Fiche pratique : confidentialité des courriels et des messages instantanés

Cette fiche fait partie d'un ensemble d'outils pour aller vers la démocratie.

Cette page est destinée aux débutants. Les noms usuels en anglais (ou jargon informatique) sont donnés en italique.

Sommaire :

  1. La protection des informations privées ou confidentielles
  2. Le minimum : une adresse de courriel privée
  3. Mieux : chiffrer les messages et les fichiers
  4. La messagerie instantanée
  5. Les textes partagés et la discussion

1. La protection des informations privées ou confidentielles

Que vous soyez engagé politiquement, syndiqué ou simplement un citoyen soucieux de préserver votre vie privée, un minimum (ou un maximum !) de précaution s'impose dans votre usage de l'outil informatique.
Un panorama des risques encourus dans l'usage de l'outil informatique, et des parades possibles est présenté dans la fiche sécurité informatique. En particulier la protection des adresses de courriel y est traitée au § 2.2.
La présente fiche se consacre uniquement à la question de la confidentialité des échanges de courriers électroniques (courriel / email) et de messages instantanés (chat).

Votre employeur, des entreprises commerciales, des escrocs, la police politique... nombreux sont ceux qui s'intéressent au contenu de nos échanges de messages. Toute information, et a fortiori toute information personnelle ou confidentielle, a une valeur. Elle donne a celui qui la possède un pouvoir sur vous. Les messages électroniques sont comparables à des cartes postales sans enveloppes. Ils sont parfaitement lisibles par toute personne ayant accès à leur lieu de stockage ou de passage (par exemple votre employeur). Ils peuvent être facilement interceptés par des personnes à l'affût d'informations.
(Les réseaux échelon et dcs1000 mis en place par la NSA interceptent et analysent automatiquement la quasi-totalité des messages échangés. En France le système s'appelle Hérisson)

La confidentialité des échanges est une condition nécessaire à un fonctionnement social démocratique. Seules des organisations totalitaires peuvent prétendre avoir droit de regard sur ce que vous lisez et écrivez.

A noter : vos mots de passe ne peuvent vous être demandés que dans le cadre d'une enquête judiciaire (pas dans un simple interrogatoire policier). A vous de décider alors si vous souhaitez ou non collaborer avec la justice.

1.1. Le maillon faible

En matière de sécurité ou de confidentialité, le niveau atteint correspond au niveau le plus bas de toute la chaîne. Ainsi il est illusoire d'adopter des mesures sécurisées si vous correspondez avec quelqu'un qui ne prend pas de précaution. Même en ce qui ne concerne que vous, vous devez veiller à la cohérence de l'ensemble des mesures que vous adopterez.

Par exemple, il est inutile d'utiliser une adresse de courriel personnelle si vous racontez votre vie au bar situé en face de votre lieu de travail... ou sur Facebook ! Il est inutile d'utiliser une adresse de courriel personnelle si vous envoyez un courriel privé à un collègue sur son adresse professionnelle. Il est inutile de chiffrer vos courriels si vos brouillons sont lisibles sur le disque dur de votre ordinateur professionnel ou dans le tiroir de votre bureau. Il est inutile d'utiliser une clé de chiffrement très longue si votre mot de passe est un mot du dictionnaire ou le surnom de votre chat.

Le passage vers des communications plus confidentielles doit donc être une démarche collective : elle doit impliquer l'ensemble de vos correspondants.

1.2. Le facteur humain

Les méthodes que nous présentons dans cette fiche ne sont que des solutions techniques à des problèmes techniques. En matière de confidentialité, le maillon faible sera le plus souvent humain. Tout le monde peut laisser échapper une indiscrétion, vous pouvez être trahi par une personne en qui vous aviez confiance, votre organisation peut être infiltrée, etc.

Aussi, préservez-vous de l'illusion de sécurité que pourrait vous donner l'usage de solutions techniques sophistiquées.

2. Le minimum : une adresse de courriel privée

Si vous êtes employé (ou étudiant), il est courant que votre employeur (ou votre établissement) mette à votre disposition une adresse courriel professionnelle. Cependant vous devez garder à l'esprit que tout courriel envoyé ou reçu à cette adresse peut être lu par votre employeur. De même que votre employeur peut avoir accès au contenu des disques des ordinateurs qu'il met à votre disposition.

Ainsi vous devrez utiliser une adresse privée pour vos échanges privés ou confidentiels, que ces échanges se fassent avec des collègues de travail ou avec des personnes extérieures.

2.1. Créer un nouveau compte de courriel privé

Exemple d'argumentaire pour un ensemble de collègues de travail souhaitant communiquer entre eux.

La confidentialité de nos échanges ne sera effective que si TOUS nos correspondants utilisent chacun un compte privé. (Le niveau de confidentialité et de sécurité est toujours celui du plus faible élément.) Ainsi, si une liste de discussion est utilisée, AUCUNE adresse professionnelle ne doit y être abonnée.
C'est donc collectivement que nous allons passer à l'utilisation d'un compte de courriel privé.

2.1.1. Consultation des courriels

Nous conserverons notre compte professionnel.
Nous créerons chacun un compte privé, hébergé sur le serveur d'un fournisseur de comptes de courriel.

Si vous souhaitez ne pas avoir à consulter deux comptes, il vous suffira de rediriger les courriels adressés à votre adresse professionnelle vers votre adresse privée. Ainsi tous vos courriels arriveront dans votre boîte privée. Dans ce cas, prévoir un compte privé d'une taille minimale de 500 Mo.
Vous pourrez consulter votre compte privé depuis n'importe quel accès Internet, grâce à l'interface (webmail) fournie par l'hébergeur du compte.

Si vous avez accès à Internet à votre domicile et que vous souhaitez que vos messages soient sauvegardés sur votre ordinateur(1), vous devrez installer un logiciel de messagerie (client) sur votre ordinateur(2).
Vous pourrez ensuite consulter vos courriels en choisissant l'une des deux méthodes possibles(3) :

Notes :

  1. Les messages déjà reçus seront ainsi aussi accessibles lorsque vous n'êtes pas connecté.
  2. Logiciel – libre – conseillé : Thunderbird, téléchargeable sur http://www.mozilla-europe.org/fr/products/thunderbird/
  3. Voir le comparatif des différentes méthodes ci-dessous.
  4. Penser à faire des sauvegardes fréquentes des messages stockés sur votre ordinateur.
Webmail, POP ou IMAP ?

Préférerez-vous vous contenter d'accéder à vos courriels via l'interface en ligne (webmail) ou trouverez-vous utile d'installer un logiciel client sur votre ordinateur ? Et dans ce dernier cas, vaut-il mieux se connecter à son compte avec le protocole POP ou le protocole IMAP ?
Voici un tableau comparatif pour vous aider à faire le choix qui vous convienne le mieux.

  Accès itinérant(1) Sauvegarde locale des courriels(2) Sauvegarde distante (sur serveur)(3) Besoin de stockage sur serveur(4) Interface Rapidité CONCLUSION
Webmail complet aucune complète important minimale, chiffrement moins automatisé interaction permanente avec le serveur Simple mais rudimentaire.
Rien à installer, absence de sauvegarde locale.
POP limité aux derniers messages, sans synchronisation complète non réduit riche et plus personnalisable téléchargement, puis travail en local, donc plus rapide Performant.
Faire des sauvegardes fréquentes de votre disque dur.
IMAP complet (votre ordinateur se synchronisera avec le serveur) complète complète important riche et plus personnalisable interaction permanente avec le serveur (néanmoins possibilité de travailler hors-ligne) Sûr. Adapté pour un usage itinérant régulier.

Notes :

  1. Accès à votre compte de messagerie depuis un autre ordinateur que le votre, via l'interface webmail. La synchronisation permet de répercuter dans le logiciel client installé sur votre ordinateur toutes les opérations effectuées via le webmail.
  2. Lorsque les messages sont stockés sur votre disque dur (logiciel client installé), en cas de changement de fournisseur (ou de panne irrécupérable du serveur) vous ne perdrez pas vos messages. Pensez à faire des sauvegardes régulières (sur un support externe) du répertoire de votre disque dur qui contient les messages.
  3. Lorsque les messages sont conservés sur le serveur, en cas de panne de votre disque dur, les messages traités depuis votre dernière sauvegarde ne seront pas perdus.
  4. Besoin qui engendre un coût financier et environnemental.

2.1.2. Choisir un hébergeur de compte de messagerie électronique

Le service fourni devra permettre la création d'alias (adresses de redirection)(1), offrir un webmail, supporter si besoin les protocoles SMTP(2), POP et IMAP, de préférence par des liaisons sécurisées. Enfin il devra offrir un espace de stockage en adéquation avec l'usage prévu (Cf. § précédent.)

Des hébergements gratuits mais encombrés de publicités (avec parfois des lignes de publicité ajoutées à la fin de vos messages) sont proposés par les sociétés commerciales dominant l'Internet. Ces sociétés ne sont pas particulièrement réputées pour leurs efforts de protection de la vie privée ni pour leur éthique. Certaines vont même jusqu'à analyser automatiquement le contenu de vos courriels pour vous proposer des publicités contextuelles (Google, Yahoo).
Lire : le piège de la pseudo gratuité.

Des hébergements associatifs, sans publicité, sont disponibles pour un tarif modique (voir tableau ci-après). De plus ils offrent en général un gestionnaire de liste de discussion. Ces associations "alternatives" portent une plus grande attention à la protection des données privées. Elles ne les utiliseront pas à des fins commerciales et ne les communiqueront que sur décision de justice.

Soit chaque personne souscrit individuellement un abonnement, soit nous souscrivons un abonnement collectif à un service offrant une grande taille de stockage, et nous créons ensuite plusieurs comptes de courriel qui se partageront l'espace alloué.

Tableau des offres des hébergeurs alternatifs indépendants(3)

Hébergeur(4) Service de courriel(5,6) Tarif annuel T.T.C. Autres services inclus
Association L'autre Net www.lautre.net @lautre.net (ou @mondomaine.tld) : 1500 Mo (stockage web inclus) 23 € Listes de diffusion, hébergement de site
Coopérative Ouvaton www.ouvaton.coop @ouvaton.org (ou @mondomaine.tld) : 1000 Mo (+1000 Mo de stockage web) 25 €, plus 10 € par tranche de 500 Mo. Listes de diffusion, hébergement de site
Association Toile libre www.toile-libre.org @singularity.fr (ou @mondomaine.tld si adhésion) : 1000 Mo (stockage web inclus)
Prix libre (adhésion à/p de 15 €) Listes de diffusion, hébergement de site
Gandi SAS www.gandi.net @mondomaine.tld : 1000 Mo (5 comptes) Inclus dans la location d'un nom de domaine (15 €) Hébergement de blog
Association APINC www.apinc.org @apinc.org : 200 Mo – vérifier que dispo pour messagerie 14 € Listes de diffusion, hébergement de site
Association Réseau citoyen www.rezocitoyen.org @rezocitoyen.org : 1 compte
Individus : 25 €, organisations : 60 €. Gratuité possible. Listes de diffusion, hébergement de blog
Association Kazar www.kazar.net @clients.kazar.net : 150 Mo ou à la carte – vérifier que non conditionné au webpack 90€ 10 € ou 0,036 € par Mo aucun
Association French Data Network www.fdn.fr @[truc.]fdn.fr : taille ? Inclus dans la fourniture d'accès à Internet Listes de diffusion, hébergement de site

Notes :

  1. Les alias sont surtout utiles pour limiter les conséquences d'un envahissement de pourriels (spams), ils permettent de changer d'adresse tout en conservant le même compte de courriel.
  2. SMTP est le protocole utilisé pour envoyer vos courriels depuis votre logiciel de messagerie.
  3. Dans le cas d'un abonnement groupé, il est certainement possible de négocier des conditions particulières.
  4. Ce sont des hébergeurs qui proposent des services multiples, parmi lesquels l'hébergement de courriels.
  5. Tous les hébergeurs sélectionnés ici offrent - en principe - un webmail, un accès sécurisé, des alias et les 3 protocoles nécessaires au logiciel client de messagerie.
  6. Si vous possédez votre propre nom de domaine, votre adresse sera du type moi@mondomaine.tld, quelque soit l'hébergeur.

Remarques :

3. Le maximum : chiffrer les messages et les fichiers

3.1. Les principes

Les entreprises commerciales, les gangsters, la police chiffrent leurs communications. Et vous ?
Peut-être que vous vous dites : "je n'ai rien à cacher". Pourtant, acceptez-vous d'être sollicité en permanence par des publicités et des arnaques ? Acceptez-vous que tous les détails de votre privée puisse être connus de tous, et se retrouver dans d'innombrables fichiers - policiers ou commerciaux - qui vous suivront toute votre vie ? Adhérez-vous sans réserve à toutes les évolutions politiques possibles ?

Chiffrer ses courriels est une opération simple : des logiciels automatisent les procédures. Une fois ceux-ci installés, la seule chose que vous aurez à faire sera de taper un mot de passe de temps à autre. Le chiffrage des courriels peut et devrait devenir une opération banale. (On parle aussi - improprement - de "cryptage".)

3.1.1. Quels messages chiffrer ?

Si un message chiffré ne peut être lu que par son (ou ses) destinataire(s), par contre on peut savoir avec qui vous échangez des messages chiffrés. Il faut donc prendre l'habitude de chiffrer systématiquement le maximum de messages avec le maximum de correspondants de façon que les messages vraiment sensibles soient noyés dans la masse de vos communications ordinaires. Vous devrez donc convaincre le maximum de vos correspondants habituels de prendre eux-mêmes cette habitude. De façon plus générale, plus il y a de gens qui chiffrent systématiquement leurs messages plus cela protège les gens qui en ont un besoin vital (les dissidents politiques, les journalistes d'investigation, etc.).

Remarques :

3.1.2. Le chiffrement asymétrique

Si vous transmettez des informations sensibles, il est donc indispensable de chiffrer (encrypt / cypher / cipher) vos messages. Pour cela vous devez utiliser un logiciel de génération de clés (keys) et de chiffrement/déchiffrement (encryption/decryption). Les clés peuvent aussi servir à signer (authentifier) vos messages pour éviter l'usurpation d'identité.

Le logiciel génère une paire de clé : une clé privée (private key) et une clé publique (public key). Les clés sont des séquences de caractères stockées dans des fichiers.

La métaphore du cadenas : la clé publique est un cadenas, la clé privée ouvre le cadenas. Pour recevoir des messages chiffrés, vous devez diffuser votre clé publique à vos correspondants. Ceux-ci chiffrent leurs messages avec votre clé publique (ferment l'enveloppe avec le cadenas). Vous êtes alors le seul à pouvoir les lire (ouvrir le cadenas avec votre clé privé).
Inversement pour pouvoir envoyer un message chiffré à un correspondant, vous devez disposer de sa clé publique. L'ensemble des clés (les vôtres + les clés publiques de vos correspondants) sont regroupées dans un trousseau de clé (keyring), qui est un dossier informatique.
Un message peut être destiné à plusieurs destinataires : il est alors chiffré avec l'ensemble des clés publiques et peut être lu à l'aide de chacune des clés privées correspondant (ici la métaphore du cadenas n'est pas pertinente, on peut s'imaginer que chaque clé publique est une porte d'accès. Le message comporte plusieurs portes, chacune ayant une serrure différente).
La clé privée est elle-même protégée par un mot de passe long (une "phrase de passe", passphrase), ce qui vous protège en cas de vol de votre ordinateur.

Le chiffrement peut tout aussi bien s'appliquer à des fichiers de données.

Remarque : dans le cas du chiffrement symétrique, c'est la même clé (privée) qui permet de chiffrer et de déchiffrer. Cela ne convient que si vous êtes la seule personne à accéder au fichier.

3.1.3. La signature numérique

Un fichier ou un message est signé à l'aide de votre clé privée. Une personne qui le reçoit peut vérifier - à l'aide de votre clé publique - que la signature est valide (c'est à dire que le fichier ou le message a bien été émis par vous et n'a fait l'objet d'aucune modification par la suite).

En général, si vous envoyez un message chiffré, vous le signerez en même temps.

3.2. Les outils logiciels

En matière de chiffrement, seules les solutions libres sont fiables. (En effet le code source est accessible à tous. A l'inverse rien ne garanti qu'un logiciel propriétaire ne cache pas dans son code - par exemple à la demande des services secrets - un "passe-partout" permettant de tout déchiffrer !)

Le standard libre en matière de chiffrement est OpenPGP (PGP = Pretty Good Privacy), il est implémenté en particulier dans le logiciel libre GnuPG (Gnu Privacy Guard). Ce logiciel peut servir aussi bien à chiffrer des fichiers que des courriels. Il peut être installé seul, néanmoins vous aurez le plus souvent besoin d'une interface graphique (GUI frontend) pour l'utiliser.

Tableau : liste d'outils que nous avons testés.

Logiciel Téléchargement Usage
GnuPG

www.gnupg.org

Logiciel de chiffrement et signature. Consulter la liste des interfaces.
WinPT

wald.intevation.org/projects/winpt/

GnuPT est un installateur qui inclut GnuPG + WinPT :
winpt.gnupt.de/int/?page_id=10
Vous pourrez aussi installer en plus "GnuPT update checker" qui vérifiera s'il existe une version plus à jour de GnuPT.

Interface pour Windows. Permet de gérer les clés et de chiffrer/signer des fichiers.
GPGee gpgee.excelcia.org Intégration dans l'explorateur Windows (gestionnaire de fichiers). Permet de chiffrer/signer des fichiers via le menu contextuel.
Enigmail enigmail.mozdev.org Intégration dans le logiciel client de messagerie Mozilla Thunderbird. Permet de gérer les clés et de chiffrer/signer les courriels.
FireGPG fr.getfiregpg.org Intégration dans le logiciel de navigation Mozilla Firefox. Permet de gérer les clés et de chiffrer/signer des textes en ligne.

Remarques :

3.2.1. Mise en place des outils

Pour le chiffrement de fichiers sur votre ordinateur
  1. Installez GnuPG + une interface + l'intégration dans le gestionnaire de fichiers (par exemple, pour Windows : installez GnuPT + GPGee).
  2. Installez Eraser (pour Windows - voir remarque ci-dessous).

Important : lorsque vous chiffrez un fichier présent sur votre disque dur (ou sur un autre support), cela crée une copie chiffrée (extension .pgp ou .gpg). Si votre logiciel n'efface pas automatiquement, de façon sécurisée, la version lisible du fichier, vous devez le faire vous même. De même, lorsque vous déchiffrez un fichier, celui-ci va être copié de façon lisible sur votre disque dur (ou sur votre clé USB). Après en avoir pris connaissance vous devrez effacer la version lisible. Attention : un fichier effacé simplement de votre système de fichiers est assez aisément récupérable, même s'il a été supprimé de la corbeille. Vous devez donc utiliser un logiciel d'effacement spécialisé (tel que le logiciel libre Eraser - lien vers la notice Framasoft) qui va réécrire des séquences aléatoires sur la zone du disque qui contenait le fichier.

Remarques : Il existe aussi des outils permettant de chiffrer des partitions entières.

Pour le chiffrement de courriels

Si vous disposez de votre propre ordinateur et d'une connexion Internet :

  1. Installez GnuPG.
  2. Installez Thunderbird (logiciel client de messagerie) et son extension Enigmail.

Si vous vous connectez à Internet sur d'autres machines :

Chiffrement des pièces jointes

Les fichiers qui sont transmis par courriels en pièce jointe sont chiffrés/signés automatiquement en même temps que le courriel. Enigmail vous permet de gérer les pièces jointes selon deux modes différents :

Avec la fonctionnalité PGP/MIME*, le courriel et les pièces jointes sont chiffrés/signés d'un bloc.
Un fichier joint ne reste chiffré que tant qu'il est attaché au courriel. Si vous l'enregistrez sur le disque, il sera d'abord déchiffré.
* Tous les logiciels de messagerie ou webmails ne supportent pas cette fonctionnalité : vérifiez avec vos correspondants.

Sans l'option PGP/MIME, le courriel et chaque pièce jointe sont chiffrés/signés séparément.
Les pièces jointes chiffrées (.pgp ou .gpg) peuvent être enregistrées sur le disque en restant chiffrées.
Lorsque le courriel est simplement signé, un fichier signature .sig est généré pour chaque pièce jointe, vous devez vérifier manuellement chaque signature - après avoir enregistré la pièce jointe et sa signature sur votre disque - avec GPGee ou WinPT.
Attention : ce mode est mal adapté au transfert de pièces jointes. Si vous voulez transférer une pièce jointe chiffrée à un nouveau destinataire, il faut d'abord l'enregistrer, la déchiffrer puis l'inclure dans le message.

3.2.2. Opérations préliminaires

Créer une paire de clé

Cela se fait avec le gestionnaire de clé (key manager) inclus dans votre interface (par ex. WinPT ou Enigmail).
Pour votre clé privée vous devrez choisir un mot de passe long. Le mot de passe pourra être changé par la suite.

Nous vous recommandons un minimum de 16 caractères dont au moins un caractère spécial (non alphanumérique).
Diceware est une méthode manuelle pour créer des phrases de passe efficaces (longues) et simples à mémoriser.

Sauvegardez votre clé privée en un lieu sur : si vous la perdez vous ne pourrez plus rien déchiffrer !

Remarques :

Générer un certificat de révocation

Diverses raisons peuvent faire qu'une paire de clé ne soit plus utilisable (compromise) : vous avez oublié le mot de passe de votre clé privée, votre clé privée a été volée ou copiée, votre mot de passe a été volé.

Dès que vous vous apercevez que vos clés sont compromises, vous devez en informer vos correspondant. Cela se fait en leur transmettant un certificat de révocation (un fichier .asc) qu'ils importeront dans leur trousseau de clé, ce qui aura pour effet d'invalider (révoquer) votre clé publique.
Le certificat de révocation doit être généré tant que vous vous souvenez encore de votre mot de passe ! Il doit ensuite être gardé en réserve.

Remarques :

Transmettre et obtenir une clé publique

La clé publique est une séquence de caractère, elle peut être copiée sur une autre page web ou plus simplement se présenter sous la forme d'un fichier ASCII blindé (armored) d'extension .asc. La clé doit être importée dans votre trousseau de clé (via le menu contextuel ou votre gestionnaire de clé). Il existe des serveurs de clé publique où vous pouvez trouver les clés des personnes qui les y ont publié.

Une clé comporte un identifiant (id) et une empreinte (fingerprint - une séquence de chiffres et de lettres qui caractérise la clé). La clé inclut une ou plusieurs identités (adresses de courriels), voire même votre photo. Par exemple la clé du MIEL est disponible sur notre page contact.

Vous pouvez soit publier votre clé publique sur un serveur de clé (via votre gestionnaire de clé ou directement sur le site Internet du serveur) : toute personne qui connaît votre adresse de courriel peut l'y trouver (la recherche peut se faire via le gestionnaire de clé), ou bien transmettre directement votre clé à certaines personnes.
L'avantage de la solution serveur est qu'en cas de modification de votre clé vous n'aurez à la réexpédier qu'une fois. Vos correspondants pourront la rafraîchir automatiquement via le serveur.

Vérifier la validité de la clé

Vous vous êtes procuré une clé publique, mais comment être sur que c'est bien la clé de la personne avec qui vous voulez correspondre, et non pas celle d'un usurpateur ? Pour cela vous devez vérifier que l'empreinte de la clé correspond bien à l'empreinte que votre correspondant vous a indiqué.

Si vous connaissez personnellement votre correspondant, il devrait vous transmettre l'empreinte en main propre ou de vive voix (au téléphone). L'empreinte peut également être publiée sur une page web. Il faudra alors que le responsable du site s'assure que la page n'est pas piratée. (L'extension Update scanner pour Firefox permet de surveiller automatiquement les mises à jour d'une page web donnée.)

Attribuer un niveau de confiance au propriétaire de la clé

Après vous être assuré de la validité de la clé, vous pouvez indiquer quel confiance vous avez en la personne. S'agit-il d'une personne précautionneuse ? Est-elle susceptible de vous trahir ?

Signer une clé publique ; réseau de confiance

Vous indiquez le niveau de validité d'une clé publique, ainsi que le niveau de confiance dans son propriétaire, en signant celle-ci avec votre propre clé. Cette signature peut-être exportable. Dans ce dernier cas, si vous (ou le propriétaire) retransmettez la clé publique à une autre personne, cette dernière verra quel niveau de validité/confiance vous lui avez attribué (à vérifier). La confiance dans une clé pourra donc se trouver renforcée si elle est signée par diverses personnes en qui vous avez vous-même confiance. C'est ce qu'on appelle un réseau de confiance (web of trust).

Sauvegardez régulièrement votre trousseau de clé sur un support externe.

3.2.3. Chiffrer et signer

Faites quelques tests : chiffrez et déchiffrez un fichier. Signer et vérifiez un fichier. Envoyez vous à vous-même un message chiffré et/ou signé avec pièce jointe. Faites un test avec une autre personne.

Vous pouvez maintenant chiffrer/déchiffrer/signer/vérifier des fichiers, des textes et des courriels. Grâce à l'intégration de GnuPG dans l'explorateur de fichier et dans votre logiciel de messagerie, ceci ne nécessite qu'un clic sur un bouton ou dans un menu, ou même peut se faire sans intervention de votre part. Ainsi vous pouvez, dans Enigmail, définir diverses options pour - entre autre - ne pas avoir à retaper votre mot de passe trop souvent, déchiffrer et vérifier automatiquement, chiffrer/signer automatiquement ou non les messages en fonction des destinataires (règles).

Il ne vous reste maintenant plus qu'à...

3.2.4. Amener vos correspondant à utiliser ces possibilités

Expliquer - convaincre - aider : le présent document devrait vous permettre de sensibiliser votre interlocuteur. Si vous le pouvez faites une démonstration. Si la personne accepte le principe mais qu'elle ne se sent pas sure d'elle pour effectuer les installations et opérations préliminaires, proposez-lui de le faire pour elle.
Téléchargez notre support de formation (travaux pratiques : chiffrement).

Une ligne sous votre signature avec un lien vers cette page (ou une autre) - voire votre clé publique en pièce jointe -, si elle n'entrainera pas directement une prise de conscience, contribuera à ce que l'idée du chiffrement fasse son chemin.

Liens : plus de détails et d'autres fiches pratiques concernant le chiffrement OpenPGP sur cette page (lien vers la Fédération Informatique et Liberté vie-privee.org) ou celle-ci (lien vers OnPeutLeFaire). On encore ce tutoriel détaillé.

Note juridique : actuellement (2012) en France, l'utilisation du chiffrement est libre. Mais la législation peut évoluer. Consultez le site officiel du gouvernement

4. La messagerie instantanée

4.1. Compte de messagerie instantanée

Comme le courrier électronique, la messagerie instantanée (IM ou chat) est un service qui peut être utilisé directement en ligne (sur le web) ou à travers un logiciel client installé sur votre ordinateur.
A la différence du courrier électronique, il existe un grand nombre de réseaux de messagerie instantanée, la plupart étant incompatibles entre eux (propriétaires et fermés).

Les services de messagerie instantanée intégrés dans les réseaux sociaux ou fournis par des sociétés commerciales n'offrent aucune confidentialité.
Créez un compte personnel sur le réseau décentralisé Jabber, utilisant le procotole standardisé XMPP : voir notre fiche pratique XMPP.

4.2. Chiffrer les communications

Comme pour le courriel, le chiffrement assure la confidentialité et l'intégrité des messages ainsi que l'authentification du correspondant. Par contre l'anonymat n'est pas assuré.

4.2.1. Chiffrement par le logiciel client

Le chiffrement des communications par messagerie instantanée se fait grâce au plug-in OTR (Off-the-record) qui est intégré - ou s'installe en complément - dans la plupart des logiciels libres de messagerie instantanée. Toutefois ce chiffrement ne s'applique qu'aux échanges en direct. Si des messages restent stockés sur votre disque dur (historique) ils ne seront pas chiffrés et peuvent faire l'objet d'une falsification a posteriori.
Il est également possible d'utiliser OpenPGP avec certains logiciels.
Comme pour le chiffrement des courriels, le dispositif doit être activé par les deux correspondants.

Informations détaillées, par logiciels sur free.korben.info

4.2.2. Service de messagerie instantanée en ligne chiffrée

Crypto.cat chiffre les communications depuis le navigateur web. Il nécessite l'ajout d'une extension (add-on) du navigateur. Il ne nécessite pas la création d'un compte, mais n'assure pas pour autant l'anonymat. Aucun historique n'est conservé.
L'un des deux correspondants initie la conversation sur son navigateur web et l'autre s'y connecte sur son navigateur web.

4.3. Messagerie instantanée anonyme et chiffrée

TorChat est un service caché du réseau TOR (voir fiche confidentialité, §2). Il s'utilise par l'intermédiaire du logiciel client TorChat. Page explicative en français sur free.korben.info.

5. Les textes partagés et la discussion

Zerobin est un logiciel serveur qui permet de partager des textes (sur le modèle de pastebin) et de discuter, de façon anonyme et chiffrée. Les textes et discussions ont une durée de vie limitée dans le temps. Le chiffrement se fait automatiquement depuis votre navigateur web.
Vous pouvez installer Zerobin sur votre serveur ou utiliser le service mis à disposition par son créateur SebSauvage.


Cette fiche peut être améliorée grâce à vos contributions : nous contacter.

Retour au dossier informatique libre                            Vers les autres fiches pratiques


Mouvement International pour une Ecologie Libidinale (M.I.E.L.) - www.ecologielibidinale.org - Dernière mise à jour le 26 février, 2014
copyleft paternité - non commercial - partage s/s conditions identiques, pour tous les textes de ce site (sauf mention contraire).