Académique Documents
Professionnel Documents
Culture Documents
TUTORIAL DE CONFIGURATION
NIVEAU DEBUTANT 40MIN A 1H30
+ADD ON
SOMMAIRE
1.La thorie des systmes de cryptographie 2.Mthode de configuration avec un client mail : Thunderbird 3.Installation des composants logiciels 4.Configuration de GnuPG 5.Configuration de Thunderbird et l'Add-on Enigmail 6.Gnrer sa paire de clef prive et publique 7.Signature et authentification Ressources
3
1.La thorie des systmes de cryptographie
Mais qu'es ce que la cryptographie asymtrique ? C'est une mthode de chiffrement des donnes. Il y a deux classes de cryptographie possible soit le systme est symtrique ou asymtrique Symtrique quand on utilise la mme clef pour chiffrer et dchiffrer avec les mthodes DES, 3-DES, AES pour les plus connues. On retrouve des mthodes plus aboutis tels que Serpent ou Twofish. Un bon cryptage peut galement additionner les mthodes tel qu'un Twofish-Serpent (256-bit-key). A cela il faut rajouter un algorithme de hashage, comme un SHA. Il existe d'autres mthodes (voir le Whirlpool). On retrouve cette scurit par exemple pour les protections des sites de banques ou quand une identification scurise est ncessaire. C'est galement la mthode utilis pour du chiffrement de disque dur ou l'utilisation de container sur TrueCrypt pour chiffrer un dossier. Asymtrique quand les clefs sont diffrentes avec une paire de clef dite publique et prive. La cl Prive servant dchiffrer et la cl Publique au chiffrement. L'asymtrique tant utilis particulirement pour la scurit des communications mails.
1re tape : Alice gnre deux cls. La cl publique (verte) qu'elle envoie Bob et la cl prive (rouge) qu'elle conserve prcieusement sans la divulguer quiconque.
2e et 3e tapes : Bob chiffre le message avec la cl publique d'Alice et envoie le texte chiffr. Alice dchiffre le message grce sa cl prive.
4
C'est bien utile tout cela, mais comment l'utiliser en l'intgrant par exemple avec mes e-mails ? Sans tre un hacker, gnie de l'informatique ou un cryptanalyste ? Un projet Open Source du nom de GnuPG permet de gnrer un chiffrement asymtrique et de mettre en place par exemple pour des projets ou entreprises une infrastructure cls publiques pour les utilisateurs. La cryptographie est galement tendue la vie prive et autorise par le droit franais. NOTA L'avantage de l'Open Source : Le code du programme est ouvert, c'est dire que la communaut internationale de dveloppeur informatique peu modifier le code,l'amliorer. Il est galement prouv que l'Open Source est plus ractif en cas de faille de scurit qu'un logiciel propritaire (effet rseaux des dveloppeurs)
Couche software
Middleware
GPA
Installation de GnuPG
Installation de Thunderbird
test Valide ?
Scuriser
5
3. Installation des composants logiciels
Sur Linux (Ubuntu) d'origine Windows : Tlcharger Gpg4win 2.1.0 Lien de la page de tlchargement Sous Mac voir la page du projet GnuPG : http://www.gnupg.org/download/index.en.html Mozilla Thunderbird 17 : https://www.mozilla.org/fr/thunderbird/
Enigmail 1.5.1 Via Thunderbird dans Module complmentaire OU Lien de la page de tlchargement
4. Configuration de GnuPG
Sous Windows, dmarrer le programme et l'assistance d'installation. Le programme vous demandera quel composant installer, choisissez d'inclure GPA en supplment pour la cration de cl sans pass par Thunderbird pour d'autre client mail par exemple comme Outlook. Terminer l'installation du programme en suivant les indications.
6
5. Configuration de Thunderbird et l'Add-On Enigmail
Pourquoi Thunderbird ? Celui-ci est Open Source et est rpandu. Il permet d'utiliser plusieurs compte mail la fois et autorise la scurisation par mot de passe principal des comptes sur le client de messagerie. L'inconvnient est qu'il stocke les mails sur votre disque dur comme tout client de messagerie, do l'importance de coupl avec un chiffrement du disque dur . Aprs l'installation de Thunderbird, il vous est possible soit de configurer un compte mail existant ou d'acheter une adresse mail. Qu'elle intrt d'achet un mail perso ? Vous choisissez votre hbergeur qui stocke vos donnes Vous avez un chiffrement gr par l'hbergeur en couche supplmentaire de votre propre chiffrement asymtrique. Vous avez votre nom de domaine vous Prix pay ? Environ 3 4 euros par mois chez Gandi ou OVH sur serveur francophone et compt 5 euros pour l'achat de nom de domaine l'anne. Il existe galement de petit hbergeur locaux, pour cela il faut fouiller un peu plus dans le web. Es-ce si chre pour contrler ses mails et sa vie prive? Dans le cas contraire et de webmail gratuit privilgier des fournisseurs franais pour votre compte de vie prive tel que laposte.net, wanadoo, votre FAI etc.. Des listes sont disponibles sur le web. De cette manire vous n'tes pas soumis au Patriot Act et la Loi Amricaine. Gmail, Hotmail & Co tant hberg sur serveur US et sont des entreprises amricaines. N'oubliez pas que si le service est gratuit c'est que vous tes le produit. Une fois vos mails rcuprs sur le client de messagerie et votre compte configur il est ncessaire d'installer l'Add-On pour Thunderbird : Enigmail L'installation d'Enigmail : En utilisant L'onglet dans >Paramtres / Modules Complmentaires et rechercher l'Add-On en haut droite. Puis cliquer sur Installer. Enfin redmarrer Thunderbird. En cas de problme rinstaller manuellement si ncessaire. (ex : Erreur PATH de OpenPGP)
7
6. Gnrer sa paire de cl prive et publique
A partir de maintenant on passe aux choses srieuses : Le Chiffrement de la cl prive. Cette cl est secrte et doit rester sur votre ordinateur protge par un mot de passe fort. Son chiffrement doit tre optimal pour survivre dans la jungle des brute force et attaque par dictionnaire . Une bonne cl c'est quoi ? 1. Un mot de passe >20 caractres la protgeant [caractre spciaux+ chiffres+ maj+ chaine de caractre ne formant pas un mot] Difficile retenir premire vue ? Et bien pas vraiment, des moyens mnmotechniques existe en dehors de la mmoire d'un lphant : Section 8.2 : http://doc.ubuntu-fr.org/securite A contrario un bloc note et une partie sure de votre ordinateur peu suffire galement. 2. Un chiffrement robuste. Le standard actuel est de pass le chiffrement en 2048 bits. Ce qui est dj exploitable, sans oubli l'arrive des ordinateurs quantiques qui permettront de casser bien plus facilement un algorithme de chiffrement : Solution = RSA-4096bits Aprs la thorie la pratique !
Une fois de retour sur Thunderbird retourn dans la barre de menu ou paramtre et rechercher l'onglet : >OpenGPG / Gestion des clefs Une nouvelle fentre apparat dans la barre de menu rechercher l'onglet : >Gnrer / Nouvelle paire de Clefs Dans la fentre de gnration des clefs : 1. 2. 3. 4. 5. 6. Choisir le compte mail dont vous voulez gnrer une paire de clefs Remplir avec un mot de passe fort Laisser l'expiration de clefs sur 5 ans Changer la valeur de la taille de clef en 4096 Gnrer les cls Enregistrer le certificat de rvocation
NOTA Le certificat de rvocation permet d'annuler la clef en cas de faille de scurit, Interception et donc de prvenir le destinataire que la clef a t invalid par vos soins. Le format est en .asc, pour le convertir en .txt il suffit de le renommer avec un bloc note.
2 3 4
Mais envoyons cette clef publique d'abord par l'onglet >OpenPGP / Attacher ma clef publique dans rdaction d'un nouveau message.
9
7. Signature et authentification Cette tape est importante et n'est pas ngliger. Car qui vous dit qu'un pirate n'a pas rcupr votre cl publique et modifi la cl en l'envoyant au destinataire? Ce qu'on appel une attaque de type Man in the Middle Voila pourquoi il va falloir l'authentifier une bonne fois pour toute ! Le meilleur moyen est la communication orale entre l'envoyeur et le destinataire pour tre certain que la clef soit valide. Par tlphone ou voIP tel que Skype fait largement l'affaire.
Envoyeur : H, Salut ! Tu as bien reu ma clef publique ? Destinataire ? Oui j'ai bien reu ta clef, parfait on va pouvoir parler de tout et n'importe quoi ! J'importe cela dans mon gestionnaire de clef. Envoyeur : Parfait alors, plus tard !
ET BAS NON ! Elle n'est pas sign ! Rajoutons quelques lignes :
Destinataire : Peux tu me donner l'empreinte de la clef pour vrifier qu'elle correspond? Quelques chiffres et lettres suffises Envoyeur : Ok je te dis a. Pour l'envoyeur ou trouver l'empreinte de clef :
Dans le gestionnaire de clefs cocher Afficher toutes les clefs par dfaut Votre clef prive attache au mail doit apparatre > Clique droit sur la clef / Proprit de la clef
10
Pour le destinataire signer la clef :
Aprs avoir import le fichier de la clef publique via > Fichier / Importer Clef dans le gestionnaire de clef d'OpenPGP, faite un clic droit sur la clef signer la clef et cocher la rponse approprie. Bien sur vous avez galement ouvert Proprit de la clef pour vrifier l'empreinte
<PROTEGER>
Et la suite aprs la configuration? Dans l'onglet OpenPGP en envoyant un mail vous avez la possibilit de : Signer le Mail Chiffrer le Mail Un indicateur permet de savoir l'tat en bas droite
11
Pour aller plus loin avec Thunderbird , il est important de configurer un mot de passe principal dans les options de Thunderbird protgeant ainsi l'accs vos mails sur le logiciel. Il est galement possible de faire la mme chose sur Firefox pour protger l'ensemble des mots de passe enregistrs (Non disponible sur chrome). Enfin Le chiffrement du disque dur permet en cas de vol de votre PC, ou d'inspection la douane d'un Aroport par exemple de protger vos donnes. L'inconvnient du chiffrement du disque complet implique une sauvegarde externe ou/et distante car n'oubliez pas que vous avez chiffr vos donnes, en cas de plantage du systme d'exploitation vous perdez galement tout son contenu.
Ressources :
Prserver la confidentialit de vos communications sur Internet https://securityinabox.org/fr/chapter-7 CNIL : Scurit de vos donnes personnelles un guide pour agir et un test pour s'valuer
http://www.cnil.fr/linstitution/actualite/article/article/securite-des-donnees-personnelles-unguide-pour-agir-et-un-test-pour-sevaluer/
Internet Libre et anonymat, site de Korben, Chiffrer son disque dur avec TrueCrypt http://korben.info/chiffrer-un-disque-systeme-windows-avec-truecrypt.html Site de l'ANSSI ( Agence Nationale de la Scurit des Systmes d'Information) www.ssi.gouv.fr Donne sensible et Cloud http://www.solutions-logiciels.com/magazine_articles.php?titre=Les-%93pures-players%94-ducloud-et-les-integrateurs-SSII&id_article=487 Informatique quantique et cryptographie, une rvolution en marche http://blog.derouineau.fr/2011/07/informatique-quantique-et-cryptographie/ Add On Firefox pour connatre dans quel pays vous naviguez https://addons.mozilla.org/fr/firefox/addon/flagfox/