Chapitre 1: Le cryptage de données
Ce guide est pour Mac (Pour Windows, cliquez ici)
Dans ce chapitre nous ne présenterons qu’un seul logiciel. Celui-ci a fait ses preuves, fonctionne sur Windows, Mac et Linux et est relativement simple d’utilisation. Ce logiciel est Truecrypt. Allons donc le télécharger sur https://truecrypt.ch/downloads/ et sélectionnons la version du programme compatible avec Mac OS X.
ATTENTION : Ne téléchargez pas Truecrypt sur http://www.truecrypt.org qui était le site originel. Le projet Truecrypt a été abandonné par ses créateurs et a été reprit par l’équipe suisse de TCNext : téléchargez la dernière version de Truecrypt (7.1a) sur le site https://truecrypt.ch/downloads/
Double-cliquons sur le fichier fraichement téléchargé et cliquons sur accepter. Dans la nouvelle fenêtre qui s’ouvre, cliquons sur Truecrypt 7.1a.mpkg. Continuer, Installer, Mot de passe, Fermer.
Truecrypt est à présent installé, on peut fermer les diverses fenêtres et glisser le “disque dur” Truecrypt qui est sur le bureau, dans la corbeille.
Ensuite, on ouvre une fenêtre Finder, dans la colonne de gauche on clique sur Applications et on clique sur Truecrypt dans la liste des applications.
Truecrypt est capable de faire plusieurs choses:
– Créer un ‘Conteneur’ crypté dans votre ordinateur. Ceci créera un fichier crypté dont
vous déciderez la taille, etc…
– Crypter une clé USB ou un disque dur portable ou tout autre support amovible.
– Crypter la totalité de votre disque dur (pour les utilisateurs avancés et amoureux du risque, nous ne détaillerons pas la procédure dans cette édition du guide mais vous trouverez facilement des tutoriels en ligne).
Dans ce tutoriel, nous verrons la pratique la plus courante et la plus pratique pour chacun : c’est à dire le cryptage d’un support amovible. Un support amovible est un support que vous pouvez connecter et déconnecter de votre ordinateur, par exemple : une clé usb, un disque dur portable, une carte SD ou micro-SD, etc…
Le tutoriel se pratique de la même façon pour chacun de ses supports. Nous parlerons plus loin de « la clé usb » pour simplifier, mais vous pouvez utiliser n’importe quel support pour ce tutoriel.
1. Préparer le support
La clé usb doit être vide. Si elle ne l’est pas, tout ce qui se trouve dessus sera effacé.
2. Démarrer Truecrypt
Double-cliquons sur l’icône de Truecrypt (dossier applications) pour le démarrer, et cliquons sur « Create Volume » pour commencer la procédure de création de notre volume crypté. Cochons la case Create a volume within a partition/drive, puis “Standard Truecrypt Volume”. On sélectionne enfin le volume (attention à choisir le bon !). Enfin, on laisse coché “Never save history” puis “Next” et “Yes”.
Démarrer Truecrypt
A l’étape suivante il nous sera proposé de choisir un algorythme de cryptage et un algorythme de hash. Nous voilà dans le vif du sujet et quelques explications s’imposent.
3. Qu’est-ce-qu’un algorythme de cryptage ?
Un algorythme de cryptage, en gros, c’est la méthode mathématique que votre ordinateur utilisera pour crypter l’information. Par exemple, un algorythme utilisable pour un humain serait de remplacer chaque lettre par celle qui la suit dans l’alphabet pour écrire ‘BONJOUR’ on écrira plutôt ‘CPOKPVS’. Evidemment, l’ordinateur crypte des quantités beaucoup plus grandes que de simples mots et avec des méthodes mathématiques inutilisables par un cerveau humain. Un algorythme est donc un langage codé utilisé par un ordinateur. Truecrypt nous propose trois algorythmes : AES, Twofish et Serpent. Il nous propose également des « cascades » d’algorythmes. C’est à dire qu’après avoir crypté en AES, il crypte à nouveau en Twofish, etc…
Quelle est la différence entre AES (aussi appellé RSA), Twofish et Serpent ? Lorsque le gouvernement américain a mis à jour ses méthodes de sécurité informatique en 1997, il a organisé un concours visant à trouver un algorythme de cryptage puissant, capable de protéger les secrets gouvernementaux, le gagnant allait devenir le AES (Advanced Encryption Standard). Les trois finalistes étaient RSA, Twofish et Serpent, trois algorythmes remarquablement complexes. C’est RSA qui a gagné le concours. Mais apparement, Twofish était tout aussi puissant et a perdu à cause de sa vitesse plus lente, et Serpent a perdu car il aurait été impossible à décrypter au besoin. Moralité de cette petite histoire (imprégnée de légendes urbaines?) Ces trois algorythmes sont tous les trois extrêmement performants, et vous opterez sans doute pour une cascade des trois. Pas d’inquiétude donc et sélectionnez « votre préféré ».
Note : Le cryptage est un enjeu extrêmement important tant au niveau gouvernemental et répressif qu’au niveau technologique (la plupart des appareils informatiques utilisent le cryptage) qu’au niveau antirépressif. Certaines personnes travaillent quotidiennement à rechercher des failles de sécurité permettant de casser ces algorythmes et de les rendre obsolètes. Si ces méthodes semblent aujourd’hui incassables, celles qui les précédaient l’ont pourtant étées (alors qu’elles étaient elles aussi réputées incassables). C’est pourquoi il peut-être intéressant de s’informer si jamais un de ces algorythmes venait à être brisé. L’algorythme AES étant l’un des plus utilisé au monde, s’il venait à être cassé, de nombreux gouvernements devraient le remplacer par un autre (probablement Twofish ou Serpent). Il faut garder en mémoire que si ces méthodes sont sûres aujourd’hui elles ne le seront pas éternellement.
Dans notre exemple, nous choisirons donc un algorythme en cascade : AES-TWOFISH-SERPENT. Et un Hash Algorythm SHA-512. Précisons que si le cryptage est légal en Belgique il ne l’est pas partout. En France par exemple, il est illégal de crypter un document ou une communication avec un algorythme impossible à décrypter par les autorités !
Cliquons sur Next deux fois pour arriver à l’étape du choix du mot de passe.
4. Le choix du mot de passe
Nous avons déjà vu comment créer un mot de passe au début, mais pour rappel :
– Votre mot de passe doit compter au moins 20 caractères, et contenir lettres minuscules et majuscules, des chiffres et des caractères spéciaux (comme $*^ par exemple). Ce mot de passe ne doit pas contenir de mots existants, de prénoms ou de noms, de dates, etc…
– Dans les cas de Truecrypt et de PGP (comme on le verra au chapitre « Crypter ses e-mails ») il est particulièrement important de bien choisir un mot de passe qui ne sert qu’à ça.
Et voici notre mot de passe : 6tN82_9=w5^J_qXnEdA(
On écrit donc notre mot de passe dans les champs adéquats.
On ne cochera pas la case « use keyfiles » cette fois, mais sachez que cette fonction permet de créer un petit fichier clé que l’on stockera sur une autre clé usb et qui serait nécessaire à l’ouverture de notre clé usb.
A l’étape suivante, on choisira dans la case “Filesystem type” la réponse “FAT”. Puis “Next” à nouveau. Vous pouvez cocher la case “Quick Format” si votre clé USB est neuve, puisque le formatage rapide permettrait une récupération des fichiers auparavant sur la clé USB.
A l’étape suivante, on devra secouer la souris au-dessus de la fenêtre Truecrypt. Pourquoi ? Simplement parce qu’un ordinateur étant une machine ‘logique’ il lui est à peu près impossible de générer de l’aléatoire. Il utilisera donc « l’entropie » (le désordre) générée par notre main humaine pour rendre l’algorythme encore plus complexe.
Après avoir laissé les cases ‘Fat’ et ‘Default’ si on veut stocker des fichiers de moins de 4Gb, et ‘NTFS’ et ‘Default’ dans l’autre cas, on clique sur ‘Format’. Cette action effacera les éventuels fichiers que vous auriez laissé sur votre clé USB.
Voilà, l’odinateur est en train de crypter notre clé. Il ne nous reste plus qu’à patienter le temps que l’opération se termine.
Fin de la procédure.
5. Ouverture de notre clé cryptée
Une fois notre clé cryptée, nous allons voire comment ouvrir celle-ci pour y déposer les fichiers que l’on veut protéger.
Losque la clé usb est insérée dans l’ordinateur, on démarre Truecrypt et on clique sur « Mount all devices » pour ensuite taper notre mot de passe. Laissons les trois cases décochées pour plus de sécurité, et on clique sur OK.
Lorsqu’une fenêtre s’ouvre “Le disque que vous avez inséré n’est pas lisible par cet ordinateur”, cliquez sur “Ignorer”. Puis double-cliquer le le nouveau disque “No Name” qui est disponible sur le bureau. Vous pouvez glisser et déposer vos fichiers dedans (ou dehors).
Ouverture de la clé cryptée
Lorsque vous n’avez plus besoin de votre clé. Retournez à la fenêtre Truecrypt et cliquez sur ‘Dismount All’. Vous pouvez ensuite retirer la clé de votre ordinateur.
Chapitre 2: Crypter ses e-mails
Mise à jour 4 avril 2022 : Attention, depuis 2019 Thunderbird intègre nativement OpenPGP et le développement de l’extension Enigmail a été interrompu. Le procédé est largement simplifié. Nous vous renvoyons donc vers le site de Mozilla pour un guide à jour. Nous laissons ce guide en ligne pour les explications qu’il contient sur le fonctionnement.
Nous voici à un des plus importants chapitres, le cryptage des e-mails. Crypter ses e-mails c’est important : et spécialement si on a ‘rien à se reprocher’.
Crypter ses communications par e-mail c’est :
– Empêcher qu’on lise ses e-mails et protéger sa vie privée, même si on a rien à se reprocher,
– Être solidaire de ceux qui l’utilisent quotidiennement en créant une zone de flou,
– Empécher la lecture de ses e-mails par la répression avec une technique déjà éprouvée par de nombreux militants, dont ceux du Secours Rouge.
Si le cryptage d’e-mails avec GPG/OpenPGP semble être difficile, ce n’est comme bien souvent qu’une impression.
Les logiciels dont nous aurons besoin :
– GPGSuite sur http://www.gpgtools.org/
– Thunderbird : https://www.mozilla.org/fr/thunderbird/
– L’extension Enigmail (mais ne la télécharger pas tout de suite).
Nous pourrions choisir une adresse e-mail chez un fournisseur militant comme Riseup.net. Mais cela ne changera rien : une fois que les e-mails sont cryptés ils sont autant illisibles par Google, Yahoo ou Riseup.
1. Installer GPGSuite
Rendez-vous sur http://www.gpgtools.org/
GPG Suite
On double-clique sur le fichier téléchargé et on procède à l’installation. Lorsqu’une fenêtre vous demande si “Keychain Access peut accéder à vos contacts”, sachez que ce ne sera utilisé que pour mieux automatiser les procédures de cryptage. Mais accepter ou refuser ne changera pas grand chose. Dans notre exemple, nous acceptons. Et GPG Keychain Access s’ouvre et nous propose tout de suite de créer une paire de clés.
Mais qu’est-ce-que c’est qu’une paire de clé GPG ?
Le chiffrement par GPG est appellé « chiffrement assymétrique », mais un dessin valant mieux que des paragraphes d’explication, voici une petite infographie qui expliquera mieux ce qu’est une paire de clé.
Explication du dessin :
Paul veut envoyer un e-mail à Georgette, pour se faire, nos deux protagonistes installent GPG sur leurs ordinateurs, et chacun d’eux crée une paire de clé. Une clé publique et une clé privée chacun.
Paul et Georgette s’échangent auparavant leurs clés publiques qui, elles, peuvent voyager sans être cryptées (mais nous verrons plus tard que ce n’est pas toujours vrai).
Créer une paire de clés GPG
Nous apprenons donc plusieurs choses :
– Les clés publiques servent à crypter,
– Les clés privées servent à décrypter.
– Le cryptage et le décryptage se font sur l’ordinateur même et ne dépendent pas d’internet.
D’autres part, sachez que les clés sont en fait deux petits fichiers texte (se terminant par l’extension ‘.asc’)
Procédons : On rentre un nom (qui peut-être fictif) et l’adresse e-mail que l’on veut utiliser. Laissons la case “Upload key after generation” décochée pour l’instant. Dans le panneau “Advanced” on changera la longueur de clé à “4096” pour rendre la clé encore plus forte.
GPG Keychain Access
On rentre ensuite un mot de passe super compliqué (comme expliqué au début du guide). Pendant que la clé est générée, faites plein d’autres choses sur votre ordinateur (ouvrez photoshop, allez sur youtube, écrivez un roman,… Ce que vous voulez !) cela rendra la clé ENCORE plus forte puisque les ordinateurs ne peuvent pas créer de choses aléatoires sans l’aide d’actions humaines.
Une fois ceci terminé, fermez GPG Keychain Access.
2. Installer Thunderbird
Telecharger Thunderbird depuis www.mozilla.org/fr/thunderbird/ double-cliquez sur le fichier téléchargé et glissez-déposez le logo de Thunderbird sur le dossier “Applications”.
Ceci fait, fermez la petite fenêtre et glissez-déposez le “disque-dur” Thunderbird qui est sur le bureau dans la corbeille. Puis ouvrez Thunderbird qui est dans votre dossier “Applications”. Définissez Thunderbird comme application par défaut pour les e-mails (sauf si vous utilisez d’abord l’application “Mail” de Mac”). A l’ouverture de Thunderbird, cliquez sur “Passer cette étape et utiliser mon adresse existante.
On rentre ensuite nos informations : un nom (ce que vous voulez), l’adresse e-mail que l’on veut utiliser et le mot de passe que l’on utilise pour se connecter à ce compte.
Vous avez à choisir si vous voulez cocher la case « Retenir le mot de passe ». Ne pas la cocher compliquera les choses, mais ce mot de passe est très facile à voler si quelqu’un s’empare de votre ordinateur. Dans notre exemple, on cochera la case, mais sachez que si vos e-mails sont cryptés : même en ayant le mot de passe de la boîte mail on ne peut pas lire les courriers cryptés.
On clique donc sur suivant, et Thunderbird se chargera de remplir les cases à l’étape suivante, si vous utilisez un service plus ou moins mainstream. Sinon, cherchez sur google quels sont les paramètres IMAP de votre fournisseur e-mail.
Il nous propose alors de choisir entre ‘IMAP’ et ‘POP3’.
Un compte IMAP permet de conserver simultanément ses e-mails dans sa boite à mail en ligne ET sur son ordinateur, dans Thunderbird.
Au contraire, un compte POP3 récupérera tous les e-mails sur l’ordinateur que vous utilisez. Ce qui veut dire que si vous voulez utiliser cette adresse sur plusieurs ordinateurs, ou changer d’ordinateur tout en conservant vos e-mails : la tâche est rendue beaucoup plus complexe, voir impossible.
On laisse donc la case IMAP cochée et on clique sur ‘Terminer’.
3. InstallerEnigmail
Se rendre dans le menu “Outils” puis “Modules complémentaires”, rechercher Enigmail, “installer” et “redémarrer maintenant”.
4. Derniers paramètres
Enfin, cliquons sur “Outils”, “Paramètre des comptes” puis dans la colonne de gauche “OpenPGP”. On coche la case “Activer le support OpenPGP (Enigmail) pour cette identité. On coche la case “Chiffrer les e-mails par défaut”.
Toujours dans le même menu, on se rend dans l’onglet “Rédaction et adressage” dans la colonne de gauche” et on décoche la case “Rédiger les messages en HTML”.
Cliquez enfin sur OK.
5. Partager les clés publiques
Comme nous l’avons dit auparavant, nos contacts ont besoin de notre clé publique et nous avons besoin des leurs pour communiquer en GPG. Pour obtenir votre clé publique, ouvrez à nouveau “GPG Keychain Access” (via la recherche du finder). Séléctionnez votre clé dans la liste et cliquez sur “Exporter” en lui donnant le nom que vous souhaiter et en l’enregistrant dans un dossier facile à retrouver. Par exemple “Bureau”. Une fois ce fichier obtenu, on peut l’envoyer par e-mail à un ami, la donner via une clé usb, l’héberger sur son site web, etc…
Partage de clés publiques
6. Importer une clé publique
Lorsque l’on reçoit une clé publique d’un ami. On enregistre le fichier (sur le bureau par exemple). Puis on ouvre GPG Keychain Access, on clique sur importer, on sélectionne le fichier, et voilà !
Importer une clé publique
7. Premier e-mail
Retour à Thunderbird, cliquons sur écrire (en haut à gauche). Tout d’abord, comme nous avons activé le chiffrement automatique de nos e-mails, si on veut envoyer un e-mail pas chiffré, on devra désactiver le chiffrement comme ceci :
Ecrire un mail crypté
Ensuite, lorsque l’on veut envoyer un e-mail chiffré cette fois, tout est automatique !
Ecrire un mail crypté
8. Pièces-jointes cryptées
Lorsque l’on veut enregistrer une pièce-jointe cryptée, on double-clique (ou ctrl + click) sur la pièce-jointe et “Déchiffrer et enregistrer-sous”.
Crypter une pièce jointe