Pourquoi personne n'utilise les messages électroniques cryptés
Avec tant d’inquiétude pour la surveillance gouvernementale, l’espionnage des entreprises et le vol d’identité au quotidien, il peut sembler surprenant que si peu de gens utilisent des courriels chiffrés. Essayez d’utiliser un courrier électronique chiffré et vous constaterez qu’il est difficile et compliqué à utiliser..
Les courriels cryptés sont un casse-tête à gérer. Vous pourrez peut-être gérer la complexité, mais les personnes avec lesquelles vous souhaitez communiquer doivent également le gérer..
Cryptage de vos propres courriers électroniques par rapport aux services de messagerie cryptés
Nous distinguons ici deux types de cryptage de messagerie. Certains services prétendent offrir un courrier électronique crypté facile. Ils gèreront le chiffrement pour vous et vous éviteront toute gêne liée à la gestion des clés de chiffrement. Si vous envoyez des e-mails cryptés entre deux comptes utilisant le même service, les e-mails cryptés resteront en sécurité dans le service lui-même..
Cela semble tentant, mais cela ouvre une grande faiblesse. Vous faites confiance au service pour gérer votre cryptage, et des gouvernements ont obligé des services comme Lavabit à autoriser l'accès aux messages électroniques cryptés de leurs clients. Le gouvernement américain a même exigé les clés privées propres à Lavabit, leur permettant d'accéder aux courriers électroniques cryptés de tous les clients..
Si vous souhaitez réellement communiquer de manière privée et sécurisée, vous devez gérer vous-même le chiffrement du courrier électronique. Cela signifie générer vos propres clés de chiffrement et les protéger au lieu de les stocker avec un service de messagerie chiffré..
Comment fonctionne le cryptage de messagerie
Nous pensons généralement au cryptage PGP lorsque nous pensons au courrier électronique crypté, mais il existe d'autres normes telles que la fonctionnalité de cryptage S / MIME intégrée à Microsoft Outlook. Lorsque vous utilisez PGP, vous disposez d'une clé publique et d'une clé privée. Vous donnez la clé publique aux personnes qui souhaitent vous envoyer un courrier électronique. Ils utilisent la clé publique pour chiffrer leur courrier électronique et vous ne pouvez le déchiffrer qu'avec votre clé privée. Ainsi, pour utiliser PGP, vous devez générer une paire de clés publique / privée, sécuriser votre clé privée et donner votre clé publique à toute personne souhaitant vous envoyer un courrier électronique. La personne avec laquelle vous communiquez devra également comprendre comment chiffrer, envoyer, recevoir et déchiffrer des messages électroniques chiffrés et aura besoin de sa propre paire de clés..
Le contenu de l'e-mail apparaît sous forme de charabia aléatoire, tout comme le contenu d'un fichier crypté apparaît sous forme de données insensées et dénuées de sens jusqu'à ce que le fichier soit déchiffré..
Notez que la plupart des courriers électroniques ne sont pas sécurisés, même si vous utilisez un courrier électronique chiffré. Les champs de ligne d'objet, À et De sont généralement envoyés non chiffrés. Les agences de surveillance surveillant le trafic Internet peuvent ainsi contrôler qui communique avec qui et même voir l'objet de chaque courriel. Le chiffrement du courrier électronique est un correctif installé sur un système non chiffré, ne chiffrant que le corps du message..
Comment utiliser réellement le courrier électronique crypté
Peu importe la théorie. Voici comment vous allez réellement utiliser l'email crypté.
La plupart des gens ont tendance à utiliser des services de messagerie Web tels que Gmail, Outlook.com et Yahoo! Courrier. Cette fonctionnalité n'est pas intégrée à ces services (bien que selon certaines rumeurs, Google travaillerait sur l'intégration du cryptage PGP dans Gmail). Pour ce faire, vous devrez utiliser une extension de navigateur. Mailvelope semble fonctionner, offrant un support PGP qui fonctionne sur des sites de messagerie Web tels que Gmail. Vous aurez besoin de cela installé dans votre navigateur Web pour utiliser le cryptage de messagerie.
Cette fonctionnalité n’est pas non plus intégrée aux applications mobiles associées. Bien sûr, vous pouvez accéder à cet e-mail crypté dans votre navigateur Web avec une extension, mais comment le lisez-vous sur votre smartphone? Pour ce faire, vous aurez besoin d’une application dédiée. Vous ne pouvez pas utiliser uniquement l’application Gmail ou l’application Mail standard fournie avec votre téléphone. K-9 Mail offre un support PGP sur Android si vous avez également installé APG, par exemple.
Les choses sont compliquées, même en ce qui concerne les clients de messagerie de bureau qui devraient pouvoir mieux l’intégrer. Par exemple, Microsoft Outlook possède une fonctionnalité intégrée permettant de signer et de chiffrer numériquement les e-mails, mais il utilise S / MIME et n'est pas compatible avec PGP..
L'utilitaire le plus populaire pour chiffrer les e-mails est l'extension Enigmail pour Mozilla Thunderbird. Mozilla a cessé de développer Thunderbird et peut l’arrêter un jour, ce n’est donc pas une solution idéale. L'extension Enigmail intègre OpenPGP dans le client de messagerie de bureau Thunderbird, ce qui vous donne les options de génération de clé, de cryptage et de décryptage dont vous avez besoin. Vous devrez installer le logiciel GNU Privacy Guard (GnuPG) séparément..
Vous ne pourrez utiliser que des courriers électroniques chiffrés sur un client prenant en charge PGP. Même si vous utilisez Thunderbird, vous devrez envisager ce que vous ferez si vous devez accéder à ces courriels dans un navigateur Web, sur votre smartphone, sur votre tablette ou sur tout système sans clé privée..
Les problèmes avec le courrier électronique crypté
Voici un résumé rapide de ce que vous rencontrerez lors de l’utilisation d’e-mails cryptés:
- Vous devez comprendre le fonctionnement du chiffrement de clé publique-privée, générer une paire de clés et fournir votre clé publique à la personne avec laquelle vous souhaitez communiquer..
- Les autres personnes avec lesquelles vous souhaitez communiquer doivent également comprendre et faire toutes ces choses..
- Les deux personnes doivent protéger leurs clés privées afin de ne pas les compromettre ou les perdre. Dans ce cas, vous perdriez l'accès aux courriels. Vous devez également conserver votre certificat de révocation, car il peut invalider votre clé publique si vous perdez votre clé privée..
- Vos clés privées doivent être cryptées avec une phrase secrète sécurisée, distincte du mot de passe de votre compte de messagerie..
- Vous devez vous assurer que vous utilisez tous les deux la même norme de cryptage de messagerie, qu’elle soit PGP ou S / MIME ou une autre norme..
- Vous devez utiliser une solution tierce - une extension de navigateur, une application pour smartphone ou un plug-in de client de messagerie. Si vous optez pour l'option la mieux prise en charge, vous devez installer séparément un client de messagerie, une extension et un logiciel de chiffrement..
- Si vous souhaitez accéder à vos courriels sur tous vos appareils, vous avez besoin d’un mélange de différentes applications pour smartphone et de solutions de bureau..
- Même si vous faites toutes ces choses, les gens pourront toujours voir avec qui vous communiquez et quels sont les sujets de vos messages..
Avec toute cette complexité - et tant de fuites d'informations même si vous utilisez correctement PGP - il n'est pas étonnant que les courriers électroniques cryptés soient si peu utilisés. Il n’est pas surprenant non plus que les gens choisissent d’utiliser des services comme Lavabit, qui semblent être un moyen pratique de rendre le cryptage facile à utiliser, mais sont en réalité beaucoup moins fiables que le cryptage de vos propres courriels.