 Filière : RESEAU INFORMATIQUE

Thème : IMPLEMANTATION
OPENPGP
Présente par :
Adel ABDOURAHMAN AHMED…………………………...

Encadre par :

Madame : hawa ali omar……………………………

Date : 17/06/2018 ANNEE SCOLAIRE 2018/2019

1
 Sommaire

Introduction
I. Generalite……………………………………………………..
1. Notion de cryptage……………………………………………
2. Mécanismes de la cryptographie…………………………..

II. Histoire…………………………………………………………
III. Fonctionnement du PGP………………………………..
1. Chiffrement de PGP…………………………………..
2. Clés………………………………………………………
3. Signature Numérique…………………………………
4. Fonctions de Hachage……………………………….
5. Les certificats Numérique…………………………...
6. Les niveaux de Confiance…………………………...

IV. Faille de PGP…………………………………………………

Conclusion…………………………………………………
Bibliographique…………………………………………………

2
Introduction
Le problème de sécurité ne se posait pas, lorsque les entreprises et les
universités n’avaient qu’un seul centre d’ordinateurs. Il suffisait de placer un
garde à l’entrée de la salle, ainsi surveille les allé et les retours de chaque
personne. Maintenant avec la venue des réseaux, l’emploi des liaisons
satellites et l’utilisation de l’Internet, la situation a radicalement changé, dans
la mesure où un même message transite par plusieurs machines avant
d’atteindre son destinataire. A chaque étape, il peut être copié, perdu ou
altéré. Le cryptage (sécurité des données) est donc nécessaire pour que les
données soit non-intelligibles sauf à l’auditoire voulu.
Dans cette communication, on va étudier le système PGP (Pretty Good
Privacy) utilisé par la communauté d’Internet, PGP est un l’algorithme à clé
mixte ou hybride qui est constitué de deux Algorithmes de types différents, l’un
à clé publique RSA et l’autre à clé secrète IDEA, combinés de façon à
exploiter les avantages du premier algorithme pour minimiser les
inconvénients du deuxième, afin de mieux sécuriser l’information émise

Dans un premier temps, nous retracerons l'histoire de PGP depuis sa création.

Puis, nous nous attacherons aux aspects strictement techniques de son
fonctionnement,

3
Présentation
PGP (Pretty Good Privacy) est un programme de cryptage créé par Philip
Zimmermann. La première version de PGP date de 1991. Il est très
rapidement devenu l'un des crypto systèmes les plus populaires du monde. La
version la plus récente PGP 9.0 est distribuée par la PGP Corporation et peut
être trouvée sur le site www.pgp.com. PGP offre toutes les fonctionnalités d'un
crypto système complet : cryptage, décryptage, signature, certificat. Aux yeux
des utilisateurs, il fonctionne comme un crypto système à clefs publiques alors
qu’il s’agit d’un crypto système hybride.
ce qui nous conduira à quelques rappels lapidaires sur les principaux types de
crypto systèmes. Enfin, dans une partie plus orientée vers la pratique, nous
montrerons comment utiliser concrètement les fonctionnalités offertes par
PGP au travers d'exemples utilisant GPG, une implémentation gratuite d'Open
PGP, le standard de PGP

I. Generalites

1) Notion de cryptage
Les données lisibles et compréhensibles sans intervention spécifique sont
considérées comme du texte en clair. La méthode permettant de dissimuler du
texte en clair en masquant son contenu est appelée le cryptage. Le cryptage
consiste à transformer un texte normal (plaintext) en charabia inintelligible
appelé texte chiffré. Cette opération permet de s'assurer que seules les
personnes auxquelles les informations sont destinées pourront y accéder. Le
processus inverse de transformation du texte chiffré vers le texte d'origine est
appelé le décryptage.

2) Mécanismes de la cryptographie

Un algorithme de cryptographie ou un chiffrement est une fonction

mathématique utilisée lors du processus de cryptage et de décryptage. Cet
algorithme est associé à une clé (un mot, un nombre ou une phrase), afin de
crypter le texte en clair. Avec des clés différentes, le résultat du cryptage
variera également. La sécurité des données cryptées repose entièrement sur
deux éléments : l'invulnérabilité de l'algorithme de cryptographie et la
confidentialité de la clé.

Un système de cryptographie est constitué d'un algorithme de cryptographie,

ainsi que de toutes les clés et tous les protocoles nécessaires à son
fonctionnement. PGP est un système de cryptographie

4
II. Histoire
L'histoire de PGP est très complexe et les sources, bien que nombreuses,
apparaissent souvent incomplètes, voire contradictoires. Toutefois 1983,
quatre ans après la création de l'algorithme RSA (Rivest Shamir Adeleman),
est considérée comme le point de départ de PGP.
L’informaticien Charlie Merrit, qui travaille sur une implémentation de RSA,
prend contact avec Philip Zimmermann et lui demande d'effectuer des
recherches concernant la possibilité d'implémenter RSA pour des ordinateurs
privés. Charlie Meritt présente alors Philipp Zimmermann à Jim Bidzos le
président de RSA Data Security. On sait peu de chose de cet entretien mais
on peut affirmer qu'il fut primordial pour l'avenir de PGP : Zimmermann
prétend que lors de cette réunion, Bidzos lui offrit des licences gratuites sur
l'utilisation de l'algorithme RSA. Lorsque la première version de PGP est
achevée, Zimmermann contact Bidzos pour obtenir ces licences mais ce
dernier refuse, prétextant que celles-ci vont à l'encontre de la politique de la
société. Zimmermann se retrouve confronté à un grave problème. Son logiciel
utilise l'algorithme RSA alors qu’il n'en a pas obtenu les droits commerciaux.
De plus, peu de temps après ce refus de Bidzos, le sénat des Etats-Unis vote
une loi anti-criminalité obligeant tout fabricant de crypto système à inclure
dans son produit une "porte dérobée" c'est-à-dire un moyen pour le
gouvernement de retrouver de façon systématique le texte en clair depuis un
texte crypté. Zimmermann, qui se refuse à ajouter une porte dérobée à PGP,
se retrouve confronté à une double difficulté : un litige financier avec RSA
Data Security et un risque imminent de voir son produit devenir illégal. Il
s'empresse ainsi de mettre PGP à disposition du public en l'offrant en libre
téléchargement sur son site Internet. La première version publiquement
connue de PGP (1.0) voit le jour en 1991.
Bidzos menace alors Zimmermann de poursuites judiciaires et ce dernier
accepte de ne plus mettre PGP à disposition du public tant qu'il n'a pas obtenu
explicitement l'accord de RSA Data Security. Cette décision arrive trop tard,
PGP a déjà fait son chemin sur internet.
L'algorithme original de PGP ( appelé Bass-O-Matic) développé par
Zimmermann lui-même présente des défauts de sécurité et est rapidement
abandonné au profit d'un autre algorithme développé en Suisse et connu sous
le nom d'IDEA (International Data Encryption Algorithm) qui est inclus dès la
version 2.0 de PGP.
En 1993, le gouvernement des Etats-Unis d'Amérique lance des poursuites
judiciaires contre Zimmermann pour une violation des restrictions liées à
l'export des produits cryptographiques, PGP pouvant être téléchargé librement
partout dans le monde.
Après trois ans d'enquête, l'investigation est abandonnée sans que le
gouvernement n'en explique le motif.
Dans le même temps, Zimmermann, qui cherche à rendre PGP légitime, fonde
la société Viacrypt et produit Viacrypt PGP qui devient la première version
légale de PGP. Afin de compenser le prix des licences RSA il est vendu aux

5
alentours de 150 $ US. Toutefois, une version gratuite de PGP pour usage
non commercial est systématiquement mise à disposition par Viacrypt.
En 1996, la société PGP Inc. est créée et absorbe Viacrypt.
En janvier 1998 c'est au tour de Network Associates d'acquérir PGP Inc. Mais
ceux-ci rompent avec la tradition de PGP voulant que le code source soit mis
à disposition du public afin qu’il puisse s'assurer de la qualité du produit et de
l'absence de portes dérobées dans le logiciel.
En 1998 est proposé un standard de l'IETF (Internet Engineering Task Force)
nommé Open-PGP et décrit dans la RFC 2440. Il décrit les formats des
messages, signatures ou clefs, qui peuvent être envoyés par des programmes
cryptosystèmes en se basant sur PGP.
On peut désormais considérer que PGP implémente cette norme tout en
offrant des fonctionnalités supplémentaires. Mais également, que d'autres
logiciels peuvent dès lors implémenter la même norme que PGP et ce,
gratuitement, à condition ne pas utiliser d'algorithme breveté payant.
En 2002, Network Associates vend ses activités dans PGP à PGP Corporation
qui, la même année, rend de nouveau le code source de PGP accessible pour
des revues par les pairs.
En 2006, PGP Corporation est toujours propriétaire de PGP, et la version
actuelle PGP 9.0 n'a plus beaucoup de points communs avec PGP 1.0. D'un
système de cryptage en ligne de commande offrant peu de possibilités, PGP
est devenu une offre logicielle complexe. Elle se compose toujours du logiciel
mais il est désormais muni d'une interface graphique avancée et de diverses
possibilités telles que le cryptage de disque dur, de mails via des plug-ins pour
les différents clients de messagerie etc. Des bibliothèques de fonctions sont
également vendues et permettent d'incorporer les fonctionnalités de PGP au
sein des développements logiciels.

6
III. Fonctionnement du PGP

PGP étant une technique de chiffrement hybride basée sur le chiffrement

symétrique et le chiffrement asymétrique, un brève rappel de ces notions est
nécessaire.

1) Le chiffrement symétrique (ou chiffrement à clefs

privées)
Le chiffrement symétrique consiste à utiliser la même clef pour chiffrer et
déchiffrer un message.

Schéma 1 : Chiffrement symétrique

Son principal inconvénient réside dans l'échange des clefs qui doit s’exécuter
via un canal sécurisé (ex : de la main à la main sur une disquette)

2) Le chiffrement asymétrique (ou chiffrement à clefs

publiques)
Les chiffrements asymétriques utilisent un système de paires de clefs (des bi-
clefs). L'utilisateur génère une clef aléatoire dite clef privée qu'il est seul à
connaître. De cette clef est déduite la seconde, appelée clef publique, que
l'utilisateur distribue par exemple via un serveur de clefs.
L’expéditeur qui souhaite envoyer un message chiffré au destinataire doit
récupère la clef publique du destinataire sur le serveur. Puis il chiffre le
document avec cette clef comparable à un cadenas. Lorsque le destinataire

7
reçoit le document, il le déchiffre grâce à sa clef privée, la seule clef capable
d’ouvrir le cadenas.

Schéma 2 : Chiffrement asymétrique

1) Chiffrement de PGP
Le PGP est un algorithme de chiffrement à destination des particuliers. Il est
surtout utilisé pour chiffrer des messages envoyés par courrier électronique,
même s'il peut aussi être utilisé pour chiffrer tous les fichiers.

Il fonctionne suivant le principe suivant :

1. Compression : le texte à envoyer est compressé. Cette étape permet de
réduire le temps de transmission des données, et améliore également la
sécurité. En effet, la compression détruit les modèles du texte (fréquences des
lettres, mots répétés). Et on sait que ces modèles sont souvent utilisés dans
les analyses cryptographiques.
2. Chiffrement du message : une clé de session (public) aléatoire est
générée, et le message est chiffré par un algorithme symétrique à l'aide d'une
clé de session. L'algorithme utilisé a varié au cours du temps : il s'agissait au
début d'IDEA, puis de CAST.
3. Chiffrement de la clé de session : la clé de session est chiffrée en
utilisant la clé publique du Destinataire (et l'algorithme RSA).
4. Envoi et réception du message : l'expéditeur envoie le couple message
chiffré / clé de session chiffrée au Destinataire. Celui récupère d'abord la clé
de session, en utilisant sa clé privée, puis il déchiffre le message grâce à la clé
de session.
8
Avec PGP, il devient possible de vérifier si un message provient bien de
l'origine (via les signatures cryptographiques), ainsi que de chiffrer des
messages afin qu'un seul destinataire puisse les lire. En bref, chaque
utilisateur crée une paire de clés de chiffrement asymétriques (une publique,
l'autre privée), et distribue la clé publique. Les signatures effectuées avec la
clé privée peuvent être vérifiées en utilisant la clé publique correspondante et
les messages chiffrés utilisant la clé publique sont déchiffrables en utilisant la
clé privée correspondante.

Le système de PGP est un système hybride que l'on peut classer dans les
systèmes « à clef de session », c'est-à-dire un système qui utilise à la fois le
principe du chiffrement à clef privée et le principe du chiffrement à clef
publique.

Exemple :

Considérons les différentes étapes du transfert d'un message crypté avec

PGP de l'expéditeur X vers le destinataire Y.

(i) X doit envoyer le message crypté à Y.

(ii) Y crée une paire de clefs via l'algorithme RSA. Il transmet sa clef publique
à X.

(iii) X saisit le texte en clair à envoyer. Ce texte est tout d'abord compressé ce
qui offre un double avantage :

- la taille des données à transférer est réduite ;

- les risques de décryptage sont minimisés (la plupart des techniques de

cryptanalyse se basent sur le texte en clair obtenu. Si le texte obtenu est un
texte compressé, il est, par exemple, plus difficile de calculer la probabilité de
retrouver telle ou telle lettre).

Il faut noter que la compression n'est pas systématique. Si le taux de

compression d'un fichier n'est pas satisfaisant ou si le fichier est trop petit,
cette étape n'est pas réalisée.

(iv) Puis, X crée aléatoirement une clef secrète IDEA. (Nous reviendrons sur
les clefs IDEA dans la partie pratique). L'expéditeur chiffre le texte avec cette
clef IDEA. Le texte ainsi chiffré pourra être déchiffré avec la même clef. Dans
PGP, le message est alors crypté selon un système symétrique (à clef
secrète).
9
(v) Le destinataire Y ne connaissant pas cette clef, elle va lui être envoyée
avec le message crypté. Toutefois pour éviter qu'elle soit interceptée, la clef
sera également cryptée à l'aide de la clef publique de Y. La clef privée IDEA
est cryptée avec la clef publique de Y selon un système asymétrique (à clef
publique).

Finalement, le résultat obtenu contient :

- le texte chiffré avec la clef IDEA ;

- la clef IDEA chiffrée avec la clef publique RSA du destinataire.

À réception du message, le destinataire utilise sa clef privée RSA pour

retrouver la valeur de la clef IDEA. Il utilise la clef obtenue pour déchiffrer le
message reçu.

Schéma 3 : Chiffrement hybride de PGP

PGP possède plusieurs avantages :

 la rapidité : le message est chiffré par un cryptage symétrique. La clef

IDEA est chiffrée de façon asymétrique. Toutefois le volume de données
que représente cette clef est négligeable par rapport au volume de
données que représente le message. Par conséquent, le temps de
chiffrage global est proche de celui d'un système symétrique ;
 une plus haute sécurité qu'un système à clef symétrique. En effet, si l'on
peut considérer que le niveau de sécurité du système PGP est celui de
son maillon le plus faible - le système à clef privée servant à coder le
message - il faut toutefois nuancer cette conclusion. Dans un système à
10
 clef privée standard, le canal d'échange de la clef est le point faible du
système. Si l'on désire changer de clef afin de minimiser les risques,
cela nécessite de définir un moyen d'échanger cette nouvelle clef,
opération difficile à mettre en pratique. Dans PGP en revanche, la clef
utilisée pour coder le message est nouvelle pour chaque message. Ce
qui implique que pour effectuer une attaque il est nécessaire de casser
au choix :
 autant de clefs privées que de messages,

 le système de clefs RSA, ce qui rend finalement PGP plus résistant

qu'un système à clef privée classique.-B. AUTRES

2) Clés
Une clé est une valeur utilisée dans un algorithme de cryptographie, afin de
générer un texte chiffré. Les clés sont en réalité des nombres extrêmement
importants. La taille d'une clé se mesure en bits et le nombre correspondant à
une clé de 1 024 bits est gigantesque. Dans la cryptographie de clé publique,
plus la clé est grande, plus la sécurité du texte chiffré est élevée.

Plus la clé est grande, plus sa durée de sécurisation est élevée. Si les
informations que vous souhaitez crypter doivent rester confidentielles pendant
plusieurs années, vous pouvez utiliser une clé correspondant à un nombre de
bits extrêmement élevé. Qui sait combien de temps sera nécessaire pour
deviner votre clé avec la technologie de demain ? Il fut un temps où une clé
symétrique de 56 bits était considérée comme extrêmement sûre.

Les clés sont stockées sous forme cryptée. PGP conserve les clés sur votre
disque dur, dans deux fichiers : l'un est destiné aux clés publiques, l'autre aux
clés privées. Ces fichiers s'appellent des trousseaux de clés. Lors de
l'utilisation de PGP, vous devez généralement ajouter les clés publiques de
vos destinataires sur votre trousseau de clés publiques. Vos clés privées sont
stockées sur votre trousseau de clés privées. En cas de perte de votre
trousseau de clés privées, il vous sera impossible de décrypter les
informations cryptées vers les clés de ce trousseau.

NCTIONNALITÉS DE

3) Signatures numériques
L'un des principaux avantages de la cryptographie de clé publique est qu'elle
offre une méthode d'utilisation des signatures numériques. Celles-ci
permettent au destinataire de vérifier leur authenticité, leur origine, mais
également de s'assurer qu'elles sont intactes. Ainsi, les signatures numériques
de clé publique garantissent l'authentification et l'intégrité des données. Elles
fournissent également une fonctionnalité de non répudiation, afin d'éviter que

11
l'expéditeur ne prétende qu'il n'a pas envoyé les informations. Ces fonctions
jouent un rôle tout aussi important pour la cryptographie que la confidentialité,
sinon plus.

Une signature numérique a la même utilité qu'une signature manuscrite.

Cependant, une signature manuscrite peut être facilement imitée, alors qu'une
signature numérique est pratiquement infalsifiable. De plus, elle atteste du
contenu des informations, ainsi que de l'identification du signataire.

Certaines personnes privilégient l'utilisation des signatures par rapport au

cryptage. Par exemple, qu'une personne sache que vous venez de déposer 5
000,00 FF sur votre compte vous importe peu. Cependant, vous voulez être
certain d'avoir eu affaire à un caissier.

La Figure 6 illustre la méthode de création des signatures numériques. Plutôt

que de crypter des informations avec la clé publique d'un autre utilisateur,
cryptez-les avec votre clé privée. Si des informations peuvent être décryptées
avec votre clé publique, c'est vous qui devez les avoir créées.

4) Fonctions de hachage
Le système décrit précédemment comporte certains problèmes. Il est lent et
produit un volume important de données (au moins le double de la taille des
informations d'origine). L'ajout d'une fonction de hachage à sens unique dans
le processus permet d'améliorer le schéma ci-dessus. Cette fonction traite une
entrée de longueur variable (dans ce cas, un message pouvant contenir
indifféremment des milliers ou des millions de bits), afin d'obtenir en sortie un
élément de longueur fixe, à savoir 160 bits. En cas de modification des
données (même d'un seul bit), la fonction de hachage garantit la production
d'une valeur de sortie complètement différente.

12
PGP applique au texte en clair signé par l'utilisateur une fonction de hachage
évoluée, qui génère un élément de données à longueur définie,
appelé résumé de message. En outre, toute modification apportée aux
informations entraîne un résumé complètement différent.

PGP utilise ensuite le résumé et la clé privée pour créer la « signature ». PGP
transmet en même temps la signature et le texte en clair. A réception du
message, le destinataire utilise PGP pour traiter à nouveau le message
informatiquement, vérifiant ainsi la signature. PGP peut crypter ou non le texte
en clair. La signature du texte en clair est utile si certains utilisateurs ne
souhaitent pas ou ne peuvent pas vérifier la signature.

Si une fonction de hachage sécurisée est utilisée, il est impossible de

récupérer la signature d'un document pour la joindre à un autre document ou
d'altérer un message signé. La moindre modification apportée à un document
signé entraîne l'échec du processus de vérification de la signature numérique.

Figure 7. Signatures numériques sécurisées

Les signatures numériques jouent un rôle majeur dans l'authentification et

la validation des clés d'autres utilisateurs PGP.

13
 5) Les certificats Numériques

Rappelons que l'un des points clefs des crypto systèmes est la vigilance
que l'utilisateur apporte à la vérification de l'appartenance de la clef au
bon propriétaire.

Ces systèmes sont en effet sensibles aux attaques dites de 'l'homme au

milieu' qui consiste pour l'attaquant à créer une clef qu'il fait passer pour la clef
d’une autre personne, s'accordant ainsi la possibilité de lire tous les messages
sensément destinés à la personne dont il a usurpée l'identité. Pour éviter cela,
on crée des certificats numériques certificats simplifient, dont le but est
d'apporter la preuve de la validité d'une clef et de son appartenance à un
propriétaire donné.
Ces certificats peuvent être considérés comme les cartes d'identité des clefs
et se composent de trois parties :

 la clef publique pour laquelle le certificat est généré,

 des informations sur le détenteur de la clef (nom d'utilisateur, mails etc.)

et sur le certificat lui-même (durée de validité …),

 d'une ou plusieurs signatures de personnes attestant de la validité de

ces informations et de la clef.

En règle générale, une autorité appelée « autorité de certification » est seule

habilitée à produire des certificats et les signer à l'aide de sa clef privée. Dans
PGP, le système retenu pour les certifications numériques ne se base pas sur
une autorité de certification centralisée mais sur un système de confiance.
Il est possible à chaque personne de signer de sa clef privée un certificat.
Contrairement à un système centralisé, un certificat PGP pourra contenir une
multitude de signatures numériques.
Le format d'un certificat PGP comprend entre autres les informations suivantes
:

 Le numéro de la version de PGP utilisée pour créer la clef associée à ce

certificat

 La clef publique sur laquelle porte ce certificat ainsi que l'algorithme

employé pour la générer

 Des informations sur le propriétaire de cette clef (nom, mail, nom

d'utilisateur etc.)

14
  La signature numérique du propriétaire effectuée à l'aide de la clef
privée qui correspond à la clef publique du certificat

 La période de période de validité du certificat

 Les éventuelles signatures effectuées par d'autres utilisateurs.

PGP reconnaît également les certificats X. 509. Il est possible de produire ses
propres certificats PGP. Pour les certificats X. 509, il faut effectuer la demande
auprès d'une autorité de certification. La structure des certificats est
normalisée par le standard X.509v3 de l' HYPERLINK "http://www.itu.int" UIT
(Union Internationale des Télécommunications).

6) Les niveaux de confiance

Avec le système des certificats à signatures multiples se pose le problème de

déterminer si les signatures apportées aux certificats sont dignes de
confiance. Pour pallier cet inconvénient, un système basé sur les niveaux de
confiance et de validité est mis en place.
De base, il existe dans PGP trois niveaux de validité :

 valide,

 semi – valide,

 invalide,

Ainsi que trois niveaux de confiance :

 confiance totale,

 confiance moyenne,

 aucune confiance.

Lorsque l’utilisateur génère sa paire de clef dans PGP, celle-ci se voit

implicitement attribuer les niveaux maximums pour ces deux domaines.
Considérons maintenant que l’utilisateur importe la clef de X dans son
système. Il valide la clef de X en signant son certificat et lui accorde une
confiance maximum.
La clef de X à désormais valeur d'autorité de certification dans le système
ainsi lorsqu’une clef signée par X est importée, elle sera considérée comme
valide dans le système.

15
Si, désormais, une confiance moyenne est accordée à X et Y et que
l’utilisateur importe une clef, deux cas de figure se présentent :

 si la clef est seulement signée par X ou Y, elle ne sera pas valide dans
le système

 si la clef est signée par X et Y, elle sera valide.

En résumé, pour qu'une clef soit validée dans le système PGP de l’utilisateur,
elle devra avoir reçu soit :

 la signature de ce dernier,

 la signature d'une clef à laquelle une confiance totale aura été accordée,

 la signature d'au moins deux clefs auxquelles une confiance moyenne

aura été apportée.

Les signatures effectuées par des clefs qui ont le niveau de confiance 'Aucune
Confiance' ne sont tout simplement pas prises en compte.

IV. Faille de PGP

Une faille de sécurité avec le cryptage des e-mails semble avoir laissé une
petite ouverture aux pirates pour lire vos messages privés.

La vulnérabilité, que des chercheurs européens ont appelée Efail ,

ne viole pas les normes de chiffrement du courrier électronique comme Pretty
Good Privacy (PGP), mais tire parti d’une faille de la façon dont les clients de
messagerie lisent les codes HTML. Alors que les courriers électroniques
cryptés gardent vos messages secrets, les clients de messagerie visualisent le
contenu HTML - par exemple, des images ou des hyperliens - et les traduisent
en texte brut, même s'ils contiennent du contenu crypté. La faille de sécurité
permet aux hackers potentiels d’utiliser cet élément pour exposer les normes
de cryptage de messagerie les plus courantes, ont déclaré les chercheurs.

Sebastian Schinzel, chercheur principal sur Efail et professeur de sécurité

informatique à l'Université des sciences appliquées de Münster, a déclaré sur
Twitter qu'il n'y avait " actuellement aucune solution fiable pour la
vulnérabilité ".

16
Cette vulnérabilité nécessite plusieurs étapes pour permettre à un attaquant
d'intercepter des e-mails cryptés, mais révèle une fissure dans l'armure de
PGP. L’attaquant devrait d’abord avoir accès aux courriers électroniques
cryptés, ce qui signifie que le compte de la victime doit être compromis comme
point de départ.

Ils devraient ensuite renvoyé le contenu de cet e-mail crypté à son propriétaire
- la victime - de manière soigneusement conçue pour faire en sorte que les
clients de messagerie considèrent le code HTML. Cela doit être fait en trois
courriels, le premier ouvrant la balise HTML, le second contenant le message
chiffré et le troisième fermant la balise HTML.

Ainsi, des clients comme Apple Mail, iOS Mail et Mozilla Thunderbird
afficheraient les courriers électroniques au format HTML au lieu d'un message
crypté, et les afficheraient sous la forme d'un courrier électronique en texte
clair au lieu de trois messages hachés.

«C’est un grand nombre d’étapes, et c’est franchement une hypothèse plus

dangereuse que dangereuse», a déclaré Dave Kennedy, directeur général de
la société de sécurité TrustedSec.

L’attaque fonctionne aussi bien pour les courriels chiffrés archivés que pour
les messages récents.

Les chercheurs recommandent de désactiver le rendu HTML dans votre client

de messagerie pour empêcher le déchiffrement de vos messages
PGP. La Electronique Frontière Fondation a recommandé que les gens
arrêtent temporairement en utilisant des plugins de messagerie PGP, et
utiliser des plates - formes à base non électroniques comme signal pour
les messages cryptés.

17
L’attaque fonctionne en exploitant la façon dont les clients de messagerie
lisent le code HTML

18
Conclusion

Après l’analyse de fonctionnement de PGP, on peut dire qu’il est rapide,

simple d’accès, sûr et inattaquable (du moins inattaquée jusqu’à présent).
De plus certains aspects de PGP sont très intéressants, comme par exemple
sa gestion des clés distribuées. En effet, les utilisateurs peuvent engendrer et
distribuer leurs propres clés publiques.
Ils peuvent aussi signer les clés des autres, ajoutant ainsi un niveau de
confiance dans le système.

19
 REMERCIEMENTS
Je tiens à remercier toutes les personnes qui ont contribué au succès de mon
projet et qui m'ont aidé lors de la rédaction de ce rapport.

Tout d'abord, j'adresse mes remerciements à mon professeur, Madame Hawa

de l'Université EMCG qui m'a beaucoup aidé dans ma recherche de mon
rapport. Son écoute et ses conseils m'ont permis d’élargir mes connaissances
dans le domaine informatique, et de trouver ce dont j’en ai besoin pour rédige
ce projet.
Je remercie également toute mes connaissances pour leur accueil, leur esprit
d'équipe et pour leur soutien, qui m'a beaucoup aidé à comprendre les
problématiques de mon projet tutoriel...

Enfin, je tiens à remercier toutes les personnes qui m'ont conseillé et relu lors
de la rédaction de ce projet tutoriel : ma famille, mes amie camarade de
promotion.

20
Bibliographie

https://fr.wikipedia.org/wiki/Pretty_Good_Privacy

http://laurent.flaum.biz/pgpintrofr.htm

ftp://ftp
developpez.com/mbourgeois/articles/securite/pgp/initiation_a_pgp.pdf

http://mathweb.free.fr/crypto/moderne/pgp.php3

21