Utiliser PGP sous Mac OS X

Quand j’ai décidé de paramétrer mon Mac et plus particulièrement de mettre en place PGP, j’ai été étonné de voir à quel point il était difficile – non pas seulement d’installer le logiciel – mais de comprendre les mécanismes permettant d’utiliser simplement PGP. Il n’y a pas de tutoriel “PGP pour les nuls” sur internet (ni même en librairie !), j’ai donc décidé d’en écrire un. C’est le plus simple que je puisse faire, et je l’écris pour que n’importe quelle personne, même la première venue, puisse sur son mac :

  1. Installer PGP sur Mac OS X
  2. Utiliser PGP dans la vie de tout les jours

Dans ce tutoriel, nous désignerons la plupart du temps le texte chiffré par “message” ou “mail”, mais en réalité, toute information que vous souhaitez garder sécurisé peut être chiffré, pour les autres, comme pour vous-même.

Pourquoi ce tutoriel est le meilleur ?

  1. Il fonctionne avec toutes les applications. Contrairement aux autres tutoriels concernant PGP, celui-ci ne se soucis pas des logiciels que vous utilisez. Peut importe les outils que vous utilisez actuellement ou utiliserez dans le futur, PGP continuera de fonctionner. Si vous voulez chiffrer des mails, vous pouvez utiliser le logiciel que vous voulez : Mail.app, Thunderbird, Sparrow, Gmail, Airmail… Si vous voulez chiffrer autre chose que des mail, c’est possible aussi ! Vous pouvez écrire et chiffrer des documents Word, ou une formule Excel. Vous pouvez facilement chiffrer une URL sous Safari, Chrome, Firefox. Vous pouvez chiffrer un texte avec Message. Vous pouvez chiffrer une commande sur le terminal. Ça n’a aucune importance.
  2. Il est fait pour les utilisateurs de mac. Il y a une certaine manière de faire les choses sur Mac. Si vous n’êtes pas familier avec le monde des Mac, vous ne pouvez pas forcément comprendre (c’est normal). Beaucoup de tutoriels que j’ai trouvé pour Mac OS X n’étaient pas fait pour les utilisateurs de Mac. Beaucoup veulent vous faire installer une usine à gaz à la Windows, ou une extension douteuse. ce tuto est fait pour les utilisateurs de mac. Il s’agit de PGP, installé de la manière dont Steve Jobs l’aurait implémenté.
  3. Il est Simple. Avant tout, cette installation de PGP est simple. Une fois que vous avez compris comment ça marche, vous pourrez tout effectuer de A à Z.

J’ai essayé des dizaines de manière d’installer PGP sur mon Mac. La plupart d’elles étaient mauvaises, et ce pour de nombreuses raisons. A tout les niveaux, ceci est la meilleure solution et ce dans 95% des situations !

Etape 1 : Installer GPGTools GPG Suite pour OS X

Cette étape est simple. Allez sur le site de GPGTools et téléchargez GPG Suite for OS X. Une fois téléchargé, montez la DMG et lancer l’application “Install”.

GPG Suite DMG
GPGTools-install-1

Pendant l’installation, vous pouvez utiliser tout les paramètres par défaut, excepté un. Dans “Type d’installation”, allez dans “Personnaliser”…

GPGTools-install-1

Et décochez l’option GPGMail :

GPGTools-install-1

Ensuite, cliquez sur “Installer”.

Etape 2 : Créez vos propres clés PGP

Lorsque l’installation est terminée, vous pouvez trouver une application appelée “GPG Keychain Access” dans votre dossier Applications. Une petite fenêtre vous demandera immédiatement d’accéder à vos contacts. Cliquez sur Ok.

Pourquoi parler d’une paire de clefs ?

Lors de la création de clef, on parle toujours d’une paire de clef : en effet, peut importe l’outil que vous utilisez, le principe de PGP est de vous fournir 2 clefs.

La clef publique, que vous partagerez à vos contacts afin qu’ils puissent chiffrer leurs messages à votre intention.

La clef privée, que vous gardez pour vous, et qui vous permet de déchiffrer les messages de vos correspondants.

Une seconde fenêtre vous permettra ensuite de créer une nouvelle paire de clef. Tapez votre nom et votre adresse mail, puis cochez la case “Téléverser clé publique”.

créer nouvelle clef petit

Cliquez sur “Options avancées”. Vérifiez que la longueur de votre clef est bien d’un minimum de 4096, et réduisez la date d’expiration à 2 ans. Votre fenêtre devrait ressembler à ça :
créer nouvelle clef grand

Quelques mots à propos de votre passphrase

La passphrase est aussi appelé “phrase secrète” dans l’outil. Tout le processus de chiffrement est basé sur cette phrase secrète. Donc tout d’abord : n’utilisez jamais une passphrase que d’autres personnes connaissent ! Sélectionnez une phrase que vous êtes le seul à connaître, et que personne ne pourrait deviner. Une fois que votre passphrase est sélectionné, ne la donnez jamais à quelqu’un d’autre.

Autre chose, n’utilisez pas un mot de passe, mais une phrase complète de préférence. Par exemple, “SUPInfo07” pourrait être remplacé par “J’ai été diplomé de SUP Info en 2007, c’est cool hein ?”. Plus votre passphrase est longue, plus votre clef est sécurisée.

Dernièrement, soyez bien sûr que votre passphrase est un élément dont vous puissiez vous souvenir. Plus la phrase est longue, plus vous allez l’oublier facilement. Et il ne faut pas, sinon vous ne pourrez plus déchiffrer la moindre de vos correspondances. Soyez sûr que vous aller vous souvenir de votre phrase secrète !

Retour à l’étape 2…

Une fois que vous avez fait le choixs de votre phrase secrète, entrez la deux fois. Une fois que tout est bon, cliquez sur “Générer clef”.

Une phrase indiquant “Nous devons générer une grande quantité d’octets aléatoires. …”. Attendez quelques instants que la génération se termine :

création d'une clef

Et voilà ! Votre clef PGP est prête à être utilisé !

liste des clefs

Etape 3 : définissez PGP dans les raccourcis clavier

Maintenant, vous allez paramétrer 4 raccourcis claviers sous OS X.

Ouvrez les préférences Système, sélectionnez l’onglet “raccourcis”. Sur la partie gauche, sélectionnez le menu “Services”. Ensuite, descendez jusqu’à la sous-section “Texte”, vous verrez plusieurs raccourcis commençant par “OpenPGP :”.

raccourci clavier 1

Décochez l’ensemble des cases, et supprimez les raccourcis claviers.

raccourci clavier 2

Nous allons maintenant mettre en place quatre raccourcis :

  • Activez “OpenPGP: Déchiffrer” et définissez le raccourci suivant : ⌃⌥⌘- (control option command moins)
  • Activez “OpenPGP: Chiffrer” et définissez le raccourci suivant : ⌃⌥⌘= (control option command egal)
  • Activez “OpenPGP: Signez” et définissez le raccourci suivant : ⌃⌥⌘[ (control option command crochet ouvert)
  • Activez “OpenPGP: Vérifiez” et définissez le raccourci suivant : ⌃⌥⌘] (control option command crochet fermé)

Bien entendu, ces choix de raccourcis ne sont qu’une proposition que vous pouvez personnaliser comme bon vous semble. Cependant, en fonction des raccourcis que vous choisissez, il ce peut que ceux-ci entrent en collisions avec d’autres (des paramètres système, ou propre aux applications).

Vos raccourcis clavier devraient donc ressembler à cela :

raccourci clavier 3

C’est tout ! Vous avez maintenant terminé de paramétrer PGP avec OpenPGP sur OS X ! Maintenant, nous allons voir comment nous servir de tout ça.

Comment envoyer un mail chiffré

Vous pouvez tout chiffrer avec PGP, mais la plupart du temps, vous voudrez chiffrer un mail. Nous allons donc passer quelques minutes pour nous pencher la-dessus. Ces étapes peuvent être transposées pour tout type de chiffrement, sur toutes les applications de votre ordinateur.

Chiffrer vos documents

Il est possible de chiffrer des documents pour vous-même. Pour cela, il suffit de sélectionner votre propre clef publique au moment de chiffrer le texte, puis d’enregistrer le texte chiffré.

Pour sécuriser un mail avec PGP, vous devez signer et chiffrer le corps de votre message. Vous pouvez seulement signer, ou seulement chiffrer, mais effectuer les 2 opérations permet de tirer parti de manière optimale du potentiel de PGP. Par ailleurs, quand vous recevez un mail sécurisé avec PGP, vous devrez le déchiffrer, puis le vérifier. C’est la manipulation miroir du chiffrement et de la signature.

Commencez par écrire un mail :
ecrire mail

La signature

Ensuite, sélectionnez tout le corps de votre message, puis taper ⌃⌥⌘[ pour signer votre mail :

ecrire mail signer

Le chiffrement

Chercher sur le serveur de clef

Ensuite, recherchons la clef publique de votre correspondant. Ouvrez l’application GPG Keychain Access. taper sur cmd+F et écrivez l’adresse mail de votre correspondant. Ceci va lancer la recherche de la clef de votre ami sur le serveur de clef :

Recherche d'une clef

Si votre ami dispose de plus d’une clef, sélectionnez la plus récente :

Liste des clefs trouvées

Vous allez recevoir une confirmation vous indiquant que la clef de votre contact à bien été téléchargé. Cliquez ensuite sur “Fermer”.

Clef trouvées sur le serveur

Vous devriez maintenant voir la clef de votre ami dans la liste :

Liste des clefs importées

Importer une clef qui n’est pas sur un serveur via sa version “texte”

Il arrive que parfois, votre contact n’ai pas installé sa clef sur un serveur de clef. Il peut donc vous fournir la clef publique en texte brut. Il suffit d’enregistrer cette clef dans un fichier texte (j’utilise personnellement TextWrangler, mais n’importe quel bloc-notes fera l’affaire), de préférence sous l’extension “.asc”.

Petite astuce : il est aussi possible d’exporter une clef privée préalablement sauvegardé, lire plus loin le chapitre “Exporter vos clefs”.

clef publique textwrangler
Une clef publique commence toujours par “—–BEGIN PGP PUBLIC KEY BLOCK—– et fini par “—–END PGP PUBLIC KEY BLOCK—–”. L’apparence d’une clef privée est très similaire, elle commence par “—–BEGIN PGP PRIVATE KEY BLOCK—–” et se termine par “—–END PGP PRIVATE KEY BLOCK—–”.

Ouvrez l’application GPG Keychain Access, puis cliquez sur “Importer” en haut à gauche de l’interface. Cliquez sur “Ouvrir” :
GPGTools importer clef

Vous devriez apercevoir votre nouvelle clef dans la liste :

Liste des clefs importées

Vous devriez maintenant voir la clef de votre ami dans la liste :

Liste des clefs importées

Petite astuce : pour faciliter les sauvegardes et utilisations de PGP sur plusieurs ordinateurs, je dispose de l’ensemble des clefs publiques de mes contacts dans un dossier sur Dropbox. Si j’ai le moindre problème, un simple glisser-déposer vous permettra de ré-importer l’ensemble de vos contacts.
Chiffrer

Vous pouvez maintenant quitter GPG Keychain Access et revenir sur l’écran d’écriture de votre mail.

Sélectionnez tout le corps de votre message, puis tapez sur ⌃⌥⌘= pour le chiffrer. Une fenêtre va s’ouvrir pour vous demander de choisir un destinataire. Sélectionnez la ligne correspondant au contact que vous venez d’ajouter, puis cliquez sur “OK”.

Choisir les destinataires
Message chiffré

Votre message est maintenant entièrement chiffré, vous pouvez l’envoyer en toute sécurité !

Comme vous l’avez compris, vous n’avez qu’a récupérer la clef publique de votre contact, et ce une seule fois. Dès que vous l’aurez fait, le contact sera toujours accessible depuis le menu de sélection de destinataire.

Etape 4 : Comment recevoir un mail chiffré

Avec le message sécurisé que vous avez envoyé, le destinataire voudra sans doute le déchiffrer ! Dans le contexte de ce tutoriel, nous allons à présent nous passer pour le destinataire.

J’ai donc reçu un message :
message reçu

Copiez le corps du message, comprenant les “—–BEGIN PGP MESSAGE—–” et “—–END PGP MESSAGE—–”. Copiez tout ce texte dans votre éditeur de texte favori (j’utilise TextWrangler en ce qui me concerne) :
message reçu copié dans textwrangler

Sélectionnez tout le texte, puis tapez sur ⌃⌥⌘- pour déchiffrer le message. Vous serez immédiatement invité à entrer votre passphrase. Entrez la, puis cliquez sur “OK” :
message reçu déchiffrer

Vous verrez tout de suite votre message déchiffré :
message reçu à vérifier

Maintenant, vous pouvez vérifier le message. Sélectionnez le texte, puis tapez sur ⌃⌥⌘]. Vous verrez un message de confirmation :
message reçu verifié

Appuyez sur “OK”.

Exporter vos clefs

Vos clefs sont relativement importantes, elles ne doivent pas tomber entre toutes les mains (surtout la clef privée). Cependant, si vous chiffrez des documents personnels (que vous chiffrez pour vous-même), vous devez impérativement pouvoir disposer de votre clef !

Pour cela, il est important de pouvoir exporter votre jeux de clefs dans un fichier, que vous pourrez stocker sur une clef USB, dans un coffre fort, ou sur votre Dropbox, par exemple.

La manipulation est assez simple.

Qu’est ce que chiffrer, déchiffrer, signer et vérifier signifient ?

Maintenant que vous savez comment signer et chiffrer des messages, parlons un peu des différents termes utilisés jusque là.

Chiffrer signifie prendre votre clef privée et la clef publique du destinataire, et brouiller le message. Le message brouillé est à l’abri des regards indiscrets. L’expéditeur doit toujours chiffrer.

Déchiffrer signifie prendre un message chiffré combinée avec la clé secrète et la clé publique de l’expéditeur, et il déchiffre. Le destinataire déchiffre toujours.

Ces deux termes peuvent être considérés comme opposés.

Signer un message permet au destinataire de prouver votre identité. Elle permet aussi de prouver que le message n’a pas été modifié en vérifiant son intégrité. Il s’agit toujours de l’expéditeur qui signe un message.

Vérifier un message est la manière d’analyser un message signé, et ce afin de déterminer si la signature est valide.

Signer et vérifier peuvent être aussi considérés comme opposés.

Dans quel cas dois-je signer ? Dans quel cas dois-je chiffrer ?

Il n’est pas nécessaire de chiffrer ou signer l’ensemble de vos conversations. Mais alors : quand devons nous signer ? Quand devons-nous chiffrer ? Et quand devons-nous nous abstenir de toute action superflue ?

Il y a trois choix rationnels que vous pouvez effectuer lorsque vous envoyez un message :
1. Ne rien faire. Si le contenu est publique (si il n’y a rien de confidentiel) et si le destinataire ne se préoccupe pas de savoir si c’est un imposteur qui envoi le message, alors ne faites rien. Envoyez le message comme vous avez toujours envoyé vos messages : en texte clair.
2. Signer mais ne pas chiffrer. Si le contenu du message est publique mais que le destinataire a besoin d’une preuve de votre identité et que vous n’êtes pas un imposteur, vous pouvez signer sans chiffrer. Vous pouvez suivre la suite du tutoriel, en passant la partie permettant de chiffrer.
3. Signer et chiffrer. Si le contenu du mail est totalement confidentiel, signer et chiffrer. Peut importe que votre destinataire ai besoin d’une preuve de votre identité : signez toujours avant de chiffrer.

Dans 90% des mail que j’envois, je ne fais rien, car ce n’est pas nécessaire. Dans 10% des cas, je signe et chiffre. Chaque fois qu’il y a des informations confidentielles – Business plan, numéro de carte de crédit, RIB, numéro de sécurité sociale, stratégies marketing – je signe et je chiffre. Je définis les informations confidentielles au sens large, car je préfère signer et chiffrer “pour rien” plutôt que de craindre une fuite d’information sensible. J’utilise très rarement la troisième option, signer sans chiffrer, mais l’usage de PGP peut être très différente d’une profession/situation à une autre.

Pourquoi ne pas utiliser les pièces jointes PGP MIME ? Pourquoi ne pas utiliser le plugin PGP de Mail.app ?

Quelques geeks du PGP préfèrent envoyer les messages PGP en tant que pièce jointe (alias PGP MIME type), au lieu d’utiliser le texte du mail (alias PGP INLINE).

Cependant, certains débutant en PGP veulent savoir pourquoi je déconseille d’utiliser un plugin intégré à leurs client mail (comme le Mail.app PGP plugin).

Voilà pourquoi :

  • Les pièces jointes m’emmerdent.
  • Les gens qui utilisent les extensions de chiffrement n’ont aucune idée du fonctionnement de leurs programme, ce qui leurs procure une fausse sensation de sécurité
  • le texte brut peut être copié n’importe où (terminal, Facebook, iMessage, etc.), ce n’est pas le cas des pièces jointes.
  • La majorité des personnes m’ayant écrit un mail test en utilisant une pièce jointe MIME et ayant utilisé l’extension PGP de Mail.app m’ont envoyé des messages indéchiffrable, car ils n’avaient aucune idée de ce qu’ils faisaient et de la manière dont ceci fonctionnait.
  • Quand une extension génère une pièce jointe et l’envoi avant mêm que vous ayez pu voir de quoi il s’agissait, vous n’avez aucune idée de ce qui à été envoyé.
  • Beaucoup d’applications n’intègrent pas PGP nativement, vous avez donc besoin d’utiliser le texte brut !

Essayez, envoyez-moi un mail !

Envoyez-moi un mail via la formulaire de contact. Envoyez-moi un message signé et chiffré avec ma clef, je vous répondrais.

Cet document est inspiré de l’article de Jerzy J. Gangi “The best PGP tutorial for Mac OS X, ever”.

Recherches qui ont permis de trouver cet article :

  • mac gpg

Au passage…

Voici ma dernière vidéo. N'hésite pas à t'abonner à ma chaîne !

Publié par

Arthur

Maître des lieux, consommateur averti et gadgetophile repenti, j'écris mon quotidien de trublion du web depuis de nombreuses années.

5 réflexions au sujet de « Utiliser PGP sous Mac OS X »

  1. Bonsoir,

    Merci pour cet article qui est plus que clair.

    J’ai tout de même une question.
    Quand je déchiffre pour la première fois un message codé, il me demande la phrase de passe, je la rentre et tout se passe bien. Après, pour le même expéditeur, quand je fais ⌃⌥⌘- il le déchiffre directement sans me demander la phrase de passe.
    Alors : Est-ce que c’est normal ? Et est-ce qu’on peut régler pour que le PGP me demande systématiquement la phrase de passe que ce soir pour le même expéditeur ou un nouveau ?

    Merci d’avance.

    Kuro.

  2. Hello

    J’aime bien ton tuto ! Tu as complètement raison d’indiquer que pour maitriser la sécurité de ses messages (sous gpg,) le mieux est de ne crypter que le texte …

    Pour ce qui est de ta passphrase il suffit d’indiquer ton choix dans :

    Preference Système > GPG Preferences > Stocker le mot de passe dans le trousseau d’accès OSX .
    La passphrase sera stockée en memoire ( 60, 120, 255 ou 600 secondes selon ton bon vouloir).

    Voilà !

    leodebordo

  3. coucou , merci pour se tuto , je comprends pas pourquoi j arrive a décrypter un message que jai crypter avec la clef publique d’un autre ?
    et j arrive pas a crypter des fichier et photo ou autre aussi

  4. normalement si je crypte avec la clef publique d’une autre personne je ne peux pas le décrypter après, mais la j’arrive a le décrypter donc je comprends pas .. si tu pouvais m’expliquer pourquoi sa serais cool de ta par , je te remercie davance

  5. Mais c’est normal que tu puisses décrypter car tu as crypté sous le controle de ta clé privée. Si tu essayes de décrypter sous le controle d’une autre clé privée tu verras que ça ne passera pas. Par contre si tu essayes de décrypter sous le controle de la clé privée de celle de la clé publique utilisée pour crypter le fichier tu verras que ça passera.

Laisser un commentaire