétrique et la sécurité du chiffrement par clé publique.

Quelques exemples de chiffrement PGP

Le fonctionnement de PGP peut sembler complexe, mais son utilisation est en réalité plutôt simple. Pour l’illustrer, prenons pour exemple le service d’email ProtonMail.

Ce service est nativement compatible avec PGP. Il suffit de sélectionner l’option  » Sign Mail  » pour chiffrer un message avec PGP automatiquement.

Comme la plupart des services mail compatibles PGP, ProtonMail supprime toute la complexité d’utilisation de ce système. Toutefois, pour communiquer avec des internautes n’utilisant pas ce service, il sera nécessaire de leur envoyer votre clé publique au préalable.

À quoi sert PGP ?

On distingue trois principaux cas d’usage pour PGP. Le système sert principalement au chiffrement d’emails, mais aussi à la vérification d’identité de l’expéditeur d’un message, et au chiffrement de fichiers stockés en local ou sur le Cloud.

Le chiffrement d’email

Le chiffrement d’emails est le principal cas d’usage de PGP. À l’origine, il était utilisé avant tout par des personnes dont les communications pouvaient être sensibles : activistes, journalistes, politiciens…

D’ailleurs, ce système fut initialement conçu par un activiste politique dénommé Paul Zimmerman. Néanmoins, au fil des dernières années, la popularité de PGP s’est beaucoup développée.

De nombreux internautes ont pris conscience que les gouvernements et les grandes entreprises collectent des quantités massives d’informations à leur sujet. Désormais, tout un chacun utilise le standard PGP pour préserver la confidentialité de ses données.

La vérification de signatures numériques

Outre ce cas d’usage principal, PGP est aussi utilisé pour la vérification d’identité de l’expéditeur d’un email. Par exemple, si un journaliste n’est pas sûr que la personne qui lui envoie un mail est réellement celle qu’elle prétend, il peut utiliser le protocole conjointement avec une signature numérique.

Une signature numérique repose sur l’utilisation d’un algorithme pour combiner la clé de l’expéditeur avec les données qu’il envoie. Cette combinaison génère une  » fonction hash  » : un autre algorithme permettant de convertir un message en un bloc de données à taille fixe. Ce bloc est ensuite chiffré à l’aide de la clé privée de l’expéditeur.

Le destinataire du message peut ensuite déchiffrer les données en utilisant la clé publique de l’expéditeur. Si un seul caractère du message a été changé pendant le transfert, le destinataire le saura. Ceci peut signifier que l’expéditeur n’est pas celui qu’il prétend ou qu’il a tenté de falsifier la signature numérique.

Le chiffrement des fichiers

La troisième utilité de PGP est le chiffrement de fichiers. Compte tenu de la robustesse de l’algorithme RSA sur lequel il repose, le système offre un moyen hautement sécurisé de chiffrer les fichiers au repos. Ceci s’avère très utile, a fortiori en combinaison avec une solution de détection et de réaction à une menace.

En 2010, Symantec a acquis la PGP Corp qui détenait les droits pour le système PGP. Depuis lors, la firme est devenue le principal vendeur de logiciels PGP de chiffrement de fichiers. Ses produits comme Symantec Encryption Desktop ou Symantec Encryption Desktop Storage permettent de chiffrer et de déchiffrer très facilement les fichiers.

Avantages et inconvénients de PGP

Le principal avantage de PGP est qu’il est impossible de contourner son chiffrement. C’est ce qui explique son adoption massive, y compris à l’ère du Cloud.

Néanmoins, ce système présente aussi des inconvénients. Tout d’abord, son utilisation n’est pas forcément intuitive. Elle requiert un peu de temps et d’efforts, et un usage incorrect peut même induire des risques de sécurité.

Les entreprises souhaitant utiliser PGP doivent donc former leurs employés. Fort heureusement, des solutions tierces voient le jour pour simplifier son utilisation.

Il existe néanmoins des solutions alternatives plus faciles à utiliser. On peut par exemple citer l’application de messagerie Signal, proposant un chiffrement automatique des communications.

Une autre limite de PGP à souligner est qu’il n’offre pas d’anonymat. Même si le contenu des messages est chiffré, il reste possible de remonter jusqu’à l’identité de l’expéditeur ou du destinataire. Le système ne remplace donc pas un VPN ou un navigateur web comme Tor.

Comment utiliser PGP ?

La méthode la plus courante pour utiliser PGP consiste à télécharger une extension pour le service email que vous utilisez et à suivre les instructions d’installation. Il existe de tels add-ons pour Thunderbird, Outlook ou encore Apple Mail.

En outre, plusieurs services d’emails incluent PGP par défaut. C’est notamment le cas de ProtonMail.

Pour le chiffrement de fichiers en PGP, il existe également de nombreuses solutions logicielles. Ces outils permettent d’automatiser le processus de chiffrement et de déchiffrement.

On peut par exemple citer les produits de Symantec. Ainsi, File Share Encryption permet le chiffrement de fichiers partagés sur un réseau tandis que Endpoint Encryption permet le chiffrement complet d’un disque pour PC ou mobile.

Comment choisir un logiciel PGP ?

Pour choisir le logiciel PGP qui vous convient, vous devez prendre en compte plusieurs critères. La priorité est la sécurité, puisque l’objectif est de sécuriser vos communications et vos fichiers.

Or, si PGP en lui-même est quasiment infaillible, certaines implémentations peuvent être compromises par des vulnérabilités. Prenez soin de vous renseigner au préalable, afin de savoir si de telles failles de sécurité ont été relevées par le passé.

Sélectionnez aussi un fournisseur de logiciel proposant un support dédié. Il peut s’agir d’un service client traditionnel, ou d’une communauté d’utilisateurs. Ainsi, vous pourrez profiter d’une aide en cas de difficulté à utiliser le système.

Top des meilleurs logiciels PGP

Il existe de nombreux logiciels dédiés au chiffrement PGP des emails. Cependant, tous ne se valent pas. Voici un tour d’horizon des meilleures solutions existantes.

Gpg4o pour Outlook

Pour les utilisateurs de Windows, Gpg4o est l’une des solutions PGP les plus populaires. Elle s’intègre très facilement avec le service mail Outlook de Microsoft dans ses versions 2010 à 2016.

Il permet de chiffrer aisément les emails avec une interface intuitive. Toutefois, bien que ce logiciel soit conçu autour du standard open-source OpenPGP, l’extension en elle-même est propriétaire et coûte 56,36€. Pour ce prix, vous profitez néanmoins d’un support dédié.

GPGTools pour Apple Mail

Si vous utilisez Apple macOS, la suite logicielle GPGTools permet de profiter de chiffrement pour les différents services de votre Mac. Cette solution s’intègre notamment avec Apple Mail, mais permet aussi d’utiliser PGP pour toutes les applications.

On retrouve un gestionnaire de clé, et un outil permettant d’utiliser une ligne de commande pour la plupart des tâches de gestion. Précisons toutefois que le chiffrement peut atténuer les performances d’Apple Mail.

Enigmail pour Thunderbird

Les utilisateurs du service mail Thundermail peuvent se tourner vers Enigmail. Ce logiciel est spécifiquement conçu pour le chiffrement PGP des messages envoyés via cette plateforme.

L’avantage de Thundermail et Enigmail est que tous les OS sont compatibles. Par ailleurs, Enigmail est une extension open-source et gratuite. Elle est régulièrement mise à jour, et les risques de sécurité sont détectés très rapidement.

En revanche, vous ne pourrez profiter d’un support dédié sur ce logiciel open source. Vous pourrez toutefois compter sur l’aide d’une large communauté d’utilisateurs.

FairEmail pour Android

Avec FairEmail, vous pouvez profiter du chiffrement PGP sur les smartphones et tablettes Android. Cette application délivre un service email exploitant le système de chiffrement de façon native.

Il s’agit de la solution la plus simple pour utiliser PGP sur mobile. Il suffit de choisir l’option de chiffrement pour les emails de votre choix.

ProtonMail

ProtonMail est un service mail utilisant directement le chiffrement PGP par défaut pour les communications entre utilisateurs. Il permet donc de profiter très facilement de ce système.

Il existe d’autres services similaires, comme Hushmail et Mailfence. Toutefois, PGP est implémenté par le biais du JavaScript. Certains estiment donc que le niveau de sécurité laisse à désirer…

Pin It on Pinterest