X-Git-Url: https://vcs.fsf.org/?a=blobdiff_plain;ds=sidebyside;f=fr%2Findex.html;h=057ed63f3a5728b6ff046d8114446597d80b599a;hb=6b3fb78058c75a39ffada6a55649e687117d6b45;hp=6c23392d8e041da0e4228fcaa019581c307bdaed;hpb=eced7a08b4dc0061fbfe6d5c2390b9da6c5ab2a4;p=enc-live.git diff --git a/fr/index.html b/fr/index.html index 6c23392..057ed63 100644 --- a/fr/index.html +++ b/fr/index.html @@ -1,166 +1,225 @@ - - - + - + +Autodéfense courriel - un guide pour contrer la surveillance en chiffrant +avecGnuPG + + + + + + + -Autodéfense courriel - un guide pour contrer la surveillance en -chiffrant avec GnuPG - - - - - - - - + + +src="../static/img/fr/infographic-button.png" +alt=" [Regardez et partagez notre infographie →] " /> +La surveillance de masse viole nos droits fondamentaux et fait planer +un risque sur la liberté d'expression. Ce guide vous apprendra les bases +d'une méthode d'autodéfense contre la surveillance : le chiffrement du +courriel. Une fois que vous l'aurez assimilée, vous serez en mesure +d'envoyer et recevoir des courriels brouillés, et ainsi faire en sorte qu'un +outil de surveillance ou un voleur qui les intercepterait ne puisse pas les +lire. Tout ce dont vous avez besoin, c'est d'un ordinateur doté d'une +connexion à Internet, d'un compte de courriel et d'environ 40 minutes.

+ +

Même si vous n'avez rien à cacher, l'utilisation du chiffrement vous aidera +à protéger la vie privée des personnes avec qui vous communiquez et rendra +la tâche plus difficile aux systèmes de surveillance de masse. Si en +revanche vous avez quelque chose d'important à cacher, vous serez en bonne +compagnie ; les lanceurs d'alertes utilisent ces outils pour protéger +leur identité alors qu'ils exposent au grand jour les atteintes aux droits +de l'homme, la corruption et autres crimes.

+ +

Outre l'utilisation du chiffrement, s'opposer à la surveillance exige un +combat politique visant à réduire la +quantité de données amassées à notre sujet, mais la première étape, qui +est essentielle, est de nous protéger de manière à rendre la surveillance de +nos communications aussi difficile que possible. Ce guide vous aide à le +faire. Il est destiné aux débutants, mais si vous avez déjà une connaissance +de base de GnuPG ou une certaine expérience du logiciel libre, vous +apprécierez les conseils d'utilisation avancée et le guide pour initier vos amis.

+ + + + + +
+

#1 Rassemblez les outils

-

Ce guide repose sur des logiciels sous licence libre ; ils sont -complètement transparents et n'importe qui peut les copier ou en faire sa propre -version. Cela les rend plus sûrs vis-à-vis de la surveillance que les logiciels -privateurs (propriétaires) comme Windows ou Mac OS. Apprenez-en plus sur le logiciel -libre en parcourant fsf.org (essentiellement en -anglais) ou bien, en français, framasoft.net -et april.org.

- -

La plupart des systèmes d'exploitation GNU/Linux disposent déjà de GnuPG, donc vous -n'avez pas à le télécharger. Toutefois, avant de configurer GnuPG, vous aurez besoin -d'installer sur votre ordinateur un programme de courriel (que nous appellerons par la suite -« logiciel de messagerie Â» ou « programme de messagerie Â», sachant -qu'il s'agit ici de courriel et non de messagerie instantanée). La plupart des distributions -GNU/Linux ont une version libre de Thunderbird, prête à installer. Outre Thunderbird, -ce guide est applicable à tous les programmes de ce type. Les logiciels de messagerie sont -un moyen alternatif d'accéder aux comptes de courriel (comme GMail) auxquels vous accédez -habituellement via votre navigateur, mais proposent des fonctionnalités supplémentaires.

- -

Si vous avez déjà un logiciel de messagerie, vous pouvez passer à l'étape 1.B.

- -
+

Ce guide repose sur des logiciels sous licence +libre ; ils sont complètement transparents et n'importe qui peut +les copier ou en faire sa propre version. Cela les rend plus sûrs vis-à-vis +de la surveillance que les logiciels privateurs (propriétaires) comme +Windows ou macOS. Apprenez-en plus sur le logiciel libre en parcourant fsf.org ou bien, en français, framasoft.org et april.org.

+ +

La plupart des systèmes d'exploitation GNU/Linux disposent déjà de GnuPG. Si +vous utilisez l'un de ces systèmes, vous n'avez donc pas à le +télécharger. Si vous utilisez macOS ou Windows, l'installation de GnuPG est +décrite plus loin. Toutefois, avant de configurer le chiffrement avec ce +guide, vous aurez besoin d'installer sur votre ordinateur un logiciel (ou +« client Â») de messagerie. Thunderbird est l'un de ces clients. Il +est installé par défaut dans de nombreuses distributions GNU/Linux +(quelquefois sous le nom d'Icedove). Ce type de programme est un moyen +alternatif d'accéder aux comptes de courriel (comme GMail) auxquels vous +accédez habituellement via votre navigateur, mais propose des +fonctionnalités supplémentaires.

+ +
+ +
-

+

-
+
+
-

Étape 1.A Configurez votre logiciel de messagerie avec votre compte de -courriel

+

Étape 1.a Configurez votre logiciel de messagerie avec votre compte +de courriel

+ +

Lancez votre logiciel de messagerie et suivez les indications de +l'assistant, qui vous guidera pas à pas pour le configurer avec votre compte +de courriel. Cela se passe habituellement dans « Paramètres des +comptes Â» → « Ajouter un compte de messagerie Â». Il vous +faudra demander ces paramètres à votre administrateur système ou les trouver +dans la documentation de votre compte de courriel.

+ -

Lancez votre programme de messagerie et suivez les indications de l'assistant, qui vous -guidera pas à pas pour le configurer avec votre compte de courriel.

@@ -169,200 +228,372 @@ guidera pas à pas pour le configurer avec votre compte de courriel.

L'assistant ne démarre pas
- -
Vous pouvez lancer l'assistant vous-même, mais l'option qui permet de le faire a -un nom différent dans chaque programme de messagerie. Vous la trouverez dans la rubrique -« [Fichier/]Nouveau Â» du menu principal (ou quelque chose d'approchant), -sous un nom du genre « Ajouter un compte Â» ou « Compte -courrier existant Â».
- -
Mon programme de messagerie ne trouve pas mon compte ou ne télécharge pas mes -courriels.
- -
Avant de chercher sur le web, nous vous conseillons de commencer par demander à -d'autre personnes qui utilisent le même système de messagerie de vous indiquer les bons -paramètres.
+
Vous pouvez lancer l'assistant vous-même, mais l'option qui permet de le +faire a un nom différent dans chaque programme de messagerie. Vous la +trouverez dans la rubrique « [Fichier/]Nouveau Â» du menu principal +(ou quelque chose d'approchant), sous un nom du genre « Ajouter un +compte Â» ou « Compte courrier existant Â».
+ +
Mon programme de messagerie ne trouve pas mon compte ou ne télécharge pas +mes courriels.
+
Avant de chercher sur le web, nous vous conseillons de commencer par +demander à d'autre personnes qui utilisent le même système de messagerie de +vous indiquer les bons paramètres.
+ +
Je ne trouve pas le menu
+
Dans beaucoup de logiciels de messagerie récents, le menu principal est +représenté par trois barres horizontales.
- +href="https://libreplanet.org/wiki/GPG_guide/Public_Review">la page de +commentaires.
-
-
- + + + + + + +
-
-
    -
    • -
    • -
    • -
- -
-

Étape 1.B Installez le module Enigmail pour votre programme de messagerie

+

Étape 1.b Installez GnuPG

-

Dans le menu de votre programme de messagerie, sélectionnez « Modules -complémentaires Â» (qui devrait se trouver dans la section -« Outils Â»). Assurez-vous qu'« Extensions Â» est -sélectionné sur la gauche. Voyez-vous « Enigmail Â» ? Si oui, passez à -l'étape suivante.

+

Si vous utilisez une machine sous GNU/Linux, GnuPG devrait être déjà +installé et vous pouvez aller directement à la section 2.

-

Sinon, faites une recherche sur « Enigmail Â» dans la partie supérieure -droite de la fenêtre. Vous pouvez le récupérer par ce moyen. Redémarrez votre programme -de messagerie lorsque vous aurez terminé.

+

En revanche, si vous utilisez une machine sous macOS ou Windows, vous devez +d'abord installer le programme GnuPG. Sélectionnez votre système +d'exploitation ci-dessous et suivez les explications. Dans le reste de ce +guide, les étapes sont les mêmes pour les trois systèmes.

- + +
-

Résolution de problèmes

+

macOS

-
Je ne trouve pas le menu.
+
Installez GnuPG à l'aide d'un gestionnaire de paquet tiers
+
+

le gestionnaire de paquets par défaut de macOS rend difficile l'installation +de GnuPG et des autres logiciels libres (comme Emacs, GIMP ou +Inkscape). Pour faciliter les choses, nous vous recommandons d'utiliser +« Homebrew Â», un gestionnaire de paquets tiers, pour installer +GnuPG. Nous allons pour cela utiliser un programme nommé « Terminal » qui +est préinstallé sur macOS.

+ +

# Copiez la première commande qui se trouve sur la page d'accueil de Homebrew en cliquant sur l'icône de droite et +collez-la dans Terminal. Cliquez sur « Entrée Â» et attendez que +l'installation se termine.

+

# Ensuite, installez GnuPG en saisissant le code suivant dans +Terminal :
+brew install gnupg gnupg2

+
+
-
Dans beaucoup de logiciels de messagerie récents, le menu principal est représenté -par trois barres horizontales.
+
- - + + +
+ +

Windows

+ +
+
Procurez-vous GnuPG en téléchargeant GPG4Win
+

GPG4Win est un logiciel de +chiffrement pour le courriel et les fichiers qui inclut GnuPG. Téléchargez +et installez la dernière version en choisissant les options par défaut. Une +fois l’installation terminée, vous pouvez fermer toutes les fenêtres créées +par l'installateur.

+
-
-
-
-
+ + + + + + + + +
+
+ +

GnuPG, OpenPGP, c'est quoi tout ça ?

+ +

En général, les termes GnuPG, GPG, GNU Privacy Guard, OpenPGP et PGP sont +utilisés de manière interchangeable. Techniquement, OpenPGP (Pretty Good +Privacy) est la norme de chiffrement et GNU Privacy Guard (qu'on abrège +souvent en GPG ou GnuPG) est le programme qui la met en œuvre. La plupart +des clients de messagerie ont une interface pour GnuPG. Il y a aussi une +nouvelle version de GnuPG appelée GnuPG2.

+ +
+ +
+ + + + + + -
+
+
-

#2 Fabriquez vos clefs

- -

Pour utiliser le système GnuPG, vous allez avoir besoin d'une clef publique et d'une -clef privée (l'ensemble des deux est appelé « paire de clefs Â»). Chacune -d'elles est une longue suite de chiffres et de lettres, générés aléatoirement, qui -vous est propre. Vos clefs publique et privée sont liées entre elles par une fonction -mathématique spécifique.

- -

Votre clef publique n'est pas comme une clef physique, car elle est stockée dans un -répertoire en ligne ouvert à tous, appelé « serveur de clefs Â». Les gens -téléchargent et utilisent votre clef publique, au travers de GnuPG, pour chiffrer les -courriels qu'ils vous envoient. Vous pouvez vous représenter le serveur de clefs comme -un annuaire, où les gens qui souhaitent vous envoyer un courriel chiffré vont chercher -votre clef publique.

+

#2 Fabriquez vos clés

+

[Un robot à tête de clé qui brandit une clé publique et une clé privée]

+ +

Pour utiliser le système GnuPG, vous allez avoir besoin d'une clé publique +et d'une clé privée (aussi appelée clé secrète) ; l'ensemble des deux +est appelé « paire de clés Â». Chacune d'elles est une longue suite +de chiffres et de lettres, générés aléatoirement, qui vous est propre. Vos +clés publique et privée sont liées entre elles par une fonction mathématique +spécifique.

+ +

Votre clé publique n'est pas comme une clé physique, car elle est stockée +dans un répertoire en ligne ouvert à tous, appelé « serveur de +clés Â». Les gens téléchargent et utilisent votre clé publique, au +travers de GnuPG, pour chiffrer les courriels qu'ils vous envoient. Vous +pouvez vous représenter le serveur de clés comme un annuaire ; les gens +qui souhaitent vous envoyer un courriel chiffré peuvent le consulter pour +trouver votre clé publique.

+ +

Votre clé privée se rapproche plus d'une clé physique, parce que vous la +gardez pour vous (sur votre ordinateur). Vous utilisez GnuPG et votre clé +privée pour décoder les courriels chiffrés que les autres personnes vous +envoient. Vous ne devez en aucun cas communiquer votre clé privée à +qui que ce soit.

+ +

À part chiffrer et déchiffrer, ces clés peuvent vous servir à signer des +messages et à vérifier l'authenticité des signatures d'autres +personnes. Nous y reviendrons dans la prochaine section.

-

Votre clef privée se rapproche plus d'une clef physique, parce que vous la conservez -personnellement (sur votre ordinateur). Vous utilisez GnuPG et votre clef privée pour -décoder les courriels chiffrés que les autres personnes vous envoient.

+
-
+
+

-

+

-
+
+
-

Étape 2.A Créez une paire de clefs

- -

L'assistant d'installation d'Enigmail démarrera peut-être automatiquement. Si ce n'est -pas le cas, selectionnez « Enigmail → Assistant de configuration Â» -dans le menu de votre logiciel de messagerie. Vous n’avez pas besoin de lire le texte -dans la fenêtre pop-up à moins que vous ne le souhaitiez, mais c’est une bonne idée -de lire ce qui apparaît dans les fenêtres suivantes. Si vous avez plusieurs comptes de -courriel, une fenêtre intitulée « Sélectionnez une identité Â» -vous demandera de choisir à quel compte (quelle adresse de courriel) cette configuration -doit s'appliquer. Ensuite, cliquez sur « Suivant Â» en acceptant les -options par défaut, à l'exception de ce qui suit.

- -
    -
  • Dans la fenêtre « Chiffrement Â», choisissez « Chiffrer -tous mes messages par défaut car la vie privée est critique pour moi Â».
    • -
  • Dans la fenêtre « Signature Â», choisissez « Ne pas -signer mes messages par défaut Â».
    • -
  • Dans la fenêtre « Sélection de clef Â», choisissez -« Je veux créer une nouvelle paire de clefs pour signer et chiffrer mes -messages Â».
    • -
  • Dans la fenêtre « Créer une clef Â», choisissez une phrase -secrète solide. Elle devrait contenir au moins 12 caractères, avec au moins une -lettre minuscule, une majuscule et un chiffre ou caractère non conventionnel (symbole de -ponctuation, par exemple). N’oubliez pas cette phrase secrète, ou tout ceci n’aura -servi à rien !
    • -
- -

Le programme prendra un peu de temps pour terminer l’étape suivante dans -la fenêtre « Création de la clef Â». Pendant que vous attendez, faites -quelque chose avec votre ordinateur, comme regarder un film ou naviguer sur le web. Plus -vous utilisez votre ordinateur pendant ce temps, plus vite ira la création de la clef.

+

Étape 2.a Créez une paire de clés

+ +

Fabriquez votre paire de clés

+ +

Nous allons nous servir de la ligne de commande dans un terminal pour créer +une paire de clés en utilisant le programme GnuPG.

+ +

Que ce soit sur GNU/Linux, macOS ou Windows, vous pouvez ouvrir votre +terminal (« Terminal » pour macOS, « PowerShell » pour Windows) à partir du +menu Applications (certains systèmes GNU/Linux répondent au raccourci +clavier Ctrl + Alt + T).

+ +

# Lancez gpg --full-generate-key pour démarrer l'opération.

+

# Pour le type de clé à créer, choisissez l'option par défaut 1 RSA et +RSA.

+

# Pour la taille de la clé: 4096 produira une clé robuste.

+

# Pour la date d'expiration, nous suggérons 2y (2 ans).

+

Puis répondez aux questions concernant vos données personnelles.

+

Selon votre version de GPG, vous devrez peut-être mettre +--gen-key à la place de --full-generate-key.

+ +

Choisissez votre phrase secrète

+

Dans la fenêtre « Phrase secrète Â», choisissez un mot de passe +fort ! Vous pouvez le faire manuellement ou utiliser la méthode +Diceware. La méthode manuelle est plus rapide mais moins sûre. Utiliser +Diceware est plus long et nécessite des dés, mais crée un mot de passe que +d'éventuels attaquants auront plus de mal à deviner. La méthode est +expliquée dans le paragraphe « Make a secure passphrase with +Diceware Â» (Fabriquez un mot de passe sûr avec Diceware) de cet +article, écrit par Micah Lee. Vous trouverez des explications en +français dans l'article de +Wikipedia sur Diceware.

+ + +

Si vous voulez choisir vous-même votre phrase secrète (aussi appelée +« phrase de passe Â»), trouvez quelque chose dont vous puissiez +vous souvenir et qui ait douze caractères au minimum, dont au moins une +lettre minuscule, une majuscule et un chiffre ou caractère non conventionnel +(signe de ponctuation, par exemple). Ne reprenez jamais un mot de passe qui +a vous déjà servi ailleurs et n'utilisez pas de motif reconnaissable (date +de naissance, numéro de téléphone, nom du chien, paroles de chanson, +citation de livre, etc.)

-

Quand la fenêtre « Génération de la clef terminée ! Â» -apparaîtra, sélectionnez « Générer le certificat Â» et choisissez -de le sauvegarder en lieu sûr dans votre ordinateur (nous vous recommandons de créer -un dossier « certificat de révocation Â» et de l'y mettre. Vous en apprendrez -davantage sur le certificat de révocation dans la section 5.

Résolution de problèmes

-
-
Je ne trouve pas le menu d'Enigmail.
+
GnuPG n'est pas installé
+
+Vous pouvez vérifier si c'est bien le cas avec la commande gpg +--version. Sur la plupart des systèmes GNU/Linux, vous +obtiendrez alors ceci ou quelque chose d'approchant : Commande +'gpg' introuvable, mais elle peut être installée avec : sudo apt +install gnupg. Utilisez cette commande pour installer le programme.
+ +
La commande gpg --full-generate-key ne fonctionne pas
+
Certaines distributions utilisent une version différente de GPG. Quand vous +obtenez un message d'erreur du genre gpg: Option invalide +"--full-generate-key", vous pouvez essayer les commandes suivantes :
+sudo apt update
+sudo apt install gnupg2
+gpg --full-generate-key
+Si cela résout le problème, vous devez continuer à utiliser gpg2 au lieu de +gpg dans la suite de ce guide. +

Selon votre version de GPG, vous devrez peut-être mettre +--gen-key à la place de --full-generate-key.

+
+ +
Cela m'a pris trop longtemps de choisir la phrase secrète
+
Pas de souci. C'est important de bien réfléchir à votre phrase +secrète. Quand vous serez prêt, il vous suffit de reprendre depuis le début +pour créer votre clé.
+ +
Comment voir ma clé ?
+
+Utilisez la commande suivante pour voir toutes les clés : gpg +--list-keys. La vôtre doit être dans la liste et plus tard la +clé d'Edward (section 3) y sera aussi.
+ Si vous voulez seulement voir la vôtre, vous pouvez faire gpg +--list-key [votre@adresse_de_courriel].
+Vous pouvez aussi utiliser gpg --list-secret-key pour voir +votre clé privée.
+ +
Pour en savoir plus
+
Référez-vous à la documentation du GNU Privacy +Handbook (Manuel de GnuPG) si vous voulez en savoir plus sur cette +opération. Gardez l'option « RSA et RSA Â» (sélectionnée par +défaut), parce que cette méthode est plus récente et mieux sécurisée que les +algorithmes recommandés dans la documentation. Assurez-vous également que +votre clé soit d'au moins 4096 bits si vous voulez être en sécurité.
-
Dans beaucoup de logiciels de messagerie récents, le menu principal est -représenté par trois barres horizontales. Enigmail peut être dans la section appelée -« Outils Â».
+ + +
-
L'assistant d'installation ne trouve pas GnuPG.
+
-
Ouvrez votre programme d'installation de logiciel (ou logithèque) préféré et cherchez -GnuPG, puis installez-le. Enfin relancez l'assistant en allant dans « Enigmail -→ Assistant de configuration Â».
- + + +
- +

Utilisation avancée

+
+
Paires de clés évoluées
+
Lorsque GnuPG crée une nouvelle paire de clés, il sépare la fonction de +chiffrement de la fonction de signature grâce à des sous-clés. En utilisant +correctement les sous-clés, vous pouvez sécuriser votre identité GnuPG et +vous remettre d'une clé compromise beaucoup plus rapidement. Alex +Cabal et le Wiki +de Debian proposent de bons guides pour mettre en place une +configuration de sous-clés sûre.
-
-
-
+ + + + + + +
-
+
+

-

Étape 2.B Envoyez votre clef publique sur un serveur de clefs

+
+ +
-

Dans le menu de votre programme de messagerie, sélectionnez « Enigmail → -Gestion de clefs Â».

+

Étape 2.b Quelques étapes importantes après la création

+ +

Envoyez votre clé sur un serveur de clés

+

Nous allons envoyer votre clé sur un serveur de clés ; de cette façon, +toute personne qui souhaite vous envoyer un message chiffré peut télécharger +votre clé publique depuis Internet. Dans le menu, il y a le choix entre +plusieurs serveurs, mais ce sont essentiellement des copies l'un de +l'autre. Cela marchera avec n'importe lequel, mais il est bon de noter celui +sur lequel vous avez envoyé votre clé pour la première fois. Rappelez-vous +également qu'il faut parfois quelques heures pour que les serveurs se +synchronisent lorsqu'une nouvelle clé est envoyée.

+

# Copiez votre identifiant de clé : gnupg --list-key +[votre@adresse_de_courriel] renvoie les informations concernant votre +clé publique, en particulier son identifiant (keyID) qui est +une suite unique de chiffres et de lettres. Copiez cet identifiant pour +pouvoir l'utiliser dans la commande suivante.

+

# Envoyez votre clé sur un serveur : gpg --send-key +[keyID]

+ +

Exportez votre clé vers un fichier

+

Utilisez la commande suivante pour exporter votre clé secrète de manière à +pouvoir l'importer dans votre client de messagerie dans l'étape suivante. Pour éviter qu'elle ne soit compromise, +sauvegardez-la en lieu sûr et assurez-vous que, si elle doit être +transférée, cela se fera en toute sécurité. Pour exportez vos clés, vous +pouvez utiliser les commandes suivantes :

+

$ gpg --export-secret-keys -a [keyID] > ma_cle_privee.asc
+$ gpg --export -a [keyID] > ma_cle_publique.asc

+ +

Créez un certificat de révocation

+

En prévision d'une éventuelle perte ou compromission de votre clé, vous +devez prendre la précaution de créer un certificat de révocation et de le +sauvegarder dans un endroit sûr de votre ordinateur (reportez-vous à l'étape 6.C pour choisir cet endroit). Cette étape +est essentielle pour l'autodéfense de votre courriel, comme vous le verrez +dans la section 5.

+ +

# Copiez votre identifiant de clé : gnupg --list-key +[votre@adresse_de_courriel] renvoie les informations concernant votre +clé publique, en particulier son identifiant (keyID) qui est +une suite unique de chiffres et de lettres. Copiez cet identifiant pour +pouvoir l'utiliser dans la commande suivante.

+

# Créez un certificat de révocation : gpg --gen-revoke --output +revoke.asc [keyID]

+

# Comme raison de la révocation, nous vous recommandons de mettre +1 = la clé a été compromise.

+

# Mais il n'est pas obligatoire de donner une raison. Vous pouvez simplement +taper sur « Entrée Â» pour laisser la ligne vide et valider votre +choix.

-

Faites un clic droit sur votre clef et sélectionnez « Envoyer les clefs -publiques vers un serveur de clefs Â». Utilisez le serveur proposé par défaut.

-

À partir de maintenant, si quelqu’un souhaite vous envoyer un message -chiffré, il peut télécharger votre clef publique depuis Internet. Dans le menu, il y -a le choix entre plusieurs serveurs où envoyer votre clef, mais ce sont des copies l'un -de l'autre, donc vous pouvez utiliser n'importe lequel. Cependant, il leur faut parfois -quelques heures pour s'aligner l'un sur l'autre quand une nouvelle clef est envoyée.

@@ -370,138 +601,325 @@ quelques heures pour s'aligner l'un sur l'autre quand une nouvelle clef est envo

Résolution de problèmes

-
La barre de progression n'en finit pas.
+
Je n'arrive pas à envoyer ma clé sur le serveur
+
Au lieu d'utiliser la commande générale pour téléverser votre clé, vous +pouvez utiliser une commande qui spécifie le serveur de clés : gpg +--keyserver keys.openpgp.org --send-key [keyID]
+ +
Ma clé ne semble pas fonctionner ou cela renvoie « accès non +autorisé Â».
+

Comme pour tout fichier ou répertoire, l'accès aux clés GPG est régi par des +droits. Si ces derniers ne sont pas configurés correctement, votre système +n'acceptera pas vos clés. Vous pouvez suivre les étapes suivantes pour +vérifier et mettre à jour ces droits.

+ +

# Vérifiez vos droits: ls -l ~/.gnupg/*

+

# Donnez-vous les droits de lecture, écriture et exécution, et retirez-les +aux autres. Ce sont les droits recommandés pour votre répertoire.
+Vous pouvez utiliser ce code : chmod 700 ~/.gnupg

+

# Configurez les droits de lecture et écriture pour vous seul. C'est ce +qu'on recommande pour les clés à l'intérieur de votre répertoire.
+Vous pouvez utiliser ce code : chmod 600 ~/.gnupg/*

+ +

Si pour une raison quelconque vous avez créé votre propre répertoire à +l'intérieur de ~/.gnupg, vous devez aussi appliquer les droits +d'exécution à ce répertoire. Ces droits sont nécessaires pour ouvrir les +répertoires. Pour en savoir plus, consultez ce +guide détaillé.

+
-
Fermez la fenêtre d'envoi vers le serveur, assurez-vous d’être sur Internet -et réessayez. Si cela ne marche pas, réessayez en sélectionnant un serveur de clefs -différent.
+ + +
-
Ma clef n’apparaît pas dans la liste.
+
-
Essayez de cocher « Afficher toutes les clefs par défaut Â».
- + + +
- +

Utilisation avancée

+ +
+
En savoir plus sur les serveurs de clés
+
Vous trouverez des informations complémentaires dans le manuel des serveurs de +clés. Le site +sks-keyserver.net tient à jour une liste de serveurs de clés hautement +interconnectés. Vous pouvez aussi exporter +directement vos clés sur votre ordinateur sous forme de fichier.
+ +
Tranfert de votre paire de clés
+
+

Pour éviter qu'elle ne soit compromise, sauvegardez-la en lieu sûr et +assurez-vous que si elle doit être transférée, cela se fera en toute +sécurité. Pour importer et exporter une paire de clés, utilisez les +commandes suivantes:

+ +

$ gpg --export-secret-keys -a [keyID] > ma_cle_privee.asc
+$ gpg --export -a [keyID] > ma_cle_publique.asc
+$ gpg --import ma_cle_privee.asc
+$ gpg --import ma_cle_publique.asc

+ +

Assurez-vous que l'identifiant indiqué est correct et, si c'est le cas, +attribuez-lui le niveau de confiance ultime.

+ +

$ gpg --edit-key [votre@adresse_de_courriel]

+ +

Puisque cette clé est la vôtre, il faut choisir +ultime. Vous ne devez en aucun cas attribuer ce niveau +de confiance à la clé de quelqu'un d'autre.

+ +

Reportez vous à la Résolution de problèmes de +l'étape 2.B pour complément d'information sur les droits. Quand +vous transférez vos clés, vos droits peuvent être modifiés et des erreurs +peuvent se produire. Cela peut être facilement évité si vos répertoires et +fichiers ont les droits appropriés.

+
-
-
-
+
+ + + + + +
+ + + +
+ + + +
+ +

#3 Configurez le chiffrement du courriel

+

Thunderbird (ou Icedove) possède une fonctionnalité PGP qui facilite +l'utilisation du chiffrement. Dans les étapes suivantes, vous allez importer +et utiliser vos clés dans ce client de messagerie.

+ +
+ + + -
+
+
+ +

+ +

+ +

+ +

+
+
-

GnuPG, OpenPGP, c'est quoi tout ça ?

+

Étape 3.a Configurez votre logiciel de messagerie pour le +chiffrement

+ +

Lorsque vous aurez configuré le chiffrement de votre courriel, vous pourrez +commencer à contribuer au trafic chiffré sur internet. D'abord, nous allons +demander à votre client de messagerie d'importer votre clé secrète et nous +allons aussi apprendre comment trouver les clés publiques de vos +correspondants sur les serveurs de clés, pour que vous puissiez envoyer et +recevoir du courriel chiffré.

+ +

# Ouvrez votre client de messagerie et allez dans « Outils Â» +→ Gestionnaire de clés OpenPGP

+

# Dans « Fichier Â» → Importer une ou des clés secrètes +depuis un fichier

+

# sélectionnez le fichier que vous avez sauvegardé sous le nom +[ma_cle_privee.asc] à l'étape 2.B quand vous avez +exporté votre clé.

+

# Déverrouillez avec votre phrase secrète.

+

# Vous verrez s'afficher « Les clés OpenPGP ont été correctement +importées. Â»

+

# Allez dans « Paramètres des comptes Â» → « Chiffrement +de bout en bout Â», assurez-vous que votre clé a été importée et +choisissez Traiter cette clé comme une clé personnelle.

-

En général, les termes GnuPG, GPG, GNU Privacy Guard, OpenPGP et PGP sont utilisés -de manière interchangeable. Techniquement, OpenPGP (Pretty Good Privacy) -est la norme de chiffrement et GNU Privacy Guard (qu'on abrège souvent en GPG ou GnuPG) -est le programme qui la met en œuvre. Enigmail est un module, un petit programme associé -à votre logiciel de messagerie, qui fait l'interface avec GnuPG.

+
-
-
-
- -
+ + +
+
+

Résolution de problèmes

+
+
Je voudrais vérifier que l'importation s'est bien passée
+
+Allez dans « Paramètres des comptes Â» → « Chiffrement de +bout en bout Â». Vous pouvez voir si l'identifiant de la clé personnelle +associée à ce compte est bien présent. S'il n'y est pas, vous pouvez refaire +l'étape Ajouter une clé après avoir vérifié que vous possédez une clé +secrète active pour ce compte. +
+ + + +
+ +
+ +
+ +
+ +
+ + + + +
+
-

#3 Essayez !

+

#4 Essayez !

+

[Dessin d'une personne et d'un chat dans une maison connectée à un serveur]

+

Maintenant vous allez faire un essai : correspondre avec un programme +de la FSF, nommé Edward, qui sait comment utiliser le chiffrement. Sauf +indication contraire, ces étapes sont les mêmes que lorsque vous +correspondrez avec un personne vivante.

+ + -

Maintenant vous allez faire un essai : correspondre avec un programme nommé Edward -qui sait comment utiliser le chiffrement. Sauf indication contraire, ces étapes sont les -mêmes que lorsque vous correspondrez avec un personne vivante.

+ +
+
-
+ -
+
-

+

-
+
+
-

Étape 3.A Envoyez votre clef publique à Edward

+

Étape 4.A Envoyez votre clé publique à Edward

C’est une étape un peu particulière que vous n’aurez pas à faire quand vous -correspondrez avec de vraies personnes. Dans le menu de votre logiciel de messagerie, -allez à « Enigmail → Gestion de clefs Â». Vous devriez voir -votre clef dans la liste qui apparaît. Faites un clic droit dessus et sélectionnez -« Envoyer des clefs publiques par courrier électronique Â». Cela -créera un nouveau brouillon de message, comme si vous aviez juste cliqué sur le bouton -« Ã‰crire Â».

- -

Remplissez le champ d’adresse du destinataire avec l’adresse -edward-fr@fsf.org. Mettez au moins un mot (ce que vous souhaitez) dans le sujet -et le corps du message. Ne l'envoyez pas tout de suite.

- -

Il devrait y avoir l'icône d'une clef jaune en bas à droite de la fenêtre de -rédaction. Cela veut dire que le chiffrement est activé, cependant nous ne voulons pas que -ce premier message très spécial pour Edward soit chiffré. Cliquez une fois sur la clef -jaune pour désactiver le chiffrement. La clef devrait devenir grise, avec un point bleu -pour signaler que le réglage a été modifié. Après avoir désactivé le chiffrement, -cliquez sur « Envoyer Â».

- -

Cela peut prendre deux ou trois minutes à Edward pour -répondre. Entre-temps, vous pourriez aller voir la section de ce guide intitulée « Les bonnes pratiques Â». Une fois qu’Edward aura répondu, -allez à l’étape suivante. Désormais, vous aurez simplement à faire la même chose -lorsque vous correspondrez avec une vraie personne.

- -

Lorsque vous ouvrirez la réponse d'Edward, Enigmail vous demandera peut-être votre -mot de passe avant d'utiliser votre clef privée pour le déchiffrer.

- -
-
+correspondrez avec de vraies personnes. Dans le menu de votre logiciel de +messagerie, allez dans « Outils Â» → « Gestionnaire de +clés OpenPGP Â». Vous devriez voir votre clé dans la liste qui +apparaît. Faites un clic droit dessus et sélectionnez Envoyer une ou des +clés publiques par courriel. Cela créera un nouveau brouillon de +message, comme si vous aviez cliqué sur le bouton « Ã‰crire Â», à +part que votre clé publique apparaîtra en pièce jointe.

+ +

Remplissez le champ d’adresse du destinataire avec l’adresse edward-fr@fsf.org. Mettez au moins un +mot (ce que vous souhaitez) dans le sujet et le corps du message. Ne +l'envoyez pas tout de suite.

+ +

Nous voulons qu'Edward puisse ouvrir le message avec votre clé publique, ce +premier message ne sera donc pas chiffré. Allez dans le menu +« Sécurité Â» et choisissez Ne pas chiffrer.Ensuite +seulement, envoyez le message.

+ +

Cela peut prendre deux ou trois minutes à Edward pour répondre. Entre-temps, +vous pourriez aller voir la section de ce guide intitulée « Les bonnes pratiques Â». Une fois que vous aurez +reçu la réponse d'Edward, allez à l’étape suivante. Désormais, vous aurez +simplement à faire la même chose lorsque vous correspondrez avec une vraie +personne.

+ +

Lorsque vous ouvrirez la réponse d'Edward, GnuPG vous demandera peut-être +votre phrase secrète avant d'utiliser votre clé privée pour la déchiffrer.

+ + + + + + -
+
+
+ +

+ +

+
+ +
-

Étape 3.B Envoyez un courriel de test chiffré

+

Étape 4.b Envoyez un courriel de test chiffré

+ +

Récupérez la clé d'Edward

-

Écrivez un nouveau courriel dans votre logiciel de messagerie, adressé à -edward-fr@fsf.org. Écrivez « Test de chiffrement Â» ou quelque chose -d’approchant dans le champ de sujet, et mettez quelque chose dans le corps du message.

+

Pour chiffrer un message destiné à Edward, vous avez besoin de sa clé +publique. Il vous faut donc la télécharger d'un serveur de clés. Il y a deux +méthodes :

+

Option 1. Dans le message que vous avez reçu d'Edward en +réponse à votre premier courriel, il y avait sa clé publique. À la droite du +message, juste au-dessus du texte, vous verrez un bouton +« OpenPGP Â» avec un cadenas et une roue dentée juste à +côté. Cliquez sur la roue et cliquez sur Rechercher… qui se +trouve à côté du texte « Ce message a été signé avec une clé que vous +ne possédez pas encore. Â» Les détails de la clé d'Edward s'afficheront.

-

La clef en bas à droite devrait être jaune, ce qui veut dire que le chiffrement est -activé. À partir de maintenant, ce sera votre réglage par défaut.

+

Option 2. Ouvrez le gestionnaire de clés OpenPGP. Dans le +menu « Serveur de clés Â», choisissez Rechercher des clés en +ligne, puis remplissez le formulaire avec l'adresse +edward@fsf.org et importez sa clé.

-

À côté de la clef, vous remarquerez l'icône d'un crayon. En cliquant -dessus, vous dites à Enigmail d'ajouter à votre message une signature spéciale, unique, -générée avec votre clef privée. C'est une autre fonctionnalité de chiffrement, dont -vous n'avez pas à vous servir ici.

+

L'option Acceptée (non vérifiée) va ajouter cette clé à votre +gestionnaire de clés ; elle peut désormais être utilisée pour envoyer +des courriels chiffrés à Edward ou vérifier ses signatures numériques.

-

Cliquez sur « Envoyer Â». Enigmail fera apparaître une fenêtre -indiquant « Le destinataire est invalide, n'est pas de confiance ou n'a pas -été trouvé. Â»

+

Dans la fenêtre « Clés correctement importées Â» → +« Propriétés de la clé Â», vous verrez plusieurs adresses. C'est +normal ; vous pouvez importer la clé en toute sécurité.

-

Pour envoyer un courriel chiffré à Edward, vous aurez besoin de sa clef publique, -donc vous devez maintenant la faire télécharger par Enigmail depuis un serveur de -clefs. Cliquez sur « Télécharger les clefs manquantes Â» et utilisez -le serveur par défaut dans la fenêtre qui vous demande de choisir un serveur. Une fois -les clefs trouvées, vérifiez la première (son identifiant commence par C), puis cliquez -sur « OK Â». Cliquez sur « OK Â» dans la fenêtre -suivante.

+

Puisque vous avez chiffré ce courriel avec la clé publique d'Edward, la clé +privée d'Edward est nécessaire pour le déchiffrer. Edward est le seul à +posséder cette clé privée, donc personne à part lui ne peut le déchiffrer.

+ +

Envoyez un courriel de test chiffré

+ +

Dans votre logiciel de messagerie, préparez un nouveau courriel adressé à edward-fr@fsf.org. Écrivez « Test +de chiffrement Â» ou quelque chose d’approchant dans le champ de sujet, +et mettez quelque chose dans le corps du message.

+ +

Cette fois-ci, choisissez Exiger le chiffrement dans le menu +« Sécurité Â», puis envoyez le message.

-

Maintenant que vous êtes de retour à la fenêtre « Le destinataire est -invalide, n'est pas de confiance ou n'a pas été trouvé Â», sélectionnez la -clef d’Edward dans la liste et cliquez sur « Envoyer Â».

-

Puisque vous avez chiffré ce courriel avec la clef publique d'Edward, la -clef privée d'Edward est nécessaire pour le déchiffrer. Edward est le seul à posséder -cette clef privée, donc personne à part lui – pas même vous â€“ ne peut -le déchiffrer.

@@ -509,330 +927,582 @@ le déchiffrer.

Résolution de problèmes

-
Enigmail ne trouve pas la clef d'Edward.
- +
Le destinataire est invalide, n'est pas de confiance ou n'a pas été trouvé
+
Vous verrez peut-être le message d'erreur ci-dessus, ou bien quelque chose +de ce genre : « Impossible d’envoyer ce message avec un +chiffrement de bout en bout, car il y a des problèmes avec les clés des +destinataires suivants : ... » Cela peut vouloir dire que vous essayez +d'envoyer un message chiffré à quelqu'un dont vous ne possédez pas encore la +clé publique. Revenez aux étapes précédentes pour importer cette clé dans +votre gestionnaire et ouvrez-le pour vérifier que la clé du destinataire est +dans la liste.
+ +
Impossible d'envoyer le message
+
« Impossible d’envoyer ce message avec un chiffrement de bout en bout, +car il y a des problèmes avec les clés des destinataires suivants : +edward-fr@fsf.org. Â» peut vouloir dire que vous avez importé la clé +d'Edward avec l'option « Non acceptée (non vérifiée) Â». Allez dans +« Propriétés de la clé Â» en cliquant sur cette clé dans le +gestionnaire, puis (dans « Votre acceptation Â», en bas de la +fenêtre) choisissez l'option Oui, mais je n’ai pas vérifié qu’il s’agit +de la bonne clé. Ensuite, envoyez le message à nouveau.
+ +
Je ne trouve pas la clé d'Edward.
Fermez les fenêtres qui sont apparues quand vous avez cliqué sur -« Envoyer Â». Assurez-vous que vous êtes connecté à Internet et -réessayez. Si cela ne marche pas, répétez le processus en choisissant un serveur de -clefs différent quand il vous demande d'en choisir un.
+Envoyer. Assurez-vous que vous êtes connecté à Internet et réessayez. Si +cela ne marche pas, vous pouvez télécharger la clé manuellement depuis le serveur de +clés et l'importer en utilisant l'option Importer une ou des clés +publiques depuis un fichier. + +
Messages déchiffrés dans le dossier Envoyés
+
Bien que vous ne puissiez pas déchiffrer les messages chiffrés avec la clé +publique de quelqu'un d'autre, votre client de messagerie en enregistrera +automatiquement une copie chiffrée avec votre propre clé publique. Vous +pourrez la voir dans le dossier Envoyés, comme n'importe quel autre +courriel. Ceci est normal et ne signifie pas que votre message a été envoyé +non chiffré.
- +href="https://libreplanet.org/wiki/GPG_guide/Public_Review">la page de +commentaires. +
+ +
+ + + + +
+ +

Utilisation avancée

+ +
+
Chiffrer des messages en ligne de commande
+
Vous pouvez également chiffrer et déchiffrer messages ou fichiers en ligne de commande +si vous préférez. L'option --armor présente le résultat du +chiffrement comme une suite de caractères ASCII (alphabet de base et +chiffres).
-
-
-
+
+ + + + + +

Important : Conseils pour votre sécurité

-

Même si vous chiffrez vos courriels, le sujet n'est pas chiffré, donc ne mettez pas -d'informations sensibles dedans. Les adresses des émetteurs et destinataires ne sont -pas chiffrées non plus, elles peuvent donc être lues par un système espion. Quand vous -enverrez une pièce jointe, Enigmail vous donnera le choix de la chiffrer ou non.

+

Même si vous chiffrez vos courriels, le sujet n'est pas chiffré, donc évitez +d'y mettre des informations sensibles. Comme les adresses des émetteurs et +destinataires ne sont pas chiffrées non plus, un système espion peut +déterminer qui communique avec qui. De plus, les services de surveillance +sauront que vous utilisez GnuPG, même s'ils ne peuvent pas comprendre ce que +vous dites. Quand vous enverrez une pièce jointe, vous pouvez choisir de la +chiffrer ou non, indépendemment du message lui-même.

+ +

Pour vous prémunir de certaines attaques potentielles, vous pouvez +désactiver le rendu HTML au profit du simple texte. Dans Thunderbird ou +Icedove, cette option est ici : « Affichage Â» → +« Corps du message en Â» → Texte seul.

-
-
+ + + + + -
+
+
+ +

+ +
+ +
-

Étape 3.C Recevez une réponse

+

Étape 4.c Recevez une réponse

+ +

Quand Edward recevra votre courriel, il utilisera sa clé privée pour le +déchiffrer, puis vous répondra.

-

Quand Edward recevra votre courriel, il va utiliser sa clef privée pour le déchiffrer, -puis votre clef publique (celle que vous lui avez envoyée à l'étape -3.A) pour chiffrer la réponse qu'il va vous adresser.

+

Cela peut prendre deux ou trois minutes à Edward pour vous répondre. Pendant +ce temps, vous pouvez aller plus avant dans ce guide et consulter la section +« Les bonnes pratiques Â».

-

Cela peut prendre deux ou trois minutes à Edward pour vous -répondre. Pendant ce temps, vous pouvez aller plus avant dans ce guide et consulter la -section « Les bonnes pratiques Â».

+

Edward vous répondra par un courriel chiffré disant que votre message a été +reçu et déchiffré. Votre client de messagerie déchiffrera automatiquement le +message d'Edward.

-

Quand vous allez recevoir le courriel d'Edward et l'ouvrir, Enigmail va automatiquement -détecter qu'il est chiffré avec votre clef publique, et il va utiliser votre clef privée -pour le déchiffrer.

+

Un marqueur vert sur le cadenas du bouton OpenPGP indiquera que le message +est chiffré, et un petit triangle orange sur la roue dentée indiquera que +vous avez accepté la clé mais ne l'avez pas vérifiée. Si vous n'aviez pas +encore accepté la clé, vous verriez un point d'interrogation à la place du +triangle. Un clic sur ces icônes fait apparaître les propriétés de la clé.

-

Remarquez la barre qu’Enigmail affiche au-dessus du message, montrant les informations -concernant le statut de la clef d’Edward.

+
+ +
-
- - + +
-

Step 3.d Send a test signed email to a friend

+

Étape 4.d Envoyez un courriel de test signé

+ +

GnuPG inclut un moyen de signer vos messages et vos fichiers. Ces signatures +attestent qu'ils proviennent bien de vous et qu'ils n'ont pas été altérés en +chemin. Elles sont plus robustes que leurs cousines d'encre et de papier car +elles sont impossibles à imiter. Il est en effet impossible de les créer +sans votre clé privée (encore une bonne raison de conserver cette dernière +bien à l'abri !)

-

Write a new email in your email program, addressed to a friend. If you want, tell them -about this guide!

+

Vous pouvez signer tous vos messages, quel que soit le destinataire ; +c'est donc un excellent moyen de faire savoir aux gens que vous utilisez +GnuPG et qu'ils peuvent communiquer avec vous en toute sécurité. S'ils n'ont +pas GnuPG, ils pourront tout de même lire votre message et voir votre +signature. S'ils utilisent GnuPG, ils pourront également vérifier que votre +signature est authentique.

-

Before sending the email, click the icon of the pencil in the bottom right of the -composition window (it should turn yellow). This tells Enigmail to sign the email with -you private key.

+

Pour signer un courriel destiné à Edward, écrivez un message à son adresse +et cliquez sur l'icône du crayon à côté du cadenas. Elle deviendra jaune. Si +vous signez un message, GnuPG vous demandera peut-être votre mot de passe +avant l'envoi car il a besoin de déverrouiller votre clé privée pour signer.

-

After you click send, Enigmail will ask you for your password. It will do this any time -it needs to use your public key.

+

Dans « Paramètres des comptes Â» → « Chiffrement de bout +en bout Â» vous pouvez cocher Ajouter ma signature numérique par +défaut.

-
--> -
+ + + + + + +
+
+ +

Étape 4.e Recevez une réponse

+ +

Quand Edward recevra votre courriel, il utilisera votre clé publique (que +vous lui avez envoyée à la Section 3.a) pour +vérifier que le message n'a pas été altéré et pour chiffer une réponse.

+ +

Cela peut prendre deux ou trois minutes à Edward pour vous répondre. Pendant +ce temps, vous pouvez aller plus avant dans ce guide et consulter la section +« Les bonnes pratiques Â».

+ +

La réponse d'Edward arrivera chiffrée, parce qu'il préfère utiliser le +chiffrement dans la mesure du possible. Si tout se passe comme prévu, le +message doit contenir « Votre signature a été vérifiée. Â» Si votre +courriel de test était également chiffré, il le mentionnera en premier.

+ +

Quand vous allez recevoir le courriel d'Edward et l'ouvrir, votre client de +courriel va automatiquement détecter qu'il est chiffré avec votre clé +publique et va utiliser votre clé privée pour le déchiffrer.

+ +
+ +
+ + + + + +
- -
-

#4 Découvrez la « toile de confiance Â»

- -

Le chiffrement de courriel est une technologie puissante, mais il a une faiblesse ; -il requiert un moyen de vérifier que la clef publique d'une personne est effectivement -la sienne. Autrement, il n'y aurait aucun moyen de stopper un attaquant qui créerait une -adresse de courriel avec le nom d'un de vos amis, et des clefs assorties permettant de se -faire passer pour lui. C'est pourquoi les programmeurs de logiciel libre qui ont développé -le chiffrement de courriel ont créé la signature de clef et la toile de confiance.

- -

Lorsque vous signez la clef de quelqu'un, vous exprimez publiquement votre certitude -qu'elle lui appartient à lui et non à un imposteur. Les gens qui utilisent votre clef -publique peuvent voir le nombre de signatures qu'elle porte. Une fois que vous aurez -utilisé GnuPG pendant assez longtemps, vous devriez disposer de centaines de signatures. La -toile de confiance est une constellation constituée de tous les utilisateurs de GnuPG, -connectés entre eux par des chaînes de confiance exprimées au travers des signatures, -une sorte de toile d'araignée géante. Plus une clef a de signatures, et plus les clefs -de ses signataires possèdent de signatures, plus cette clef sera digne de confiance.

- -

Les clefs publiques sont généralement identifiées par leur empreinte, une suite de -caractères du genre F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (pour la clef d'Edward). Pour -voir l'empreinte de votre clef publique et des autres clefs publiques stockées dans votre -ordinateur allez à « Enigmail → Gestion de clefs Â» dans le menu -de votre programme de messagerie, puis faites un clic droit sur la clef en question et -choisissez « Propriétés de la clef Â». Il est bon de communiquer votre -empreinte de clef en même temps que votre adresse de courriel, pour que les gens puissent -vérifier qu'ils ont la bonne clef publique lorsqu'ils la téléchargent d'un serveur.

- -

Vous verrez qu'on peut aussi désigner une clef publique par son identifiant -(ID). Il s'agit simplement des 8 derniers caractères de son empreinte (C09A61E8 pour -celle d'Edward). On peut voir l'ID des clefs dans la fenêtre de « Gestion de -clefs Â». C'est un peu comme le prénom d'une personne (un raccourci pratique, -mais qui n'est pas spécifique d'une clef donnée), tandis que l'empreinte identifie la -clef de manière unique sans possibilité de confusion. Si vous n'avez que l'ID, vous pouvez -tout de même rechercher la clef (ainsi que que son empreinte) comme à l'étape 3.B, -mais s'il y a plusieurs options, vous aurez besoin de l'empreinte de clef de la personne -avec laquelle vous communiquez pour vérifier laquelle utiliser.

- -
+

#5 Découvrez la « toile de confiance Â»

+

[Dessin de plusieurs clés interconnectées par un réseau de lignes]

+ +

Le chiffrement de courriel est une technologie puissante, mais il a une +faiblesse : il requiert un moyen de vérifier que la clé publique d'une +personne est effectivement la sienne. Autrement, il n'y aurait aucun moyen +d'empêcher un attaquant de créer une adresse de courriel avec le nom d'un de +vos amis, et des clés assorties permettant de se faire passer pour +lui. C'est pourquoi les programmeurs de logiciel libre qui ont développé le +chiffrement de courriel ont créé la signature de clé et la toile de +confiance.

+ +

En signant la clé de quelqu'un, vous dites publiquement qu'après +vérification vous êtes sûr qu'elle lui appartient, à lui et à personne +d'autre.

+ +

La signature des clés et la signature des messages font appel au même genre +d'opération mathématique, mais ont des implications très différentes. C'est +une bonne pratique de signer vos courriels d'une manière générale, mais si +vous signez les clés d'autres personnes sans faire attention, vous pouvez +accidentellement vous porter garant de l'identité d'un imposteur.

+ +

Les gens qui utilisent votre clé publique peuvent voir qui l'a +signée. Lorsque vous aurez utilisé GnuPG suffisamment longtemps, votre clé +aura peut-être des centaines de signatures. Vous pouvez considérer une clé +comme d'autant plus fiable qu'elle porte les signatures de nombreuses +personnes à qui vous faites confiance. La toile de confiance est une +constellation d'utilisateurs de GnuPG reliés entre eux par des chaînes de +confiance exprimées au travers des signatures.

+
+ + + -
+
-

+

-
+
+
-

Étape 4.A Signez une clef

+

Étape 5.a Signez une clé

-

Dans le menu de votre logiciel de messagerie, allez à « Enigmail → -Gestion de clefs Â».

+

Dans le menu de votre logiciel de messagerie, allez dans le gestionnaire de +clés OpenPGP, faites un clic droit sur la clé d'Edward et choisissez +Propriétés de la clé.

-

Faites un clic droit sur la clef publique d'Edward et sélectionnez « Signer -la clef Â» dans le menu contextuel.

+

Sous « Votre acceptation Â», vous pouvez sélectionner Oui, j'ai +vérifié en personne que l'empreinte de cette clé est correcte

-

Dans la fenêtre pop-up, choisissez « Je ne souhaite pas répondre Â» -et cliquez sur « OK Â».

+

Vous venez juste de dire « Je crois que la clé publique d'Edward +appartient effectivement à Edward. Â» Cela ne signifie pas grand chose +étant donné qu'Edward n'est pas une personne réelle, mais c'est un bon +entraînement, et pour les personnes réelles c'est important. Vous en +apprendrez plus sur la signature de clé dans la section Vérifier les identifiants avant de +signer.

-

Maintenant, vous devriez être de retour au menu « Gestion de -clefs Â». Sélectionner « Serveur de clefs → Envoyer les clefs -publiques Â» et cliquez sur « OK Â».

- -

Vous venez juste de dire « Je crois que la clef publique d'Edward -appartient effectivement à Edward. Â» Cela ne signifie pas grand chose étant donné -qu'Edward n'est pas une personne réelle, mais c'est un bon entraînement.

-
-
+
End #pgp-pathfinder --> + + + + + + + +
+
+ +

Identification des clés : empreinte et ID

+ +

Les clés publiques sont généralement identifiées par leur empreinte, une +suite de caractères du genre F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (pour +la clé d'Edward). Pour voir l'empreinte de votre clé publique et des autres +clés publiques stockées dans votre ordinateur, ouvrez le gestionnaire de +clés OpenPGP dans le menu de votre programme de messagerie, puis faites un +clic droit sur la clé en question et choisissez « Propriétés de la +clé Â». Il est souhaitable de communiquer votre empreinte de clé en même +temps que votre adresse de courriel, pour que les gens puissent vérifier +qu'ils ont la bonne clé publique lorsqu'ils la téléchargent d'un serveur.

+ +

Il arrive qu'une clé publique soit désignée par un identifiant de huit +caractères (keyID). C'est ce qu'on voit dans le gestionnaire de +clés. Le keyID était utilisé auparavant pour l'identification, ce qui +était alors sans danger, mais il est devenu non fiable. Vous devez vérifier +l'empreinte complète pour vous assurer qu'il s'agit bien d'une clé +appartenant à la personne que vous essayez de contacter. Les tentatives +d'usurpation sont malheureusement courantes ; cela consiste à générer +intentionnellement une clé dont les huit derniers caractères sont identiques +à ceux d'une autre.

+ +
+ +
+ + -
+
-

Important : vérifiez l'identité des personnes avant de signer leurs -clefs

+

Important : Ce qu'il faut regarder quand on signe des clés

+ +

Avant de signer la clé d'une personne, vous devez vous assurer que cette clé +lui appartient vraiment et qu'elle est bien qui elle prétend être. L'idéal +serait que cette confiance s'établisse au fil du temps par des interactions +et des conversations, ainsi que par l'observation de ses interactions avec +les autres. Lorsque vous signez une clé, demandez à voir l'empreinte +complète de la clé publique (et non pas l'identifiant court). Si vous +estimez important de signer la clé d'une personne rencontrée pour la +première fois, demandez-lui également de vous montrer une pièce d'identité +et assurez-vous que le nom correspond bien à celui du propriétaire de la clé +publique.

+ + + +
+ +

Utilisation avancée

+ +
+
Maîtrisez le réseau de confiance
+
Malheureusement, la confiance ne se propage pas entre utilisateurs de la +manière qu'imaginent beaucoup de gens. Une des meilleures façons de +renforcer la communauté GnuPG est de comprendre en +profondeur le réseau de confiance et de signer avec précaution autant de +clés d'autres personnes que le permettent les circonstances.
+
-

Avant de signer la clef d'une personne réelle, assurez-vous systématiquement que cette -clef lui appartient vraiment, et qu'elle est bien qui elle prétend être. Demandez-lui de -vous montrer sa carte d'identité (à moins que vous ne lui fassiez une absolue confiance) -et l'empreinte de sa clef publique – pas l'ID, qui pourrait aussi désigner une -autre clef. Dans Enigmail, répondez honnêtement dans la fenêtre pop-up qui vous demande -« Avec quel soin avez-vous vérifié que la clef que vous vous apprêtez à -signer appartient effectivement à la personne citée ci-dessus ? Â»

+
+ +
+ +
+ +
- - - - -
+ + +
+
-

#5 Les bonnes pratiques

+

#6 Les bonnes pratiques

+ +

Chaque personne utilise GnuPGP à sa manière, mais il est important de suivre +certaines pratiques de base pour garantir la sécurité de vos courriels. Ne +pas les suivre peut constituer un risque pour la vie privée des personnes +avec qui vous communiquez, de même que pour la vôtre, et peut être +dommageable pour la toile de confiance.

-

Chaque personne utilise GnuPGP à sa manière, mais il est important de suivre certaines -pratiques de base pour garantir la sécurité de vos courriels. Ne pas les suivre peut -constituer un risque pour la vie privée des personnes avec qui vous communiquez, de même -que pour la vôtre, et peut être dommageable pour la toile de confiance.

+
-
+ -
+
-

+

-
+
+
-

Quand dois-je chiffrer ?

+

Quand dois-je chiffrer ? Quand dois-je signer ?

Plus vous chiffrez de messages, mieux c'est. En effet, si vous ne chiffrez -qu'occasionnellement votre courriel, chaque message chiffré pourrait alerter les systèmes de -surveillance. Si tout votre courriel est chiffré, ou presque, les gens qui vous espionnent -ne sauront pas par où commencer.

+qu'occasionnellement votre courriel, chaque message chiffré pourrait alerter +les systèmes de surveillance. Si tout votre courriel est chiffré, ou +presque, les gens qui vous espionnent ne sauront pas par où commencer. Cela +ne signifie pas que chiffrer uniquement certains de vos messages soit +inutile. C'est un excellent début et cela complique la surveillance de +masse.

+ +

À moins que vous ne souhaitiez pas révéler votre identité (ce qui requiert +d'autres mesures de protection), il n'y a aucune raison de ne pas signer +tous vos messages, chiffrés ou non. Non seulement cela permet aux +utilisateurs de GnuPG de vérifier que ce message provient bien de vous, mais +c'est aussi une méthode non intrusive de rappeler à chacun que vous utilisez +GnuPG et de promouvoir les communications sécurisées. Si vous envoyez +régulièrement des courriels signés à des persones non familières de GnuPG, +il est bon d'ajouter un lien vers ce guide à votre signature (celle qui fait +partie du message, pas la signature cryptographique).

-

Cela ne signifie pas que chiffrer uniquement certains de vos messages est inutile. C'est -un excellent début et cela complique la surveillance de masse.

+
+ +
-
- + -
+
-

+

-
+
+
-

Important : soyez attentif aux clefs non valides

+

Soyez attentif aux clés non valides

-

GnuPG rend le courriel plus sûr, mais il est tout de même important de faire attention -aux clefs non valides, qui pourraient être tombées entre de mauvaises mains. Un message -chiffré avec une clef non valide peut être lu par des programmes de surveillance.

+

GnuPG rend le courriel plus sûr, mais il est tout de même important de faire +attention aux clés non valides, qui ont pu tomber entre de mauvaises +mains. Un message chiffré avec une clé non valide est lisible par des +programmes de surveillance.

-

Dans votre logiciel de messagerie, revenez au second courriel qu'Edward vous a -envoyé. Comme il l'a chiffré avec votre clef publique, il y a un message d'Enigmail au -début, qui dit généralement « Début contenu chiffré ou signé Â».

+

Dans votre logiciel de messagerie, revenez au premier courriel chiffré +qu'Edward vous a envoyé. Comme il l'a chiffré avec votre clé publique, il y +aura un marqueur vert sur le cadenas du bouton « OpenPGP Â».

-

Lorsque vous utilisez GnuPG, prenez l'habitude de jeter un œil à cette barre. Le -programme vous alertera à cet endroit si vous recevez un courriel chiffré avec une clef -dont la confiance n'est pas avérée.

+

Lorsque vous utilisez GnuPG, prenez l'habitude de jeter un coup +d'œil à ce bouton. C'est là que vous verrez une alerte si vous recevez un +courriel signé avec une clé non fiable.

+ +
+ +
- - + -
+

Sauvegardez votre certificat de révocation en lieu sûr

-

Vous vous souvenez de l'étape où vous avez créé vos clefs et enregistré le certificat -de révocation produit par GnuPG ? Il est maintenant temps de copier ce certificat -sur l'équipement de stockage numérique le plus sûr que vous ayez. L'idéal serait un -périphérique flash, disque ou clef USB, ou bien un disque dur stocké dans un endroit -sûr de votre maison.

+

Vous vous souvenez de l'étape où vous avez créé vos clés et enregistré le +certificat de révocation produit par GnuPG ? Il est maintenant temps de +copier ce certificat sur l'équipement de stockage le plus sûr que vous +ayez : périphérique flash, disque amovible ou disque dur stocké dans un +endroit sûr de votre maison, pas dans un appareil que vous gardez sur vous +habituellement. En fait, le moyen le plus sûr que nous connaissons est +d'imprimer le certificat de révocation et de garder le papier en lieu sûr.

-

Si jamais votre clef privée devait être perdue ou volée, vous auriez besoin de ce -certificat pour prévenir les gens que vous n'utilisez plus cette paire de clefs.

+

Si jamais votre clé privée devait être perdue ou volée, vous auriez besoin +de ce certificat pour prévenir les gens que vous n'utilisez plus cette paire +de clés.

-
-
+
+ + + +
-

Important : agissez rapidement si quelqu'un s'empare de votre clef -privée

+

IMPORTANT : AGISSEZ RAPIDEMENT si quelqu'un s'empare de votre +clé privée

+ +

Si vous perdez votre clé privée ou si quelqu'un s'en empare (par vol ou +intrusion dans votre ordinateur), il est important de la révoquer +immédiatement avant qu'un inconnu ne l'utilise pour lire vos courriels +chiffrés ou imiter votre signature. Ce guide ne couvre pas la révocation de +clé, mais vous pouvez suivre ces instructions. +Une fois la révocation faite, créez une nouvelle clé et envoyez-la à chaque +personne avec qui vous aviez l'habitude d'utiliser l'ancienne, en leur +disant que cette dernière n'est plus valable.

+ +
+ +
+ + + + +
+
+ +

GnuPG et le webmail

-

Si vous perdez votre clef privée ou si quelqu'un s'en empare (par vol ou intrusion dans -votre ordinateur), il est important de la révoquer immédiatement avant qu'un inconnu ne -l'utilise pour lire vos courriels chiffrés. Ce guide ne couvre pas la révocation de clef, -mais vous pouvez suivre les instructions -données sur le site de GnuPG. Une fois la révocation faite, envoyez un message à -chaque personne avec qui vous avez l'habitude d'utiliser votre clef pour vous assurer -qu'elle a été avertie.

+

Lorsque vous accédez à vos courriels depuis un navigateur, vous utilisez un +webmail, un programme de courriel localisé sur un site distant. Au contraire +du webmail, votre programme de messagerie tourne sur votre ordinateur. Bien +que le webmail ne puisse déchiffrer le courriel chiffré, il l'affichera +quand même sous forme chiffrée. Si vous utilisez majoritairement un webmail, +vous saurez ainsi que c'est le moment de lancer votre logiciel de messagerie +pour lire le message en clair.

-
-
+ + + - + +
-

Make your public key part of your online identity

+

Intégrez votre clé publique à votre identité numérique

-

First add your public key fingerprint to your email signature, then compose an email -to at least five of your friends, telling them you just set up GnuPG and mentioning your -public key fingerprint. Link to this guide and ask them to join you. Don't forget that -there's also an awesome infographic to share.

+

Tout d'abord, ajoutez votre empreinte de clé publique à votre signature de +courriel, puis écrivez un message à au moins cinq de vos amis pour leur dire +que vous venez d'installer GnuPG et pour leur donner votre empreinte de +clé. Faites un lien vers ce guide et demandez-leur de vous +rejoindre. N'oubliez pas qu'il y a aussi une magnifique infographie à partager.

-

Start writing your public key fingerprint anywhere someone would see -your email address: your social media profiles, blog, Website, or business card. (At the -Free Software Foundation, we put ours on our staff -page.) We need to get our culture to the point that we feel like something is missing -when we see an email address without a public key fingerprint.

+

Ensuite, commencez à mettre votre empreinte de clé partout où on peut voir +votre adresse de courriel : vos profils sur les média sociaux, ainsi +que vos blogs, sites web et cartes de visite (à la Free Software +Foundation, nous mettons les nôtres sur les pages présentant nos +équipes). Nous devons cultiver notre habitude du chiffrement au point de +ressentir un manque lorsque nous voyons une adresse de courriel sans +empreinte de clé.

-
-
+ + + + + - -
+ + + +
+ +
+ + + - - -
+ - - + --> + - - - - +href="https://creativecommons.org/licenses/by/4.0/deed.fr">Creative Commons +attribution, 4.0 internationale (CC BY 4.0) ou version ultérieure, et le +reste sous licence Creative +Commons attribution, partage dans les mêmes conditions, 4.0 internationale +(CC BY-SA 4.0) ou version ultérieure. Téléchargez le code +source du robot Edward, par Andrew Engelbrecht +<andrew@engelbrecht.io> et Josh Drake <zamnedix@gnu.org>, +disponible sous la licence publique générale GNU (GNU General Public +License). Pourquoi +ces licences ?

+ +

Polices utilisées dans le guide et l'infographie : Dosis, par Pablo +Impallari ; Signika, par Anna +Giedryś ; Archivo +Narrow, par Omnibus-Type ; PXL-2000, +par Florian Cramer .

+ +

Télécharger le paquet source de ce +guide, qui comprend les polices, les fichiers sources des illustrations +et le texte des messages d'Edward.

+ +

Ce site utilise des « Ã©tiquettes web Â» normalisées pour identifier +le JavaScript +libre. Consultez le code source et la licence du JavaScript.

+ + + + +

Conception de l'infographie et du guide : Journalism++ [Logo de +Journalism++] 

+ + + + + + + + // @license-end + + + + + + +