racine uZine

Dans la même rubrique
Tous fliqués, tous fichés !
15 février 2002
12 septembre 2000
31 juillet 2000
 
dimanche 24 septembre 2000

Pourquoi j’utilise OpenPGP

par Jean-Marc Manach
 
J’en ai marre. Marre de ceux qui assimilent l’utilisation de la crypto à de la parano. Marre d’entendre n’importe quoi sur ça, marre d’entendre des gens qui ne s’en sont jamais servis gloser sur la difficulté qu’il y a à l’utiliser, marre de l’inconscience de ceux qui font tout pour que l’on ne s’en serve pas : oui, il faut se mettre à la crypto, non, ce n’est pas de la parano ! A la base, c’est une question de Droits de l’Homme, "appliqués à l’ère digitale"...

« Quoi que vous fassiez, ce sera insignifiant, mais il est très important que vous le fassiez. » - Mahatma Gandhi

C’est personnel, c’est privé

« C’est personnel. C’est privé. Et cela ne regarde personne d’autre que vous. Vous pouvez être en train de préparer une campagne électorale, de discuter de vos impôts, ou d’avoir une romance secrète. Ou vous pouvez être en train de communiquer avec un dissident politique dans un pays répressif. Quoi qu’il en soit, vous ne voulez pas que votre courrier électronique (e-mail) ou vos documents confidentiels soient lus par quelqu’un d’autre. Il n’y a rien de mal dans la défense de votre intimité.

Souriez, vous êtes surveillés

« Vous pensez peut-être que le cryptage de vos e-mails ne se justifie pas. Si vous êtes réellement un citoyen respectueux de la loi et n’ayant rien à cacher, pourquoi ne pas envoyer systématiquement votre courrier écrit sur carte postale ? Cherchez-vous à cacher quelque chose ? Si vous dissimulez votre courrier dans des enveloppes, cela signifie-t-il que vous êtes un esprit subversif, un trafiquant de drogue ou même un paranoïaque ?

Ferme ton enveloppe !

« Que se passerait-il si nous pensions tous que les citoyens en règle devaient utiliser des cartes postales pour leur courrier ? Si une personne non conformiste faisait valoir le droit à la protection de la vie privée en utilisant une enveloppe pour son courrier, cela éveillerait les soupçons. Les autorités pourraient ouvrir son courrier afin de découvrir ce qu’elle cherche à dissimuler.

Faites un bon geste

« Heureusement, nous ne vivons pas dans ce type d’univers et nous cachons presque toutes nos missives à l’aide d’enveloppes. Aussi, personne n’attire de soupçons en protégeant sa vie privée de cette manière. C’est la vérité du plus grand nombre. De la même manière, il serait bien commode que chacun prenne l’habitude de crypter l’ensemble de ses e-mails, innocents ou non, car le recours à une telle pratique n’éveillerait pas les soupçons. Vous pouvez considérer cette démarche comme une forme de solidarité. »

Confession d’un voleur

Ce qui précède n’est pas de moi (à l’exception des intertitres, confesse-je), mais de Philippe Zimmermann, auteur de PGP ("Pretty Good Privacy", "relativement bonne intimité"), le logiciel le plus populaire de cryptage des messages électroniques. Si je me permets de le copier/coller de la sorte, c’est que je n’ai jamais trouvé quelque chose de plus convaincant que ce texte, intitulé « Pourquoi j’ai créé PGP ? » et dont vous pouvez lire l’intégralité sur l’excellent site OpenPGP en Français, référence francophone en la matière.

Aide-toi l’e-mail t’aidera

Ceux qui connaissent un peu l’histoire d’OpenPGP peuvent sauter le paragraphe qui suit, encore que... : PGP est un logiciel créé en 1991 par Philip Zimmermann, un informaticien américain féru de cryptologie, la science qui sert, depuis des siècles, à protéger la confidentialité des communications. Pendant des siècles, donc, la crypto fut utilisée par les espions, les militaires, les gouvernants, bref : tous ceux qui voulaient être sûrs de pouvoir s’exprimer en toute confidentialité. Sauf qu’avec l’informatique, et l’internet, tout a changé. La crypto ne concerne plus les seuls « services secrets », mais tout le monde. Je répète : « tout le monde ». La preuve : la crypto est même devenue la pierre angulaire du commerce électronique, seule méthode à même de pouvoir garantir la sécurisation des transactions. Et si le commerce électronique s’y met, c’est dire que ça concerne bien « tout le monde » ! Entendez par là que je n’ai guère d’affection particulière pour ce genre de chose-là, mais que cela montre bien à quel point la crypto est devenue l’alpha et l’oméga de l’« internet pour tous ».

De fait, le standard de PGP, OpenPGP, est aujourd’hui utilisé par de plus en plus d’applications, à commencer par GnuPG (GPG), la version "libre" de PGP qui tend de plus en plus à le supplanter, à mesure que Philipp Zimmermann, en désaccord avec la société (Network Associates) qui avait racheté PGP, s’en est allé vers d’autres terrains d’aventures et que le développement de PGP a de plus été stoppé (ce qui n’empêche pas de s’en servir, quand bien même on conseillera plutôt de passer à GPG).

La parano de ma maman et des impôts

Donc, à ceux qui parlent de « parano » dès que l’on parle de « crypto », répondons tous en chœur et à tout va : blahblahblah... Comme s’il était possible d’effectuer quelque transaction électronique que ce soit (qu’il s’agisse d’un achat, ou bien d’un e-mail) sans avoir à recourir à la crypto. Enfin si, c’est possible : mais c’est un peu comme si l’on laissait traîner n’importe comment sa carte bleue et ses courriers de telle sorte que n’importe quel fouineur puisse les récupérer les doigts dans l’nez. Un peu comme si on ne fermait jamais à clef la porte de son appartement, de sa voiture ou bien que l’on laissait n’importe qui fouiller dans son ordi : un e-mail passe en effet par une dizaine de serveurs différents, en moyenne, avant d’atteindre son correspondant, offrant autant de possibilités d’être intercepté, lu ou encore enregistré dans une base de données. Je ne sais pas pour vous, mais je n’ai pas l’impression de faire dans la parano quand je scelle les enveloppes que j’envoie (aux impôts, à mes potes ou à maman). C’est pas tant que j’aie quelque chose à cacher, mais bon, j’fais gaffe, c’est tout. Normal, quoi.

Dis, tonton, qui c’est qui cause ?

Sauf qu’OpenPGP n’est pas vraiment perçu comme « normal », justement. Philip Zimmermann fut d’ailleurs fort embêté à l’époque par le gouvernement américain, qui l’accusa de « trafic d’armes ». Pourquoi ? Parce que la cryptographie, sur laquelle repose PGP, était alors considérée comme une arme de guerre interdite à l’exportation... Aujourd’hui, Phil a été disculpé et des dizaines de milliers d’internautes du monde entier utilisent quotidiennement la crypto en vue de protéger la confidentialité, et l’authentification, de leurs emails. PGP/GPG permet en effet tout autant de se protéger des écoutes indiscrètes que de l’usurpation de son identité : d’une part il garantit que seul vous et votre correspondant seront à même de lire le contenu du message, d’autre part il garantit que c’est bien XX@YY.ZZ, et pas un avatar, qui vous écrit. Et comme l’usurpation d’identité est l’un des sports favoris des scripts kiddies (p’tits jeunes qui se prennent pour des hackers), que c’est même devenu l’une des valeurs montantes de la cybercriminalité aux USA, alors que le gouvernement français vient de se fendre d’une « consultation nationale » sur la signature électronique (en plein été... mais bon, ceci est encore une autre histoire), histoire de pouvoir certifier que c’est bien vous qui signez, là, et pas quelqu’un d’autre.

Bon, passons aux questions « pratiques » qui reviennent souvent.

-  PGP, GPG, c’est trop compliqué. Faux : l’installation du logiciel réclame moins de clics que celle d’Outlook, par exemple (et au hasard). Son utilisation, ensuite, est on ne peut plus simple : d’un simple clic sur votre logiciel de courrier électronique, il vous sera possible de crypter vos messages en ouvrant une fenêtre pop up et en y tapant votre phrase de passe (ben oui, PGP est sécurisé, alors c’est pas un " mot de passe ", mais carrément une phrase qu’il vous faudra mémoriser).

-  PGP est buggué : stop la rumeur ! Jamais personne n’a pu amener ne serait-ce que l’once d’un début de bit de preuves pour étayer le fait que PGP aurait été « révisé », revu et corrigé par les services secrets ricains, ou autres. Si l’on a bien découvert un bug récemment, il n’affectait que les versions commerciales, et la nouvelle version 6.5.8, freeware, corrige le problème. Quant aux paranos, ils n’ont qu’à utiliser la version 2.63i, elle est imparable !

-  PGP et GPG ne servent à rien : d’aucuns rétorquent en effet que cela ne revient à se compliquer l’internet pour pas grand chose. Z’avez pas lu ou quoi ? Outre que ça sert à populariser le fait qu’il est tout aussi important de crypter ses e-mails que de fermer l’enveloppe de ses courriers papiers, outre le fait que cela authentifie l’auteur de l’e-mail, outre le fait que cela sert aussi à éviter les écoutes furtives, PGP sert aussi à familiariser ceux qui s’en servent avec quelques notions de sécurité informatique. S’il n’est pas obligatoire de savoir comment fonctionne un moteur pour savoir conduire une voiture, c’est parfois préférable. De même, il est préférable d’avoir quelques notions de sécurité informatique quand on surfe sur le net, et qu’on se sert d’un ordi.

Last but not least, se servir régulièrement (sinon quotidiennement) de PGP/GPG sert aussi à bien mémoriser la phrase de passe, ce qui n’est pas forcément une mince affaire... et vous laisserait dans le besoin, et fort emmerdé, le jour où vous en auriez vraiment besoin.

 
 
Jean-Marc Manach
 
Cette brève introduction en la matière ne peut bien évidemment pas se substituer à la lecture attentive d’OpenPGP en Francais, voire des manuels de PGP (300 et quelques pages, 7Mo au compteur ;) ou GPG (moins lourds :) : être sûr à 100%, ou presque, que son e-mail crypté ne pourra pas être déchiffré réclame bien évidemment un examen plus approfondi de la question, de même que l’utilisation d’Internet Explorer, par exemple (et au hasard) sans en connaître les subtilités, ne garantit pas que vous ne connaîtrez pas de bugs. Un mauvais choix, et une mauvaise utilisation, de la phrase de passe peut ainsi révéler le contenu d’un e-mail crypté à quelqu’un de suffisamment avisé, s’il est armé de puissants ordis. Mais bon, ce texte n’est pas fait non plus destiné aux cyberterroristes, mais à toi, lui, eux, internautes suffisamment avisés pour venir se coltiner à cette uZine à gaz, donc suffisamment au fait des enjeux de l’internet pour pouvoir comprendre qu’il est très important de se mettre à la crypto, même si c’est « insignifiant », dixit l’ami Gandhi.
Imprimer
format impression
JRI (Journaliste Reporter d’Internet)
13 août 2000
12 septembre 2000
 
SPIP
Web indépendant


souriez vous êtes surveillez
28 juin 2005
 

Réponse adressé à l’auteur de l’article "souriez vous êtes surveillez"

Pour ton article sur souriez vous etes surveilles je ne crois pas que je suis parano ni mes collègues de travailles au RG(Renseignements Généraux pour les ignars)

PS :Nous avons un beau dossier sur toi, N°klex364719

Répondre
> souriez vous êtes surveillez, 15 janvier 2006
sans les nombreuses fautes d’orthographe ça aurait été plus crédible.
Répondre


> Pourquoi j’utilise OpenPGP
22 mars 2004, message de Christophe
 

Très bien tourné mais même si l’installation comporte moins de clic que celle d’outlook, on ne peut pas se passer de l’installation d’un outlook ou d’un client de messagerie. PGP ou GPG sans messagerie, cela ne sert pas à grand chose.

A part cà, je l’utilise...

Répondre


Alternative au cryptage
25 juillet 2002
 
Nous ne saurions être sûr, quoi qu’on en dise, de l’absolue efficacité du cryptage. A cette méthode défensive, et définitivement sans réponse, préférez la saturation, en agrémentant (comme cadre par exemple) vos e-mails non strictement confidentiels de mots-clefs qui, envoyés en masse, saturerons le contrôle : Bush, Ben Laden, Al-Qaeda, Action Directe, Attentat, ---
Répondre
> Alternative au cryptage, Bb), 1er octobre 2002

... ce qui n’aura que pour effet d’attirer l’attention sur soi, comme si l’on tirait la sonnette d’alarme pour dire "attention ! ce message est chiffré !".

Ce qui arrive, cela dit, à mesure qu’un e-mail chiffré avec Open PGP est effectivement identifié comme tel à même le corps du message.

On préférera plutôt user d’un peu de stéganographie, en coupant les en-têtes et pieds de page identifiant le mail comme chiffré via OpenPGP, voire en l’insérant dans un fichier image ou son au moyen de la stéganographie.

Cf LSQ : sortez couvert !.

Quant aux fameux "mots-clés" à envoyer en masse, cf le Générateur d’e-mails subversifs et l’explication de sa relative inocuité.

 
Répondre