Email Self-Defense

Email Self-Defense est un projet de la Free Software Foundation. Nous luttons pour les droits des utilisateurs d'ordinateurs, et nous promouvons le développement de logiciels libres comme GnuPG, qui est utilisé dans ce guide.

Nous avons de nombreux projets pour que ce guide arrive dans les mains de personnes touchées par une surveillance de masse partout dans le monde, et pour développer plus d'outils de ce genre. Pourriez-vous faire une donation afin de nous aider à atteindre nos buts ?

La surveillance de masse viole les droits fondamentaux et fait planer un risque sur la liberté de parole. Ce guide vous donnera des compétences basiques d'autodéfense contre la surveillance : le chiffrement du courriel. Une fois que vous l'aurez assimilé, vous serez en mesure d'envoyer et de recevoir des courriels codés, pour faire en sorte qu'un espion ou un voleur ne puisse pas les intercepter et les lire.

Même si vous n'avez rien à cacher, l'utilisation du chiffrement vous aide à protéger la confidentialité des personnes avec qui vous communiquez, et rendra la tâche plus difficile aux systèmes de surveillance de masse. Si par ailleurs vous avez quelque chose d'important à cacher, vous êtes en bonne compagnie ; il s'agit des mêmes outils qu'a utilisé Edward Snowden pour partager ses fameux secrets sur la NSA.

Ce guide repose sur un logiciel qui est sous licence libre ; il est complètement transparent et n'importe qui peut le copier ou en faire sa propre version. Cela le rend plus sûr vis-à-vis de la surveillance que les logiciels privateurs (propriétaires), comme Windows. Renseignez-vous sur le logiciel libre sur fsf.org, framasoft.org ou april.org.

Au travail !

#1 Rassemblez les outils

Tout ce dont vous avez besoin pour commencer, c'est d'un ordinateur doté d'une connexion à Internet, d'un compte de courriel et d'environ une demi-heure. Vous pouvez utiliser votre compte existant sans aucun risque ni impact sur vos conversations habituelles.

La plupart des systèmes d'exploitation GNU/Linux disposent déjà de GnuPG, donc vous n'avez pas à le télécharger. Toutefois, avant de configurer GnuPG, vous aurez besoin d'installer sur votre ordinateur un logiciel de courriel (que nous appellerons par la suite « logiciel de messagerie » ou « programme de messagerie », sachant qu'il s'agit ici de courriel et non de messagerie instantanée). La plupart des distributions GNU/Linux ont une version libre de Thunderbird, prête à installer. Outre Thunderbird, ce guide est appliquable à tous les programmes de ce type. Les logiciels de messagerie sont un moyen alternatif d'accéder aux comptes de messagerie auxquels vous accédez via votre navigateur (comme GMail), mais proposent des fonctionnalités supplémentaires.

NdT : la traduction des menus peut varier légèrement suivant les distributions. Nous nous basons ici sur Debian Wheezy.

Si vous avez déjà l'un de ces logiciels de messagerie, vous pouvez passer à l'étape 1.b.

Étape 1.a : Configurez votre logiciel de messagerie avec votre compte de courriel (si ce n'est déjà fait)

Lancez votre programme de messagerie et suivez les indications de l'assistant pour le configurer avec votre compte de messagerie.

Résolution des problèmes

Qu'est-ce qu'un assistant d'installation ?: Un assistant d'installation est une série de fenêtres pop-up qui aident à faire quelque chose sur un ordinateur, comme installer un programme. Vous cliquez dans ces fenêtres pour choisir les options qui vous conviennent ; dans certains cas, l'assistant vous demandera de saisir un paramètre, par exemple votre adresse de courriel. N'oubliez pas de valider en cliquant sur OK quand vous en avez fini avec une fenêtre.
Mon programme de messagerie ne trouve pas mon compte ou ne télécharge pas mes courriels.: Avant de chercher sur le web, nous vous conseillons de commencer par demander à d'autre personnes qui utilisent le même système de messagerie de vous indiquer les bons paramètres.
Vous ne trouvez pas de solution à votre problème ?: Merci de nous le faire savoir sur la page de commentaires.

Étape 1.b : installez le module Enigmail pour votre programme de messagerie

Dans le menu de votre programme de messagerie, sélectionnez Modules complémentaires (qui devrait se trouver dans la section Outils). Assurez-vous qu'Extensions est sélectionné sur la gauche. Voyez-vous Enigmail »? Si oui, passez à l'étape suivante.

Si non, faites une recherche sur « Enigmail » dans la partie supérieure droite. Vous pouvez le récupérer par ce moyen. Redémarrez votre programme de messagerie lorsque vous aurez terminé.

Après redémarrage, vous remarquerez un sous-menu supplémentaire dans votre programme de messagerie, intitulé OpenPGP. Il permet d'accèder aux fonctionnalités d'Enigmail.

Résolution des problèmes

Je ne trouve pas le menu.: Dans beaucoup de logiciels de messagerie récents, le menu principal est représenté par trois barres horizontales.
Vous ne trouvez pas de solution à votre problème ?: Merci de nous le faire savoir sur la page de commentaires.

#2 Fabriquez vos clés

Pour utiliser le système GnuPG, vous allez avoir besoin d'une clé publique et d'une clé privée (l'ensemble des deux est appelé « paire de clés »). Chacune des clés est une longue chaîne de chiffres, générés aléatoirement, qui vous est propre. Vos clés publique et privée sont liées entre elles par une fonction mathématique spécifique.

Votre clé publique n'est pas comme une clé physique, car elle est stockée dans un répertoire en ligne ouvert appelé un serveur de clé. Les gens téléchargent et utilisent votre clé publique, au travers de GnuPG, pour chiffrer les courriels qu'ils vous envoient. Vous pouvez vous représenter le serveur de clé comme un annuaire, où les gens qui souhaitent vous envoyer un courriel chiffré vont chercher votre clé publique.

Votre clé privée se rapproche plus d'une clé physique, parce que vous la conservez personnellement (sur votre ordinateur). Vous utilisez GnuPG et votre clé privée pour décoder les courriels chiffrés que les autres personnes vous envoient.

Étape 2.a : créez une paire de clés

Dans le menu de votre logiciel de messagerie, selectionnez OpenPGP → Assistant de configuration. Vous n’avez pas besoin de lire le texte dans la fenêtre pop-up à moins que vous ne le souhaitiez, mais c’est une bonne idée de lire ce qui apparaît sur les écrans suivants.

Si vous avez plusieurs adresses de courriel, vous aurez à choisir dans une deuxième fenêtre à quelle(s) adresses(s) (ou quel(s)« comptes ») la configuration d'OpenPGP s'applique.

Dans la fenêtre suivante, intitulée Signature, sélectionnez Non, je préfère créer des règles par destinataire pour les messages devant être signés.

Utilisez les options par défaut (répondez Non, merci à la question Désirez-vous modifier quelques paramètres par défaut...) jusqu’à ce qu'apparaisse la fenêtre intitulée Création d'une clef pour signer et chiffrer mes messages.

Dans la fenêtre intitulée Création d'une clef, choisissez une phrase secrète solide Votre phrase secrète doit contenir au moins 12 caractères et inclure au moins un caractère minuscule et un majuscule, ainsi qu’un nombre et un caractère non conventionnel (symbole de ponctuation, par exemple). N’oubliez pas cette phrase secrète, ou tout ceci n’aura servi à rien !

Le programme prendra un peu de temps pour terminer l’étape suivante, la création de la clé proprement dite. Pendant que vous attendez, faites quelque chose avec votre ordinateur, comme regarder un film ou naviguer sur le web. Plus vous utilisez votre ordinateur pendant ce temps, plus vite ira la création de la clé.

Quand la fenêtre de confirmation d'OpenPGP apparaîtra, sélectionnez Générer le certificat et choisissez de le sauvegarder en lieu sûr dans votre ordinateur (nous vous recommandons de créer un dossier « certificat de révocation » et de l'y mettre. Vous en apprendrez davantage sur le certificat de révocation dans la section 5). L’assistant de configuration vous demandera ensuite de le stocker sur un support externe, mais ce n’est pas nécessaire pour le moment.

Après création de la clé, l'assistant de configuration d'OpenPGP l'enverra automatiquement sur un serveur de clé, un ordinateur en ligne qui rend accessible à tous votre clé publique au sein d’Internet.

Résolution des problèmes

Je ne trouve pas le menu d'OpenPGP.: Dans beaucoup de logiciels de messagerie récents, le menu principal est représenté par trois barres horizontales. OpenPGP peut être dans la section appellée Outils.
L'assistant d'installation ne trouve pas GnuPG.: Ouvrez votre programme d'installation de logiciel (logithèque) préféré, et cherchez GnuPG, puis installez-le. Enfin relancez l'assistant en allant dans OpenPGP -> Assistant de configuration.
Que veut dire OpenPGP ?: OpenPGP est un protocole utilisé par GnuPG, tout comme HTTP est un protocole pour le web. C'est le nom un peu déroutant qu'Enigmail utilise pour ses menus.
Vous ne trouvez pas de solution à votre problème ?: Merci de nous le faire savoir sur la page de commentaires.

Étape 2.b : envoyez votre clé publique sur un serveur de clés

Dans le menu de votre programme de messagerie, sélectionnez OpenPGP → Gestion de clefs.

Faites un clic droit sur votre clé et sélectionnez Envoyer les clefs publiques vers un serveur de clefs. Utilisez le serveur proposé par défaut.

À partir de maintenant, si quelqu’un souhaite vous envoyer un message chiffré, il peut télécharger votre clé publique depuis Internet.

Résolution des problèmes

La barre de progression n'en finit pas.: Fermez la fenêtre d'envoi vers le serveur, assurez-vous d’être connecté à Internet et réessayez. Si cela ne marche pas, réessayez en sélectionnant un serveur de clés différent.
Ma clé n’apparaît pas dans la liste.: Essayez de cocher Montrer les clés par défaut.
Vous ne trouvez pas de solution à votre problème ?: Merci de nous le faire savoir sur la page de commentaires.

#3 Faites un essai !

Maintenant vous allez essayer de faire un test : correspondre avec un programme nommé Adèle qui sait comment utiliser le chiffrement.

Étape 3.a : envoyez votre clé publique à Adèle

C’est une étape un peu particulière que vous n’aurez pas à faire quand vous correspondrez avec de vraies personnes. Dans le menu de votre logiciel de messagerie, allez à OpenPGP → Gestion de clefs. Vous devriez voir votre clé dans la liste qui apparaît. Faites un clic droit dessus et sélectionnez Envoyer des clefs publiques par courrier électronique. Cela créera un nouveau brouillon de message, comme si vous aviez juste cliqué sur le bouton Écrire.

Remplissez le champ d’adresse du destinataire avec l’adresse adele-en@gnupp.de. Mettez au moins un mot (ce que vous souhaitez) dans le sujet et le corps de texte, puis cliquez sur Envoyer.

Cela peut prendre 2 ou 3 minutes à Adèle pour répondre (attention, la réponse est en anglais). Entre-temps, vous pourriez aller voir la section de ce guide intitulée « Utilisez-le correctement ». Une fois qu’Adèle a répondu, allez à l’étape suivante. Désormais, vous aurez simplement à faire la même chose lorsque vous correspondrez avec une vraie personne.

Étape 3.b : envoyez un courriel de test chiffré

Écrivez un nouveau courriel dans votre logiciel de messagerie, adressé à adele-en@gnupp.de. Écrivez « Test de chiffrement » ou quelque chose d’approchant dans le champ de sujet, et mettez quelque chose dans le corps de texte. Mais ne l’envoyez pas tout de suite.

Cliquez sur l’icone de la clé en bas à droite de la fenêtre de rédaction (elle devrait prendre une couleur jaune). Cela indique à Enigmail de chiffrer le courriel avec la clé téléchargée à l’étape précédente.

Cliquez sur Envoyer. Enigmail fera apparaître une fenêtre indiquant Le destinataire est invalide, n'est pas de confiance ou n'a pas été trouvé.

Pour chiffrer et envoyer un courriel à Adèle, vous aurez besoin de sa clé publique, donc vous devez maintenant la faire télécharger par Enigmail depuis un serveur de clés. Cliquez sur Télécharger les clés manquantes et utilisez le serveur par défaut dans la fenêtre qui vous demande de choisir un serveur de clés. Une fois les clés trouvées, vérifiez la première (son identifiant, ou ID, commence par 9) puis cliquez sur OK. Cliquez sur OK dans la fenêtre suivante.

Maintenant que vous êtes de retour à la fenêtre Le destinataire est invalide, n'est pas de confiance ou n'a pas été trouvé, sélectionnez la clé d’Adèle depuis la liste et cliquez sur OK. Si le message n’est pas envoyé automatiquement, vous pouvez cliquer sur Envoyer.

Résolution des problèmes

Enigmail ne trouve pas la clé d'Adèle.: Fermez la fenêtre qui est apparue quand vous avez cliqué. Assurez-vous que vous êtes connecté à Internet et réessayez. Si cela ne marche pas, répétez le processus en choisissant un serveur de clés différent quand il vous demande d'en choisir un.
Vous ne trouvez pas de solution à votre problème ?: Merci de nous le faire savoir sur la page de commentaires.

Important : le sujet du courriel n'est pas chiffré

Même si vous chiffrez vos courriels, le sujet n'est pas chiffré, donc ne mettez pas d'informations sensibles dedans. Les adresses des émetteurs et destinataires ne sont pas chiffrées non plus, elles peuvent donc être lues par un système espion.

Étape 3.c : recevez une réponse

Quand Adèle reçoit votre courriel, elle va utiliser sa clé privée pour le déchiffrer, puis récupérer votre clé publique sur le serveur de clés et l'utiliser pour chiffrer la réponse qu'elle va vous adresser.

Puisque vous avez chiffré ce courriel avec la clé publique d'Adèle, la clé privée d'Adèle est nécessaire pour le déchiffrer. Adèle est la seule à posséder cette clé privée, donc personne à part elle – même pas vous – ne peut le déchiffrer.

Cela peut prendre deux ou trois minutes à Adèle pour vous répondre. Pendant ce temps, vous pouvez aller plus avant dans ce guide et consulter la section « Utilisez-le correctement » de ce guide.

Quand vous aller recevoir le courrier d'Adèle et l'ouvrir, Enigmail va automatiquement détecter qu'il est chiffré avec votre clé publique, et il va utiliser votre clé privée pour le déchiffrer.

Remarquez la barre qu’Enigmail affiche au-dessus du message, montrant les informations concernant le statut de la clé d’Adèle.

#4 Découvrez la « toile de confiance »

Le chiffrement de courriel est une technologie puissante, mais il a une faiblesse ; il requiert un moyen de vérifier que la clé publique d'une personne est effectivement la sienne. Autrement, il n'y aurait aucun moyen de stopper un attaquant qui créerait une adresse de courriel avec le nom d'un de vos amis, et des clés assorties permettant de se faire passer pour lui. C'est pourquoi les programmeurs de logiciel libre qui ont développé le chiffrement de courriel ont créé la signature de clé et la toile de confiance.

Lorsque vous signez la clé de quelqu'un, vous dites publiquement que vous croyez qu'elle lui appartient et qu'il n'est pas un imposteur. Les gens qui utilisent votre clé publique peuvent voir le nombre de signatures qu'elle porte. Une fois que vous aurez utilisé GnuPG pendant assez longtemps, vous devriez disposer de centaines de signatures. La toile de confiance est une constellation constituée de tous les utilisateurs de GnuPG, connectés entre eux par des chaînes de confiance exprimées au travers des signatures, une sorte de toile d'araignée géante. Plus une clé a de signatures, et plus les clés de ses signataires possèdent de signatures, plus cette clé sera digne de confiance.

Les clés publiques des gens sont généralement identifiées par leur « ID », une courte chaîne de 8 caractères comme 92AB3FF7 (pour la clé d'Adèle). Vous pouvez voir votre identifiant de clé dans la colonne de droite de OpenPGP -> Gestion de clefs, dans le menu de votre programme de messagerie.

C'est une bonne habitude à prendre que de partager votre identifiant de clé, de cette façon les gens peuvent effectuer un double contrôle pour s'assurer qu'ils sont en possession de la bonne clé publique lorsqu'ils téléchargent la vôtre d'un serveur de clé. Vous verrez également qu'on se réfère quelquefois aux clés publiques par leurs empreintes digitales qui sont constitués d'une plus longue suite de caractères, comme DD878C06E8C2BEDDD4A440D3E573346992AB3FF7. L'ID correspond aux 8 derniers caractères de cette empreinte numérique.

Etape 4.a : signez une clé

Dans le menu de votre logiciel de messagerie, allez à OpenPGP -> Gestion de clefs.

Faites un clic droit sur la clé publique d'Adèle et sélectionnez Signer la clef dans le menu contextuel.

Dans la fenêtre pop-up, choisissez Je ne souhaite pas répondre et cliquez sur OK.

Dans le menu de votre logiciel de messagerie, allez à OpenPGP → Gestion de clefs → Serveur de clefs → Rafraîchir toutes les clefs publiques et cliquez sur OK.

Vous venez juste de dire « Je crois que la clé publique d'Adèle appartient effectivement à Adèle. » Cela ne signifie pas grand chose étant donné qu'Adèle n'est pas une personne réelle, mais c'est un bon entraînement.

Important : vérifiez l'identité de la personne dont vous signez la clé

Avant de signer la clé d'une personne réelle, assurez-vous systématiquement que cette clé lui appartient vraiment, et qu'elle est bien qui elle prétend être. Répondez honnêtement dans la fenêtre qui apparaît et vous demande Avec quel soin avez-vous vérifié que la clé que vous vous apprêtez à signer appartient effectivement à la personne citée ci-dessus ?

#5 Utilisez-la correctement

Chaque personne utilise GnuPGP à sa manière, mais il est important de suivre certaines pratiques de base pour garantir la sécurité de vos courriels. Ne pas les suivre peut constituer un risque pour la vie privée des personnes avec qui vous communiquez, de même que pour la vôtre, et peut être dommageable pour la toile de confiance.

Quand dois-je chiffrer ?

Plus vous chiffrez vos messages, mieux c'est. En effet, si vous ne chiffrez qu'occasionnellement vos courriels, chaque message chiffré pourrait alerter les systèmes de surveillance. Si tous vos courriels, ou la plupart d'entre eux, sont chiffrés, les gens qui vous espionnent ne sauront pas par où commencer.

Cela ne signifie pas que chiffrer uniquement certains de vos courriels est inutile. C'est un excellent début et cela complique la surveillance de masse.

Important : soyez attentifs aux clés non valides

GnuPG rend le courriel plus sûr, mais il est tout de même important de faire attention aux clés non valides, qui pourraient être tombées entre de mauvaises mains. Un courriel chiffré avec une clé non valide peut être lu par des programmes de surveillance.

Dans votre logiciel de messagerie, revenez au second courriel qu'Adèle vous a envoyé. Comme il a été chiffré avec sa clé, il y aura un message d'OpenPGP au début, qui dit généralement Début contenu chiffré ou signé.

Lorsque vous utilisez GnuPG, prenez l'habitude de jeter un œil à cette barre. Le programme vous alertera à cet endroit si vous recevez un courriel chiffré avec une clé dont la confiance n'est pas avérée.

Sauvegardez votre certificat de révocation en lieu sûr

Vous vous souvenez de l'étape où vous avez créé vos clés et enregistré le certificat de révocation produit par GnuPG ? Il est maintenant temps de copier ce certificat sur l'équipement de stockage numérique le plus sûr que vous ayez. L'idéal serait un périphérique flash, disque ou clé USB, ou bien un disque dur stocké dans un endroit sûr de votre maison.

Si jamais votre clef privée devait être perdue ou volée, vous auriez besoin de ce certificat.

Important : agissez rapidement si quelqu'un s'empare de votre clef privée.

Si vous perdez votre clé privée ou si quelqu'un s'en empare (par vol ou intrusion dans votre ordinateur), il est important de la révoquer immédiatement avant que quelqu'un d'autre ne l'utilise pour lire vos courriels chiffrés. Ce guide ne couvre pas la révocation de clé, mais vous pouvez suivre les instructions données sur le site de GnuPG (NdT : lien en français trouvé sur ce site) Une fois la révocation faite, envoyez un courriel à chaque personne avec qui vous avez l'habitude d'utiliser votre clé pour vous assurer qu'elle a été avertie.

Intégrez votre clé publique à votre identité en ligne

Tout d'abord, ajoutez votre identifiant de clé à votre signature de courriel, puis envoyez un courriel à au moins cinq de vos amis, en leur indiquant que vous venez d'installer GnuPG et en mentionnant votre identifiant de clé. Copiez-leur le lien vers ce guide et invitez-les à vous rejoindre. N'oubliez pas qu'il y a également une superbe infographie à partager.

Mettez-vous à écrire votre identifiant de clé là où chacun peut voir votre adresse de courriel : vos profils sur les réseaux sociaux, votre blog, votre site web, votre carte de visite (à la Free Software Foundation<:cite>, nous mettons les nôtres sur les pages de nos équipes). Nous devons intégrer le chiffrement à notre culture, au point d'avoir l'impression qu'il manque quelque chose lorsque nous voyons une adresse de courriel sans identifiant de clé.

#6 Prochaines étapes

Vous avez maintenant terminé l’apprentissage des bases du chiffrement de courriel avec GnuPG, première étape contre la surveillance de masse. Félicitations ! Vous souhaitez faire un pas de plus vers une meilleure protection de votre vie privée et de celle des personnes avec qui vous communiquez ?

Allez à une soirée de signature de clés (ou cryptoparty)

Les soirées de signature de clés sont des évènements faits pour construire la toile de confiance. Chaque participant fait correspondre la photo d'identité de chacun des autres avec son identifiant de clé. C’est un excellent moyen de rencontrer des personnes partageant les mêmes idées et de se renseigner au sujet des outils de protection de la vie privée. Cela permet en outre de renforcer la confiance des autres dans votre clé. Cherchez des soirées de signature de clés ou des cryptoparties lors d’évènements ou de rencontres geeks, et dans les hackerspaces.

Agissez pour un changement politique

Chiffrer nos courriels est une action puissante et directe, mais pour changer le système, nous devons aussi aller à la racine. Un des points clés est la réduction de la quantité de données collectées à notre sujet. Pour en apprendre plus et participer aux efforts de changement, rejoignez la liste de diffusion à faible trafic de la Free Software Foundation (en anglais).

Protégez mieux votre vie numérique

Apprenez l’usage de technologies résistant à la surveillance pour la messagerie instantanée, le stockage sur disque dur, le partage en ligne et plus encore, dans le « Pack vie privée » du Répertoire du logiciel libre (Free Software Directory's Privacy Pack) et sur prism-break.org.

Améliorez les outils d'Email Self-Defense

Laissez un commentaire et suggérez des améliorations à ce guide, ou envoyez-nous un courriel à campaigns@fsf.org si vous souhaitez aider à la traduction et à la maintenance de cette page.

Si vous aimez programmer, vous pouvez contribuer au code de GnuPG ou Enigmail.

Si vous ne pouvez rien faire de tout cela, faites un don à la Free Software Foundation pour que nous puissions mettre le présent guide d'autodéfense entre les mains d’un maximum de personnes, et créer plus d’outils similaires.