Nous avions tout sous la main pour chiffrer nos échanges, et on a laissé les GAFAM nous bouffer la laine sur le dos. Alors que GPG est là hein !

Vendredi soir, le médecin nous appelle pour un résultat d’analyse qui nécessite une prise de médicament le lendemain. Il est 19 h 40, le médecin est vraiment sympa de prendre du temps pour nous, et nous envoie l’ordonnance par mail. Loin de moi l’idée de lui casser du sucre sur le dos, bien au contraire, car il nous dit au téléphone “je déteste faire ça hors messagerie sécurisée, mais là, c’est assez urgent du coup je vous l’envoie sur votre mail directement”.

Soyons clairs, on a accepté sans broncher, et cela ne nous a pas dérangé plus que ça. C’est après coup que j’ai réfléchi à cette situation aberrante.

Précision importante : cet article n’est pas une critique de ce qu’a fait le médecin. Encore une fois, il l’a fait avec notre accord et nous sommes conscients de ce que nous avons fait. Ma réflexion est générale, cela va au-delà d’un mail d’un médecin. J’ai déjà eu cette réflexion pour des échanges avec des clients, des amis, etc. En clair, je trouve cela ubuesque que nous ayons laissé tomber le chiffrement de nos mails. Vraiment, c’est une aberration.

Laissez-moi vous expliquer ce qui était, il y a plus de 20 ans, assez commun, et qui a disparu de nos habitudes.

Avant

Oui, avant, les “webmail” existaient déjà.

Un WebMail, c’est un site web sur lequel vous pouvez lire et envoyer des mails. Or, le web était plus “pauvre” et les navigateurs moins puissants. Du coup, on utilisait des logiciels spécifiques pour récupérer nos mails.

Si, si… souvenez-vous… Outlook, Thunderbird, Evolution, etc. ces noms vous parlent ? Si oui, vous avez plus de 35 ans.

Ces logiciels, on les configurait pour se connecter à un serveur mail, et on récupérait nos mails. C’était simple (ça demandait un peu de configuration, mais c’était simple). Mais surtout, ça offrait des fonctionnalités plus élaborées que ce que proposaient les WebMail.

Et notamment, le chiffrement par pair de clef, avec GPG.

Je ne me souviens plus vraiment comment j’en était venu à activer ça alors que je n’étais absolument pas informaticien, mais c’était une évidence que je voulais, parfois, envoyer des messages sans que personne d’autres que le destinataire ne puisse les lire.

Et quand j’ai vu “confidentialité” dans les options de Thunderbird, j’ai cliqué dessus. Voilà.

Alors, clairement, je n’avais pas compris tout le fonctionnement, mais j’avais compris la base : si je chiffre pour un destinataire, alors si quelqu’un au milieu essai de lire le message, il ne pourra pas.

C’est simple, c’est posé, c’est compréhensible.

Chiffrement par paire de clefs

Alors, si vous voulez avoir la base de la base, même si vous n’êtes pas obligés de tout comprendre, voilà comment ça se passe :

Au début :

• vous configurez une “paire de clefs” : une clef publique et une clef privée, elles sont liée entre elles,
• vous donnez votre clef publique à vos contacts, voire au monde entier, c’est fait pour ça,

Et ensuite :

• les gens vous envoient des messages chiffrés avec votre clef publique,
• vous déchiffrez les messages avec votre clef privée,
• et c’est “automatique” : vous n’avez rien à faire, c’est transparent pour vous si vous utiliser un client mail qui supporte GPG (genre Thunderbird)

Et inversement, pour envoyer un message chiffré, vous prenez la clef publique de votre destinataire, vous chiffrez le message avec cette clef, et vous envoyez le message.

Et c’est en fait automatique. Vraiment vous n’avez pas à chercher comment faire. Vous allez voir ma capture d’écran plus loin c’est vraiment simple.

Thunderbird, le client mail

Thunderbird rendait cette opération super simple. Vous cliquiez sur un bouton pour générer une paire de clefs, et puis voilà.

Quand vous enoyez un message à un contact qui n’a pas encore votre clef publique, et bien Thunderbird l’injecte dans le mail pour vous. Le destinataire n’a plus qu’à cliquer sur un bouton pour l’ajouter à sa liste de clefs publiques. Et à partir de là, vous pouvez lui envoyer des messages chiffrés.

Et c’est encore le cas aujourd’hui !

Ce que je vous raconte existe depuis des années, et ça n’a jamais disparu.

On se foutait de savoir si le mail était chez Hotmail, Gmail, Yahoo, ou chez le fournisseur de mail de Bob. On savait que le message était chiffré, et que seul Bob pouvait le lire.

Ouais, mais ça ne plaisait pas à Google, Microsoft, Yahoo, etc…

La suite après la pub

Et oui parce que, si le message est illisible par tout le monde à part Bob, comment Google peut lire le message pour vous proposer de la pub ciblée ?

Et comment il peut vous dire “hého, je sais que t’as rendez-vous chez le proctologue, je te propose une promo sur les suppositoires” ? Comment il peut faire ça s’il ne peut pas lire le message ?

Donc, Gmail a tout simplement refusé de supporter le chiffrement par paire de clefs sur le WebMail… Simple, basique.

Et comme la grande majorité des gens utilisent le WebMail, et bien personne n’a accès à un petit bouton pour “chiffrer” le message.

Sauf si vous avez un plugin, mais c’est une autre histoire.

Et alors, pour mon médecin ?

Eh bien, c’est là que c’est fou. Mon médecin doit certainement payer un truc pour chiffrer des messages et nous permettre d’y accéder - c’est potentiellement compliqué à gérer.

Si le chiffrement GPG était resté une norme, il n’aurait rien eu à faire. Il aurait chiffré le message pour moi et moi seul, et je l’aurais déchiffré avec ma clef privée.

Thunderbird retient les clefs publiques des contacts, donc il chiffre automatiquement avec la bonne clef.

Le tout est absolument transparent pour l’utilisateur hein ! Pas la peine d’être ingénieur.

Juste pour que vous voyez le résultat

Je me suis envoyé un mail chiffré à moi-même.

Et sur Gmail, c’est impossible à lire !

Et si je tente d’ouvrir le fichier “encrypted.asc”, j’obtiens ça :

Ce fichier, Thunderbird sait l’utiliser comme un grand, il prend ma clef privée et le déchiffre. Je n’ai rien à faire moi-même, c’est automatique.

Ce que je veux dire, c’est que sur Thunderbird, je vois mon message comme n’importe quel autre message !

Vous remarquez, en haut à droite, l’icône “OpenGPG” qui indique que le message est sûr et bien chiffré.

Et les autres ?

C’est vrai, on ne passe pas son temps à envoyer des secrets à nos contacts. N’est-ce pas ?

En fait… si. En soit, tout doit être un secret.

Si vous vous posez deux secondes sur la question, vous allez vous rendre compte que tous les messages que vous envoyez sont des secrets.

D’abords, au niveau professionnel. Combien de mails recevez-vous avec des informations sensibles ? Je ne parle pas nécessairement de mots de passes, mais des données qui parlent de l’entreprise, d’un projet dont on n’aimerait pas qu’une boite d’informatique nous pique les idées. Et c’est là que ça fait peur, c’est que beaucoup de nos clients utilisent Office 365, avec un Outlook en ligne, avec Microsoft qui peut analyser le contenu des messages.

Encore une fois, la faute à qui ? Quand une entreprise comme Microsoft vous promet monts et merveilles avec leurs outils, et un Copilot qui lit tout ce qui se passe, on ne peut pas s’étonner que les gens utilisent ces outils. Et donc, on ne chiffre rien. Et Microsoft est content.

Et puis, il y a les mails personnels. Combien de fois avez-vous envoyé des photos de vos enfants, de votre famille, que Google se délecte pour (on ne sait pas hein) entrainer son IA, analyser le contenu pour afficher de la pub, etc. Et si ces données fuitaient ? Si, comme beaucoup trop de gens, vos mots de passes étaient faibles ? Et bien vous mettez en danger vos photos, et les photos qu’on vous envoie.

Et ce n’est pas que pour les mails

Comme je le disais, GPG est utilisé pour chiffrer des fichiers, des messages, des connexions, etc. C’est un outil génial qui est toujours dans les outils des informaticiens, mais qui a été abandonné par le grand public.

C’est bête, c’est dommage.

GPG, avec une simple ligne de commande, ou avec des outils à la souris, c’est un truc vraiment intelligent et efficace. Pour vous donner une idée des utilisations que j’en ai:

• J’ai fourni ma clef à un client pour qu’il chiffre un mot de passe à me donner pour me connecter à une base de données
• signature des logiciels que je publie afin d’assurer que ce que les gens téléchargent ne peuvent provenir que de moi (si le test de signature échoue, c’est que le fichier a été modifié par quelqu’un d’autre)
• chiffrement de fichiers sensibles que je stocke sur le cloud (oui, je stocke des trucs sur le cloud, mais chiffrés)
• chiffrement de mails, bien entendu
• etc.

Conclusion

Installez un client mail, utilisez le chiffrement en créant une paire de clefs (franchement, suivez juste le guide dans la configuration de Thunderbird, c’est simple), et envoyez vos mails chiffrés.

Si tout le monde arrêtait d’utiliser des WebMail, et utilisait des clients mail qui supportent le chiffrement, on réglerait un nombre incalculable de problèmes.

• Fini les messageries sécurisées pour chaque service, difficile à lire, à utiliser sur le net, et à maintenir. On pourrait simplement envoyer un mail à la CAF, la CPAM, la banque, etc.
• fini d’avoir des pubs au milieu des messages, et de se demander pourquoi Google affiche des pubs à propos d’un cadeau dont on parle en famille par mail pour un anniversaire,
• fini de se poser la question “comment je t’envoie le mot de passe ?”
• fini de se demander si le message provient bien de la personne indiquée, genre si j’ai la signature GPG de mon banquier, personne ne peut se faire passer pour lui,
• etc.

GPG est libre, très utilisé dans le monde informatique (par exemple, on signe nos travaux Git, s’en sert pour valider des dépôts de logiciels, etc.), et très simple à utiliser.

GPG, ça sert à chiffrer et à signer. Je ne vais pas tout expliquer dans cet article déjà un peu trop long, mais vous pouvez :

• envoyer un message en clair, mais assurer que c’est vous et personne d’autre qui a bien écrit cela
• envoyer un message chiffré, que seul le destinataire pourra libre
• ou ne rien faire, et envoyer un message en clair

C’est inclut par défaut sur Linux, c’est intégré à Thunderbird pour Windows, Linux, Mac, mobile, et ça marche du feu de dieu.

Non, vous n’avez pas besoin d’être informaticien pour chiffrer vos mails, installez Thunderbird et aller dans les paramètres de votre compte, dans “confidentialité”, et cliquez sur “Gérer les clefs”. POINT !

Il vous suffit d’installer Thunderbird, de cliquer sur un bouton pour générer une paire de clefs, et c’est tout bon sang…

Et il existe bien entendu d’autres clients mail que Thunderbird. C’est juste que c’est, à ma connaissance, le seul qui ait une intégration aussi simple de GPG, qui répond à 99% des besoins et qui soit largement documenté.