Cybersécurité – Le chiffrement de vos courriels comme parade au Phishing (Hameçonnage)

Après les émotions des élections présidentielles, prenons un peu de temps pour nous consacrer au chiffrement afin de nous blinder contre l’hameçonnage. Nous avons déjà organisé des KSP dans le passé. Notre session du 21 MAI prochain sera axé sur le sujet.

En effet, si tous nos courriels reçus étaient chiffrés, il n’aurait plus des doutes sur l’identité de l’envoyeur.

Note : Cet article n’a pas pour vocation de vous faire un tuto complet de RSA/SSL etc.  Cet article de linuxfr.org le couvre amplement : https://linuxfr.org/news/bien-demarrer-avec-gnupg

Pour les besoins de notre KSP (comprenez Key Signing Party), nous allons exécuter qu’une partie des commandes.

Les prérequis :
a. GnuPG

  1. Imprimez votre Key ID / Clé Publique (voir plus bas)
  2. Crayon/stylo papier
  3. Pièce d’identité officielle

(Optionnel) Pour commencer, installons GnuPG sur votre distribution Linux favori (en root).

Téléchargez GnuPG si besoin (Windows / MacOS) : https://www.gnupg.org/

 

Arch (pacman)

pacman -S gnupg

Debian (apt-get/aptitude)

apt-get install gnupg

RedHat, Fedora, CentOS, Azure Duck (yum)

yum install gnupg

Ubuntu / Mint (apt-get/aptitude)

sudo apt-get install gnupg

SUSE and OpenSUSE (zypper)

zypper install gnupg

 

Générer la fameuse paire de clés (utilisateur lambda)

gpg –key-gen

  • Prendre 4096 bits.
  • Ne renseignez pas “comment”, mais votre nom complet ainsi que votre courriel.
  • Utilisez un mot de passe complexe. Et ne partagez pas, ni ne publiez votre clé privée.

Extraire votre clé publique et envoyez la à l’organisateur

gpg –list-keys gpg –armor –export [clé publique] > pubkeyfile.asc

 

Extraire votre empreinte de la clé publique et imprimez la ! Dans un terminal, lancez (en utilisateur lambda) :

gpg –fingerprint [email protected] > fingerprint.txt

Note : Les 8 derniers caractères du fingerprint correspondent à l’identifiant pub de la clé connu comme Key ID.

 

Signez votre clé publique

gpg –keyserver keys.openpgp.org –recv-keys [clé publique]

ou gpg –keyserver keyserver.ubuntu.com –recv-keys [clé publique]

ou gpg –keyserver pgp.mit.edu –recv-keys [clé publique]

Pourquoi le chiffrement des données est-il nécessaire ?

Confidentialité : L’attaque de l’homme du milieu (HDM) – Man in The Middle.

Sécurité : Prévention en cas de vol/perte de son ordinateur portable.

Intégrité des données : Fiabilité des données en transit. Pas d’intrusion !

Authentification : Comme seul/e le/la propriétaire possèdent la clé privée de son site web. Donc ce site peut être considéré comme sur.

Raisons légales : Les normes HIPAA et PCI-DSS et le RGPD sont trois exemples de normes de réglementation et de conformité qui imposent le chiffrement.

Tous les logiciels de messagerie sont compatibles avec le chiffrement des courriels. Les logiciels payants et opensource sont concernés.

Pour tester :
  1. On tape un petit texte dans son logiciel de messagerie.

2. On chiffre ce texte.

3. On sauvegarde ce texte.

4. On le déchiffre.

4. Et voilà !

Comment se passe la signature de clés ?

  • Il n’est pas nécessaire d’avoir d’ordinateur, ni de smartphone, ni de téléphone.
  • Les détenteurs de clés se mettent vis-à-vis sur deux rangs.
  • Ils vérifient les empreintes de la clé publique, les clés publiques, pièces d’identité de leur vis-à-vis sur les feuilles communiquées par l’organisateur.
  • Ensuite, tout le monde s’avance une fois vers la gauche.
  • Quand cette vérification est faite, tout le monde s’avance une fois vers la gauche de nouveau, et ainsi de suite.
  • On continue cette ‘chaise musicale’ jusqu’à que le cycle complet soit atteint.

Après le Key Signing Party

  • Importer toutes les clés vérifiées, fournies par l’organisateur
  • Signer les clés publiques vérifiées.
  • Envoyer par courriel la clé signée à chaque participant
  • OU télécharger les clés signées sur un serveur de clés. Ceci préférable en cas de problèmes de messagerie, votre correspondant ne recevra pas votre clé signée.

J’essaierai de rajouter d’autres notes à cet article. Mais sachez qu’il y a d’autres alternatives à GnuPG et que l’utilisation du chiffrement ne se limite pas aux courriels, mais également aux fichiers, certificats etc. Il existe Gpg4win pour les utilisateurs de Windows et cela fera l’objet d’un autre article.

Have a lot of fun 🙂

Tags , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,