Comment envoyer des e-mails privés

Comment envoyer des e-mails privés et cryptés ?

Le courrier électronique n'est ni confidentiel ni sécurisé.
Il n'a pas été conçu dans un souci de confidentialité ou de sécurité.

Toute personne qui intercepte votre e-mail pendant son acheminement peut le lire,
qu'il s'agisse de votre FAI, d'un pirate informatique ou de la NSA (Agence nationale de sécurité américaine).

Résumé :

• Confidentialité des e-mails : ce qu'il en est aujourd'hui
• sur le plan « juridique »
• du côté « illégal »
  
  
• Confidentialité des e-mails : les défis
• Anonymat et confidentialité
• Chiffrement de bout en bout
  
  
• Confidentialité des e-mails : les solutions
• < technical >  Pretty Good Privacy - also known as PGP
• < technical >  How to use PGP encryption
• < easy >  Alternatives to PGP encryption

que se passe-t-il aujourd'hui ?

sur le plan « juridique »

« La valeur d’une information ne se révèle que lorsqu’on peut la relier
à une autre information qui apparaîtra plus tard.
Comme on ne peut pas relier des points qui n’existent pas, cela nous pousse à adopter une attitude
qui consiste fondamentalement à tout collecter et à tout conserver indéfiniment. »

• - Gus Hunt, de la CIA, s'exprime sur le Big Data dans The Huffington Post
• - Gus Hunt, de la CIA, parle du Big Data, sur YouTube

« Ils ont dit que ce n’étaient que des métadonnées, juste des métadonnées, […]
avec qui vous communiquez, quand vous communiquez avec eux, où vous avez voyagé.
Ce sont tous des événements liés aux métadonnées.
PRISM concerne le contenu. […] Ils peuvent tous le voir parce qu’il n’est pas crypté. »

• - Edward Snowden - TED 2014

Des dizaines d'études psychologiques démontrent
que lorsqu'une personne sait qu'elle est susceptible d'être surveillée,
son comportement devient nettement plus conformiste et docile.
[…] la surveillance de masse crée une prison mentale […]

• - Glenn Greenwald - TEDGlobal 2014

du côté « illégal »

Les escrocs peuvent également utiliser des logiciels malveillants pour s'infiltrer dans le réseau informatique d'une entreprise
et accéder aux échanges d'e-mails concernant des questions financières.

• - Centre de ressources sur la fraude - Usurpation d'identité par e-mail professionnel

La fraude par e-mail d'entreprise (BEC) — également appelée « compromission de compte de messagerie » (EAC)
— est l'un des délits en ligne les plus coûteux sur le plan financier.
Dans le cadre d'une escroquerie de type BEC, les criminels envoient un e-mail qui semble provenir d'une source connue
et formulent une demande légitime […]

• - Escroqueries et sécurité - Usurpation d'identité par e-mail professionnel

Retour en haut de la page

les défis

Anonymat et confidentialité

L'anonymat est différent de la confidentialité
[…] nous cryptons les messages
de sorte que même si quelqu'un voit que nous avons envoyé un message
il ne puisse pas en lire le contenu
mais parfois, nous ne voulons même pas que l'on sache que nous avons envoyé un message

• - Comment fonctionne TOR - Computerphile

Il est difficile de préserver son anonymat sur Internet.
Cela nécessite une connaissance approfondie des outils que vous choisissez d'utiliser.

Ce guide vous donnera peut-être une idée de sa complexité :
Fournisseurs de messagerie privés

Il est plus facile d'obtenir la confidentialité.

Même si vous n'avez rien à cacher, le recours au chiffrement
contribue à protéger la vie privée de vos interlocuteurs
et complique la tâche des systèmes de surveillance de masse.

Si vous avez quelque chose d'important à cacher, vous n'êtes pas le seul ;
ce sont les mêmes outils que ceux utilisés par les lanceurs d'alerte pour protéger leur identité
tout en mettant en lumière les violations des droits de l'homme, la corruption et d'autres crimes.

La première étape essentielle consiste à vous protéger
et à compliquer autant que possible la surveillance de vos communications.

• - L'autodéfense par e-mail : un guide pour lutter contre la surveillance grâce au chiffrement GnuPG

Chiffrement de bout en bout

Le chiffrement de bout en bout (e2ee) des e-mails permet de garantir
que seuls l'expéditeur et les destinataires d'un message puissent en lire le contenu.

Sans cette protection, les administrateurs réseau,
les fournisseurs de messagerie électronique et les organismes publics peuvent facilement lire vos messages.

La mise en place d'un chiffrement de bout en bout (e2ee) exige une grande vigilance tant de la part de l'expéditeur que des destinataires.
Une seule erreur de la part de l'une des parties concernées peut suffire à compromettre la sécurité du chiffrement de bout en bout.

Les métadonnées des e-mails, telles que l'adresse e-mail de l'expéditeur, celle du destinataire, la date et l'heure, ne peuvent pas être protégées par le chiffrement de bout en bout (e2ee).
L'objet de l'e-mail peut également rester non protégé et facilement lisible, même lorsque le chiffrement de bout en bout (e2ee) est utilisé.

• - Qu'est-ce que le chiffrement de bout en bout dans Thunderbird ?

Retour en haut de la page

les solutions

< technical >  Pretty Good Privacy - also known as PGP

Le logiciel PGP respecte la norme de chiffrement OpenPGP,
(RFC 4880), pour le chiffrement et le déchiffrement des données.

• - Pretty Good Privacy sur Wikipédia

PGP crypte le corps de votre e-mail en un code
que seule la personne concernée peut lire.

PGP fonctionne sur pratiquement tous les ordinateurs et smartphones.
Il est disponible sous licence libre et est entièrement gratuit.

Chaque utilisateur dispose d'une clé publique et d'une clé privée uniques,
qui sont des chaînes de chiffres générées aléatoirement.

Votre clé publique n'est pas comme une clé physique, car elle se trouve dans un répertoire en ligne où tout le monde peut la télécharger.
Les gens utilisent votre clé publique, avec PGP, pour chiffrer les e-mails qu'ils vous envoient.

Votre clé privée s'apparente davantage à une clé physique, car vous la conservez pour vous seul (sur votre ordinateur).
Vous utilisez PGP et votre clé privée pour décrypter les e-mails chiffrés que d'autres personnes vous envoient.

Si un e-mail chiffré avec PGP tombe entre de mauvaises mains, il n'aura aucun sens.
Sans la clé privée du véritable destinataire, il est pratiquement impossible de le lire.

Pour nous protéger contre la surveillance, nous devons apprendre à utiliser PGP
et commencer à partager nos clés publiques chaque fois que nous échangeons des adresses e-mail.

• - Se protéger contre les e-mails indésirables - Infographies

< technical >  How to use PGP encryption

Pour utiliser PGP, vous aurez besoin d'une clé publique et d'une clé privée (appelées ensemble « paire de clés »).
Chacune est une longue chaîne de chiffres et de lettres générée aléatoirement qui vous est propre.
Vos clés publique et privée sont liées entre elles par une fonction mathématique spéciale.

Il faut une application permettant de gérer les clés et le chiffrement/déchiffrement des messages,
voici une sélection des plus populaires :

• Mailvelope est un module d'extension gratuit et open source pour navigateur, disponible pour Mozilla Firefox et Google Chrome,
  C'est sans doute le moyen le plus simple de se familiariser avec PGP
  « Mailvelope Demonstration »est un tutoriel très bien conçu

• L'application Mozilla Thunderbird intègre tout ce qui est nécessaire pour envoyer des messages signés PGP
  Introduction au chiffrement de bout en bout dans Thunderbird

• GnuPG est une implémentation complète et gratuite de la norme OpenPGP
  Le guide « Noobs PGP Guide using Gpg4Win [Easy 5 Min Setup] » explique comment l'utiliser

< easy >  Alternatives to PGP encryption

PGP est la meilleure solution pour communiquer en toute sécurité avec un interlocuteur qui l'utilise déjà.
Il peut être difficile de demander à votre interlocuteur de commencer à utiliser PGP.

Les services qui vous permettent de partager un secret une seule fois constituent une alternative.

Si vous souhaitez envoyer quelque chose une seule fois, il existe des applications web open source
qui vous permettent de saisir des informations qui ne peuvent être consultées qu'une seule fois.

Une fois que le destinataire a ouvert la page, les informations sont supprimées,
et il ne reste plus dans vos historiques de discussion ou vos e-mails qu'un lien invalide.

Ce n'est pas aussi sûr que si toute votre équipe utilisait PGP, mais c'est beaucoup plus simple à configurer et à expliquer.
Nous avons pu l'utiliser pour envoyer des identifiants de connexion à des personnes qui ne sont pas vraiment à l'aise avec la technologie, et elles trouvent cela facile à utiliser.

Exemple (sans ajouter de mot de passe) :

Imaginons que vous ayez un mot de passe. Vous souhaitez le transmettre à votre collègue, Jane. 
Vous pourriez le lui envoyer par e-mail, mais il se retrouverait alors dans sa boîte de réception, qui pourrait faire l'objet d'une sauvegarde, 
et se trouverait probablement sur un support de stockage contrôlé par la NSA.

Si Jane reçoit un lien vers le mot de passe et ne le consulte jamais, le mot de passe disparaît. 
Si la NSA met la main sur le lien et consulte le mot de passe... eh bien, elle détient le mot de passe. 
De plus, Jane ne peut pas obtenir le mot de passe, mais elle sait désormais que non seulement quelqu'un consulte ses e-mails, 
mais qu'il clique également sur les liens.

Certains de ces services, tous gratuits et open source, sont répertoriés ci-dessous.
Vous pouvez également choisir d'héberger une instance sur votre propre serveur web.

PrivateBin (une sorte de version sécurisée de PasteBin) est développé en PHP
Le code source de PrivateBin est publié sur GitHub – 3 100 étoiles
Le mode d'emploi de PrivateBin est disponible sur un autre site web

OneTimeSecret est développé en Ruby
Le code et les instructions de OneTimeSecret sont publiés sur GitHub - 1 200 étoiles

SnapPass est écrit en Python. Il a été initialement développé par Pinterest

Le code et les instructions de SnapPass sont disponibles sur GitHub – 600 étoiles

Retour en haut de la page