Avec autant d'inquiétude concernant la surveillance gouvernementale, l'espionnage des entreprises et le vol d'identité au quotidien, il peut sembler surprenant que si peu de gens utilisent des messages électroniques cryptés. Essayez d'utiliser un e-mail chiffré et vous trouverez qu'il est difficile et compliqué d'utiliser.
Les e-mails chiffrés sont un casse-tête à gérer. Vous pourrez peut-être gérer la complexité, mais les personnes avec lesquelles vous souhaitez communiquer doivent également la gérer.
Crypter vos propres e-mails par rapport aux services de messagerie cryptés
EN RELATION: Qu'est-ce que le cryptage et comment fonctionne-t-il?
Nous faisons ici une distinction entre deux types de cryptage des e-mails. Certains services prétendent offrir email crypté facile . Ils géreront le chiffrement pour vous de leur côté, en vous débarrassant de tous les désagréments liés à la gestion des clés de chiffrement. Si vous envoyez des e-mails chiffrés entre deux comptes en utilisant le même service, les e-mails chiffrés resteront sécurisés dans le service lui-même.
Cela semble tentant, mais cela ouvre une grande faiblesse. Vous faites confiance au service pour gérer votre cryptage, et des services comme Lavabit ont été contraints par les gouvernements d'autoriser l'accès aux e-mails cryptés de leurs clients. Le gouvernement américain a même exigé les propres clés privées de Lavabit, leur permettant d'accéder aux e-mails cryptés de tous les clients.
Si vous souhaitez vraiment communiquer en privé et en toute sécurité, vous souhaiterez vous-même gérer le cryptage des e-mails. Cela signifie générer vos propres clés de cryptage et les protéger au lieu de les stocker avec un service de messagerie crypté.
Fonctionnement du chiffrement des e-mails
Nous pensons généralement au cryptage PGP lorsque nous pensons au courrier électronique crypté, mais il existe d'autres normes comme la fonctionnalité de cryptage S / MIME intégrée à Microsoft Outlook. Lorsque vous utilisez PGP, vous disposez d'une clé publique et d'une clé privée. Vous donnez la clé publique aux personnes qui souhaitent vous envoyer un e-mail. Ils utilisent la clé publique pour crypter leur e-mail, et vous ne pouvez déchiffrer leur e-mail qu'avec votre clé privée. Par conséquent, pour utiliser PGP, vous devez générer une paire de clés publique / privée, protéger votre clé privée et donner votre clé publique à quiconque souhaite vous envoyer un e-mail. La personne avec laquelle vous communiquez devra également comprendre comment chiffrer, envoyer, recevoir et déchiffrer des e-mails chiffrés et aura besoin de sa propre paire de clés.
Le contenu de l'e-mail apparaît comme du charabia aléatoire, tout comme le contenu d'un fichier chiffré apparaît comme des données absurdes et sans signification jusqu'à ce que le fichier soit déchiffré.
Notez qu'une grande partie d'un e-mail n'est pas sécurisée même si vous utilisez un e-mail chiffré. La ligne d'objet, les champs À et De sont généralement envoyés non chiffrés, de sorte que les agences de surveillance qui surveillent le trafic Internet peuvent surveiller qui communique avec qui et même voir l'objet de chaque e-mail. Le chiffrement des e-mails est un correctif au-dessus d'un système non chiffré, chiffrant uniquement le corps du message.
Comment vous utilisiez réellement les e-mails chiffrés
Peu importe la théorie. Voici comment utiliser les e-mails chiffrés.
La plupart des gens ont tendance à utiliser des services de messagerie Web tels que Gmail, Outlook.com et Yahoo! Courrier. Cette fonctionnalité n'est pas intégrée à ces services (bien que la rumeur dit que Google travaille sur l'intégration du chiffrement PGP dans Gmail). Vous devrez utiliser une extension de navigateur pour ce faire. Mailvelope semble fonctionner, offrant un support PGP qui fonctionne sur les sites de messagerie Web comme Gmail. Vous en aurez besoin dans votre navigateur Web pour utiliser le cryptage des e-mails.
Cette fonctionnalité n'est pas non plus intégrée aux applications mobiles associées. Bien sûr, vous pouvez accéder à ce message électronique crypté dans votre navigateur Web avec une extension, mais comment le lisez-vous sur votre smartphone? Vous aurez besoin d'une application dédiée pour ce faire. Vous ne pouvez pas simplement utiliser l'application Gmail ou l'application Mail standard fournie avec votre téléphone. K-9 Mail offre le support PGP sur Android si vous avez également APG installé, par exemple.
Les choses sont compliquées même lorsqu'il s'agit de clients de messagerie de bureau qui devraient être en mesure de mieux l'intégrer. Par exemple, Microsoft Outlook possède une fonctionnalité intégrée pour signer et crypter numériquement les e-mails, mais il utilise S / MIME et n'est pas compatible avec PGP.
L'utilitaire le plus populaire pour crypter les e-mails est le Extension Enigmail pour Mozilla Thunderbird . Mozilla a arrêté de développer Thunderbird et pourrait l'interrompre un jour, ce n'est donc pas une solution idéale. L'extension Enigmail intègre OpenPGP dans le client de messagerie de bureau Thunderbird, vous offrant ainsi les options de génération de clé, de cryptage et de décryptage dont vous avez besoin. Vous devrez installer le Garde de confidentialité GNU (GnuPG) logiciel séparément.
Vous ne pourrez utiliser des e-mails chiffrés que dans un client prenant en charge PGP. Même lorsque vous utilisez Thunderbird, vous devrez réfléchir à ce que vous ferez si vous devez accéder à ces e-mails dans un navigateur Web, sur votre smartphone, sur votre tablette ou sur tout système sans votre clé privée.
Les problèmes avec les e-mails chiffrés
Voici un bref résumé de ce que vous ferez l'expérience lors de l'utilisation d'e-mails chiffrés:
- Vous devez comprendre le fonctionnement du chiffrement par clé publique-privée, générer une paire de clés et fournir votre clé publique à la personne avec laquelle vous souhaitez communiquer.
- Les autres personnes avec lesquelles vous souhaitez communiquer doivent également comprendre et faire toutes ces choses.
- Les deux personnes doivent garder leurs clés privées en sécurité afin qu'elles ne soient pas compromises ou perdues. Dans ce cas, vous perdrez l'accès aux e-mails. Vous devez également conserver votre certificat de révocation car il peut invalider votre clé publique si jamais vous perdez votre clé privée.
- Vos clés privées doivent être cryptées avec une phrase de passe sécurisée dont vous devez vous souvenir, qui est distincte du mot de passe de votre compte de messagerie.
- Vous devez vous assurer que vous utilisez tous les deux la même norme de chiffrement des e-mails, qu'il s'agisse de PGP, de S / MIME ou d'une autre norme.
- Vous devez utiliser une solution tierce - une extension de navigateur, une application pour smartphone ou un plug-in de client de messagerie. Si vous optez pour la meilleure option prise en charge, vous devrez installer un client de messagerie, une extension et un progiciel de chiffrement séparément.
- Vous avez besoin d'un mélange de différentes applications pour smartphone et de solutions de bureau si vous souhaitez accéder à vos e-mails sur tous vos appareils.
- Même si vous faites toutes ces choses, les gens pourront toujours voir avec qui vous communiquez et quels sont les sujets de vos messages.
Avec toute cette complexité - et tant d'informations qui fuient même si vous utilisez PGP correctement - il n'est pas étonnant que les e-mails chiffrés soient si peu utilisés. Il n'est pas non plus surprenant que les gens choisissent d'utiliser des services comme Lavabit qui semblent être un moyen pratique de rendre le chiffrement facile à utiliser, mais qui sont en fait beaucoup moins fiables que de chiffrer vos propres e-mails.
