PGP Now

Pretty Good Privacy (PGP) est un système de chiffrement
utilisé à la fois pour l'envoi de courriers électroniques chiffrés
et pour le chiffrage de fichiers sensibles.

Protéger sa communication par email et ses fichiers

Depuis son invention en 1991, PGP est devenu la norme de facto pour la sécurité du courrier électronique.

La popularité de PGP repose sur deux facteurs. Le premier est que le système était à l'origine disponible en tant que logiciel gratuit, et qu'il s'est donc rapidement répandu parmi les utilisateurs qui souhaitaient un niveau de sécurité supplémentaire pour leurs messages électroniques. Le second est que, puisque PGP utilise à la fois un cryptage symétrique et un cryptage à clé publique, il permet à des utilisateurs qui ne se sont jamais rencontrés de s'envoyer des messages cryptés sans avoir à échanger de clés de cryptage privées.

Applications de mails chiffrés

Si vous souhaitez améliorer la sécurité de vos messages électroniques, PGP offre un moyen relativement facile et rentable de le faire.

Comment fonctionne le cryptage PGP ?

PGP partage certaines caractéristiques avec d'autres systèmes de cryptage dont vous avez peut-être entendu parler, comme le cryptage Kerberos (qui est utilisé pour authentifier les utilisateurs du réseau) et le cryptage SSL (qui est utilisé pour sécuriser les sites web).

Au niveau de base, le cryptage PGP utilise une combinaison de deux formes de cryptage : le cryptage à clé symétrique et le cryptage à clé publique.

Les mathématiques qui sous-tendent le cryptage peuvent devenir assez complexes, c'est pourquoi nous nous en tiendrons ici aux concepts de base. Au plus haut niveau, voici comment fonctionne le cryptage PGP :

Tout d'abord, PGP génère une clé de session aléatoire en utilisant l'un des deux algorithmes (principaux). Cette clé est un nombre énorme qui ne peut être deviné, et n'est utilisée qu'une seule fois.


Ensuite, cette clé de session est cryptée. Cela se fait à l'aide de la clé publique du destinataire du message. La clé publique est liée à l'identité d'une personne en particulier, et n'importe qui peut l'utiliser pour lui envoyer un message.

L'expéditeur envoie sa clé de session PGP cryptée au destinataire, qui peut la décrypter à l'aide de sa clé privée. Grâce à cette clé de session, le destinataire est maintenant en mesure de déchiffrer le message proprement dit.

Cette façon de procéder peut sembler étrange. Pourquoi crypter la clé de chiffrement elle-même ?

La réponse est assez simple. La cryptographie à clé publique est beaucoup, beaucoup plus lente que le cryptage symétrique (où l'expéditeur et le destinataire ont la même clé). L'utilisation du chiffrement symétrique exige cependant que l'expéditeur partage la clé de chiffrement avec le destinataire en texte clair, ce qui n'est pas sûr. Ainsi, en cryptant la clé symétrique à l'aide du système de clé publique (asymétrique), PGP combine l'efficacité du cryptage symétrique et la sécurité de la cryptographie à clé publique.

Exemple de chiffrement PGP en action.

En pratique, l'envoi d'un message crypté avec PGP est plus simple que ne le laisse entendre l'explication ci-dessus. Prenons l'exemple de ProtonMail de ProtonVPN qui pour nous fait partie de la solution des Applications de mails chiffrés la plus sécurisée sur le marché.

ProtonMail supporte nativement PGP, et tout ce que vous avez à faire pour crypter votre courrier électronique est de sélectionner Sign Mail. Vous verrez une icône de cadenas sur la ligne d'objet de leurs courriels. Le courriel ressemblera à ceci (les adresses électroniques ont été brouillées pour des raisons de confidentialité) :

comme la plupart des clients de messagerie électronique qui proposent PGP - dissimule toute la complexité du cryptage et du décryptage du message. Si vous communiquez avec des utilisateurs en dehors de ProtonMail, vous devez d'abord leur envoyer votre clé publique. recevoir des fichiers pgp capture d'écran de windows email Ainsi, bien que le message ait été envoyé en toute sécurité, le destinataire n'a pas à se soucier de la complexité de la procédure.

Utilisations du chiffrement PGP

Il y a, essentiellement, trois utilisations principales du PGP :

  • L'envoi et la réception de courriers électroniques cryptés.
  • Vérifier l'identité de la personne qui vous a envoyé ce message.
  • Chiffrer les fichiers stockés sur vos appareils ou dans le nuage.

Parmi ces trois utilisations, la première - l'envoi de courrier électronique sécurisé - est de loin l'application dominante de PGP. Mais examinons brièvement les trois

Cryptage des courriers électroniques

Comme dans l'exemple ci-dessus, la plupart des gens utilisent PGP pour envoyer des courriers électroniques cryptés. Dans les premières années de PGP, il était principalement utilisé par des militants, des journalistes et d'autres personnes qui traitent des informations sensibles. Le système PGP a été conçu à l'origine, en fait, par un activiste politique et pacifiste nommé Paul Zimmerman, qui a récemment rejoint Startpage, l'un des moteurs de recherche privés les plus populaires.

Aujourd'hui, la popularité de PGP s'est considérablement accrue. Comme de plus en plus d'utilisateurs ont réalisé la quantité d'informations que les entreprises et leurs gouvernements collectent sur eux, un grand nombre de personnes utilisent maintenant la norme pour garder leurs informations privées privées.

Vérification de la signature numérique

Une utilisation connexe de PGP est qu'il peut être utilisé pour la vérification du courrier électronique. Si un journaliste n'est pas sûr de l'identité de la personne qui lui envoie un message, par exemple, il peut utiliser une signature numérique en plus de PGP pour le vérifier.

Les signatures numériques fonctionnent en utilisant un algorithme pour combiner la clé de l'expéditeur avec les données qu'il envoie. Cela génère une "fonction de hachage", un autre algorithme qui peut convertir un message en un bloc de données de taille fixe. Ce bloc est ensuite chiffré à l'aide de la clé privée de l'expéditeur.

Le destinataire du message peut ensuite décrypter ces données en utilisant la clé publique de l'expéditeur. Si un seul caractère du message a été modifié au cours du transport, le destinataire le saura. Cela peut indiquer soit que l'expéditeur n'est pas celui qu'il prétend être, soit qu'il a essayé de falsifier une signature numérique, soit que le message a été altéré.

Cryptage des fichiers Une troisième utilisation de PGP est le cryptage des fichiers. Comme l'algorithme utilisé par PGP - normalement l'algorithme RSA - est essentiellement incassable, PGP offre un moyen hautement sécurisé de crypter des fichiers au repos, en particulier lorsqu'il est utilisé avec une solution de détection et de réponse aux menaces. En fait, cet algorithme est si sûr qu'il a même été utilisé dans des logiciels malveillants très connus tels que le logiciel malveillant CryptoLocker.

En 2010, Symantec a racheté PGP Corp. qui détenait les droits sur le système PGP. Depuis lors, Symantec est devenu le principal vendeur de logiciels de cryptage de fichiers PGP grâce à des produits tels que Symantec Encryption Desktop et Symantec Encryption Desktop Storage. Ce logiciel offre un cryptage PGP pour tous vos fichiers, tout en masquant les complexités des processus de cryptage et de décryptage.

Ai-je besoin d'un bon cryptage de la vie privée ?

La nécessité d'utiliser le cryptage PGP dépend du degré de sécurité que vous souhaitez pour vos communications (ou vos fichiers). Comme pour tout logiciel de protection de la vie privée ou de sécurité, l'utilisation de PGP exige un peu plus de travail lors de l'envoi et de la réception de messages, mais peut aussi améliorer considérablement la résistance de vos systèmes aux attaques.

Voyons cela de plus près. Avantages du chiffrement PGP

Le principal avantage du cryptage PGP est qu'il est essentiellement incassable. C'est pourquoi il est toujours utilisé par les journalistes et les militants, et pourquoi il est souvent considéré comme le meilleur moyen d'améliorer la sécurité dans le nuage. En bref, il est pratiquement impossible pour quiconque - qu'il s'agisse d'un hacker ou même de la NSA - de casser le cryptage PGP.

Bien que certains articles de presse aient mis en évidence des failles de sécurité dans certaines implémentations de PGP, comme la vulnérabilité Efail, il est important de reconnaître que PGP lui-même est encore très sûr.

Les inconvénients du cryptage PGP

La plus grande escroquerie du cryptage PGP est qu'il n'est pas très convivial. La situation est en train de changer - grâce à des solutions prêtes à l'emploi auxquelles nous allons bientôt arriver - mais l'utilisation de PGP peut ajouter beaucoup de travail et de temps à votre emploi du temps quotidien. En outre, les utilisateurs du système doivent être conscients de son fonctionnement, au cas où ils introduiraient des failles de sécurité en l'utilisant de manière incorrecte. Cela signifie que les entreprises qui envisagent de passer à PGP devront assurer une formation.

C'est pourquoi de nombreuses entreprises pourraient envisager d'autres solutions. Il existe des applications de messagerie cryptée comme Signal, par exemple, qui offrent un cryptage plus simple à utiliser. En termes de stockage des données, l'anonymisation peut être une bonne alternative au cryptage et peut constituer une utilisation plus efficace des ressources.

Enfin, vous devez savoir que PGP crypte vos messages, mais qu'il ne vous rend pas anonyme. Contrairement aux navigateurs anonymes qui utilisent des serveurs proxy ou travaillent via un VPN pour masquer votre véritable emplacement, les courriers électroniques envoyés via PGP peuvent être retracés jusqu'à un expéditeur et un destinataire. Leurs lignes d'objet ne sont pas non plus cryptées, vous ne devez donc pas y mettre d'informations sensibles.

Comment mettre en place le cryptage PGP ?

Dans la grande majorité des cas, la mise en place du cryptage PGP implique le téléchargement d'un add-on pour votre programme de messagerie, puis le suivi des instructions d'installation. Il existe des modules complémentaires comme celui-ci pour Thunderbird, Outlook et Apple Mail, que nous décrivons ci-dessous. Ces dernières années, nous avons également assisté à l'émergence d'un certain nombre de systèmes de courrier électronique en ligne qui incluent PGP par défaut (le plus célèbre étant ProtonMail).

Pour ceux d'entre vous qui souhaitent utiliser PGP pour crypter leurs fichiers, il existe un certain nombre de solutions logicielles à grande échelle. Symantec, par exemple, propose des produits basés sur PGP tels que Symantec File Share Encryption pour le cryptage des fichiers partagés sur un réseau et Symantec Endpoint Encryption pour le cryptage intégral des disques sur les ordinateurs de bureau, les appareils mobiles et les supports de stockage amovibles.

Logiciel de cryptage PGP

Si vous souhaitez commencer à utiliser le cryptage PGP, il vous faudra normalement télécharger un logiciel qui automatise le processus de cryptage et de décryptage. Il existe un certain nombre de produits différents pour ce faire, mais vous devez savoir ce qu'il faut rechercher.

Comment choisir un logiciel PGP

La principale raison pour laquelle vous utilisez PGP est de garantir la sécurité de vos messages. Lorsque vous recherchez un logiciel PGP, la sécurité doit donc être votre première préoccupation. Bien que PGP soit lui-même incassable, il y a eu des cas où des implémentations spécifiques ont été compromises. À moins que vous ne soyez un codeur expérimenté, il est pratiquement impossible de repérer ces vulnérabilités, et la meilleure solution consiste donc à vérifier toute vulnérabilité signalée dans le logiciel que vous envisagez.

Au-delà de cela, le choix d'un logiciel PGP se résume à vos besoins personnels (ou professionnels). Il est peu probable, par exemple, que vous ayez besoin de crypter tous les courriers électroniques que vous envoyez, et le téléchargement d'un module complémentaire pour votre client de messagerie quotidien pourrait donc être excessif. Envisagez plutôt d'utiliser un service PGP en ligne pour envoyer des courriers électroniques importants.

Enfin, choisissez un fournisseur de logiciels qui fournit également une assistance spécialisée, soit par l'intermédiaire d'une équipe de support client, soit par une communauté d'utilisateurs. Apprendre à utiliser PGP peut souvent s'accompagner de frustrations lorsque vous naviguez pour la première fois dans le système, et vous aurez probablement besoin d'aide à ce stade.

Les différentes solutions PGP

Selon la raison pour laquelle vous utilisez PGP et la fréquence à laquelle vous devez l'utiliser, il existe plusieurs approches différentes pour le mettre en place. Dans cette section, nous nous concentrerons sur ce dont la plupart des utilisateurs auront besoin avec PGP - un courrier électronique sécurisé - plutôt que sur le stockage de fichiers cryptés, qui est une question plus complexe. Voici donc cinq solutions pour mettre en œuvre PGP sur vos réseaux domestiques ou professionnels.

1. Outlook avec gpg4o

Gpg4o est l'une des solutions PGP les plus populaires auprès des utilisateurs de Windows et vise à s'intégrer de manière transparente à Outlook 2010 - 2016.

Les avantages : Gpg4o offre une manipulation simple pour les courriels, et s'intègre bien avec Outlook. Pour la plupart des utilisateurs de Windows, il offre le complément PGP le plus simple et le plus convivial qui existe.

Contre : Bien que Gpg4o soit construit autour du standard OpenPGP, qui est open-source et disponible pour un examen approfondi, l'add-on lui-même est propriétaire. De plus, une licence commerciale pour l'extension est relativement chère (56,36 €), mais pour ce prix, vous bénéficiez également d'une assistance dédiée.

2. Apple Mail avec GPGTools

L'implémentation standard du cryptage PGP pour les utilisateurs de Mac est GPGTools, qui est une suite de logiciels offrant un cryptage pour toutes les zones de votre système Mac.

Avantages : GPGTools s'intègre bien avec Apple Mail, comme dans l'exemple ci-dessus. Il offre également un gestionnaire de clés, un logiciel qui vous permet d'utiliser PGP dans presque toutes les applications, et un outil qui vous permet d'utiliser la ligne de commande pour les tâches de gestion de clés les plus courantes.

Inconvénients : bien que GPGTools offre aux utilisateurs Mac le moyen le plus simple de commencer à utiliser le cryptage PGP, l'utilisation de ce cryptage pour votre courrier électronique principal peut ralentir les performances d'Apple Mail.

3. Thunderbird avec Enigmail

Comme pour les outils ci-dessus, Enigmail a été conçu pour s'intégrer à un client de courrier électronique spécifique, en l'occurrence Thunderbird.

Avantages : Enigmail présente quelques avantages clés. Le premier est que, comme Thunderbird, le module complémentaire est indépendant de la plate-forme. Deuxièmement, l'add-on est entièrement open-source et est fourni gratuitement. Il est également régulièrement mis à jour, et l'équipe de développement est rapide à réagir aux cas de logiciels malveillants identifiés.

Inconvénients : comme la plupart des logiciels à code source ouvert, Enigmail ne fournit pas de support dédié. D'autre part, la communauté d'utilisateurs est importante et active et a compilé une grande quantité de documents de référence pour vous aider à démarrer.

4. 4. ProtonMail

ProtonMail a été l'un des premiers fournisseurs de courrier électronique sécurisé et reste l'un des plus populaires. Contrairement aux solutions ci-dessus, ProtonMail fonctionne par l'intermédiaire d'un portail web de ProtonVPN, ce qui signifie qu'il est facilement séparable de votre boîte de réception quotidienne.

Avantages : ProtonMail utilise automatiquement le cryptage PGP pour les messages envoyés entre deux utilisateurs de son service, ce qui réduit la complexité de la mise en place et de l'utilisation de PGP. Des services comme celui-ci - Hushmail et Mailfence sont similaires - sont un moyen facile d'envoyer des messages électroniques cryptés occasionnels sans avoir à réinitialiser l'ensemble de votre système.

Inconvénients : comme ProtonMail met en œuvre PGP par le biais de JavaScript intégré dans un site web, certaines personnes ne le considèrent pas comme totalement sûr. Cela dit, ProtonMail prend la sécurité de son système très au sérieux et a été extrêmement actif pour l'améliorer.

5. Android et FairEmail

Enfin, il y a FairEmail, qui étend le cryptage PGP aux téléphones Android. Il s'agit d'une application de messagerie électronique autonome dont l'utilisation est gratuite.

Les avantages : FairEmail est la solution la plus simple pour les utilisateurs qui souhaitent utiliser le cryptage PGP sur leur téléphone Android. Elle vous donne la possibilité de crypter les messages, plutôt que de le faire par défaut, afin que vous puissiez choisir ce que vous voulez crypter.

Inconvénients : l'utilisation de PGP sur Android étant encore assez rare, la communauté d'utilisateurs de FairEmail est assez réduite.

FAQ sur la protection de la vie privée Même après l'explication ci-dessus, il se peut que vous ayez encore quelques questions.

Voici les réponses aux questions les plus fréquemment posées sur PGP.

Q : Le cryptage PGP est-il sûr ?

R : Oui. Bien que PGP ait maintenant plus de 20 ans, aucune vulnérabilité n'a été trouvée dans la mise en œuvre de base du système. Cela dit, le cryptage de vos courriels ne suffit pas pour assurer une sécurité totale, et vous devriez toujours utiliser PGP en combinaison avec une suite complète de cybersécurité qui comprend un logiciel de détection des menaces.

Q : Comment fonctionne le cryptage PGP ?

R : PGP utilise une combinaison de cryptographie symétrique et à clé publique pour fournir aux utilisateurs un moyen sûr d'envoyer des messages entre eux.

Q : Quel est le meilleur logiciel PGP ?

R : Le "meilleur" logiciel PGP dépendra de vos besoins. La plupart des gens n'ont pas besoin de crypter tous leurs courriers électroniques, et donc pour la plupart des gens, un fournisseur de courrier électronique PGP basé sur le web sera la meilleure solution. Cela dit, si vous envoyez fréquemment des courriers électroniques qui doivent être cryptés, vous pouvez envisager de télécharger un module complémentaire PGP pour votre client de messagerie standard.

Q : Ai-je besoin d'un logiciel de cryptage ?

R : Cela dépend. Si vous stockez des informations sur vos clients, la réponse est oui. Le cryptage de vos fichiers personnels n'est pas une nécessité, mais peut améliorer considérablement vos défenses contre une cyberattaque. Les logiciels de cryptage basés sur PGP sont généralement parmi les plus faciles à utiliser et constituent un bon point de départ pour le cryptage de vos fichiers.

Le cryptage PGP peut être un outil puissant pour protéger vos données, votre vie privée et votre sécurité. Il vous offre une méthode relativement simple et totalement sûre pour envoyer des courriers électroniques, et vous permet également de vérifier l'identité des personnes avec lesquelles vous communiquez. Étant donné que des modules complémentaires PGP sont également disponibles pour la plupart des grands clients de messagerie électronique, cette forme de cryptage est généralement facile à mettre en œuvre.

Cela dit, la sécurité du courrier électronique n'est qu'un aspect de la cybersécurité. Vous devez vous assurer qu'en plus de PGP, vous utilisez également une plate-forme de sécurité des données robuste et un logiciel de prévention des pertes de données. Le meilleur moyen de garantir la protection de votre vie privée et votre sécurité consiste à utiliser un éventail d'outils aussi large que possible.