Configurer un compte de courrier pour utiliser le chiffrement de bout en bout

Cet article donne des conseils pour configurer les paramètres de chiffrement de bout en bout dans les paramètres des comptes de Thunderbird. Pour une introduction plus générale, consultez aussi l’article Présentation du chiffrement de bout en bout dans Thunderbird.

Pour utiliser le chiffrement de bout en bout (End-to-end encryption en anglais ou E2EE) avec le courrier électronique, vous devez posséder les clés cryptographiques appropriées pour vous-même et les configurer dans les paramètres des comptes de Thunderbird. En effectuant cette configuration, vous confirmez que vous souhaitez utiliser cette fonctionnalité.

Les étapes pour terminer votre configuration dépendent de la technologie E2EE que vous souhaitez utiliser. Vous pouvez choisir de configurer une seule d’entre elles ou les deux. La configuration est différente pour chaque compte et chaque identité, car elle est directement rattachée à une adresse électronique.

Votre propre configuration OpenPGP

Si vous souhaitez échanger des messages chiffrés avec des destinataires déjà prêts à utiliser OpenPGP, vous avez alors besoin d’une clé personnelle OpenPGP pour vous-même. Thunderbird définit cela comme une paire de clés, composée des clés secrète et publique, ainsi que d’une étiquette contenant votre propre adresse électronique.

Si vous n’avez jamais créé de clé OpenPGP dans Thunderbird, mais que vous avez déjà utilisé d’autres logiciels OpenPGP, vous êtes peut-être déjà en possession d’une clé secrète. Utilisez la fonction de sauvegarde et d’exportation de votre autre logiciel pour enregistrer la clé secrète dans un fichier et, si cela a fonctionné, essayez d’importer le fichier obtenu dans Thunderbird.

Note : Thunderbird supprime la protection des clés secrètes lors de leur importation dans Thunderbird. Pour vous assurer que vos clés secrètes sont toujours stockées en toute sécurité sur votre ordinateur, il est préférable de configurer un mot de passe principal dans les paramètres de Thunderbird. Il est ensuite aussi utilisé automatiquement pour protéger vos clés secrètes OpenPGP.

Si vous avez déjà utilisé Thunderbird 68 (ou des versions antérieures) avec le module complémentaire Enigmail, vous disposez peut-être déjà de clés secrètes, car plusieurs versions d’Enigmail ont créé automatiquement des clés secrètes sans même vous le demander. Elles sont susceptibles d’être encore stockées sur votre ordinateur. Si vous souhaitez les réutiliser avec la dernière version de Thunderbird, vous pouvez essayer d’utiliser le logiciel GnuPG pour les récupérer (voir l’entrée correspondante dans le document OpenPGP dans Thunderbird – Guide et questions fréquentes).

Si vous n’avez jamais utilisé d’autre logiciel pour créer des clés OpenPGP ou si vous préférez ne pas les réutiliser, Thunderbird vous permet de créer vous-même ce type de clés dans les paramètres des comptes, dans le volet Chiffrement de bout en bout

Cliquez sur le bouton Ajouter une clé… puis sélectionnez importer ou créer, selon vos besoins.

Après avoir importé une clé, Thunderbird devrait vous proposer de la sélectionner comme clé personnelle pour ce compte ou cette identité, si elle répond aux exigences suivantes lors de l’importation :

  • la clé n’a pas expiré ;
  • la clé n’est pas révoquée ;
  • la clé est valable à la fois pour la signature numérique et le chiffrement ;
  • la clé contient un identifiant utilisateur avec l’adresse électronique du compte ou de l’identité que vous configurez dans les paramètres des comptes.

Une fois que vous l’avez sélectionnée, vous avez terminé votre propre configuration pour la sécurité des messages électroniques OpenPGP.

Votre propre configuration S/MIME

Si vous souhaitez échanger des messages chiffrés avec des destinataires déjà prêts à utiliser S/MIME, vous avez besoin d’une clé de certificat de messagerie personnelle pour vous-même.

La technologie de chiffrement des courriers électroniques S/MIME dépend du service de tiers de confiance, appelés autorités de certification (CA), auprès desquels vous devez obtenir un certificat personnel pour vous-même, l’installer et le configurer dans Thunderbird.

Il n’est généralement pas pratique de créer un certificat par vous-même, car les destinataires de vos courriers électroniques n’accepteront généralement pas de tels certificats autosignés.

Les étapes de préparation pour l’obtention d’un certificat personnel auprès d’une autorité de certification sont généralement :

  1. vous créez des clés cryptographiques brutes, une paire constituée d’une clé secrète et d’une clé publique ;
  2. vous envoyez votre clé publique à une autorité de certification prise en charge par Thunderbird ;
  3. l’autorité de certification signera votre clé publique sur ses systèmes et y ajoutera des données pour créer votre certificat ;
  4. l’autorité de certification vous renvoie le certificat ;
  5. vous combinez le certificat reçu avec la clé secrète que vous aviez précédemment créée, cela transforme le certificat en votre certificat personnel ;
  6. vous importez votre certificat personnel à l’aide du gestionnaire de certificats de Thunderbird ;
  7. vous ouvrez, dans les paramètres du compte de Thunderbird, le chiffrement de bout en bout et vous sélectionnez le certificat que vous souhaitez utiliser avec ce compte de courrier électronique (seuls les certificats personnels considérés comme valides par Thunderbird seront proposés à la sélection). Choisissez le certificat pour le chiffrement et la signature numérique.

Les versions récentes de Thunderbird ne peuvent pas vous aider à créer votre paire de clés brutes pour S/MIME. Vous devez utiliser un logiciel externe. Certaines autorités de certification offrent la possibilité de vous créer automatiquement une paire de clés. Ce n’est pas idéal, car la clé secrète utilisée pour votre certificat personnel peut être créée sur les ordinateurs exploités par l’autorité de certification. Il existe un risque qu’une personne obtienne et conserve une copie de la clé secrète, ce qui pourrait lui permettre de déchiffrer les messages électroniques chiffrés qui vous sont envoyés.

Testez votre propre configuration

Une fois terminée votre propre configuration, il vous faut la tester. Essayez de vous envoyer un message chiffré et signé numériquement. Pour ce faire, rédigez un nouveau courrier. Si vous avez plusieurs comptes ou identités, assurez-vous que l’adresse figurant dans le champ « De » en haut de la fenêtre de rédaction affiche une identité pour laquelle vous avez déjà terminé la configuration du chiffrement de bout en bout.

Saisissez ensuite la même adresse électronique dans le champ « Pour ». Ajoutez également un sujet de test et testez le contenu du message. Activez ensuite le chiffrement (dans Thunderbird version 102, cela peut être fait facilement avec le bouton Chiffrer de la barre d’outils. Dans les versions antérieures, cliquez sur la flèche affichée après le bouton Sécurité de la barre d’outils et sélectionnez Nécessite un chiffrement). Envoyez alors le message. Revenez ensuite à votre boîte de réception, relevez les nouveaux messages et vous devriez recevoir le message que vous venez d’envoyer. Il doit être signalé comme ayant été chiffré, reportez-vous aux étiquettes S/MIME ou OpenPGP appropriées dans la zone d’en-tête du message, sur lesquelles vous pouvez cliquer pour afficher des informations détaillées.

Distribution de votre propre clé publique ou certificat

Si vous souhaitez permettre à d’autres personnes de vous envoyer des courriers chiffrés, il peut être utile de ne pas attendre qu’elles vous demandent de leur envoyer votre clé publique.

Vous pouvez décider d’être proactif et vous assurer que d’autres personnes peuvent obtenir votre clé publique ou votre certificat lorsqu’elles décideront de vous envoyer des messages chiffrés. Un moyen simple de le faire est d’envoyer un courrier signé numériquement.

Si vous envoyez un message signé numériquement à l’aide de la technologie OpenPGP, Thunderbird intègre généralement une copie de votre clé publique sous forme de petite pièce jointe, qui est automatiquement ajoutée, car la clé publique est nécessaire pour vérifier qu’une signature numérique est techniquement valide.

Si vous envoyez un courrier signé numériquement en utilisant la technologie S/MIME, votre certificat est toujours inclus.

Vous pouvez décider de toujours signer numériquement les messages que vous envoyez. Le paramètre correspondant figure dans les paramètres du compte (veuillez noter que si vous signez numériquement un courrier, vous ne pourrez plus nier de manière plausible être la personne ayant expédié le message que vous avez envoyé).

Une autre façon de distribuer une clé publique OpenPGP consiste à utiliser un serveur de clés. Le serveur de clés disponible à l’adresse https://keys.openpgp.org/ (exploité par des membres de la communauté de développement d’OpenPGP) est un bon choix pour publier votre clé publique. Les versions 78, 91 et 102 de Thunderbird sont en mesure d’interroger ce serveur de clés lors d’une recherche en ligne des clés publiques manquantes.

Pour publier votre clé, vous devez exporter votre clé publique dans un fichier, par exemple en utilisant le menu à côté de votre clé personnelle configurée dans les paramètres du compte de Thunderbird, ou en utilisant le son gestionnaire de clés OpenPGP. Faites attention et utilisez la bonne commande. Pour obtenir une copie de votre clé partageable avec d’autres personnes en toute sécurité, utilisez toujours une commande qui mentionne une opération de clé publique. Ne partagez jamais votre clé secrète personnelle !

Une fois obtenu un fichier contenant votre clé publique, vous pouvez également distribuer cette clé en utilisant tout autre mécanisme qui fonctionne pour partager de fichiers, comme l’hébergement du fichier sur votre propre site web.

Cet article vous a-t-il été utile ?

Veuillez patienter…

Ces personnes ont aidé à écrire cet article :

Mozinet, goofy_sumo, YD, JUM, Acces
Illustration of hands

Participer

Développez et partagez votre expertise avec les autres. Répondez aux questions et améliorez notre base de connaissances.

En savoir plus