Suivez-nous

Prospective

PGP , la “crypto” personnelle

MacGregor

Publié le

 

Par

image 146 x 252

Le drôle de monsieur barbu que vous apercevez en photo, ce n’est pas Steve Jobs lors d’une Apple Expo, mais c’est l’ex-Ennemi Public N°1 des USA. Mr Phil Zimmermann. Son crime? Vouloir servir la démocratie en protégeant la vie privée des gens grâce au Logiciel gratuit PGP qui permet d’assurer un cryptage efficace des données. On peut être un citoyen honnête et avoir envie de crypter ses messages pour des raisons diverses.

Introduction
C’est un droit et c’est dans cette optique que le logiciel PGP a été créé. Au vu de l’efficacité de ce programme, le gouvernement des USA a eu peur de ne plus pouvoir violer l’intimité des messages échangés sur le Web. Et quand le FBI est inquiet pour la sécurité du pays, il prend des mesures radicales. Phil Zimmermann a longtemps été considéré comme un vulgaire bandit numérique, et non comme un serviteur de la démocratie. Son logiciel interdit à l’exportation, des menaces, la prison a même pointé son nez. Un vrai film d’espionnage digne des James Bond. Mais il a tenu bon, heureusement…
Alors en quoi consiste PGP?
Le cryptage des données est une méthode qui consiste à dissimuler ses données en transformant du texte en clair par un énoncé incompréhensible : un texte dit chiffré. C’est une science mathématique appelée cryptographie qui sert à sécuriser les données lors de leur transfert. Les pirates eux vont plutôt faire de la cryptanalyse (terme technique désignant des procédés peu orthodoxes), en vue de déchiffrer et de casser les clés.

Introduction aux mécanismes de la cryptographie
Le cœur du système se base sur les mathématiques. On utilise un algorithme de cryptographie (ou de chiffrement) qui est associé à une clé (=nombre+lettres+phrases). Avec cette clé on va pouvoir crypter les données sensibles ou personnelles. Cette méthode, où une seule clé sert à crypter/décrypter, est appelée cryptage universel. Maintenant il existe une méthode plus sûre, c’est celle qu’utilise PGP, le cryptage à clé publique. Car dans le cadre du cryptage universel, comment faites-vous passer votre clé à votre correspondant? Par le Net? Vous devez crypter la clé aussi? Pas pratique du tout à l’heure de la mondialisation des échanges…

Donc la solution mise en œuvre par PGP est idéale. Se crée alors une paire de clés (privée/publique), la clé privée se trouve sur votre disque dur (ou autre) alors que la clé publique est en libre consultation sur le réseau. Une personne veut vous écrire, elle code son message à l’aide de la clé publique et vous la décodez grâce à votre clé privée. Et vice-versa. Efficacité maximale. Cela permet d’échanger des messages sans se soucier de devoir transmettre la clé (cryptage conventionnel).

Fonctionnement et spécificités de PGP

Avec ce logiciel, on crypte du texte en clair par compression des données. Dans le même temps on crée sa paire de clés, et on crypte son message à l’aide de sa clé privée. On envoie sur le Net sa clé publique. Les clés créées peuvent avoir plusieurs tailles, plus la clé est longue (mesurée en bits) et plus la sécurité est assurée. Par exemple, une clé de 50 bits, sera plus rapide à casser qu’une clé de 1024 bits. Aujourd’hui, mais pas dans deux ou cinq ans. C’est lié à la puissance de calcul des computers mis sur le marché, et comme c’est un domaine qui va vite… la sécurité d’aujourd’hui ne sera pas la même demain. Donc vous choisissez la longueur de votre clé, mais attention à ne pas être hors-la-loi. En France, vous ne pourrez crypter que sur une base de clés d’une longueur de 128 bits maximale. C’est suffisant me direz-vous, mais à l’avenir il faudra sûrement élargir ce champs d’application. Ne nous plaignons pas car la France depuis peu autorise ce chiffrement, avant on devait s’arrêter à 40 bits… C’est quand même sympa de la part de nos politiques de nous avoir accordé plus. Surtout qu’avant cette loi de 1999, le chiffrement était considéré comme une arme de guerre… 🙂
Donc, en même temps que vous cryptez votre message, un trousseau de clés (publique/privée) s’installe sur votre disque dur. Attention à ne pas perdre la clé privée, car vous ne pourrez plus déchiffrer des messages que l’on vous enverrait cryptés, selon la clé publique correspondante. C’est le prix de la quasi-invulnérabilité de PGP.

Les certificats numériques
PGP offre également la possibilité d’utiliser une "signature numérique". Cela dans le but de pouvoir authentifier l’expéditeur du message ainsi que la validité de la clé employée. Ce sont donc des certificats numériques qui permettent lorsque l’on crypte un message avec une clé publique dont on ne connaît pas "personnellement" le propriétaire, de l’authentifier. On est alors sûr que la clé publique appartient bien à la personne qui l’a émise. Ces certificats sont utilisés lors de l’échange de clés publiques, ils sont déposés avec les clés sur un serveur de certificats, ou encore appelé serveur de clés. Ils possèdent de plus, une durée de validité pour garantir l’appartenance d’une clé publique.

Mot de passe complexe
Le logiciel de Phil Zimmermann utilise, pour créer une clé, un mot de passe complexe. C’est à dire que ce mot de passe est généré de façon aléatoire lorsque vous déplacez votre souris devant l’écran (confère guide PGP Fr) lors de la création de la clé pour crypter vos données. Ce mot de passe comprend alors des lettres, des chiffres, etc. Cela permet dans la pratique de lutter contre la méthode favorite des pirates : l’attaque du mot de passe par la "méthode dictionnaire". C’est une méthode qui consiste à passer en revue tous les mots de la langue présente sur le dictionnaire, pour pouvoir deviner le mot de passe. Exemple : "j’aime le fromage" est moins efficace comme passeword, qu’un mot de passe du type "j5gBBH5ljkofbBGgggg". Seulement ce dernier est un peu plus dur à retenir… même si vous êtes un fan du camembert !

Conclusion
C’est un logiciel très intéressant à utiliser, de plus la philosophie qui est à la genèse de sa création est exemplaire. Le combat mené par ce drôle de "Monsieur de la crypto" est louable, sa volonté de fer a été admirable face aux pressions du pouvoir américain. Il a tenu bon, et aujourd"hui son logiciel est répandu dans le monde entier pour les plateformmes MacOS, Windows, Linux, etc.
Certaines rumeurs parlent de la livraison du code source du logiciel PGP par son créateur, en échange de sa tranquilité et de la diffusion de PGP sans encombre majeur. Peut-être… Mais cela n’enlève rien à la puissance et à la protection qu’offre ce principe de cryptage, dans plusieurs langues et sous plusieurs versions (complètes, internationale, avec PDisk, etc.).
La version qui s’adresse à nos machines est la 6.5.2.a en anglais, et vous devez en même temps télécharger le patch français pour traduire le logiciel. Vous obtenez ainsi PGP 6.5.2a Fr. Pour MacOS, je vous invite à attendre le courant du mois d’août qui va accoucher d’une nouvelle version numérotée 7.0. Cette dernière sera pleinement compatible MacOS 9, et vous pourrez utiliser les raccourcis menus PGP avec Communicator, en plus d’Outlook Express.
Allez donc vite créer votre trousseau de clés pour communiquer sans peur et sans reproche…:-)

Liens utiles
Liens PGP pour aller plus loin…

iPhone 11 vs 11 Pro : quel est le meilleur iPhone ?
Dernière vidéo Abonnez-vous