X-Git-Url: https://vcs.fsf.org/?a=blobdiff_plain;f=fr%2Findex.html;h=78249ad16a7b500ee40d09c2dac33f0fe9b3dd9a;hb=e6edb9017fe0b6f5c16ccb814739b90181f430dd;hp=cf50154f96d8d984e4404fa273f5bc5c3cc77a66;hpb=44126396c151679eda658af35503d9ebd8e23487;p=enc.git diff --git a/fr/index.html b/fr/index.html index cf50154f..78249ad1 100644 --- a/fr/index.html +++ b/fr/index.html @@ -1,186 +1,214 @@ - - - + -Autodéfense courriel - un guide pour contrer la surveillance en chiffrant avec -GnuPG - - +Autodéfense courriel - un guide pour contrer la surveillance en chiffrant +avecGnuPG + + - - - + + + + + + + + + + + - - +
+

#1 Rassemblez les outils

- -

Ce guide repose sur des -logiciels sous licence -libre ; ils sont complètement transparents et n'importe qui peut les copier ou -en faire sa propre version. Cela les rend plus sûrs vis-à-vis de la surveillance que -les logiciels -privateurs (propriétaires) comme Windows ou Mac OS. Apprenez-en plus sur le logiciel -libre en parcourant Ce guide repose sur des logiciels sous licence +libre ; ils sont complètement transparents et n'importe qui peut +les copier ou en faire sa propre version. Cela les rend plus sûrs vis-à-vis +de la surveillance que les logiciels privateurs (propriétaires) comme +Windows ou macOS. Apprenez-en plus sur le logiciel libre en parcourant fsf.org ou bien, en français, framasoft.net et framasoft.org et april.org.

-

La plupart des systèmes d'exploitation GNU/Linux disposent déjà de GnuPG, vous n'avez -donc pas à le télécharger. Toutefois, avant de configurer GnuPG, vous aurez besoin -d'installer sur votre ordinateur le programme de courriel IceDove (que nous appellerons par -la suite « logiciel de messagerie Â» ou « programme de messagerie Â», -sachant qu'il s'agit ici de courriel et non de messagerie instantanée). Dans la -plupart des distributions GNU/Linux, IceDove est installé par défaut (souvent sous -le nom de Thunderbird), sinon vous le trouverez dans les dépôts (quelquefois appelés -logithèque). Les logiciels de messagerie sont un moyen alternatif d'accéder aux comptes -de courriel (comme GMail) auxquels vous accédez habituellement via votre navigateur, -mais proposent des fonctionnalités supplémentaires.

+

La plupart des systèmes d'exploitation GNU/Linux disposent déjà de GnuPG. Si +vous utilisez l'un de ces systèmes, vous n'avez donc pas à le +télécharger. Si vous utilisez macOS ou Windows, l'installation de GnuPG est +décrite plus loin. Toutefois, avant de configurer le chiffrement avec ce +guide, vous aurez besoin d'installer sur votre ordinateur un logiciel (ou +« client Â») de messagerie. Thunderbird est l'un de ces clients. Il +est installé par défaut dans de nombreuses distributions GNU/Linux +(quelquefois sous le nom d'Icedove). Ce type de programme est un moyen +alternatif d'accéder aux comptes de courriel (comme GMail) auxquels vous +accédez habituellement via votre navigateur, mais propose des +fonctionnalités supplémentaires.

+ +

Si vous avez déjà un logiciel de messagerie, vous pouvez passer à la section 2.

+
-

Si vous avez déjà un logiciel de messagerie, vous pouvez passer à l'étape 1.B.

- -
+
-

+

-
+
+
-

Étape 1.A Configurez votre logiciel de messagerie avec votre compte de -courriel

+

Étape 1.a Configurez votre logiciel de messagerie avec votre compte +de courriel

+ +

Lancez votre logiciel de messagerie et suivez les indications de +l'assistant, qui vous guidera pas à pas pour le configurer avec votre compte +de courriel. Cela se passe habituellement dans « Paramètres des +comptes Â» → « Ajouter un compte de messagerie Â». Il vous +faudra demander ces paramètres à votre administrateur système ou les trouver +dans la documentation de votre compte de courriel.

-

Lancez votre programme de messagerie et suivez les indications de l'assistant, qui vous -guidera pas à pas pour le configurer avec votre compte de courriel.

-

Cherchez les sigles SSL, TLS ou STARTTLS à la droite des serveurs lorsque vous -configurez votre compte. Si vous ne les trouvez pas, vous pourrez tout de même utiliser -le chiffrement, mais cela signifie que les personnes gérant votre système de courriel -sont en retard sur les standards de l'industrie en ce qui concerne la protection de votre -sécurité et de votre vie privée. Nous vous recommandons de leur envoyer un courriel -amical leur demandant d'activer SSL, TLS ou STARTTLS sur le serveur. Ils sauront de quoi -vous parlez ; cela vaut donc la peine d'en faire la demande, même si vous n'êtes -pas expert(e) en sécurité informatique.

@@ -189,267 +217,359 @@ pas expert(e) en sécurité informatique.

L'assistant ne démarre pas
- -
Vous pouvez lancer l'assistant vous-même, mais l'option qui permet de le faire a un -nom différent dans chaque programme de messagerie. Vous la trouverez dans la rubrique -« [Fichier/]Nouveau Â» du menu principal (ou quelque chose d'approchant), -sous un nom du genre « Ajouter un compte Â» ou « Compte -courrier existant Â».
- -
Mon programme de messagerie ne trouve pas mon compte ou ne télécharge pas mes -courriels.
- -
Avant de chercher sur le web, nous vous conseillons de commencer par demander à -d'autre personnes qui utilisent le même système de messagerie de vous indiquer les bons -paramètres.
+
Vous pouvez lancer l'assistant vous-même, mais l'option qui permet de le +faire a un nom différent dans chaque programme de messagerie. Vous la +trouverez dans la rubrique « [Fichier/]Nouveau Â» du menu principal +(ou quelque chose d'approchant), sous un nom du genre « Ajouter un +compte Â» ou « Compte courrier existant Â».
+ +
Mon programme de messagerie ne trouve pas mon compte ou ne télécharge pas +mes courriels.
+
Avant de chercher sur le web, nous vous conseillons de commencer par +demander à d'autre personnes qui utilisent le même système de messagerie de +vous indiquer les bons paramètres.
+ +
Je ne trouve pas le menu
+
Dans beaucoup de logiciels de messagerie récents, le menu principal est +représenté par trois barres horizontales.
- +href="https://libreplanet.org/wiki/GPG_guide/Public_Review">la page de +commentaires.
-
-
- + + + + + + +
-
-
    -
    • -
    • -
    • -
- -
-

Étape 1.B Installez le module Enigmail pour votre programme de messagerie

- +

Étape 1.b Préparez votre terminal et installez GnuPG

-

Dans le menu de votre programme de messagerie, sélectionnez -« Modules complémentaires Â» (qui devrait se trouver dans la section -« Outils Â»). Assurez-vous qu'« Extensions Â» est sélectionné sur -la gauche. Voyez-vous « Enigmail Â» ? Si oui, passez à -l'étape suivante.

+

Si vous utilisez une machine sous GNU/Linux, GnuPG devrait être déjà +installé et vous pouvez passer à la section 2.

+

En revanche, si vous utilisez une machine sous macOS ou Windows, vous devez +d'abord installer le programme GnuPG. Sélectionnez votre système +d'exploitation ci-dessous et suivez les explications. Dans le reste de ce +guide, les étapes sont les mêmes pour les trois systèmes.

-

Sinon, faites une recherche sur « Enigmail Â» dans la partie supérieure -droite de la fenêtre. Vous pouvez le récupérer par ce moyen. Redémarrez votre programme -de messagerie lorsque vous aurez terminé.

- +
-

Résolution de problèmes

+

macOS

-
Je ne trouve pas le menu.
+
Installez GnuPG à l'aide d'un gestionnaire de paquet tiers
+
Votre macOS inclut un programme préinstallé appelé « Terminal Â», +que nous allons utiliser pour configurer le chiffrement avec GnuPG en +utilisant la ligne de commande. Cependant, le gestionnaire de paquets par +défaut de macOS rend difficile l'installation de GnuPG et des autres +logiciels libres (comme Emacs, GIMP ou Inkscape).
+Pour faciliter les choses, nous vous recommandons d'utiliser +« Homebrew Â», un gestionnaire de paquets tiers, pour installer +GnuPG. Copiez le lien qui se trouve sur la page d'accueil de Homebrew et collez-le dans Terminal. Cliquez sur +« Entrée Â» et attendez que l'opération se termine.
+Quand c'est fini, installez le programme en saisissant le code suivant dans +Terminal :
+brew install gnupg gnupg2. Une fois l’installation terminée, +vous pouvez suivre le reste de ce guide.
+
-
Dans beaucoup de logiciels de messagerie récents, le menu principal est représenté -par trois barres horizontales.
+
-
Mon courriel à l'air bizarre
-
Enigmail ne fait pas bon ménage avec le HTML utilisé pour la mise en page des courriels, -donc il se peut qu'il le désactive automatiquement. Pour envoyer un courriel au format HTML -sans chiffrement ni signature, maintenez la touche Maj enfoncée en sélectionant Écrire. De -cette façon, vous pouvez rédiger un message comme si Enigmail n'était pas là.
+ + +
- +

Windows

- +
+
Procurez-vous GnuPG en téléchargeant GPG4Win
+

GPG4Win est un logiciel de +chiffrement pour le courriel et les fichiers, qui inclut GnuPG. Téléchargez +et installez la dernière version en choisissant les options par défaut. Une +fois l’installation terminée, vous pouvez fermer toutes les fenêtres créées +par l'installateur.

+ +

Dans les étapes suivantes, vous utiliserez un programme appelé +« PowerShell Â» que vous verrez par ailleurs mentionné comme +« terminal Â». Il vous permet d'utiliser la ligne de commande pour +piloter votre ordinateur.

+
-
-
-
-
+ + + + + - -
- -
+ + +
+
+ +

GnuPG, OpenPGP, c'est quoi tout ça ?

+ +

En général, les termes GnuPG, GPG, GNU Privacy Guard, OpenPGP et PGP sont +utilisés de manière interchangeable. Techniquement, OpenPGP (Pretty Good +Privacy) est la norme de chiffrement et GNU Privacy Guard (qu'on abrège +souvent en GPG ou GnuPG) est le programme qui la met en œuvre. La plupart +des clients de messagerie ont une interface pour GnuPG. Il y a aussi une +nouvelle version de GnuPG appelée GnuPG2.

+ +
+ +
+ + +
+ -

#2 Fabriquez vos clefs

+ + +
-

Pour utiliser le système GnuPG, vous allez avoir besoin d'une clef publique et d'une -clef privée (l'ensemble des deux est appelé « paire de clefs Â»). Chacune -d'elles est une longue suite de chiffres et de lettres, générés aléatoirement, qui -vous est propre. Vos clefs publique et privée sont liées entre elles par une fonction -mathématique spécifique.

-

Votre clef publique n'est pas comme une clef physique, car elle est stockée dans un -répertoire en ligne ouvert à tous, appelé « serveur de clefs Â». Les gens -téléchargent et utilisent votre clef publique, au travers de GnuPG, pour chiffrer les -courriels qu'ils vous envoient. Vous pouvez vous représenter le serveur de clefs comme -un annuaire ; les gens qui souhaitent vous envoyer un courriel chiffré peuvent le -consulter pour trouver votre clef publique.

+ +
-

Votre clef privée se rapproche plus d'une clef physique, parce que vous la gardez pour -vous (sur votre ordinateur). Vous utilisez GnuPG et votre clef privée pour décoder les -courriels chiffrés que les autres personnes vous envoient. Vous ne devez en aucun cas communiquer votre clef privée à qui que ce -soit.

+

#2 Fabriquez vos clés

+

[Un robot à tête de clé qui brandit une clé publique et une clé privée]

+ +

Pour utiliser le système GnuPG, vous allez avoir besoin d'une clé publique +et d'une clé privée (aussi appelée clé secrète) ; l'ensemble des deux +est appelé « paire de clés Â». Chacune d'elles est une longue suite +de chiffres et de lettres, générés aléatoirement, qui vous est propre. Vos +clés publique et privée sont liées entre elles par une fonction mathématique +spécifique.

+ +

Votre clé publique n'est pas comme une clé physique, car elle est stockée +dans un répertoire en ligne ouvert à tous, appelé « serveur de +clés Â». Les gens téléchargent et utilisent votre clé publique, au +travers de GnuPG, pour chiffrer les courriels qu'ils vous envoient. Vous +pouvez vous représenter le serveur de clés comme un annuaire ; les gens +qui souhaitent vous envoyer un courriel chiffré peuvent le consulter pour +trouver votre clé publique.

+ +

Votre clé privée se rapproche plus d'une clé physique, parce que vous la +gardez pour vous (sur votre ordinateur). Vous utilisez GnuPG et votre clé +privée pour décoder les courriels chiffrés que les autres personnes vous +envoient. Vous ne devez en aucun cas communiquer votre clé privée à +qui que ce soit.

+ +

À part chiffrer et déchiffrer, ces clés peuvent vous servir à signer des +messages et à vérifier l'authenticité des signatures d'autres +personnes. Nous y reviendrons dans la prochaine section.

-

À part chiffrer et déchiffrer, ces clés peuvent vous servir à signer des messages -et à vérifier l'authenticité des signatures d'autres personnes. Nous y reviendrons dans -la prochaine section.

+
-
+
+

+
+

-

- -
+
+
-

Étape 2.A Créez une paire de clefs

- -

L'assistant d'installation d'Enigmail démarrera peut-être automatiquement. Si ce n'est -pas le cas, selectionnez « Enigmail → Assistant de configuration Â» dans -le menu de votre logiciel de messagerie. Vous n’avez pas besoin de lire le texte dans la -fenêtre pop-up, sauf si vous le souhaitez, mais c’est une bonne idée de lire ce qui -apparaît dans les fenêtres suivantes. Si vous avez plusieurs comptes de courriel, une -fenêtre intitulée « Sélectionnez une identité Â» vous demandera de choisir -à quel compte (quelle adresse de courriel) cette configuration doit s'appliquer. Ensuite, -cliquez sur « Suivant Â» en acceptant les options par défaut, sauf dans les -fenêtres suivantes (citées dans l'ordre où elles se présenteront).

- - +

Étape 2.a Créez une paire de clés

+ +

Fabriquez votre paire de clés

+

Ouvrez un terminal. Vous devriez le trouver dans les applications (certains +systèmes GNU/Linux répondent au raccourci clavier ctrl + alt + t) +et créez votre paire de clés à l'aide du code suivant:

+ +

Nous allons nous servir de la ligne de commande dans un terminal pour créer +une paire de clés en utilisant le programme GnuPG. Un terminal devrait être +installé sur votre système d'exploitation GNU/Linux ; si vous utilisez +macOS ou Windows, utilisez les programmes Terminal (macOS) ou PowerShell +(Windows) qui ont déjà été utilisés dans la section 1.

+ +

# gpg --full-generate-key pour démarrer l'opération.

+

# Pour le type de clé à créer, choisissez l'option par défaut 1 RSA et +RSA.

+

# Pour la taille de la clé: 4096 produira une clé robuste.

+

# Pour la date d'expiration, nous suggérons 2y (2 ans).

+

Puis répondez aux questions concernant vos données personnelles.

+ +

Choisissez votre phrase secrète

+

Dans la fenêtre « Phrase secrète Â», choisissez un mot de passe +fort ! Vous pouvez le faire manuellement ou utiliser la méthode +Diceware. La méthode manuelle est plus rapide mais moins sûre. Utiliser +Diceware est plus long et nécessite des dés, mais crée un mot de passe que +d'éventuels attaquants auront plus de mal à deviner. La méthode est +expliquée dans le paragraphe « Make a secure passphrase with +Diceware Â» (Fabriquez un mot de passe sûr avec Diceware) de cet +article, écrit par Micah Lee. Vous trouverez des explications en +français dans l'article de +Wikipedia sur Diceware.

+ + +

Si vous voulez choisir vous-même votre phrase secrète (aussi appelée +« phrase de passe Â»), trouvez quelque chose dont vous puissiez +vous souvenir et qui ait douze caractères au minimum, dont au moins une +lettre minuscule, une majuscule et un chiffre ou caractère non conventionnel +(signe de ponctuation, par exemple). Ne reprenez jamais un mot de passe qui +a vous déjà servi ailleurs et n'utilisez pas de motif reconnaissable (date +de naissance, numéro de téléphone, nom du chien, paroles de chanson, +citation de livre, etc.)

-

Si vous voulez choisir vous-même votre mot de passe, trouvez quelque chose dont -vous puissiez vous souvenir et qui ait douze caractères au minimum, dont au moins une -lettre minuscule, une majuscule et un chiffre ou caractère non conventionnel (signe -de ponctuation, par exemple). Ne reprenez jamais un mot de passe qui a vous déjà servi -ailleurs et n'utilisez pas de motif reconnaissable (date de naissance, numéro de téléphone, -nom du chien, paroles de chanson, citation de livre, etc.)

- -

Le programme prendra un peu de temps pour terminer l’étape suivante -dans la fenêtre « Création de la clef Â». Pendant que vous attendez, faites -quelque chose avec votre ordinateur, comme regarder un film ou naviguer sur le web. Plus -vous utilisez votre ordinateur pendant ce temps, plus vite ira la création de la clef.

- -

Quand vous verrez apparaître « Génération de la clef terminée ! Â», -sélectionnez « Générer le certificat Â» et choisissez de le sauvegarder -dans un endroit sûr de votre ordinateur (nous vous recommandons de créer un dossier -« certificat de révocation Â» dans votre répertoire personnel pour le -conserver). Cette étape est essentielle pour l'autodéfense de votre courriel, comme vous -le verrez dans la section 5.

Résolution de problèmes

-
-
Je ne trouve pas le menu d'Enigmail.
- -
Dans beaucoup de logiciels de messagerie récents, le menu principal est -représenté par trois barres horizontales. Enigmail peut être dans la section appelée -« Outils Â».
-
L'assistant d'installation ne trouve pas GnuPG.
- -
Ouvrez votre programme d'installation de logiciel (ou logithèque) préféré et cherchez -GnuPG, puis installez-le. Enfin relancez l'assistant en allant dans « Enigmail → -Assistant de configuration Â».
-
Mon courriel a l'air bizarre
- -
Enigmail ne fait pas bon ménage avec le HTML utilisé pour la mise en page des courriels, -donc il se peut qu'il le désactive automatiquement. Pour envoyer un courriel au format HTML -sans chiffrement ni signature, maintenez la touche Maj enfoncée en sélectionant Écrire. De -cette façon, vous pouvez rédiger le message comme si Enigmail n'était pas là.
- -
Ressources supplémentaires
- -
Si vous avez des difficultés avec notre tutoriel ou que vous -voulez simplement en savoir plus, consultez dans le wiki d'Enigmail la marche à suivre -pour générer une paire de clefs.
+
GnuPG n'est pas installé
+
+GnuPG n'est pas installé ? Vous pouvez vérifier si c'est bien le cas +avec la commande gpg --version. Sur la plupart des systèmes +GNU/Linux, vous obtiendrez alors ceci ou quelque chose d'approchant : +Commande 'gpg' introuvable, mais elle peut être installée avec : +sudo apt install gnupg. Utilisez cette commande pour installer le +programme.
+ +
Cela m'a pris trop longtemps de choisir la phrase secrète
+
Pas de souci. C'est important de bien réfléchir à votre phrase +secrète. Quand vous serez prêt, il vous suffit de reprendre depuis le début +pour créer votre clé.
+ +
Comment voir ma clé ?
+
+Utilisez la commande suivante pour voir toutes les clés : gpg +--list-keys. La vôtre doit être dans la liste et plus tard la clé +d'Edward (section 3) y sera aussi. Si vous voulez +seulement voir la vôtre, vous pouvez faire gpg --list-key +[votre@adresse_de_courriel]. Vous pouvez aussi voir votre clé privée +avec gpg --list-secret-key.
+ +
Pour en savoir plus
+
Référez-vous à la documentation du GNU Privacy +Handbook (Manuel de GnuPG) si vous voulez en savoir plus sur cette +opération. Gardez l'option « RSA et RSA Â» (sélectionnée par +défaut), parce que cette méthode est plus récente et mieux sécurisée que les +algorithmes recommandés dans la documentation. Assurez-vous également que +votre clé soit d'au moins 4096 bits si vous voulez être en sécurité.
- +href="https://libreplanet.org/wiki/GPG_guide/Public_Review">la page de +commentaires.
-
- +
+ + + +
-

Utilisation avancée

+

Utilisation avancée

-
Génération de clef en ligne de commande
- -
Si vous préférez utiliser la ligne de commande pour avoir -un meilleur contrôle, vous pouvez suivre la documentation du GNU Privacy Handbook (Manuel -de GnuPG). Gardez l'option « RSA et RSA Â» (sélectionnée par défaut), parce -que cette méthode est plus récente et mieux sécurisée que les algorithmes recommandés -dans la documentation. Assurez-vous également que votre clef soit d'au moins 2048 bits, -ou même 4096 pour une dose de sécurité supplémentaire.
- -
Paires de clefs évoluées
- -
Lorsque GnuPG crée une nouvelle paire de clefs, il sépare la -fonction de chiffrement de la fonction de signature grâce à des sous-clefs. En utilisant -correctement les sous-clefs, vous pouvez mieux sécuriser votre identité -GnuPG et vous remettre d'une clef compromise beaucoup plus rapidement. Alex Cabal et le Wiki Debian proposent de bons guides -pour mettre en place une configuration de sous-clefs sûre.
+
Paires de clés évoluées
+
Lorsque GnuPG crée une nouvelle paire de clés, il sépare la fonction de +chiffrement de la fonction de signature grâce à des sous-clés. En utilisant +correctement les sous-clés, vous pouvez sécuriser votre identité GnuPG et +vous remettre d'une clé compromise beaucoup plus rapidement. Alex +Cabal et le Wiki +de Debian proposent de bons guides pour mettre en place une +configuration de sous-clés sûre.
-
- - + + + + + + +
-
+
+

-

Étape 2.B Envoyez votre clef publique sur un serveur de clefs

+
+ +
-

Dans le menu de votre programme de messagerie, sélectionnez « Enigmail → -Gestion de clefs Â».

+

Étape 2.b Quelques étapes importantes après la création

+ +

Envoyez votre clé sur un serveur de clés

+

Nous allons envoyer votre clé sur un serveur de clés ; de cette façon, +toute personne qui souhaite vous envoyer un message chiffré peut télécharger +votre clé publique depuis Internet. Dans le menu, il y a le choix entre +plusieurs serveurs, mais ce sont des copies l'un de l'autre, donc vous +pouvez utiliser n'importe lequel. Cependant, il leur faut parfois quelques +heures pour que les serveurs se synchronisent quand une nouvelle clé est +envoyée.

+

# Copiez votre identifiant de clé : gnupg --list-key +[votre@adresse_de_courriel] renvoie les informations concernant votre +clé publique, en particulier son identifiant (keyID) qui est +une suite unique de chiffres et de lettres. Copiez cet identifiant pour +pouvoir l'utiliser dans la commande suivante.

+

# Envoyez votre clé sur un serveur : gpg --send-key +[keyID]

+ +

Exportez votre clé vers un fichier

+

Utilisez la commande suivante pour exporter votre clé secrète de manière à +pouvoir l'importer dans votre client de messagerie dans l'étape suivante. Pour éviter qu'elle ne soit compromise, +sauvegardez-la en lieu sûr et assurez-vous que, si elle doit être +transférée, cela se fera en toute sécurité. Pour exportez vos clés, vous +pouvez utiliser les commandes suivantes :

+ +

$ gpg --export-secret-keys -a [keyID] > ma_cle_privee.asc
+$ gpg --export -a [keyID] > ma_cle_publique.asc

+ +

Créez un certificat de révocation

+

En prévision d'une éventuelle perte ou compromission de votre clé, vous +devez prendre la précaution de créer un certificat de révocation et de le +sauvegarder dans un endroit sûr de votre ordinateur (reportez-vous à l'étape 6.C pour choisir cet endroit). Cette étape +est essentielle pour l'autodéfense de votre courriel, comme vous le verrez +dans la section 5.

+ +

# Copiez votre identifiant de clé : gnupg --list-key +[votre@adresse_de_courriel] renvoie les informations concernant votre +clé publique, en particulier son identifiant (keyID) qui est +une suite unique de chiffres et de lettres. Copiez cet identifiant pour +pouvoir l'utiliser dans la commande suivante.

+

# Créez un certificat de révocation : gpg --gen-revoke --output +revoke.asc [keyID]

+

# Comme raison de la révocation, nous vous recommandons de mettre +1 = la clé a été compromise.

+

# Mais il n'est pas obligatoire de donner une raison. Vous pouvez simplement +taper sur « Entrée Â» pour laisser la ligne vide et valider votre +choix.

-

Faites un clic droit sur votre clef et sélectionnez « Envoyer les clefs publiques -vers un serveur de clefs Â». Utilisez le serveur proposé par défaut.

-

À partir de maintenant, si quelqu’un souhaite vous envoyer un message -chiffré, il peut télécharger votre clef publique depuis Internet. Dans le menu, il y -a le choix entre plusieurs serveurs où envoyer votre clef, mais ce sont des copies l'un -de l'autre, donc vous pouvez utiliser n'importe lequel. Cependant, il leur faut parfois -quelques heures pour s'aligner l'un sur l'autre quand une nouvelle clef est envoyée.

@@ -457,163 +577,316 @@ quelques heures pour s'aligner l'un sur l'autre quand une nouvelle clef est envo

Résolution de problèmes

-
La barre de progression n'en finit pas.
- -
Fermez la fenêtre d'envoi vers le serveur, assurez-vous d’être sur Internet -et réessayez. Si cela ne marche pas, réessayez en sélectionnant un serveur de clefs -différent.
- -
Ma clef n’apparaît pas dans la liste.
- -
Essayez de cocher « Afficher toutes les clefs par défaut Â».
- -
Documentation supplémentaire
- -
Si vous avez des difficultés avec nos instructions ou -que voulez simplement en savoir plus, jetez un coup d'œil à la documentation -d'Enigmail.
- +
Ma clé ne semble pas fonctionner ou cela renvoie « accès non +autorisé Â».
+

Comme pour tout fichier ou répertoire, l'accès aux clés GPG est régi par des +droits. Si ces derniers ne sont pas configurés correctement, votre système +n'acceptera pas vos clés. Vous pouvez suivre les étapes suivantes pour +vérifier et mettre à jour ces droits.

+ +

# Vérifiez vos droits: ls -l ~/.gnupg/*

+

# Donnez-vous les droits de lecture, écriture et exécution, et retirez-les +aux autres. Ce sont les droits recommandés pour votre répertoire.
+Vous pouvez utiliser ce code : chmod 700 ~/.gnupg

+

# Configurez les droits de lecture et écriture pour vous seul. C'est ce +qu'on recommande pour les clés à l'intérieur de votre répertoire.
+Vous pouvez utiliser ce code : chmod 600 ~/.gnupg/*

+ +

Si pour une raison quelconque vous avez créé votre propre répertoire à +l'intérieur de ~/.gnupg, vous devez aussi appliquer les droits +d'exécution à ce répertoire. Ces droits sont nécessaires pour ouvrir les +répertoires. Pour en savoir plus, consultez ce +guide détaillé.

+
- +href="https://libreplanet.org/wiki/GPG_guide/Public_Review">la page de +commentaires.
-
- +
+ + + +

Utilisation avancée

-
Téléverser une clef en ligne de commande
- -
Vous pouvez envoyer vos clefs sur un serveur à l'aide de la [ligne de commande. Le site sks-keyserver.net -tient à jour une liste de serveurs de clés hautement interconnectés. Vous pouvez aussi - exporter directement vos -clés sous forme de fichier sur votre ordinateur.
+
En savoir plus sur les serveurs de clés
+
Vous trouverez des informations complémentaires dans le manuel des serveurs de +clés. Le site +sks-keyserver.net tient à jour une liste de serveurs de clés hautement +interconnectés. Vous pouvez aussi exporter +directement vos clés sur votre ordinateur sous forme de fichier.
+ +
Tranfert de votre paire de clés
+
+

Pour éviter qu'elle ne soit compromise, sauvegardez-la en lieu sûr et +assurez-vous que si elle doit être transférée, cela se fera en toute +sécurité. Pour importer et exporter une paire de clés, utilisez les +commandes suivantes:

+ +

$ gpg --export-secret-keys -a [keyID] > ma_cle_privee.asc
+$ gpg --export -a [keyID] > ma_cle_publique.asc
+$ gpg --import ma_cle_privee.asc
+$ gpg --import ma_cle_publique.asc

+ +

Assurez-vous que l'identifiant indiqué est correct et, si c'est le cas, +attribuez-lui le niveau de confiance ultime.

+ +

$ gpg --edit-key [votre@adresse_de_courriel]

+ +

Puisque cette clé est la vôtre, il faut choisir ultime. Vous ne +devez en aucun cas attribuer ce niveau de confiance à la clé de quelqu'un +d'autre.

+ +

Reportez vous à la Résolution de problèmes de +l'étape 2.B pour complément d'information sur les droits. Quand +vous transférez vos clés, vos droits peuvent être modifiés et des erreurs +peuvent se produire. Cela peut être facilement évité si vos répertoires et +fichiers ont les droits appropriés.

+
-
-
-
+ + + + + + +
+ + + + +
+ + + +
+ +

#3 Configurez le chiffrement du courriel

+

Thunderbird (ou Icedove) possède une fonctionnalité PGP qui facilite +l'utilisation du chiffrement. Dans les étapes suivantes, vous allez importer +et utiliser vos clés dans ce client de messagerie.

+ +
+ + -
+
+
+ +

+
+

+
+

+
+

+
+
-

GnuPG, OpenPGP, c'est quoi tout ça ?

+

Étape 3.a Configurez le chiffrement du courriel

+ +

Lorsque vous aurez configuré le chiffrement de votre courriel, vous pourrez +commencer à contribuer au trafic chiffré sur internet. D'abord, nous allons +demander à votre client de messagerie d'importer votre clé secrète et nous +allons aussi apprendre comment trouver les clés publiques de vos +correspondants sur les serveurs de clés, pour que vous puissiez envoyer et +recevoir du courriel chiffré.

+ +

# Ouvrez votre client de messagerie et allez dans « Outils Â» +→ Gestionnaire de clés OpenPGP

+

# Dans « Fichier Â» → Importer une ou des clés secrètes +depuis un fichier

+

# sélectionnez le fichier que vous avez sauvegardé sous le nom +[ma_cle_privee.asc] à l'étape 2.B quand vous avez +exporté votre clé.

+

# Déverrouillez avec votre phrase secrète.

+

# Vous verrez s'afficher « Les clés OpenPGP ont été correctement +importées. Â»

+

# Allez dans « Paramètres des comptes Â» → « Chiffrement +de bout en bout Â», assurez-vous que votre clé a été importée et +choisissez Traiter cette clé comme une clé personnelle.

+ +
+ + + + +
+
+

Résolution de problèmes

+
+
Je voudrais vérifier que l'importation s'est bien passée
+
+Allez dans « Paramètres des comptes Â» → « Chiffrement de +bout en bout Â». Vous pouvez voir si l'identifiant de la clé personnelle +associée à ce compte est bien présent. S'il n'y est pas, vous pouvez refaire +l'étape Ajouter une clé après avoir vérifié que vous possédez une clé +secrète active pour ce compte. +
+ + + +
-

En général, les termes GnuPG, GPG, GNU Privacy Guard, OpenPGP et PGP sont utilisés -de manière interchangeable. Techniquement, OpenPGP (Pretty Good Privacy) -est la norme de chiffrement et GNU Privacy Guard (qu'on abrège souvent en GPG ou GnuPG) -est le programme qui la met en œuvre. Enigmail est un module, un petit programme associé -à votre logiciel de messagerie, qui fait l'interface avec GnuPG.

+
+ +
+ +
+ +
- - - - -
+ + +
+
-

#3 Essayez !

+

#4 Essayez !

+

[Dessin d'une personne et d'un chat dans une maison connectée à un serveur]

+

Maintenant vous allez faire un essai : correspondre avec un programme +de la FSF, nommé Edward, qui sait comment utiliser le chiffrement. Sauf +indication contraire, ces étapes sont les mêmes que lorsque vous +correspondrez avec un personne vivante.

-

Maintenant vous allez faire un essai : correspondre avec un programme nommé Edward -qui sait comment utiliser le chiffrement. Sauf indication contraire, ces étapes sont les -mêmes que lorsque vous correspondrez avec un personne vivante.

- +
---> -
+ -
+
-

+

-
+
+
-

Étape 3.A Envoyez votre clef publique à Edward

+

Étape 4.A Envoyez votre clé publique à Edward

C’est une étape un peu particulière que vous n’aurez pas à faire quand vous -correspondrez avec de vraies personnes. Dans le menu de votre logiciel de messagerie, -allez à « Enigmail → Gestion de clefs Â». Vous devriez voir votre clef -dans la liste qui apparaît. Faites un clic droit dessus et sélectionnez -« Envoyer des clefs publiques par courrier électronique Â». Cela créera un -nouveau brouillon de message, comme si vous aviez juste cliqué sur le bouton Écrire.

+correspondrez avec de vraies personnes. Dans le menu de votre logiciel de +messagerie, allez dans « Outils Â» → « Gestionnaire de +clés OpenPGP Â». Vous devriez voir votre clé dans la liste qui +apparaît. Faites un clic droit dessus et sélectionnez Envoyer une ou des +clés publiques par courriel. Cela créera un nouveau brouillon de +message, comme si vous aviez cliqué sur le bouton « Ã‰crire Â», à +part que votre clé publique apparaîtra en pièce jointe.

Remplissez le champ d’adresse du destinataire avec l’adresse edward-en@fsf.org. Mettez au moins un mot (ce que vous -souhaitez) dans le sujet et le corps du message. Ne l'envoyez pas tout de suite.

+href="mailto:edward-fr@fsf.org">edward-fr@fsf.org. Mettez au moins un +mot (ce que vous souhaitez) dans le sujet et le corps du message. Ne +l'envoyez pas tout de suite.

+ +

Nous voulons qu'Edward puisse ouvrir le message avec votre clé publique, ce +premier message ne sera donc pas chiffré. Allez dans le menu +« Sécurité Â» et choisissez Ne pas chiffrer.Ensuite +seulement, envoyez le message.

-

L'icône en forme de clef en haut à gauche devrait être jaune, ce qui signifie -que le chiffrement est activé. Comme nous ne voulons pas que ce premier message très -spécial pour Edward soit chiffré, cliquez une fois sur cette clef pour désactiver -le chiffrement. La clef devrait devenir grise, avec un point bleu pour signaler que le -réglage a été modifié. Après avoir désactivé le chiffrement, cliquez sur Envoyer.

+

Cela peut prendre deux ou trois minutes à Edward pour répondre. Entre-temps, +vous pourriez aller voir la section de ce guide intitulée « Les bonnes pratiques Â». Une fois que vous aurez +reçu la réponse d'Edward, allez à l’étape suivante. Désormais, vous aurez +simplement à faire la même chose lorsque vous correspondrez avec une vraie +personne.

-

Cela peut prendre deux ou trois minutes à Edward pour -répondre. Entre-temps, vous pourriez aller voir la section de ce guide intitulée « Les bonnes pratiques Â». Une fois qu’Edward aura répondu, -allez à l’étape suivante. Désormais, vous aurez simplement à faire la même chose -lorsque vous correspondrez avec une vraie personne.

+

Lorsque vous ouvrirez la réponse d'Edward, GnuPG vous demandera peut-être +votre phrase secrète avant d'utiliser votre clé privée pour la déchiffrer.

-

Lorsque vous ouvrirez la réponse d'Edward, GnuPG vous demandera peut-être votre mot -de passe avant d'utiliser votre clef privée pour le déchiffrer.

+
+ +
-
- + -
+
+
+ +

+
+

+
+ +
-

Étape 3.B Envoyez un courriel de test chiffré

+

Étape 4.b Envoyez un courriel de test chiffré

+ +

Récupérez la clé d'Edward

+ +

Pour chiffrer un message destiné à Edward, vous avez besoin de sa clé +publique. Il vous faut donc la télécharger d'un serveur de clés. Il y a deux +méthodes :

+

Option 1. Dans le message que vous avez reçu d'Edward en +réponse à votre premier courriel, il y avait sa clé publique. À la droite du +message, juste au-dessus du texte, vous verrez un bouton +« OpenPGP Â» avec un cadenas et une roue dentée juste à +côté. Cliquez sur la roue et cliquez sur Rechercher… qui se +trouve à côté du texte « Ce message a été signé avec une clé que vous +ne possédez pas encore. Â» Les détails de la clé d'Edward s'afficheront.

+ +

Option 2. Ouvrez le gestionnaire de clés OpenPGP. Dans le +menu « Serveur de clés Â», choisissez Rechercher des clés en +ligne, puis remplissez le formulaire avec l'adresse +edward@fsf.org et importez sa clé.

+ +

L'option Acceptée (non vérifiée) va ajouter cette clé à votre +gestionnaire de clés ; elle peut désormais être utilisée pour envoyer +des courriels chiffrés à Edward ou vérifier ses signatures numériques.

-

Dans votre logiciel de messagerie, préparez un nouveau courriel adressé à -edward-en@fsf.org. Écrivez « Test de -chiffrement Â» ou quelque chose d’approchant dans le champ de sujet, et mettez -quelque chose dans le corps du message.

+

Dans la fenêtre « Clés correctement importées Â» → +« Propriétés de la clé Â», vous verrez plusieurs adresses. C'est +normal ; vous pouvez importer la clé en toute sécurité.

-

La clef en haut à gauche devrait être jaune, ce qui veut dire que le chiffrement est -activé. À partir de maintenant, ce sera votre réglage par défaut.

+

Puisque vous avez chiffré ce courriel avec la clé publique d'Edward, la clé +privée d'Edward est nécessaire pour le déchiffrer. Edward est le seul à +posséder cette clé privée, donc personne à part lui ne peut le déchiffrer.

-

À côté de la clef, vous remarquerez l'icône d'un crayon. Nous allons -y revenir.

+

Envoyez un courriel de test chiffré

-

Cliquez sur Envoyer. Enigmail fera apparaître une fenêtre indiquant « Le -destinataire est invalide, n'est pas de confiance ou n'a pas été trouvé. Â»

+

Dans votre logiciel de messagerie, préparez un nouveau courriel adressé à edward-fr@fsf.org. Écrivez « Test +de chiffrement Â» ou quelque chose d’approchant dans le champ de sujet, +et mettez quelque chose dans le corps du message.

-

Pour envoyer un courriel chiffré à Edward, vous aurez besoin de sa clef publique, -donc vous devez maintenant la faire télécharger par Enigmail depuis un serveur de -clefs. Cliquez sur « Télécharger les clefs manquantes Â» et utilisez le -serveur par défaut dans la fenêtre qui vous demande de choisir un serveur. Une fois -les clefs trouvées, vérifiez la première (son identifiant commence par C), puis cliquez -sur OK. Cliquez sur OK dans la fenêtre suivante.

+

Cette fois-ci, choisissez Exiger le chiffrement dans le menu +« Sécurité Â», puis envoyez le message.

-

Maintenant que vous êtes de retour à la fenêtre « Le destinataire est invalide, -n'est pas de confiance ou n'a pas été trouvé Â», sélectionnez la clef d’Edward -dans la liste et cliquez sur Envoyer.

-

Puisque vous avez chiffré ce courriel avec la clef publique d'Edward, la -clef privée d'Edward est nécessaire pour le déchiffrer. Edward est le seul à posséder -cette clef privée, donc personne à part lui ne peut le déchiffrer.

@@ -621,428 +894,508 @@ cette clef privée, donc personne à part lui ne peut le déchiffrer.

Résolution de problèmes

-
Enigmail ne trouve pas la clef d'Edward.
- -
Fermez les fenêtres qui sont apparues quand vous avez cliqué sur Envoyer. Assurez-vous -que vous êtes connecté à Internet et réessayez. Si cela ne marche pas, répétez -le processus en choisissant un serveur de clefs différent quand il vous demande d'en -choisir un.
+
Le destinataire est invalide, n'est pas de confiance ou n'a pas été trouvé
+
Vous verrez peut-être le message d'erreur ci-dessus, ou bien quelque chose +de ce genre : « Impossible d’envoyer ce message avec un +chiffrement de bout en bout, car il y a des problèmes avec les clés des +destinataires suivants : edward-fr@fsf.org Â». Cela peut vouloir +dire que vous essayez d'envoyer un message chiffré à quelqu'un dont vous ne +possédez pas encore la clé publique. Revenez aux étapes précédentes pour +importer cette clé dans votre gestionnaire et ouvrez-le pour vérifier que la +clé du destinataire est dans la liste.
+ +
Impossible d'envoyer le message
+
« Impossible d’envoyer ce message avec un chiffrement de bout en bout, +car il y a des problèmes avec les clés des destinataires suivants : +edward-fr@fsf.org. Â» peut vouloir dire que vous avez importé la clé +d'Edward avec l'option « Non acceptée (non vérifiée) Â». Allez dans +« Propriétés de la clé Â» en cliquant sur cette clé dans le +gestionnaire, puis (dans « Votre acceptation Â», en bas de la +fenêtre) choisissez l'option Oui, mais je n’ai pas vérifié qu’il s’agit +de la bonne clé. Ensuite, envoyez le message à nouveau.
+ +
Je ne trouve pas la clé d'Edward.
+
Fermez les fenêtres qui sont apparues quand vous avez cliqué sur +Envoyer. Assurez-vous que vous êtes connecté à Internet et réessayez. Si +cela ne marche pas, répétez le processus en choisissant un serveur de clés +différent quand il vous demande d'en choisir un.
Messages déchiffrés dans le dossier Envoyés
- -
Bien que vous ne puissiez pas déchiffrer les messages chiffrés avec la clef publique -de quelqu'un d'autre, votre client de courriel en enregistrera automatiquement une copie -chiffrée avec votre propre clef publique. Vous pourrez la voir dans le dossier Envoyés, -comme n'importe quel autre courriel. Ceci est normal et ne signifie pas que votre message -a été envoyé non chiffré.
- -
Ressources supplémentaires
- -
Si vous rencontrez toujours des soucis avec nos instructions ou -que vous souhaitez simplement en apprendre plus, jetez un œil au wiki -d'Enigmail.
+
Bien que vous ne puissiez pas déchiffrer les messages chiffrés avec la clé +publique de quelqu'un d'autre, votre client de messagerie en enregistrera +automatiquement une copie chiffrée avec votre propre clé publique. Vous +pourrez la voir dans le dossier Envoyés, comme n'importe quel autre +courriel. Ceci est normal et ne signifie pas que votre message a été envoyé +non chiffré.
- +href="https://libreplanet.org/wiki/GPG_guide/Public_Review">la page de +commentaires.
-
- +
+ + + +

Utilisation avancée

Chiffrer des messages en ligne de commande
-
Vous pouvez également chiffrer et déchiffrer messages ou fichiers en ligne de commande si vous le -préférez. L'option « --armor Â» renvoie le résultat chiffré en utilisant -le jeu de caractères courant.
+href="https://www.gnupg.org/gph/en/manual/x110.html">ligne de commande +si vous préférez. L'option --armor présente le résultat du +chiffrement comme une suite de caractères ASCII (alphabet de base et +chiffres).
-
-
-
+ + + + + + +

Important : Conseils pour votre sécurité

-

Même si vous chiffrez vos courriels, le sujet n'est pas chiffré, donc évitez d'y -mettre des informations sensibles. Comme les adresses des émetteurs et destinataires -ne sont pas chiffrées non plus, un système espion peut déterminer qui communique avec -qui. De plus, les services de surveillance sauront que vous utilisez GnuPG, même s'ils ne -peuvent pas comprendre ce que vous dites. Quand vous enverrez une pièce jointe, Enigmail -vous donnera le choix de la chiffrer ou non, indépendemment du message lui-même.

+

Même si vous chiffrez vos courriels, le sujet n'est pas chiffré, donc évitez +d'y mettre des informations sensibles. Comme les adresses des émetteurs et +destinataires ne sont pas chiffrées non plus, un système espion peut +déterminer qui communique avec qui. De plus, les services de surveillance +sauront que vous utilisez GnuPG, même s'ils ne peuvent pas comprendre ce que +vous dites. Quand vous enverrez une pièce jointe, vous pouvez choisir de la +chiffrer ou non, indépendemment du message lui-même.

+ +

Pour vous prémunir de certaines attaques potentielles, vous pouvez +désactiver le rendu HTML au profit du simple texte. Dans Thunderbird ou +Icedove, cette option est ici : « Affichage Â» → +« Corps du message en Â» → Texte seul.

-
-
+ + + + + -
+
+
+ +

+ +
+ +
-

Étape 3.C Recevez une réponse

+

Étape 4.c Recevez une réponse

-

Quand Edward recevra votre courriel, il utilisera sa clef privée pour le -déchiffrer, puis votre clef publique (celle que vous lui avez envoyée à l'étape 3.A) pour chiffrer la réponse qu'il va vous adresser.

+

Quand Edward recevra votre courriel, il utilisera sa clé privée pour le +déchiffrer, puis vous répondra.

-

Cela peut prendre deux ou trois minutes à Edward pour vous -répondre. Pendant ce temps, vous pouvez aller plus avant dans ce guide et consulter la -section « Les bonnes pratiques Â».

+

Cela peut prendre deux ou trois minutes à Edward pour vous répondre. Pendant +ce temps, vous pouvez aller plus avant dans ce guide et consulter la section +« Les bonnes pratiques Â».

-

Quand vous allez recevoir le courriel d'Edward et l'ouvrir, Enigmail va automatiquement -détecter qu'il est chiffré avec votre clef publique, et il va utiliser votre clef privée -pour le déchiffrer.

+

Edward vous répondra par un courriel chiffré disant que votre message a été +reçu et déchiffré. Votre client de messagerie déchiffrera automatiquement le +message d'Edward.

-

Remarquez la barre qu’Enigmail affiche au-dessus du message, montrant les informations -concernant le statut de la clef d’Edward.

+

Un marqueur vert sur le cadenas du bouton OpenPGP indiquera que le message +est chiffré, et un petit triangle orange sur la roue dentée indiquera que +vous avez accepté la clé mais ne l'avez pas vérifiée. Si vous n'aviez pas +encore accepté la clé, vous verriez un point d'interrogation à la place du +triangle. Un clic sur ces icônes fait apparaître les propriétés de la clé.

-
-
+
+ + + + -
+
-

Étape 3.D Envoyez un courriel de test signé

+

Étape 4.d Envoyez un courriel de test signé

+ +

GnuPG inclut un moyen de signer vos messages et vos fichiers. Ces signatures +attestent qu'ils proviennent bien de vous et qu'ils n'ont pas été altérés en +chemin. Elles sont plus robustes que leurs cousines d'encre et de papier car +elles sont impossibles à imiter. Il est en effet impossible de les créer +sans votre clé privée (encore une bonne raison de conserver cette dernière +bien à l'abri !)

-

GnuPG inclut un moyen de signer vos messages et vos fichiers. Ces signatures attestent -qu'ils proviennent bien de vous et qu'ils n'ont pas été altérés en chemin. Elles -sont plus solides que leurs cousines d'encre et de papier car elles sont impossibles à -imiter. Il est en effet impossible de les créer sans votre clef privée (encore une bonne -raison de conserver cette dernière bien à l'abri !)

+

Vous pouvez signer tous vos messages, quel que soit le destinataire ; +c'est donc un excellent moyen de faire savoir aux gens que vous utilisez +GnuPG et qu'ils peuvent communiquer avec vous en toute sécurité. S'ils n'ont +pas GnuPG, ils pourront tout de même lire votre message et voir votre +signature. S'ils utilisent GnuPG, ils pourront également vérifier que votre +signature est authentique.

-

Vous pouvez signer tous les messages, quel que soit le destinataire ; c'est donc -un excellent moyen de faire savoir aux gens que vous utilisez GnuPG et qu'ils peuvent -communiquer avec vous en toute sécurité. S'ils n'ont pas GnuPG, ils pourront tout de -même lire votre message et voir votre signature. S'ils utilisent GnuPG, ils pourront -également vérifier que votre signature est authentique.

+

Pour signer un courriel destiné à Edward, écrivez un message à son adresse +et cliquez sur l'icône du crayon à côté du cadenas. Elle deviendra jaune. Si +vous signez un message, GnuPG vous demandera peut-être votre mot de passe +avant l'envoi car il a besoin de déverrouiller votre clé privée pour signer.

-

Pour signer un courriel destiné à Edward, écrivez un message à son intention et -cliquez sur l'icône du crayon à côté du cadenas. Elle deviendra jaune. Si vous signez -un message, GnuPG vous demandera peut-être votre mot de passe avant l'envoi car il a -besoin de déverrouiller votre clef privée pour le signer.

+

Dans « Paramètres des comptes Â» → « Chiffrement de bout +en bout Â» vous pouvez cocher Ajouter ma signature numérique par +défaut.

-

Avec les icônes du cadenas et du stylo, vous pouvez choisir si le message doit être -chiffré, signé, chiffré et signé, ou bien rester tel quel.

+
+ +
-
- + -
+
-

Étape 3.E Recevez une réponse

+

Étape 4.e Recevez une réponse

-

Quand Edward recevra votre courriel, il utilisera votre clef publique (que vous lui -avez envoyée à la Section 3.A) pour vérifier que votre -signature est authentique et que le message n'a pas été altéré.

+

Quand Edward recevra votre courriel, il utilisera votre clé publique (que +vous lui avez envoyée à la Section 3.a) pour +vérifier que le message n'a pas été altéré et pour chiffer une réponse.

-

Cela peut prendre deux ou trois minutes à Edward pour vous -répondre. Pendant ce temps, vous pouvez aller plus avant dans ce guide et consulter la -section « Les bonnes pratiques Â».

+

Cela peut prendre deux ou trois minutes à Edward pour vous répondre. Pendant +ce temps, vous pouvez aller plus avant dans ce guide et consulter la section +« Les bonnes pratiques Â».

-

La réponse d'Edward arrivera chiffrée, parce qu'il préfère utiliser le chiffrement dans -la mesure du possible. Si tout se passe comme prévu, le message doit contenir « Votre -signature a été vérifiée. Â» Si votre courriel de test était également chiffré, -il le mentionnera en premier.

+

La réponse d'Edward arrivera chiffrée, parce qu'il préfère utiliser le +chiffrement dans la mesure du possible. Si tout se passe comme prévu, le +message doit contenir « Votre signature a été vérifiée. Â» Si votre +courriel de test était également chiffré, il le mentionnera en premier.

-
-
-
+

Quand vous allez recevoir le courriel d'Edward et l'ouvrir, votre client de +courriel va automatiquement détecter qu'il est chiffré avec votre clé +publique et va utiliser votre clé privée pour le déchiffrer.

- -
+
+ + + +
- -
-

#4 Découvrez la « toile de confiance Â»

+ +
-

Le chiffrement de courriel est une technologie puissante, mais il a une faiblesse ; -il requiert un moyen de vérifier que la clef publique d'une personne est effectivement -la sienne. Autrement, il n'y aurait aucun moyen d'empêcher un attaquant de créer une -adresse de courriel avec le nom d'un de vos amis, et des clefs assorties permettant de se -faire passer pour lui. C'est pourquoi les programmeurs de logiciel libre qui ont développé -le chiffrement de courriel ont créé la signature de clef et la toile de confiance.

-

En signant la clef de quelqu'un, vous dites publiquement qu'après vérification vous -êtes sûr qu'elle lui appartient à lui et à personne d'autre.

+ +
-

La signature des clefs et la signature des messages font appel au même genre d'opération -mathématique, mais ont des implications très différentes. C'est une bonne pratique de -signer vos courriels d'une manière générale, mais si vous signez les clefs d'autres -personnes sans faire attention, vous pouvez accidentellement vous porter garant de -l'identité d'un imposteur.

+

#5 Découvrez la « toile de confiance Â»

+

[Dessin de plusieurs clés interconnectées par un réseau de lignes]

+ +

Le chiffrement de courriel est une technologie puissante, mais il a une +faiblesse : il requiert un moyen de vérifier que la clé publique d'une +personne est effectivement la sienne. Autrement, il n'y aurait aucun moyen +d'empêcher un attaquant de créer une adresse de courriel avec le nom d'un de +vos amis, et des clés assorties permettant de se faire passer pour +lui. C'est pourquoi les programmeurs de logiciel libre qui ont développé le +chiffrement de courriel ont créé la signature de clé et la toile de +confiance.

+ +

En signant la clé de quelqu'un, vous dites publiquement qu'après +vérification vous êtes sûr qu'elle lui appartient, à lui et à personne +d'autre.

+ +

La signature des clés et la signature des messages font appel au même genre +d'opération mathématique, mais ont des implications très différentes. C'est +une bonne pratique de signer vos courriels d'une manière générale, mais si +vous signez les clés d'autres personnes sans faire attention, vous pouvez +accidentellement vous porter garant de l'identité d'un imposteur.

+ +

Les gens qui utilisent votre clé publique peuvent voir qui l'a +signée. Lorsque vous aurez utilisé GnuPG suffisamment longtemps, votre clé +aura peut-être des centaines de signatures. Vous pouvez considérer une clé +comme d'autant plus fiable qu'elle porte les signatures de nombreuses +personnes à qui vous faites confiance. La toile de confiance est une +constellation d'utilisateurs de GnuPG reliés entre eux par des chaînes de +confiance exprimées au travers des signatures.

-

Les gens qui utilisent votre clef publique peuvent voir qui l'a signée. Lorsque -vous aurez utilisé GnuPG assez longtemps, votre clef aura peut-être des centaines de -signatures. Vous pouvez considérer une clef comme d'autant plus fiable qu'elle porte les -signatures de nombreuses personnes à qui vous faites confiance. La toile de confiance est -une constellation d'utilisateurs de GnuPG reliés entre eux par des chaînes de confiance -exprimées au travers des signatures.

+
-
+ -
+
-

+

-
+
+
-

Étape 4.A Signez une clef

- -

Dans le menu de votre logiciel de messagerie, allez à « Enigmail → Gestion -de clefs Â».

+

Étape 5.a Signez une clé

-

Faites un clic droit sur la clef publique d'Edward et sélectionnez « Signer la -clef Â» dans le menu contextuel.

+

Dans le menu de votre logiciel de messagerie, allez dans le gestionnaire de +clés OpenPGP, faites un clic droit sur la clé d'Edward et choisissez +Propriétés de la clé.

-

Dans la fenêtre pop-up, choisissez « Je ne souhaite pas répondre Â» et -cliquez sur OK.

+

Sous « Votre acceptation Â», vous pouvez sélectionner Oui, j'ai +vérifié en personne que l'empreinte de cette clé est correcte

-

Maintenant, vous devriez être de retour au menu « Gestion de -clefs Â». Sélectionner « Serveur de clefs → Envoyer les clefs -publiques Â» et cliquez sur OK.

+

Vous venez juste de dire « Je crois que la clé publique d'Edward +appartient effectivement à Edward. Â» Cela ne signifie pas grand chose +étant donné qu'Edward n'est pas une personne réelle, mais c'est un bon +entraînement, et pour les personnes réelles c'est important. Vous en +apprendrez plus sur la signature de clé dans la section Vérifier les identifiants avant de +signer.

-

Vous venez juste de dire « Je crois que la clef publique d'Edward -appartient effectivement à Edward. Â» Cela ne signifie pas grand chose étant donné -qu'Edward n'est pas une personne réelle, mais c'est un bon entraînement.

-
-
+
+ + + +
-

Identification des clefs : empreinte and ID

- -

Les clefs publiques sont généralement identifiées par leur empreinte, une suite de -caractères du genre F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (pour la clef d'Edward). Pour -voir l'empreinte de votre clef publique et des autres clefs publiques stockées dans votre -ordinateur allez à « Enigmail → Gestion de clefs Â» dans le menu -de votre programme de messagerie, puis faites un clic droit sur la clef en question -et choisissez « Propriétés de la clef Â». Il est bon de communiquer votre -empreinte de clef en même temps que votre adresse de courriel, pour que les gens puissent -vérifier qu'ils ont la bonne clef publique lorsqu'ils la téléchargent d'un serveur.

- -

Vous verrez qu'on peut aussi désigner une clef publique par son identifiant -(ID). Il s'agit simplement des huit derniers caractères de son empreinte (C09A61E8 -pour celle d'Edward). On peut voir l'ID des clefs dans la fenêtre de « Gestion de -clefs Â». C'est un peu comme le prénom d'une personne (un raccourci pratique, -mais qui n'est pas spécifique d'une clef donnée), tandis que l'empreinte identifie la -clef de manière unique sans possibilité de confusion. Si vous n'avez que l'ID, vous pouvez -tout de même rechercher la clef (ainsi que que son empreinte) comme à l'étape 3.B, -mais s'il y a plusieurs options, vous aurez besoin de l'empreinte de clef de la personne -avec laquelle vous communiquez pour vérifier laquelle utiliser.

- -
-
+

Identification des clés : empreinte et ID

+ +

Les clés publiques sont généralement identifiées par leur empreinte, une +suite de caractères du genre F357AA1A5B1FA42CFD9FE52A9FF2194CC09A61E8 (pour +la clé d'Edward). Pour voir l'empreinte de votre clé publique et des autres +clés publiques stockées dans votre ordinateur, ouvrez le gestionnaire de +clés OpenPGP dans le menu de votre programme de messagerie, puis faites un +clic droit sur la clé en question et choisissez « Propriétés de la +clé Â». Il est souhaitable de communiquer votre empreinte de clé en même +temps que votre adresse de courriel, pour que les gens puissent vérifier +qu'ils ont la bonne clé publique lorsqu'ils la téléchargent d'un serveur.

+ +

Il arrive qu'une clé publique soit désignée par un identifiant de huit +caractères (keyID). C'est ce qu'on voit dans le gestionnaire de +clés. Le keyID était utilisé auparavant pour l'identification, ce qui +était alors sans danger, mais il est devenu non fiable. Vous devez vérifier +l'empreinte complète pour vous assurer qu'il s'agit bien d'une clé +appartenant à la personne que vous essayez de contacter. Les tentatives +d'usurpation sont malheureusement courantes ; cela consiste à générer +intentionnellement une clé dont les huit derniers caractères sont identiques +à ceux d'une autre.

+ + + + + +
-

Important :Ce qu'il faut regarder quand on signe des clefs

- -

Avant de signer la clef d'une personne, vous devez vous assurer que cette clef lui -appartient vraiment et qu'elle est bien qui elle prétend être. L'idéal serait que -cette confiance s'établisse au fil du temps par des interactions et des conversations, -ainsi que par l'observation de ses interactions avec les autres. Lorsque vous signez -une clef, demandez à voir l'empreinte complète de la clef publique (et non pas l'ID, -plus courte). Si vous estimez important de signer la clef d'une personne rencontrée -pour la première fois, demandez-lui également de vous montrer une pièce d'identité et -assurez-vous que le nom correspond bien à celui du propriétaire de la clef publique. Dans -la fenêtre pop-up d'Enigmail, répondez honnêtement à la question « Avec quel soin -avez-vous vérifié que la clef que vous vous apprêtez à signer appartient effectivement -à la personne citée ci-dessus ? Â»

- - +

Important : Ce qu'il faut regarder quand on signe des clés

+ +

Avant de signer la clé d'une personne, vous devez vous assurer que cette clé +lui appartient vraiment et qu'elle est bien qui elle prétend être. L'idéal +serait que cette confiance s'établisse au fil du temps par des interactions +et des conversations, ainsi que par l'observation de ses interactions avec +les autres. Lorsque vous signez une clé, demandez à voir l'empreinte +complète de la clé publique (et non pas l'identifiant court). Si vous +estimez important de signer la clé d'une personne rencontrée pour la +première fois, demandez-lui également de vous montrer une pièce d'identité +et assurez-vous que le nom correspond bien à celui du propriétaire de la clé +publique.

+ + +

Utilisation avancée

Maîtrisez le réseau de confiance
- -
Malheureusement, la confiance ne se propage pas entre utilisateurs - de la manière -qu'imaginent beaucoup de gens. Une des meilleures façons de renforcer la communauté -GnuPG est de comprendre en -profondeur le réseau de confiance et de signer autant de clefs d'autres personnes que le -permettent les circonstances.
- -
Spécifiez des niveaux de confiance
- -
Si vous estimez qu'une personne est suffisamment fiable dans sa manière de valider les -clefs des autres, vous pouvez lui attribuer un niveau de confiance grâce à l'interface -de gestion de clefs d'Enigmail. Faites un clic droit sur la clef de cette personne, allez -dans le menu « Sélectionnez le niveau de confiance Â», sélectionnez un des -niveaux et cliquez sur OK. Ne faites cela que lorsque vous sentez que vous avez une bonne -compréhension du réseau de confiance.
+
Malheureusement, la confiance ne se propage pas entre utilisateurs de la +manière qu'imaginent beaucoup de gens. Une des meilleures façons de +renforcer la communauté GnuPG est de comprendre en +profondeur le réseau de confiance et de signer avec précaution autant de +clés d'autres personnes que le permettent les circonstances.
-
-
-
- + + + + + + + + + + + +
- -
-

#5 Les bonnes pratiques

+

#6 Les bonnes pratiques

-

Chaque personne utilise GnuPGP à sa manière, mais il est important de suivre certaines -pratiques de base pour garantir la sécurité de vos courriels. Ne pas les suivre peut -constituer un risque pour la vie privée des personnes avec qui vous communiquez, de même -que pour la vôtre, et peut être dommageable pour la toile de confiance.

+

Chaque personne utilise GnuPGP à sa manière, mais il est important de suivre +certaines pratiques de base pour garantir la sécurité de vos courriels. Ne +pas les suivre peut constituer un risque pour la vie privée des personnes +avec qui vous communiquez, de même que pour la vôtre, et peut être +dommageable pour la toile de confiance.

+ +
-
+ -
+
-

+

-
+
+

Quand dois-je chiffrer ? Quand dois-je signer ?

Plus vous chiffrez de messages, mieux c'est. En effet, si vous ne chiffrez -qu'occasionnellement votre courriel, chaque message chiffré pourrait alerter les systèmes de -surveillance. Si tout votre courriel est chiffré, ou presque, les gens qui vous espionnent -ne sauront pas par où commencer. Cela ne signifie pas que chiffrer uniquement certains -de vos messages soit inutile. C'est un excellent début et cela complique la surveillance -de masse.

- -

À moins que vous ne souhaitez pas révéler votre identité (ce qui requiert d'autres -mesures de protection), il n'y a aucune raison de ne pas signer tous vos messages, chiffrés -ou non. Non seulement cela permet aux utilisateurs de GnuPG de vérifier que ce message -provient bien de vous, mais c'est aussi une méthode non intrusive de rappeler à chacun -que vous utilisez GnuPG et de promouvoir les communications sécurisées. Si vous envoyez -régulièrement des courriels signés à des persones non familières de GnuPG, il est -bon d'ajouter un lien vers ce guide à votre signature (celle qui fait partie du message, -pas la signature cryptographique).

- -
-
+qu'occasionnellement votre courriel, chaque message chiffré pourrait alerter +les systèmes de surveillance. Si tout votre courriel est chiffré, ou +presque, les gens qui vous espionnent ne sauront pas par où commencer. Cela +ne signifie pas que chiffrer uniquement certains de vos messages soit +inutile. C'est un excellent début et cela complique la surveillance de +masse.

+ +

À moins que vous ne souhaitiez pas révéler votre identité (ce qui requiert +d'autres mesures de protection), il n'y a aucune raison de ne pas signer +tous vos messages, chiffrés ou non. Non seulement cela permet aux +utilisateurs de GnuPG de vérifier que ce message provient bien de vous, mais +c'est aussi une méthode non intrusive de rappeler à chacun que vous utilisez +GnuPG et de promouvoir les communications sécurisées. Si vous envoyez +régulièrement des courriels signés à des persones non familières de GnuPG, +il est bon d'ajouter un lien vers ce guide à votre signature (celle qui fait +partie du message, pas la signature cryptographique).

+
+ + + + + -
+
-

+

-
+
+
-

Soyez attentif aux clefs non valides

+

Soyez attentif aux clés non valides

+ +

GnuPG rend le courriel plus sûr, mais il est tout de même important de faire +attention aux clés non valides, qui ont pu tomber entre de mauvaises +mains. Un message chiffré avec une clé non valide est lisible par des +programmes de surveillance.

-

GnuPG rend le courriel plus sûr, mais il est tout de même important de faire attention -aux clefs non valides, qui ont pu tomber entre de mauvaises mains. Un message chiffré -avec une clef non valide est lisible par des programmes de surveillance.

+

Dans votre logiciel de messagerie, revenez au premier courriel chiffré +qu'Edward vous a envoyé. Comme il l'a chiffré avec votre clé publique, il y +aura un marqueur vert sur le cadenas du bouton « OpenPGP Â».

-

Dans votre logiciel de messagerie, revenez au premier courriel chiffré qu'Edward vous -a envoyé. Comme il l'a chiffré avec votre clef publique, il y a un message d'Enigmail -au début, qui dit généralement « Début contenu chiffré ou signé Â».

+

Lorsque vous utilisez GnuPG, prenez l'habitude de jeter un coup +d'œil à ce bouton. C'est là que vous verrez une alerte si vous recevez un +courriel signé avec une clé non fiable.

-

Lorsque vous utilisez GnuPG, prenez l'habitude de jeter un coup d'œil à cette -barre. C'est là que vous verrez une alerte si vous recevez un courriel chiffré avec une -clef non fiable.

+
+ +
- - + -
+

Sauvegardez votre certificat de révocation en lieu sûr

-

Vous vous souvenez de l'étape où vous avez créé vos clefs et enregistré le certificat -de révocation produit par GnuPG ? Il est maintenant temps de copier ce certificat -sur l'équipement de stockage numérique le plus sûr que vous ayez. L'idéal serait un -périphérique flash, disque ou clef USB, ou bien un disque dur stocké dans un endroit -sûr de votre maison, pas un appareil que vous gardez sur vous habituellement.

+

Vous vous souvenez de l'étape où vous avez créé vos clés et enregistré le +certificat de révocation produit par GnuPG ? Il est maintenant temps de +copier ce certificat sur l'équipement de stockage le plus sûr que vous +ayez : périphérique flash, disque amovible ou disque dur stocké dans un +endroit sûr de votre maison, pas dans un appareil que vous gardez sur vous +habituellement. En fait, le moyen le plus sûr que nous connaissons est +d'imprimer le certificat de révocation et de garder le papier en lieu sûr.

-

Si jamais votre clef privée devait être perdue ou volée, vous auriez besoin de ce -certificat pour prévenir les gens que vous n'utilisez plus cette paire de clefs.

+

Si jamais votre clé privée devait être perdue ou volée, vous auriez besoin +de ce certificat pour prévenir les gens que vous n'utilisez plus cette paire +de clés.

+ +
+ +
-
- +
-

Important : agissez rapidement si quelqu'un s'empare de votre clef -privée

+

IMPORTANT : AGISSEZ RAPIDEMENT si quelqu'un s'empare de votre +clé privée

-

Si vous perdez votre clef privée ou si quelqu'un s'en empare (par vol ou -intrusion dans votre ordinateur), il est important de la révoquer immédiatement -avant qu'un inconnu ne l'utilise pour lire vos courriels chiffrés ou imiter votre -signature. Ce guide ne couvre pas la révocation de clef, mais vous pouvez suivre ces instructions. Une -fois la révocation faite, créez une nouvelle clef et envoyez-la à chaque personne avec -qui vous aviez l'habitude d'utiliser l'ancienne, en leur disant que cette dernière n'est -plus valable.

+

Si vous perdez votre clé privée ou si quelqu'un s'en empare (par vol ou +intrusion dans votre ordinateur), il est important de la révoquer +immédiatement avant qu'un inconnu ne l'utilise pour lire vos courriels +chiffrés ou imiter votre signature. Ce guide ne couvre pas la révocation de +clé, mais vous pouvez suivre ces instructions. +Une fois la révocation faite, créez une nouvelle clé et envoyez-la à chaque +personne avec qui vous aviez l'habitude d'utiliser l'ancienne, en leur +disant que cette dernière n'est plus valable.

-
-
- - - + - --> +
@@ -1050,48 +1403,71 @@ the drive it's on the transfer will be dramatically less secure.

GnuPG et le webmail

Lorsque vous accédez à vos courriels depuis un navigateur, vous utilisez un -webmail, un programme de courriel localisé sur un site distant. Au contraire du webmail, -votre programme de messagerie tourne sur votre ordinateur. Bien que le webmail ne puisse -déchiffrer le courriel chiffré, il l'affichera quand même sous forme chiffrée. Si vous -utilisez majoritairement un webmail, vous saurez ainsi que c'est le moment de lancer votre -logiciel de messagerie pour lire le message en clair.

- - +
+ + + + +
-

Make your public key part of your online identity

+

Intégrez votre clé publique à votre identité numérique

-

First add your public key fingerprint to your email signature, then compose an email -to at least five of your friends, telling them you just set up GnuPG and mentioning your -public key fingerprint. Link to this guide and ask them to join you. Don't forget that -there's also an awesome infographic to share.

+

Tout d'abord, ajoutez votre empreinte de clé publique à votre signature de +courriel, puis écrivez un message à au moins cinq de vos amis pour leur dire +que vous venez d'installer GnuPG et pour leur donner votre empreinte de +clé. Faites un lien vers ce guide et demandez-leur de vous +rejoindre. N'oubliez pas qu'il y a aussi une magnifique infographie à partager.

-

Start writing your public key fingerprint anywhere someone would see -your email address: your social media profiles, blog, Website, or business card. (At the -Free Software Foundation, we put ours on our staff -page.) We need to get our culture to the point that we feel like something is missing -when we see an email address without a public key fingerprint.

+

Ensuite, commencez à mettre votre empreinte de clé partout où on peut voir +votre adresse de courriel : vos profils sur les média sociaux, ainsi +que vos blogs, sites web et cartes de visite (à la Free Software +Foundation, nous mettons les nôtres sur les pages présentant nos +équipes). Nous devons cultiver notre habitude du chiffrement au point de +ressentir un manque lorsque nous voyons une adresse de courriel sans +empreinte de clé.

- --> -
-
-
+ + + + + - -
+ + + +
+ +
+ + - - -
+ + - - + --> + + +

Conception de l'infographie et du guide : Journalism++ [Logo de +Journalism++] 

+ + - - + + + - - - + + + + + + + +