Email chiffré : où partager ma clé publique OpenPGP ?

10 avril 2022 à 16h00
0
chiffrement mail fotolia

Comme on vous l’expliquait dans notre article détaillant le fonctionnement des services d’emails chiffrés, pour pouvoir envoyer et recevoir des mails chiffrés, il est nécessaire de procéder à un partage des clés publiques OpenPGP. Mais comment le faire facilement et surtout, où ? On vous explique.

Les serveurs de clés

Les serveurs de clés modernes

En 2019, des attaques de key poisoning ont sonné le glas des anciens modèles de serveurs de clés SKS basés sur le Web of Trust, un principe où les utilisateurs avaient la charge de valider le lien entre l’identité des personnes et leurs clés publiques à l’aide de signatures. Apprenant de ces erreurs, des nouveaux serveurs de clés ont pris la suite et ont décidé de fonctionner de façon plus centralisée. Le plus connu d’entre eux est probablement keys.openpgp.org qui a opté pour une nouvelle approche de la gestion des clés. Cette fois-ci, la propriété des clés est non plus vérifiée par les utilisateurs, mais par le service, qui envoie un mail de confirmation à l’adresse mail à laquelle la clé est liée. Également, le serveur ne fonctionne pas de manière décentralisée. Le choix est justifié par le souci de protéger la vie privée et la sécurité des utilisateurs : pour faire tourner une instance du serveur, il serait nécessaire d’avoir accès à l’ensemble des adresses mail enregistrées, ce qui permettrait à n’importe qui de récupérer une liste facilement et de les spammer.

Tout n’est pas parfait et cette approche vient avec des désavantages, comme l’impossibilité d’avoir plus d’une clé publique liée à une adresse mail. Également, si votre adresse mail est compromise, l’attaquant peut décider de verser une nouvelle clé à partir de celle-ci. Et enfin, ce fonctionnement met définitivement fin au Web of Trust puisque les signatures sont supprimées. Mais, grâce à cette façon de faire, il est possible de supprimer son adresse mail du répertoire et d’éviter de voir s’accumuler des clés publiques obsolètes.

Pour trouver votre clé, les utilisateurs doivent rentrer votre adresse mail exacte ou l’empreinte de votre clé publique. Si on veut distribuer à grande échelle sa clé publique, il est donc conseillé de s’inscrire sur l’un des serveurs de ce genre, en vérifiant bien que le serveur en question n’est pas un serveur de clés SKS, sensibles aux attaques. Généralement, les services de messagerie sécurisés proposent leurs propres serveurs de clés, sur lesquels il est possible de rechercher d’autres utilisateurs du service.

Web Key Directory

Un moyen encore plus simple pour obtenir les clés publiques de ses contacts est le Web Key Directory (WKD). Si vous utilisez un client de messagerie qui est compatible, dès que vous communiquez avec quelqu’un dont la clé publique a été ajoutée au Web Key Directory, votre client de messagerie se charge pour vous de la chercher et de la récupérer, vous permettant de communiquer facilement de façon sécurisée avec cette personne. Dans certains cas, vous n’avez même pas besoin de la télécharger si vous ne souhaitez pas gérer un trousseau de clé.

Chaque fournisseur d’email qui supporte WKD possède son propre serveur WKD, lié à son domaine. Cela signifie que dès qu’une paire de clés est créée ou importée pour une adresse mail créée sur leur service, la clé publique est également ajoutée à leur serveur WKD. Si vous utilisez un client de messagerie compatible, ou que votre messagerie offre ce service, vous et vos contacts n’avez donc plus besoin d’utiliser exactement le même fournisseur pour profiter de communications chiffrées automatiquement. Si votre adresse mail est liée à un domaine que vous possédez, vous devrez procéder à l’ajout vous-même. Plusieurs tutoriels existent sur le sujet.

Aujourd’hui, WKD est assez bien supporté. Des fournisseurs de messagerie comme Protonmail ou Mailfence proposent l’ajout et la recherche automatique de clés pour leurs utilisateurs. Des logiciels et extensions comme Thunderbird et Enigmail prennent également en charge la fonctionnalité.

Partager sa clé publiquement

Un autre moyen utilisé pour le partage de clés publiques est leur publication, à l’aide d’un lien par exemple, sur ses réseaux sociaux ou son site web. En partant du principe que vos réseaux sociaux ou votre site web n’ont pas été détournés, vos contacts peuvent donc avoir confiance dans le fait que la clé publique et l’adresse mail vous appartiennent bien. Vous pouvez également partager votre clé publique à vos contacts dans vos discussions en ligne, toujours en partant du principe que vous êtes sûr de l’identité de la personne avec qui vous discutez.

Si vous utilisez un service de messagerie sécurisé, il vous proposera généralement d’attacher automatiquement votre clé publique à chacun de vos mails. Le désavantage de cette méthode, c’est que même les personnes qui n’utilisent pas ce système la recevront. Peu importe la méthode de partage, il est généralement recommandé de procéder à une vérification supplémentaire par téléphone par exemple, à l’aide des empreintes des clés, pour s’assurer qu’elles sont légitimes.

ProtonMail
  • Infrastructure robuste et sécurisée
  • Simplification extrême du chiffrement
  • Localisé en Suisse

ProtonMail est une sérieuse alternative à Gmail pour quiconque souhaite retrouver sa vie privée. Surtout Protonmail redéfinit le chiffrement en le plaçant à la portée de tout le monde. Certes, il faudra probablement adopter la version payante pour en profiter au maximum mais c'est un excellent premier choix pour quiconque souhaite commencer à s'affranchir des services des GAFAM en étant assuré que les communications restent privées.

ProtonMail est une sérieuse alternative à Gmail pour quiconque souhaite retrouver sa vie privée. Surtout Protonmail redéfinit le chiffrement en le plaçant à la portée de tout le monde. Certes, il faudra probablement adopter la version payante pour en profiter au maximum mais c'est un excellent premier choix pour quiconque souhaite commencer à s'affranchir des services des GAFAM en étant assuré que les communications restent privées.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Lectures liées

Windows 11 va enfin vous permettre de restaurer vos apps lorsque vous changez de PC
Opera VPN Pro est désormais disponible sur Windows et macOS
DuckDuckGo... un moteur pas si privé avec les trackers de Microsoft
Face au malware XorDdos, Microsoft recommande son navigateur Edge aux utilisateurs de Linux
Pour ses 15 ans, Google Street View reçoit une
Pour ses copies physiques de Windows 11, Microsoft recycle les clés USB de Windows 10
Télétravail : les réunions Zoom pourraient avoir des conséquences néfastes pour votre cerveau
Mozilla corrige 2 failles critiques dans Firefox 100
En Russie, le navigateur Chrome est bloqué à la version 100
Au Texas, la justice pointe du doigt Google pour le mode incognito de Chrome
Haut de page