Sécurisation télématique - 2° stade.

  ...par Stratediplo - le 01/03/2017.

 

  De formation militaire, financière et diplomatique, s'appuie sur une trentaine d'années d'investigations en sciences sociales et relations internationales.

On a vu précédemment que le premier stade de la sécurisation de la correspondance télématique consiste à utiliser un logiciel de messagerie installé sur son ordinateur plutôt que de consulter et rédiger ses messages sur un serveur distant.

 

Le deuxième stade consiste à chiffrer ("crypter" est un anglicisme) ses communications sensibles.

 

La méthode la plus simple consiste à installer dans son logiciel de messagerie un couple de clefs électroniques. On peut rappeler ici, o tempora o mores, qu'un couple étant constitué de deux éléments dissemblables ayant chacun une fonction spécifique tandis qu'une paire est constituée de deux éléments semblables et interchangeables, un appariement ne peut pas produire les effets d'un accouplement. En l'occurrence ces deux certificats électroniques sont une clef de chiffrement et une clef de déchiffrement. En envoyant ma clef de chiffrement (dite aussi clef publique) à un correspondant je lui permets de chiffrer les messages à mon intention, dont seul mon ordinateur possède la clef de déchiffrement (dite aussi clef privée). Il faut donc d'abord avoir échangé ses clefs de chiffrement avec ses correspondants privilégiés, ce qui se fait sous la forme d'un premier échange de messages simplement certifiés (électroniquement signés). Tout cela est bien sûr simple et automatisé, on clique sur une icône "chiffrer" (ou simplement "signer") avant d'envoyer le message que l'on a préparé, de la même manière qu'on peut cliquer sur une icône "marquer comme important" ou sur une icône "demander accusé de lecture". La plupart des logiciels de messagerie modernes ont ces fonctions incorporées, qu'il s'agisse de Windows Mail (autrefois Outlook Express), Thunderbird, Windows LiveMail... Certains de ces logiciels ont même des fonctions d'aide qui, lorsque l'on tente de signer un message pour la première fois sans avoir de certificat électronique (qui sert donc aussi de clef de chiffrement et déchiffrement), proposent d'en générer et installer un immédiatement, à condition d'être en ligne évidemment. Il existe plusieurs fournisseurs de certificats électroniques, on peut en obtenir gratuitement (mais à renouveler au bout d'un an) sur https://secure.comodo.com/products/frontpage?area=SecureEmailCertificate en saisissant l'email pour lequel on souhaite un certificat, puis en cliquant sur le lien reçu par email... le certificat s'installant alors automatiquement. Les informaticiens appellent ça le protocole S/MIME, identique à celui par lequel sont chiffrées les communications entre l'ordinateur d'un client et celui de sa banque lorsqu'on consulte son compte en mode sécurisé (https, après saisie d'un mot de passe). Un ordinateur interceptant les échanges ne disposerait donc que des clefs de chiffrement des deux correspondants puisque leurs clefs de déchiffrement respectives ne sont jamais envoyées.

 

Une autre méthode, préférée des informaticiens mais un peu moins automatisée, est compatible avec l'utilisation des messageries sur serveur, et permet aussi d'ailleurs de chiffrer n'importe quel type de document, comme par exemple un .txt, un .doc ou un .rtf que l'on souhaite chiffrer avant de l'envoyer attaché à un message lui-même non chiffré, ou que l'on souhaite conserver sous forme chiffrée sur son disque dur ou sur un support de sauvegarde. Il s'agit du protocole PGP, basé lui aussi sur le découplage d'une clef de chiffrement et d'une clef de déchiffrement. On envoie sa clef de chiffrement par email ou on la donne en mains propres sur clef USB après l'avoir soi-même extraite de son logiciel de chiffrement, ce qui nécessite un peu plus d'attention pour ne pas communiquer par erreur sa clef de déchiffrement. La clef elle-même consiste en un bloc (une demi-page) de lettres et de chiffres sans espaces, qui tient donc par exemple sur un .txt mais qu'on pourrait même recopier à la main. Plusieurs logiciels de chiffrement et déchiffrement existent, comme par exemple le très simple GNU Privacy Assistant gratuit que l'on peut trouver en français sur www.gnupg.org. L'utilisation est simple, on colle dans un cadre le texte que l'on souhaite chiffrer, on clique sur une clef de chiffrement (la sienne ou celle d'un tiers), c'est transformé en galimatias, on copie ça et on le colle dans le document que l'on souhaite archiver ou envoyer ; on peut donc même le coller dans le corps d'un message ouvert sur un serveur de messagerie en ligne lui-même non protégé. De la même manière, on colle du galimatias dans un cadre, on sélectionne une clef de déchiffrement (on peut en avoir une pour chaque adresse email) et ça devient un texte intelligible. La gestion des clefs, c'est-à-dire la génération de ses propres clefs, l'importation des clefs de chiffrement des correspondants et l'exportation des clefs de chiffrement que l'on souhaite envoyer à ses correspondants, est certes moins automatisée que la gestion des clefs S/MIME dans les logiciels de messagerie, mais puisque c'est de la micro-informatique c'est conçu pour les profanes. Enfin, il est à noter que le logiciel de messagerie Thunderbird, certainement le meilleur actuellement (il trouve tout seul les coordonnées SMTP, POP et IMAP), offre aussi une option addititionnelle qui ajoute la gestion de ce protocole PGP en parallèle au S/MIME.

 

Il faut installer sur son ordinateur la possibilité de chiffrer ses communications télématiques. Pour mémoire, pendant un certain temps c'était interdit en France, et l'histoire pourrait se répéter. On repousse cela pendant des mois en croyant à tort que c'est compliqué, mais il suffit vraiment de quelques minutes pour mettre son logiciel de messagerie en condition. Ensuite il convient d'inviter ses correspondants importants à s'y mettre, pour ne pas devoir le leur rappeler le jour où l'on devra leur transmettre une information urgente et cruciale qui ne doit pas passer en clair. Enfin il est utile d'échanger de temps en temps des messages chiffrés, pas systématiquement, et en commençant par des sujets anodins. Les employés des noeuds de connexion internet (mon Free, votre SFR mais aussi des intermédiaires) qui appellent leurs collègues devant leur console quand ils voient passer les messages avec vidéo du sénateur-maire à sa maîtresse voient bien que de temps en temps Dugommier envoie des messages chiffrés à ses soeurs, mais les gens qui enverront leur premier message chiffré au matin de la marche sur l'Elysée courront plus de risques d'être déconnectés.

 

Comme seront aussi déconnectés, ou interdits d'accès depuis tel pays aligné, à un moment ou à un autre, tous les serveurs en ligne de messagerie chiffrée, comme Protonmail, Telegram, Tutanota... même s'ils sont hébergés dans des pays neutres comme la Suisse ou la Russie. Les serveurs de messagerie non chiffrée peuvent aussi d'ailleurs devenir un jour inaccessibles par cette congestion du trafic que chacun a expérimentée au moins une fois, qui voit la navigation internet très ralentie, l'identification (visite d'un serveur avec mot de passe) impossible et ne laisse passer que les messages de quelques dizaines de kilos envoyés de SMTP à POP par les ordinateurs qui n'ont besoin que de quelques instants de connexion lente parce que leur messagerie est installée et résidente. Car un message chiffré, en soi, n'est pas plus lourd qu'un message en clair, la minute de chiffrement puis de déchiffrement s'effectuant hors connexion, sur les ordinateurs d'envoi et de réception.

 

Sécuriser sa messagerie impose d'être indépendant des serveurs en ligne, mais aussi d'avoir installé une clef de déchiffrement et diffusé la clef de chiffrement correspondante.


Partager : 

Écrire commentaire

Commentaires : 0