Le chiffrement pour tous ! Épisode 3 : comment chiffrer ?

Hé ben ! Il aura mis le temps à venir, ce 3e et a priori dernier article de la série sur le chiffrement pour tous. Cet article va évoquer les moyens de chiffrer ses données facilement, sans avoir besoin de compétences techniques particulières. Comprendre : en ayant juste à installer un petit logiciel de rien du tout ! Je vais me concentrer sur deux points : chiffrer ses données en surfant sur le web, et chiffrer/signer des fichiers.

Chiffrer les interwebs : le HTTPS

Cadenas câble ethernet

Le HTTPS chiffre vos internets

J’ai déjà raconté des trucs dans de vieux articles à propos du fonctionnement du web. Petit rappel rapide : les données des sites web que vous visitez sont stockées sur un ordinateur distant, le serveur. Votre ordinateur, par le biais de votre navigateur (Firefox, Google Chrome…), demande ces données quand vous voulez visiter le site en question. Pour discuter, votre ordinateur et le serveur utilisent un protocole. Généralement, ce protocole est HTTP ; vous pouvez le voir au début des « adresses web » (les URL) : http://www.site.fr. Bien. Le HTTP ne chiffre rien : il envoie des messages en clair. Exemple : votre ordinateur envoie « GET index.html » au serveur de http://www.site.fr, et le serveur lui renvoie « 200 OK » (200 est le code pour OK en HTTP) et, en « pièce jointe », le code de la page http://www.site.fr/index.html. Problème : si quelqu’un se met entre votre ordinateur et le serveur à qui vous parlez, il voit tout passer en clair. « Tout » peut inclure votre login et votre mot de passe Facebook (ou de n’importe quel autre site), le contenu du site que vous consultez, etc. Vraiment tout.
Il existe néanmoins un autre protocole, nommée HTTPS, pour HTTP Secure. Il fonctionne globalement de la même façon, mais en plus il chiffre la communication ! Autrement dit, personne à part votre navigateur et le serveur du site que vous visitez ne peut avoir accès au contenu des messages échangés par HTTPS. Cool, hein ? C’est pour ça que, si vous regardez un peu, vous verrez des url commençant par HTTPS si vous consultez votre compte en banque sur le site de votre banque, ou si vous lisez vos mails en ligne. Si vous êtes sur le point d’effectuer une opération « sensible », comme entrer votre numéro de compte et mot de passe pour accéder à votre compte en banque, et que l’url commence par http:// et pas https://, NE LE FAITES PAS. Sérieusement. Il y a 9 chances sur 10 que vous soyiez sur un faux site qui va juste voler vos informations ; et la 10e chance sur 10 est que le site que vous visitiez soit fait par des bras cassés qui vous mettent en danger. Aucune banque ne vous demandera de vous identifier sur une page en http://. Aucun site marchant ne vous demandera de rentrer vos informations de paiement sur une page en http://. Etc.
Bien, maintenant voyons voir comment utiliser HTTPS. C’est bien gentil de savoir que ça existe et que c’est cool, encore faut-il l’utiliser ! Certains sites l’utilisent par défaut. Votre banque, par exemple. D’autres sites le supportent, mais ne le font pas par défaut. Dans ces cas là, c’est à votre ordinateur de demander spécifiquement « je veux qu’on cause en HTTPS et pas en HTTP tout court ». La 1e façon est de le faire à la main, en mettant des S au début des URL. Certains sites, voyant que vous vous êtes connectés en HTTPS, vous feront rester en HTTPS pour le reste de votre navigation. Mais certains sites sont des glands : Facebook, par exemple. Si vous suivez ce lien : https://www.facebook.com, vous débarquerez sur la page d’accueil de Facebook en HTTPS. Mais, à moins que ça ait changé depuis quelques mois avec les révolutions des pays arabes, dès que vous cliquerez sur un lien, vous remarquerez que vous êtes repassés en HTTP.
Il y a une solution pour utiliser automatiquement le HTTPS sur les sites importants : l’extension Firefox HTTPS Everywhere. Si vous utilisez Firefox – et utilisez-le ! -, installez cet add-on en cliquant sur le gros bouton bleu, puis en acceptant le petit message de Firefox vous prévenant que quelque chose veut s’installer. Redémarrez Firefox, et hop ! Grâce à cet add-on, vous vous connecterez AUTOMATIQUEMENT en HTTPS à des sites comme Facebook, Google, Twitter…

HTTPS Everywhere, c'est comme ça

HTTPS Everywhere, c'est comme ça

Naturellement, si vous utilisez Internet Explorer, il n’existe pas d’alternative à part… télécharger Firefox. Il est plus rapide, plus beau, plus sûr, plus stable, plus TOUT qu’Internet Explorer. Il suffit de le télécharger et de l’installer. Même si vous ne voyez pas la différence avec IE, croyez-moi sur parole, il y en a plein, et elles sont énormes. Surtout que Firefox 4 vient de sortir, il est donc tout beau tout neuf.
Il y a hélas des limites au HTTPS. Je ne détaillerai pas dans cet article les problèmes, c’est hors sujet. Sachez néanmoins que pour identifier de façon sûre à qui votre navigateur parle, le site lui envoie un certificat. En gros, il lui montre sa carte d’identité, certifiée authentique par une autorité de confiance. Le problème, c’est qu’il faut faire confiance à ces autorités de confiance (sans déc’ ?). En temps normal pas de problème. Mais des gens comme l’ancien régime tunisien ce sont vus reconnaître comme « autorité de confiance » par Microsoft – donc par Internet Explorer -, par exemple. Dans un cas comme celui-là, vous visitez un site en HTTPS, mais ça peut quand même être un faux site… Mais bon, ce genre de piège là demande un certain niveau technique pour le repérer, c’est donc pas le sujet de ce billet.

Chiffrer ses fichiers : GPG

GPG, ou GnuPG, est un logiciel de chiffrement. En fait, au début c’est un gars nommé Philip Zimmermann qui a créé un logiciel nommé PGP, pour Pretty Good Privacy, en 1991. Succès immédiat – et enquête du gouvernement américain car à l’époque, le chiffrement pouvait être considéré comme arme de guerre, et son « exportation » interdite sans autorisation du gouvernement. GPG, c’est un logiciel libre, donc gratuit et dont le code source est disponible et ouvert à tout le monde, qui fait exactement la même chose.
Problème de GPG : c’est un logiciel en ligne de commande. Du coup, pour ceux qui veulent le télécharger tel quel – il est très bien documenté et facile à utiliser -, c’est ici. Pour ceux qui veulent une interface graphique, et c’est à eux avant tout que je m’adresse dans cette série, il existe plusieurs solutions. Je vais présenter vite fait Cryptophane. Tout d’abord, téléchargez sur ce site le .exe qui s’appelle « cryptophane [numéro de version] + GnuPG full installer ». Vous installez ça, et vous le lancez. C’est tout 🙂

fuck yeah

On va pouvoir tout chiffrer !

Bon, c’est en anglais… Mais sérieusement, c’est pas bien compliqué : signer devient sign, chiffrer devient encrypt. Il reste juste deux étapes importantes ! Il va falloir créer vos clefs privée et publique, et récupérer les clefs publiques des gens à qui vous voulez envoyer des choses.
Pour créer votre clef, cliquez sur Keys -> generate secret key. Là, on vous demande votre nom et d’autres renseignements. Ne mettez pas de date d’expiration à votre clef, et mettez les plus grandes valeurs possibles aux « DSA key length » et « EIGamal key length ». Il va aussi falloir choisir une « phrase de passe ». Et oui, un mot de passe c’est faible : là, il faut toute une phrase. Alors évidemment, les règles de base :

  • mettez tous types de caractères : des lettres majuscules et minuscules, des chiffres, et des symbôles ($£€!§,. etc);
  • ne choisissez pas comme passphrase votre date de naissance, votre nom, le nom de votre chien ou de votre employeur, etc. C’est trop facile à deviner;
  • ne l’écrivez nulle part ! Choisissez une phrase dont vous pouvez facilement vous souvenir, ou au moins que vous pourrez facilement retrouver. Par exemple, le texte du 11e article de la déclaration des droits de l’homme et du citoyen de 1791 : ce genre de truc se trouve sur Google si jamais vous oubliez les mots.

Voilà. Cryptophage a généré une clef privée et une clef publique, et ça apparaît dans votre trousseau de clefs (le gros tableau). Dernière étape : clic droit sur votre nouvelle clef, « Send to keyserver ». Cela permettra au monde entier de trouver votre clef publique, ou bien par recherche de votre nom, ou bien de l’ID de la clef. Cochez votre clef, et appuyez sur Send. Voilà ! Vous pouvez maintenant chiffrer des fichiers et/ou les signer à partir du menu File.
Dernière chose que vous pouvez vouloir faire : récupérer la clef publique de quelqu’un. La mienne, par exemple. Pour ça, deux façons : ou bien vous l’avez déjà, auquel cas vous faites File > import key, et vous sélectionnez le fichier contenant la clef publique qui va bien. Ou bien vous ne l’avez pas, et dans ce cas vous faites Keys > get key from keyserver. Là, vous rentrez l’ID de la clef, et vous cliquez sur Get Key. Si rien n’est trouvé, essayez avdc un autre keyserver. En l’occurence, la mienne est au moins sur pgp.mit.edu, donc pas de problème. Et voilà, une fois la récupération terminée, la nouvelle clef apparaît également dans votre trousseau.
Une fois vos clefs générées, et les clefs de vos amis/collègues/autres récupérées, il ne vous reste plus qu’à clic droit sur la clef dans votre trousseau et choisir l’action à faire avec. Simple comme bonjour ! Pour vous souvenir de ce qu’on peut faire avec quoi, vous pouvez relire l’article précédent, surtout la fin – qui présente la crypto assymétrique.

Pour aller plus loin

Bon, j’ai écrit un roman assez long, donc je détaillerai rien de plus. Vous pouvez maintenant, si vous avez suivi mes conseils, surfer de manière chiffrée, et (dé)chiffrer ou signer n’importe quel fichier. Le reste, c’est des bonnes pratiques : rien ne vous oblige à choisir un bon mot de passe, à surfer en HTTPS au lieu du simple http, etc.
Néanmoins, d’autres choses peuvent être chiffrées. Si vous utilisez un client mail – c’est-à-dire un logiciel qui récupère vos mails pour vous, au lieu d’aller les lire directement sur le site de Gmail/Hotmail/Yahoo/etc -, comme Outlook ou Thunderbird, il peut exister des add-on pour chiffrer et signer vos mails. Pour Tunderbird (qui est à Outlook ce que Firefox est à Internet Explorer), il existe ainsi Enigmail. Installez-le, dites-lui où est votre clef – crée par GPG ou Cryptophane -, et vous pourrez chiffrer ou signer vos mails en cliquant sur un simple bouton.
Autre chose pouvant être chiffrée : le contenu de vos clefs USB, voire même de votre disque dur entier ! Pour cela, utilisez par exemple TrueCrypt (téléchargement ici). Pourquoi chiffrer une clef USB ? Parce que si vous la perdez (ou qu’on vous la vole), tout est consultable. Vous partez en pause déjeuner, vous revenez : votre clef est toujours là, mais toutes les infos dessus ont été copiées par quelqu’un qui est passé entre temps. Etc. Pour votre disque dur, même raison ! N’importe qui ayant accès physiquement à votre ordi peut lire le contenu de votre disque dur. Même si vous n’êtes pas loggués ! Il suffit de démarrer sur un disque dit « live », ce qui permet de lancer un système d’exploitation non installé sur le disque dur, et vous pouvez faire ce que vous voulez. Y compris lire les données du disque dur, même si normalement il faut entrer un mot de passe pour lancer Windows après avoir démarré. Enfin bref, TrueCrypt c’est du sérieux.

Voilà qui termine cette série. Pour conclure, je vais faire de l’anti-parano : pour la plupart des gens, chiffrer son disque dur ou ses clefs USB sont des précautions extrêmes. Rares sont les gens à qui c’est réellement utile. Hélas, ces gens là ne se rendent pas toujours compte que ça leur serait utile. Mais surtout, autant personne ne se donnerait probablement la peine de venir tripoter votre pc, autant sur Internet, tout peut être automatique. On en revient au premier article de la série. Des personnes mal intentionnées peuvent très bien essayer de surveiller des millions de personnes – certains pays surveillent toute leur population. La Chine coupe des appels téléphoniques lorsqu’ils détectent certains mots-clefs. Alors surveiller les données échangées sur Internet… Et être en France n’est pas une protection en soi. Surtout ces dernières années.
Alors la protection par le chiffrement de vos clefs USB ou disque dur est peut-être quelque chose de superflu. Mais la protection de vos e-mails, de vos fichiers échangés sur Internet (par mail ou autre moyen), et de votre navigation – avec toutes les données privées qui peuvent être échangées lorsque vous surfez, ça c’est pas de la parano gratuite.

Serious business

Votre vie privée... Serious business.

Publicités
Cet article, publié dans Crypto, Libertés, est tagué , , , , , , , . Ajoutez ce permalien à vos favoris.

2 commentaires pour Le chiffrement pour tous ! Épisode 3 : comment chiffrer ?

  1. Anonyme dit :

    De bonnes explications claires et simples 😉 merci

  2. tachuam dit :

    C’est extrêmement intéressant. Sans ces contributions majeures, comment se mettre a l’abri des personnes malveillantes et mal intentionnées?

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s