Il y a 5 ou 6 ans, j’avais comparé des solutions de mail sécurisé et utilisé les possibilités de PGP/GPG en matière de chiffrement de mail. Je m’y suis remis pour voir où on en était, pensant naïvement que les solutions avaient progressé…

Pourquoi sécuriser ses mails ?

En fait, lorsque l’on envoie un mail à une personne, c’est comme si on envoyait une feuille de papier sans enveloppe avec l’adresse du destinataire en haut et le message lisible par toutes les personnes qui permettent ce transfert. Avouez que ce n’est pas ce que vous accepteriez dans vos échanges personnels. Certains services vous obligent à communiquer avec eux à travers une interface web, comme votre banque. C’est uniquement pour sécuriser les informations transmises et parce que vous n’allez pas leur demander de gérer votre clé (l’enveloppe). Le principe d’un mail sécurisé c’est d’avoir fourni une clé “publique” qui permet de déchiffrer et d’authentifier un message. Du coté de l’expéditeur, vous chiffrez avec une clé “privée”, connu de vous seul. Il vous faut donc créer un couple clé publique/privé. Et là vous vous dites que c’est compliqué, plus que de mettre le papier dans l’enveloppe et de la timbrer. Les fichiers de clé après exportation sont des extensions .asc mais en réalité sont des fichiers texte avec une balise de début, une balise de fin et un code de 2048 bits en général.

La question que tout le monde se pose est : “En ai-je besoin ? “. Je ne chiffre pas tous mes mails pour toutes les futilités que je peux envoyer. Je ne suis pas à un poste professionnel trop critique pour mon employeur qui pourrait donner lieu à des chantages extérieurs. Mais si vous avez des responsabilités, si c’est pour des échanges professionnels, oui c’est impératif. Autre cas, vous avez de la famille dans un pays sujet à la surveillance. C’est plutôt intéressant d’utiliser un mail sécurisé. La récente affaire Pegasus montre qu’il y a une infinité de risques d’espionnage. Autant avoir un outil sous le coude au cas où, mais ce n’est pas le seul à avoir dans la panoplie.

Cela dit, les solutions grands publics sont dans des pays (Suisse, Allemagne) qui ont des lois anti-terroristes qui forcent ces prestataires à divulguer des informations sur les propriétaires de comptes. Ce n’est donc pas une protection totale de la confidentialité, à moins d’y rajouter d’autres outils d’anonymisation, comme TOR, si on le maîtrise. Exemple récent avec Protonmail qui a divulgué l’information sur l’IP utilisée et le terminal utilisé lors d’une requête d’Europol (mais pas les contenus d’email). Quant à sécuriser tout, il faut aussi penser à chiffrer les disques durs et l’e-mail n’est pas forcément le moyen le plus sûr pour communiquer de manière totalement anonyme. A savoir aussi que de nombreux états dits “autoritaires” font des “remontées” à Interpol contre des opposants en montant de faux dossiers (Cf La Revue Dessinée 27) et toutes les polices ne font pas le tri dans tout cela ensuite. Plus les récentes lois françaises “anti-terroristes” qui mettent des mouvements écologistes ou animalistes dans le lot et utilisent Europol pour transmettre aux pays concernés.

L’ancêtre PGP/GPG

L’ancêtre de la sécurisation de mail c’est “Pretty Goog Privacy” ou PGP, qui a évolué en GPG le pendant libre du truc avec un chiffrement plus performant au fil des ans. Il y a une tonne de clients pour chiffrer tout ce que vous voulez et déchiffrer aussi, créer et gérer les clés, selon la plateforme. J’avais traité un peu du sujet il y a longtemps. Cela a un peu changé…

sur Android

Il n’y a plus qu’un seul client GPG, c’est OpenKeyChain qui ne fait que gérer des clés. L’interface est assez simple mais il faut penser à lui laisser les bons droits pour fonctionner en tâche de fond lorsque le client mail le demande. Pour les clients mails, il n’y en a que 2 qui sont promis comme compatibles : FairMail et K9Mail. Le premier est un truc étrange, opensource mais qui est affreusement mal foutu par rapport à des clients mails grand public. Le 2ème est plus austère d’aspect (c’est celui que j’utilise) mais assez facilement configurable…Sauf que pour OpenKeychain, ça ne se passe bien avec certaines clés. Je défie n’importe quel débutant de configurer ça sans aide. Je ne conseille vraiment pas cette solution si vous privilégiez les mails sur mobile. On va voir qu’on peut faire plus simple sur ces terminaux.

sur PC desktop

J’en étais resté à Windows et ça n’a pas forcément beaucoup changé. Si ce n’est que Mozilla Thunderbird a bougé depuis la version 78. Il y a un gestionnaire de clés PGP/GPG intégré dedans donc plus besoin d’Enigmail etc…Il faut juste d’abord aller dans outil, gestionnaire de clés et l’ergonomie pour trouver le truc est quand même complètement tordue. On crée sa clé privée, on diffuse sa clé publique à son destinataire pour qu’il puisse l’intégrer et on intègre les clés publiques de ses correspondants. On peut le faire en les recevant par mail aussi en cliquant sur les fichiers .ASC. Franchement simple par rapport au passé mais il y a des soucis dans la reconnaissance des clés générées parfois. Donc si vous n’utilisez pas la fonction intégrée à Thunderbird, vous pouvez aussi utilisez d’autres gestionnaires, question de goût. Reste que l’utilisation de clients mail est devenue un truc de spécialistes / geeks car la plupart des utilisateurs passent par des webmails. Non, ne râlez pas, c’est la réalité.

Les solutions pour “débutants”

Il y a 5 ans, j’avais testé les deux solutions qui se partagent toujours le marché aujourd’hui. Elles s’appuient aujourd’hui sur un Webmail avec simple ou double identification, une application mobile et des services autour qui sont un peu différents. L’orientation de ces deux offres est devenu plus distincte qu’aujourd’hui. Les deux ont une option gratuite pour le grand public avec une capacité de stockage limitée.

Tutanota

Toujours basée en Allemagne, cette société a une orientation très grand public avec 1Go de stockage, des tarifs simples, une accessibilité bien faite avec peu d’options et de boutons dans tous les sens. Evidemment, son défaut c’est que l’Allemagne n’a pas le culte du secret et que sa technologie est propriétaire donc impossible de faire communiquer en “chiffré de bout en bout” avec un destinataire qui aurait une clé GPG. Ca ne fonctionnera donc qu’avec des comptes tutanota ou bien à l’aide d’un envoi de mot de passe temporaire en parallèle pour accéder au mail. L’application Android est une blague puisque ce n’est que la recopie de l’interface Web mobile. Pas de gestion correcte des notifications. Il y a une fonction calendrier en plus des contacts et c’est pratique même si limitée. pas de VPN proposé.

Les Plus

• Accessibilité
• Tarifs et stockage
• Calendrier

Les Moins

• Pas d’ouverture à PGP/GPG
• Application mobile indigente

Protonmail

Basée en Suisse, la société a une orientation plutôt professionnels de TPE/PME. L’offre grand public gratuite n’est plus que de 500Mo aujourd’hui. La richesse du produit le rend un peu ardu pour un débutant. Si l’hébergement en Suisse est une meilleure garantie, le fait qu’il y ait une antenne aux USA et la diplomatie qui va avec ne garantie rien à 100%. La technologie est du PGP/GPG et permet donc d’intégrer des clés externes et ainsi d’envoyer en “chiffré de bout en bout” sans le mot de passe temporaire. Sinon, c’est comme Tutanota avec la facilité d’envoyer à des gens qui ont un compte Protonmail ou sinon en définissant un mot de passe temporaire pour déchiffrer le mail. Il y a un calendrier en version beta (application séparée et trop limitée aujourd’hui) ainsi qu’une offre comprenant un VPN. A noter que l’application Android permet l’utilisation des clés GPG externes puisque localisées sur le serveur Protonmail après saisie via le webmail (voir tuto plus loin). Il semble y avoir un temps de réplication par contre.

Les Plus

• Ouverture à PGP/GPG et possibilité via l’application mobile.
• Application mobile efficace
• VPN ou TOR

Les Moins

• Tarifs plus chers et stockage limité mais suffisant.
• Pas de calendrier… pour l’instant
• Accessibilité plus complexe (sauf application Android)

Je conserve mon choix personnel à Protonmail mais pour quelqu’un qui n’a pas une grosse consommation d’Email en mobile, qui veut de la simplicité, je conseille plutôt Tutanota.

Pouvoir communiquer de Protonmail à GPG et inversement

Pour terminer, comment faire pour panacher des échanges entre protonmail et un mail chiffré par PGP/GPG ? Dans Protonmail, il faut intégrer le mail dans sa base de contacts pour commencer. Ensuite on va éditer le contact. Il faut donc commencer par aller dans les contacts.

Retrouvez ensuite votre contact.

Ouvrez le et allez dans les paramètres du mail associé.

Affichez les paramètres PGP.

Indiquez que vous chiffrez les courriels pour ce contact. Ce qui vous permet d’intégrer la clé publique.

Enregistrez le tout. Maintenant quand vous allez envoyer un mail, un petit cadenas vert apparaîtra aussi à coté du nom du destinataire.

Il faut également aller dans les paramêtres du compte et offrir la possibilité de mettre la clé publique et la signature dans ses mails…

On sélectionne la rubrique “Chiffrement et clés”

Vous indiquez que pour les utilisateurs PGP n’utilisant pas Protonmail vous allez signer et utiliser des paramètres PGP/MIME. Vous pouvez joindre la clé publique si vous voulez. Si vous décidez de changer d’avis, il faudra retourner ici.

Sinon, pour exporter la clé publique, allez dans la rubrique en dessous et faites Exporter.

Evidemment, il faudra sinon fournir la clé publique à ses contacts en l’exportant et en l’envoyant de manière…sécurisée.

De l’autre côté chez votre destinataire, il faut intégrer la clé publique du compte protonmail en temps que clé authentifiée. Si elle est reçue dans Thunderbird en temps que fichier .asc joint, on peut faire une intégration par bouton droit sur la pièce jointe. Autant vous dire de ne pas faire ça avec vos correspondants Gmail, Outlook… Avec l’application protonmail android, vous pourrez également utiliser la configuration de ces contacts dans vos échanges mais impossible de modifier de l’application mobile.

Conclusion

Tout cela n’est pas simple au départ mais ces solutions s’utilisent comme des mails classiques ensuite. Je trouve dommage qu’aucune solution ouverte et simple n’existe sur mobile en dehors de ces deux prestataires. Il existe aussi des add-ons pour des webmails tels que Roundcube mais rarement mises en place. Car se pose alors le sujet de la sécurisation des clés et de l’export dans des bases. Sujet déjà polémique.

Bande son : Stevie Wonder - Signed Sealed Delivered

P.S. : Un petit exemple de fichier que l’on pourrait s’échanger par mail sécurisé dans un état qui serait dirigé indirectement par cet individu. C’est de la fiction bien évidemment…

Et on n’en verrai que cela : —–BEGIN PGP MESSAGE—–

wcDMA3RKTd8oDYd2AQv+O+eG/uR18uF9XAKQx+tF858ZpeBXzbwVpWRjrnCeAZpX681dtEHpLZcJ FM3DOB17iuOwAWNuFW4QjwhkggP+MlEsq6/QdMfdxu9+qLdKTsogQZhXriUuc8gCt23QMfgNqKeh TTaXQkJCnkqqef955R2RMbSoih4oYIOJE3Cp6p5MiuKL63wLw6grNIuek27iqWVnc24tMxi+fLbI 1Dee/UCM73KF/OmeuFRv9I3JWSIffcaAPlvxLbmfX4OsixoRxqg8QDCgcSuprKFkkr3KOmt1SGCP l0s8KGAQPJ1vUKNPx81jrB0CP3oLfqXgRaCCX8ENswgwysDT15zL8uZm+tg3MzQ/wHYV+HfqZ2hI atmBx34T6oF+kKfIrbvIfBj3H0Z9mjOd/sCwgbHbqvtf386S0SNn1cC7o6X0OnjMNcq20FHwOqLP nxv7bLB6YdUMgLj7i2dbDypJ944O6M/DblE3NYKMnFiC/t8FefDN6zkV7Jlx4qtUJlYQk/gh4ok0 wcDMA3RKTd8oDYd2AQwAq/dga1i1MM4tcEodg2tzQb0vZdtU12ayGNal9Dhr/anFvpyrhk/hc0Xl nZ5oc62dAFb/5ncFLKxHDHqyTcxNJZH+XKAE/1MjtSb9WIK+LHax7+g6RFAvewmVOJKZGY6cZWlZ jKbc0Zx+67UIYNAZt+vdm5/Nn5S8v+EgcIs8tcbysXXZfS+lO0HE7xowizC9kKKxUl/mCxKHKLzv BHPyiQRNFfM2X0TkmUOOgP2fMRiQ3BoMu5tNwIB98gB2H3pH3Ebwqj6Hp+jBgHlFOwNCTN5MeAmz +v1JDbsId2nfF33R48vOOOFRoUyfa4l3mbcIln0lHnV+xKk3dNoSf2YXxLNVaMJDqnTLOH+zK9Mt LPBraVb0PbpdX5RvPnjoGqswMbIXlH9/Kj5xswBKdrfsYK/dkHqMSc9eG+CCX240f26W7tLn3+Hq 0jXLjBpHpRyiQGLsg2GKlNYA2AEjbnGEVwOsPQiIeFEOk944xIYqdtfVXwxgDKwnTAhMRiq1nUZG 0u0BjpbehpyWeIgYlym2gQtrkKLRBv78TqDgEanEawtv6Gio3lrMJRY3e6B3MiYOx7HzKh9Inemc xrUpKzV4kuqXYeXt3iFqaQ+YowZ4Ghw4ExHBs etc….