Vous êtes sur la page 1sur 8

Supplment au manuel Internet scurit d'abord !

Crypter le courrier
Votre courrier est facile lire ... mme par ceux Vous utilisez dj, peut-tre sans le savoir, le
qui nont pas le droit de le faire. De lexpditeur cryptage dans vos communications sur lInter-
la rception sur votre ordinateur, il passe par net. Chaque fois que votre navigateur vous an-
les tapes suivantes, qui permettent toutes son nonce que vous allez passer dans une zone s-
interception : curise, par exemple quand vous tapez votre
numro de carte de crdit, vous envoyez des
Etape Danger donnes cryptes.
Le serveur de Le courrier est lisible par le
lexpditeur Pourquoi crypter ?
fournisseur daccs de Le cryptage nest pas une ncessit, sauf si vous
lexpditeur. avez des informations vraiment confidentielles
Internet Le courrier passe par un protger, et tes prt organiser votre travail.
certain nombre dtapes et Linterception dun courrier nest pas la
de centres de redirection, ou porte de tous. Pour pirater votre courrier, il
il peut tre intercept et lu, faut disposer dquipements et de logiciels et
en totalit ou en partie. avoir une trs forte motivation.
Serveur de votre Le courrier est lisible par
fournisseur Le cryptage exige du temps, une certaine
votre fournisseur daccs, connaissance technique, et une procdure
daccs
jusqu ce que vous le reti- relativement complique, non seulement
riez, ou perptuit si le pour vous, mais aussi pour vos correspon-
courrier nest pas effac dants.
aprs le retrait1.
Ce type de protection ne simpose donc que
Tout cela est techniquement possible, mais ne dans les cas ou le secret est impratif. Crypter
signifie pas pour autant que votre courrier sera dans dautres circonstances est franchement une
systmatiquement examin par des personnages perte de temps.
mal intentionns. Chaque seconde, des millions Si toutefois vous pensez avoir besoin de crypter,
de messages transitent sur lInternet, dans tou- ou si vous tes simplement curieux de voir
tes les directions, et il faudrait dexcellentes rai- comment cela fonctionne, ce chapitre vous
sons pour que vos messages confidentiels tom- montrera comment faire.
bent dans de mauvaises mains ... cest videm-
ment illgal, mais faisable. Les cls de cryptage
Le cryptage de PGP repose sur le principe des
Pour le courrier confidentiel, une solution con-
cls de cryptage :
siste crypter les messages. Intercepts ou pas,
ils seront illisibles pour ceux qui nen possdent Une cl publique, accessible tous, que vos
pas la cl. correspondants utiliseront pour crypter le
courrier quils vous enverront.
Une cl prive, que vous tes le seul con-
natre. Vous lutiliserez pour dcrypter les
1 Un des mes amis sest aperu que tous les messages
messages que vous recevrez.
reus depuis trois mois taient encore sur le ser-
veur ! ! Renseignez-vous auprs de votre fournisseur Il est impossible dexpliquer ici les rouages de
pour connatre sa politique. Vrifiez que vous navez cette forme de cryptage : il y faudrait bien plus
pas coch la case Conserver une copie des messages sur le dun manuel, mais le schma suivant illustre le
serveur dans la configuration des comptes de courrier cheminement dun message, de vos correspon-
dOutlook Express ( longlet Avanc) dants jusqu ce que vous le lisiez en clair.

http://www.competencemicro.com
2 Supplment au manuel Internet scurit d'abord !

pouvez aller consulter le site ladresse


www.ssi.gouv.fr, et qui dpend directement du
cabinet du Premier Ministre.

A ltape 1, votre correspondant utilise, pour


crypter un message qui vous est destin, vo- Sur ce site, vous pourrez consulter la liste des
tre cl publique, quil a trouv sur un ser- produits homologus, et bien dautres choses
veur public (o cette cl est disponible), ou encore. Si la cryptologie vous intresse, ou si
tout simplement dans un message que vous vous chercher comprendre comment elle
lui avez envoy. Le courrier ainsi crypt ne fonctionne, cest un site visiter !
sera lisible qu laide de votre cl prive :
mme la personne qui vous envoie le mes-
Les logiciels de cryptage
La scurit du cryptage se mesure en bits qui
sage serait incapable de le dcoder.
sont la longueur de la cl de cryptage. Plus le
Cette cl publique sert uniquement lenco- temps passe, plus la cl des nouveaux systmes
dage et ne pourrait pas tre utilise pour le de cryptage sallonge, pour garder une longueur
dcodage. Cest la force du cryptage sur deux davance sur les mthodes de dcryptage, qui
cls. samliorent aussi : dans quelques annes, les
A ltape 2, une fois le message reu, vous systmes de cryptage considrs aujourdhui
dcryptez le message laide de votre cl comme fiables seront facilement dcryptables.
prive, que vous tes le seul connatre. Cette Plusieurs produits de cryptages du courrier sont
cl ne doit tre communique personne. disponibles, dont certains sont gratuits. Le plus
Faites bien attention ne jamais la perdre, connu est PGP.
car vous ne pourriez plus lire les messages
qui vous seraient envoys. PGP
Entre les tapes 1 et 2, le message nest transmis Parmi ces derniers, le plus connu (et un des plus
qu ltat crypt. Mme sil est intercept au fiables) sappelle PGP (Pretty Good Privacy, con-
passage, il est illisible. Vous seul pouvez le d- fidentialit relativement bonne). Il permet de
chiffrer. crypter non seulement le courrier lectronique,
mais aussi les fichiers et des dossiers entiers. La
La lgislation franaise
dernire version franaise du programme est
La majorit des pays du monde, reconnaissant
disponible www.pgpi.org.
lintrt du cryptage pour la protection des int-
rts commerciaux et de la vie prive, encourage
son utilisation.
En France, la cryptographie est soumise une
lgislation particulire, rgie par le dcret du 17
mars 1999 (n 99-200), qui autorise limportation
et lutilisation des matriels et logiciels de
cryptage dont la cl est dune longueur com-
prise entre 40 et 128 bits (Journal Officiel du 19
mars 1999, page 4051). La rglementation
change constamment, et a longueur de la cl de
cryptage autorise est rgulirement allonge.
PGP est loin dtre le seul bon logiciel de cryp-
Lorganisme qui dlivre les autorisations tage, mais il est le plus rpandu, et vous devrez
dutiliser les logiciels de cryptographie et leur communiquer avec des correspondants qui
degr de scurit sappelle la SSI, dont vous

http://www.competencemicro.com
Supplment au manuel Internet scurit d'abord ! 3

lutilisent aussi, sinon ils ne pourront pas d- Installer PGP


crypter vos messages. Si vous navez jamais install de logiciel de
Sur cette premire page, cliquez sur Download , cryptographie, la procdure peut semble com-
puis sur PGP la page suivante. plique, mais jajouterai des explications en
cours de route. Vous rencontrerez de nouveaux
Suivant votre version de Windows, vous devrez
concepts, dont :
choisir entre deux versions de PGP :
Les paires de cls, publiques et prives, et
Avec Windows 95, 98 ou NT
Vous pouvez tlcharger une version en fran- les serveurs de cl.
ais nomme PGP 6.5.1i. Si vous essayez dins- PGP est un produit relativement complexe, et
taller cette version sous Windows XP, vous cette section ne prsente, trs succinctement,
nobtiendrez quun message derreur. que ses fonctions essentielles. Pour une utilisa-
1. Cliquez sur Windows 95/97/NT tion plus avance, je vous recommande
dimprimer le manuel et de le lire tte repose.
2. La dernire version de PGP en franais sap-
pelle 6.5.1. Cliquez sur 6.5.1i. Au cours de linstallation, PGP vous demande
quelles options vous voulez installer. Ces op-
3. Cliquez sur French, puis sur Download PGP
tions sont des plug-ins qui sintgrent vos
6.5.1int, French version pour tlcharger la
diffrents logiciels, et votre choix dpend vi-
version franaise.
demment de ce que vous utilisez. Voici com-
4. Choisissez un site de tlchargement, et t- ment jai rpondu, mais vos choix pourront tre
lchargez PGP651intFreeware_FR.exe. La diffrents :
taille de ce fichier est de 14,7 Mo, et le tl-
chargement peut durer longtemps si vous
navez pas de connexion haut dbit.
Avec Windows XP
Vous devez tlcharger PGP 8.0, version Free-
ware, qui nexiste quen anglais. Cest cette ver-
sion que je dcris dans ce chapitre. Elle fonc-
tionne galement sous Windows 98, ME, NT 4.0 Aprs linstallation,
et 2000. o PGP vous de-
1. Cliquez sur Windows XP . mande si vous avez
2. Cliquez sur PGP 8.0. dj dfinit des cls,
vous devez red-
3. Cliquez sur Download PGP 8.0 .
marrer votre PC.
4. Vous passez au site de PGP Corporation, qui
Au redmarrage
exploite maintenant PGP sur une base com-
suivant, PGP vous
merciale, mais o vous pouvez toujours
demande votre numro de licence, en vous en-
trouver une version Freeware, mais que vous
courageant acheter la version commerciale.
navez pas le droit de redistribuer. En bas de
la page, cochez la case Please check this box,
et cliquez sur le bouton Download Now situ
en face de ...for Windows .
5. Vous tlchargez le fichier PGP800-PF_W.zip
(8,7 Mo) que vous devez dabord dcompres-
s, avant de double-cliquer sur PGP8.8.exe.

http://www.competencemicro.com
4 Supplment au manuel Internet scurit d'abord !

Utiliser PGP 8.0


PGP 8.0 dpose sur
votre barre des tches
une icne, sur laquelle
il suffit de cliquer
pour avoir accs aux
fonctions du pro-
gramme.
La premire chose
faire, une fois que
vous avez dfini une
Cliquez simplement sur Later si vous ne voulez cl publique, est de la
pas acheter avant davoir essay le produit. faire connatre aux
1. PGP passe ensuite la dfinition de vos cls autres utilisateurs,
de cryptage. Vous devez dabord donner vo- afin quils puissent vous envoyer du courrier
tre nom et votre adresse email (ceci afin que crypt. Pour cela, slectionnez PGPKeys.
vos correspondants associent cette adresse Publier votre cl publique
vos cls). Cliquez sur Suivant.
2. Vous devez ensuite dfinir un mot de passe,
qui est en fait une phrase entire, et devez la
taper une deuxime fois pour confirmation.
Cliquez ensuite sur Suivant.
Je vous recommande dutiliser une phrase
entire, que vous connaissez bien, peut-tre
venue de votre enfance, mais que vous re- Si vous ntes pas encore connect lInternet,
tiendrez facilement. Elle ne doit pas nces- connectez-vous maintenant.
sairement tre complique, mais elle doit
vous tre entirement personnelle. Pour plus
de scurit, vous pouvez y mler des sym-
boles alatoires, mais facilement mmorisa-
bles. Noubliez pas que, lorsque vous tapez
un mot de passe, vous ne pouvez pas voir ce
que vous tapez ! Slectionnez Server | Send to, et slectionnez un
3. PGP gnre vos cls et vous navez pas in- serveur.
tervenir. Cliquez sur Suivant.
4. PGP vous annonce que vous avez termin la
dfinition de vos cls et vous pouvez cliquer
sur Terminer.
Linstallation est termine.

Les autres utilisateurs peuvent maintenant


trouver votre cl. A linverse, vous pouvez trou-
ver les cls dautres utilisateurs.

http://www.competencemicro.com
Supplment au manuel Internet scurit d'abord ! 5

Obtenir une cl publique sur un serveur


Slectionnez la commande Server | Search.

Dans cette bote de dialogue, vous pouvez s-


lectionner un serveur et y faire des recherches
sur un nom.
Passons maintenant laction et voyons com-
ment envoyer et recevoir du courrier crypt. 2. Il compose son message.

Envoyer du courrier crypt 3. Sur la barre


Quand vous envoyez un courrier par doutils, il clique
Outlook Express, PGP a automatique- sur Encrypt
ment plac une nouvelle icne sur la Message (PGP).
barre doutils dOutlook Express.
Pour envoyer un message crypt un corres-
pondant, vous devez avoir sa cl publique. Pour
cela, deux possibilits :
1. Le correspondant a plac sa cl sur un ser-
veur public, ou
2. il vous a envoy sa cl par email. Nous allons 4. Ds quil clique sur Envoyer, PGP va cher-
examiner cette opration dans les deux cas : cher votre cl publique, sil ne la pas dj
dans son trousseau de cls (voyez plus loin).
La cl publique est sur un serveur
Cette option nest possible que si vous avez
achet une licence pour la version PGP 8.0
Personal (disponible pour $39 sur www.pgp.com)
mais elle est si pratique que je vous la montre
ici. Nous supposons que votre ami Pierre Mar-
tin vous envoie un message :
1. Il lance Outlook Express.

http://www.competencemicro.com
6 Supplment au manuel Internet scurit d'abord !

5. Vous recevez le message crypt, qui est


beaucoup plus long que loriginal.
6. Sur la barre doutils,
vous cliquez sur
Decrypt PGP
Message.

1. Sur la barre doutil, cli-


quez sur PGPKeys.

7. Le message est slectionn, et vous devez ta-


per votre cl prive dans une bote de dialo-
gue.

2. La bote de dialogue PGPKeys saffiche


8. Le message est immdiatement dcrypt. lcran. Slectionnez la cl publique, de la li-
gne :
Cette mthode est trs simple, mais elle exige
-----BEGIN PGP PUBLIC KEY BLOCK-----
que ladresse email que vous utilisez soit pr- la ligne :
sente sur un serveur de cls. Ny mettez pas vo- -----END PGP PUBLIC KEY BLOCK-----
tre vraie adresse, mais utilisez une adresse fac-
3. Avec la souris, tirez la slection dans la bote
tice pour cela. Noubliez pas que votre vraie
de dialogue.
adresse email doit rester confidentielle, et ne
doit pas tre place sur un serveur public !
Vous avez reu la cl publique en email
Cette mthode peut tre ncessaire si vous utili-
sez un logiciel de courrier o PGP ne peut pas
sintgrer, ou si votre correspondant na pas pla-
c sa cl publique sur un serveur.
Supposons que vous avez reu par email la cl 4. La cl de votre correspondant apparat im-
publique dun de vos collgues : mdiatement dans une fentre spare. No-
tez quelle correspond une adresse prcise.
Slectionnez la cl, et cliquez sur Import.

http://www.competencemicro.com
Supplment au manuel Internet scurit d'abord ! 7

5. La cl de votre correspondant est mainte-


nant dans votre trousseau de cl, et vous
pourrez lavenir la rutiliser pour lui en-
voyer de nouveaux messages.

Les autres fonctions de PGP


PGP peut faire encore plus pour vous que chif-
frer et dchiffrer des emails. Avec PGP, vous
pouvez aussi :
Signer des messages,
Crypter des fichiers,
Dtruire des fichiers, cest--dire les effacer
compltement de votre disque, sans possibi-
lit de rcupration,
Nettoyer votre disque.

Conclusion sur PGP


PGP est un produit qui peut accomplir nor-
mment de choses. Il peut non seulement scu-
riser votre courrier (du moins jusqu ce quun
dcryptage soit possible), mais encore assurer
votre disque dur contre les curieux..
Ceci dit, rien nest parfait en matire de scurit,
et vous devrez rester constamment en alerte : les
techniques de dchiffrement progressent, et il
sera possible demain de dcrypter un message
qui est scuris aujourdhui. Il vous faudra alors
vous procurer une version plus avance, qui se-
ra son tour dpass un jour, et ainsi de suite.
PGP a lavantage dtre rgulirement mis
jour, et vous y trouverez toujours des outils uti-
les. La description que jen ai donne dans ce
manuel ne fait queffleurer ses fonctions. Si vous
voulez vraiment entrer dans les dtails de la
cryptographie, tlchargez un manuel et tu-
diez-le tte repose.
Noubliez pas non plus, si vous tes en France,
que la lgislation concernant le chiffrement du
courrier volue pratiquement de mois en mois.

http://www.competencemicro.com
8 Supplment au manuel Internet scurit d'abord !

Le commerce lectronique
Dans un manuel sur la scurit Internet, il tait Le niveau de cryptage est de 128 bits dans les
invitable que nous abordions le sujet du com- dernires versions dInternet Explorer. Dans les
merce lectronique. versions plus anciennes, il peut tre de 40 bits.
LInternet ne cesse de colporter des rumeurs di- Si cest le cas, il est temps de mettre jour votre
verses, dont les plus persistantes veulent que les version dInternet Explorer.
donnes transmises lors des paiements par carte Un cryptage de 128 bits nest pas facile d-
de crdit soient mal scurises et la disposition crypter. Cest possible, mais cela exige des res-
du premier pirate venu. sources considrables, qui cote bien plus cher
Quand vous effectuez un paiement sur le Web, quune transaction de quelques centaines dEu-
vous tes en connexion scurise. Autrement dit, ros.
toutes vos donnes sont cryptes. Vous vous en Les transactions en ligne sont donc trs bien s-
apercevez gnralement quand Internet Explo- curises.
rer vous avertit du passage dun type de con- Cette scurit est-elle parfaite ? NON ! La scu-
nexion lautre : rit parfaite nexiste pas. Cette question recevra
toujours une rponse ngative.
La vraie question est la suivante : payer par
carte de crdit sur Internet comporte-t-il plus de
risque que chez un commerant.
L aussi, la rponse est NON. Vous courez sans
doute plus de risques payer par carte chez un
commerant quen donnant votre numro de
carte sur un site Internet.
Il est dailleurs facile de vrifier le niveau de Chaque fois que vous rglez par carte de crdit
cryptage. Dans Internet Explorer, slectionnez la chez un commerant, il y a une petite chance de
commande ? | A propos de Internet Explorer et vol de votre numro. De mme, vous pouvez
dexaminer le Niveau de cryptage : vous faire agresser dans la rue et vous faire vo-
ler vos cartes.
Les risques de lInternet ne sont pas plus levs.
En fait, si vous prenez des prcautions lmen-
taires, ils sont bien moins levs.

http://www.competencemicro.com