[Windows 7/8/10] Chiffrer ses e-mails dans Thunderbird avec GPG

Le logiciel de messagerie Thunderbird permet de signer et chiffrer ses messages par le biais de GPG et d’une extension du nom de « Enigmail« .

La mise en place de ces outils est simple, la configuration est elle aussi assez facile. Vous devez cependant être rigoureux dans la manière de procéder.
Installez au préalable Thunderbird puis GPG4Win – Il s’agit de l’utilitaire Windows pour créer votre paire de clés GPG (il est donc indispensable de l’installer).


Pourquoi signer ses messages ?

La signature d’un message n’est pas le message que vous ajoutez en bas de votre e-mail pour ajouter vos coordonnées et autres adresses utiles. La signature « GPG » permet de prouver à vos destinataires votre identité, à condition de la vérifier..
Vous saurez ainsi si oui ou non vous vous adressez à la bonne personne, notamment grâce aux informations complémentaires qui peuvent être ajoutées.

Attention, cette signature n’est pas une signature électronique. Elle n’a donc pas de valeur juridique pour qui que se soit – La justice ne prendre pas en compte cette signature.


Pourquoi chiffrer ses messages ?

Vous transférez certainement des e-mails à caractère confidentiel et donc, vous ne souhaitez pas que le contenu soit vu par quelconque attaquant. Le chiffrement d’un e-mail permet de rendre illisible et inexploitable un e-mail intercepté tant qu’il n’a pas été déchiffré. Il est donc intéressant de chiffrer ses messages pour les sécuriser dans tous les cas.

Attention, ne dites surtout pas « crypter » !!!

Vous participerez aussi à rendre vos communications plus sûres, plus sécurisées, en plus de faire un gros doigt d’honneur aux « boîtes noires » du gouvernement…


Installation et utilisation de l’extension

L’installation de GPG4Win se fait de façon simple et rapide. Gardez les paramètres par défaut, il n’est pas nécessaire de les modifier.

Dans Thunderbird, cliquez sur le menu (trois traits à droite), puis cliquez sur « Modules complémentaires« , et dans la recherche du catalogue, vous devez saisir « Enigmail« . L’extension est gratuite – Vous devez redémarrer Thunderbird pour pouvoir utiliser ce greffon GPG.


Génération des clés

Un assistant de configuration va se lancer immédiatement après le redémarrage de Thunderbird, vous devriez donc voir ce genre de fenêtre apparaître :

Cliquez sur le bouton « Suivant » après avoir sélectionné « Start setup now » pour lancer la configuration.

Pour une utilisation simple et rapide, vous pouvez garder l’option déjà cochée « I prefer a standard configuration » – Vous génèrerez vos clés immédiatement et vous éviterez par la même occasion des étapes de configuration fastidieuse. Vous devez avoir installé au préalable GPG4Win – Si ce n’est pas le cas, l’assistant de configuration d’Enigmail vous proposera de l’installer pour vous.

Cliquez sur le bouton « Installer » pour télécharger le logiciel complémentaire – L’installation est facile et rapide.

Avant la génération de la paire de clés GPG, vous devez saisir un mot de passe qui permettra sécuriser un peu ces clés lors de l’utilisation. Ainsi, si une personne mal-intentionnée vous vole votre paire de clés, il ne pourra pas les exploiter tant que le mot de passe n’a pas été saisi.
Choisissez donc un mot de passe fort et différent de vos autres comptes…

Un indicateur quant à la complexité de votre mot de passe est présent – Attention lors de l’utilisation des caractères spéciaux, des problèmes peuvent être générés dans certes exceptions…
Lorsque votre mot de passe est saisi, cliquez sur le bouton « Suivant« .

Il est fortement recommandé de créer un certificat de révocation de votre paire de clés – Si votre paire de clés est perdue / altérée / volée / dupliquée, il vous faut la détruire « à distance » en la révoquant. La clé privée et la clé publique seront alors « obsolète » et inutile puisque révoquée.

Par la création du certificat de révocation, entrez votre clé secrète (précédemment créée) et sélectionnez un emplacement sûr pour stocker ce certificat. Vous pouvez par exemple utiliser un conteneur TrueCrypt…

Lorsque ces étapes sont effectuées, votre Thunderbird est prêt à chiffrer / déchiffrer / signer des e-mails via votre clé GPG !


Exemples d’utilisation

Envoyer sa clé publique sur un serveur public de clés

Dans Thunderbird, cliquez sur le menu principal (à droite, trois traits horizontaux), mettez votre souris sur « Enigmail » et cliquez sur « Gestion des clefs« .
Une fenêtre va s’ouvrir dans laquelle vous allez voir vos paires de clés disponibles.

Cliquez sur la clé à envoyer sur un serveur de clés publiques, puis sur le menu « Serveur de clefs » et enfin « Envoyer les clés publiques« .

Il faut sélectionner un serveur de clés sur lequel votre clé publique sera stockée ; Trois serveurs vous sont proposés par défaut, vous pouvez naturellement en choisir un autre si vous le souhaitez.
En cliquant sur le bouton « OK« , vous devrez saisir une nouvelle fois votre phrase secrète de votre paire de clés pour valider l’opération. L’import de votre clé publique est effectuée dans la minute qui suit la procédure !

Il est possible de retrouver cette clé grâce à l’identifiant. Dans cet exemple, j’ai choisi le serveur « keys.gnupg.net« .

N’oubliez pas qu’il s’agit de l’identifiant de la clé publique qu’il faut rechercher et non pas le nom du détenteur de cette clé…
Ici, mon identifiant de clé GPG est le « 0x308CCDAD« .


Envoyer sa clé publique à un correspondant

Lorsque vous créez un e-mail avec Thunderbird, vous avez un bouton d’action rapide vous permettant d’ajouter facilement votre clé publique en pièce jointe :

Automatiquement, lors de l’envoi de votre e-mail, la clé publique GPG sera envoyée. Par contre, ne chiffrez pas votre e-mail lors de l’envoi de cette clé, sinon votre destinataire ne pourra pas voir cette clé…

Il y a aussi la possibilité de cliquer sur le menu « Enigmail » (dans la fenêtre d’un nouvel e-mail), puis cliquez sur « Attacher ma clé publique« . L’action sera la même que le clic sur le bouton. Votre clé publique sera envoyée automatiquement.


Chiffrer ses messages

Le chiffrement des e-mails dans Thunderbird est d’une très grande simplicité lorsque vous avez généré votre paire de clés.
Dans un nouvel e-mail, cliquez sur le lien « S/MIME », puis sur « Chiffrer ce message« 

Lorsque l’e-mail sera envoyé, tout le contenu de son message sera chiffré.

Exemple d’un e-mail chiffré

Si vous n’avez pas la clé publique pour déchiffrer ce message, vous ne pourrez donc jamais le lire…


Signer ses e-mails

La procédure pour signer ses e-mails est sensiblement la même que le chiffrement – Vous devez cliquer sur le bouton « S/MIME » puis sur « Signer numériquement ce message » – Vous devrez choisir soit un certificat numérique, soit votre paire de clé, soit établir une signature électronique (comme chez un notaire par exemple).


Ajouter une seconde adresse à sa paire de clés

Une paire de clés est à la base conçu pour être utilisée sur une seule et unique adresse e-mail, vous pouvez toutefois ajouter des identifiants supplémentaires à cette paire de clés précise.
Ainsi, ma paire de clés précédemment créée me sert non seulement pour l’adresse GMail mais aussi pour mon adresse personnelle.

Dans le menu général de Thunderbird, dirigez-vous sur « Enigmail » puis sur « Gestion des clefs« .

Faites un clic droit sur la clé à modifier, puis sur « Gérer les identifiants utilisateurs » – Une nouvelle fenêtre va apparaître, pour que vous puissiez ajouter facilement une identité complémentaire sur cette paire de clés.

Pour valider les changements, entrez votre passphrase et cliquez sur le bouton « OK« .
La fenêtre va alors s’actualiser et vous permettre d’avoir ce genre d’information :

La paire de clés a donc un identifiant GPG unique pour deux adresses e-mails spécifiques.

Julien H

Passionné depuis toujours par l'informatique, je transforme ma passion en expertise. J'utilise quotidiennement les outils et systèmes Microsoft. Je ne délaisse pas mon côté ouvert, notamment via l'utilisation des OS Debian et Archlinux. L'infosec m'ouvre les yeux sur les enjeux actuels et futurs de l'IT.
Fermer
Fermer