OpenPGP dans Thunderbird – Guide et questions fréquentes

Cet article donne des informations détaillées aux utilisateurs et utilisatrices de Thunderbird qui veulent envoyer et recevoir des messages électroniques chiffrés et signés numériquement grâce au standard OpenPGP. Cette fonctionnalité est généralement connue comme le chiffrement de bout en bout (end-to-end encryption, e2ee) et rend les communications plus sûres contre l’espionnage par des tiers. Thunderbird 78 possède une prise charge native de deux standards du chiffrement, OpenPGP et S/MIME.

Cet article fournit aussi d’importantes informations aux utilisateurs et utilisatrices de l’ancien module complémentaire Enigmail passant de Thunderbird 68 à Thunderbird 78.

Le chiffrement de bout en bout, de quoi s’agit-il et comment fonctionne-t-il ?

Le chiffrement de bout en bout (e2ee) rend les communications plus sûres contre l’espionnage par des tiers. Reportez-vous à l’article Présentation du chiffrement de bout en bout dans Thunderbird où nous en expliquons les rudiments.

Thunderbird prend-il en charge OpenPGP ?

Oui. Thunderbird 78 est compatible par construction avec deux standards de chiffrement, OpenPGP et S/MIME. OpenPGP est activé par défaut depuis la version 78.2.1.

Les versions précédentes de Thunderbird (version 68 et antérieures) intégraient la prise en charge de S/MIME et il était possible d’ajouter la prise en charge d’OpenPGP grâce au module complémentaire Enigmail et au logiciel GnuPG. Le module complémentaire Enigmail n’est plus disponible pour Thunderbird 78, sauf pour aider ses anciens utilisateurs et anciennes utilisatrices à migrer vers OpenPGP intégré ou à les guider pour restaurer leur expérience utilisateur du « Junior Mode » d’Enigmail.

Pourquoi Enigmail a-t-il été remplacé et sera-t-il de nouveau disponible ?

Le module complémentaire Enigmail est remplacé par la gestion intégrée d’OpenPGP dans Thunderbird 78.

Cette modification était nécessaire, car Thunderbird a cessé de prendre en charge les anciens modules complémentaire, comme Enigmail, à partir de Thunderbird 78. La même modification avait eu lieu dans Firefox en 2017 (billet de blog de Mozilla en anglais). Thunderbird a suivi en 2020, car il partage le code de la plateforme Mozilla avec Firefox.

Enigmail ne sera plus développé (article en anglais) ou transféré vers d’autres technologies de modules complémentaires. À propos de ce changement, Patrick Brunschwig, auteur d’Enigmail, a écrit :

« Mon objectif a toujours été d’inclure la prise en charge d’OpenPGP dans le produit de base de Thunderbird. Même si cela marque la fin d’une longue histoire, après avoir travaillé sur Enigmail pendant 17 ans, je suis très heureux de ce résultat. »

OpenPGP dans Thunderbird 78 a-t-il la même apparence et fonctionne-t-il exactement comme Enigmail ?

Non, il y a plusieurs différences dans l’interface utilisateur et les fonctionnalités offertes. La prise en charge d’OpenPGP intégrée à Thunderbird n’est pas une copie exacte de Thunderbird avec Enigmail. Thunderbird veut offrir une solution entièrement intégrée et n’utilise plus GnuPG par défaut pour éviter des problèmes de licence. Ce document explique les différences :
https://wiki.mozilla.org/Thunderbird:OpenPGP:Migration-From-Enigmail

Je n’ai jamais utilisé OpenPGP avec Thunderbird auparavant, comment configurer OpenPGP ?

Pour utiliser la fonctionnalité OpenPGP de Thunderbird, vous devez définir ce que l’on nomme une paire de clés personnelles pour votre adresse électronique. Vous pouvez le faire dans la sous-section Chiffrement de bout en bout des paramètres de votre compte. Si vous avez déjà utilisé OpenPGP avec d’autres logiciels, vous devez importer une copie de sauvegarde de votre clé existante. Sinon, vous pouvez créer une nouvelle clé.

1. Ouvrez le menu ≡ puis cliquez sur Paramètres des comptes
2. Sélectionnez votre compte et cliquez sur Chiffrement de bout en bout dans le menu de gauche.
3. Cliquez sur Ajouter une clé…
   • Si vous disposez déjà d’une paire de clés personnelles OpenPGP d’un autre logiciel, choisissez Importer une clé PGP existante
   • Si vous n’avez pas encore de clé, choisissez Créer une nouvelle clé OpenPGP
4. Après son importation ou sa création, tout en restant dans les paramètres des comptes, sélectionnez la clé que vous voulez utiliser activement avec votre compte de messagerie.

Notez que l’utilisation d’OpenPGP a des conséquences comme expliqué dans l’introduction générale. Il est important de faire une sauvegarde de votre clé et de la stocker dans un endroit sécurisé, séparé de votre ordinateur habituel.

J’utilisais Enigmail, comment migrer et configurer ?

Vous pouvez mettre à niveau les paramètres d’une version antérieure de Thunderbird (comme la 68.x) vers une version 78.x. Il est recommandé de faire une sauvegarde de votre ancien profil de Thunderbird avant d’utiliser Thunderbird 78 pour la première fois, car une fois la mise à niveau effectuée, votre profil ne peut plus être utilisé avec Thunderbird 68. Si pour une raison quelconque vous décidiez de continuer à utiliser Thunderbird 68 et Enigmail, une sauvegarde vous permettrait de revenir facilement en arrière.

Enigmail est actuellement disponible en deux versions, 2.1.x et 2.2.x :

• Enigmail 2.1.x ne fonctionne qu’avec Thunderbird 68 et les versions plus anciennes, il fournit les fonctionnalités classiques.
• Enigmail version 2.2.x est une version spécialement modifiée qui ne fonctionne qu’avec Thunderbird, versions 78 et ultérieures. Enigmail 2.2.x ne fournit pas les fonctionnalités habituelles, mais ce module existe pour vous aider à migrer vos clés et paramètres vers Thunderbird 78.

Si vous démarrez Thunderbird 78 avec un profil existant et que le profil précédent disposait du module Enigmail installé, Thunderbird 78 détecte que le module précédent Enigmail 2.1.x n’est pas compatible. Il doit automatiquement vérifier s’il existe une version plus récente, trouve Enigmail 2.2.x et l’installe. Enigmail ouvre alors automatiquement un onglet qui vous accueille et explique que la migration est possible et propose de la démarrer.

Enigmail utilisait GnuPG pour stocker et gérer toutes les clés et les paramètres de confiance. Si vous cliquez sur le bouton pour commencer la migration, le logiciel de migration Enigmail lit vos anciennes clés depuis GnuPG l’une après l’autre. Vous devez saisir des mots de passe pour confirmer l’exportation de vos clés depuis GnuPG et les autoriser à être déverrouillées pour les importer dans le nouveau stockage interne des clés de Thunderbird.

Thunderbird 78 utilise des paramètres différents de ceux d’Enigmail. Avec Enigmail, il était possible d’activer OpenPGP pour un compte de messagerie, mais le laissait sélectionner automatiquement laquelle de vos clés serait utilisée. Thunderbird 78 combine ces paramètres. Pour activer OpenPGP pour un compte de messagerie, il est nécessaire de spécifier explicitement la clé personnelle à utiliser.

Par conséquent, si vous aviez déjà utilisé la sélection automatique, alors la migration pourrait ne pas avoir encore sélectionné de clé. Après la migration, vous devriez vérifier manuellement la configuration de tous vos comptes de messagerie et identités et, si nécessaire, sélectionner manuellement la clé appropriée.

La migration d’Enigmail s’est terminée avec succès, mais je ne peux toujours pas utiliser OpenPGP

Si vous aviez activé Enigmail pour un compte de messagerie dans Thunderbird 68 et que vous aviez activé la préférence « Utiliser l’adresse électronique de cette identité pour identifier la clé OpenPGP », alors OpenPGP peut ne pas être activé automatiquement dans Thunderbird 78. Vous devez utiliser les paramètres de compte pour sélectionner manuellement une clé OpenPGP pour chaque compte et identité que vous souhaitez utiliser avec OpenPGP. Malheureusement, la migration Enigmail ne les sélectionne pas automatiquement pour vous.

Puis-je répéter la migration ?

Si un problème se pose avec la migration, vous pouvez la répéter. Par exemple, la migration peut échouer si vous rencontrez un bogue dans Thunderbird ou si vous ne vous souvenez pas du mot de passe de toutes vos clés personnelles et que vous n’avez effectué qu’une migration partielle. Pour répéter la migration, vous devez accéder à une commande à partir de la barre de menus. Si vous utilisez Windows ou Linux et que la barre de menus n’est pas visible, effectuez un clic droit avec la souris dans la partie supérieure de la fenêtre principale de Thunderbird et activez la barre de menus. Ensuite, utilisez le menu Outils, qui contient la commande « Migrer les paramètres Enigmail ».

J’ai essayé d’importer un fichier contenant des clés publiques et j’ai reçu un message d’erreur disant que le fichier est trop gros

Veuillez consulter la réponse à la question suivante.

Avant, j’utilisais OpenPGP avec GnuPG, mais avec un logiciel de messagerie électronique différent. Comment migrer mes clés dans Thunderbird 78 ?

Vous devez d’abord exporter vos clés de l’autre logiciel, puis les importer dans Thunderbird.

Pour exporter vos clés personnelles (aussi appelées clés privées ou clés secrètes), vous pouvez utiliser l’invite de commande pour les exporter vers un fichier. Pour exporter les clés gérées par GnuPG, vous pouvez utiliser la commande suivante :

gpg --export-secret-keys --armor > my-secret-keys.asc

Ensuite, vous pouvez les importer dans Thunderbird. Utilisez les fonctionnalités Ajouter une clé et Importer dans la section Chiffrement de bout en bout des paramètres des comptes de Thunderbird. Ou encore, utilisez la barre de menus globale pour ouvrir le menu Outils qui propose le gestionnaire de clés OpenPGP. Utilisez Importer une ou des clés secrètes depuis un fichier et sélectionnez le fichier créé comme expliqué ci-dessus. Vous n’avez probablement qu’une petite quantité de clés personnelles, cette approche devrait donc fonctionner.

Vous pouvez utiliser une approche similaire pour exporter les clés publiques de vos correspondants et correspondantes et utiliser la commande suivante :

gpg --export --armor > all-public-keys.asc

Cependant, si vous avez beaucoup de clés, vous pourriez rencontrer un problème en raison d’une limitation actuelle de Thunderbird. Pour l’instant, Thunderbird ne peut pas importer un grand ensemble de clés en une seule étape. Une tentative d’importation d’un fichier de plus de 5 Mo est rejetée.

Vous disposez de deux options pour contourner cette limitation.

• La première consiste à utiliser un gestionnaire de clés graphique pour GnuPG et d’exporter vos clés dans des fichiers séparés. Par exemple, si toutes les clés publiques ont une taille totale de 17 Mo, vous devrez créer quatre fichiers et sélectionner un quart des clés publiques dans chaque fichier exporté. C’est un peu lourd.
• Sinon, vous pouvez essayer d’utiliser le module complémentaire de migration Enigmail version 2.2.x pour importer des clés publiques dans Thunderbird, même si vous n’avez pas utilisé Enigmail auparavant.

Pour ce faire, utilisez Thunderbird 78 et recherchez le module complémentaire Enigmail. Il vous sera proposé d’installer sa version 2.2.x. Une fois installé, vous pouvez accéder manuellement à la commande « Migrer les paramètres d’Enigmail » depuis le menu Outils de la barre de menus supérieure de Thunderbird. Notez que cela peut échouer, selon de la façon dont vous avez configuré le logiciel GnuPG sur votre ordinateur, il ne peut donc pas être garanti que cette approche fonctionne.

Si le logiciel GnuPG a été correctement installé sur votre ordinateur, le module de migration Enigmail le trouve et importe toutes les clés publiques de GnuPG dans Thunderbird une par une, sans être affecté par la limite de taille mentionnée plus haut.

Enigmail rapporte que la migration de ma clé privée a échoué

Cela peut signifier que vous essayez d’importer une clé qui n’est pas encore prise en charge par RNP. Une autre raison possible est une configuration incomplète du logiciel GnuPG sur votre ordinateur, surtout si vous n’avez pas eu d’invitation à saisir un mot de passe pour exporter votre clé privée – cela ne devrait pas se produire si vous avez récemment utilisé Enigmail avec succès sur votre ordinateur.

Une bonne façon de vous assurer que GnuPG est correctement installé consiste à utiliser la procédure suivante :

• Installez Thunderbird 68 dans un répertoire distinct, puis lancez Thunderbird 68 avec l’option -P et exécutez-le avec un profil séparé (vous n’avez pas besoin de configurer de compte de messagerie, vous pouvez annuler cette demande).
• Installez ensuite Enigmail dans votre profil de Thunderbird 68 et lancez l’assistant de configuration d’Enigmail qui vous aidera à configurer correctement le logiciel GnuPG.

Si cela n’a pas fonctionné, vous pouvez consulter la FAQ d’Enigmail : https://enigmail.net/index.php/en/faq-en?view=topic&id=14

Quels sont les types de clés OpenPGP pris en charge ?

Veuillez noter : Thunderbird utilise le logiciel RNP pour traiter les clés, qui peut ne pas encore prendre en charge certains types de clés. Ce qui signifie que certaines clés prises en charge par GnuPG/Enigmail peuvent ne pas fonctionner avec Thunderbird 78 par défaut, en particulier certaines clés avec une structure avancée. Cependant, pour les clés privées, vous pouvez résoudre le problème en configurant Thunderbird pour utiliser GnuPG, comme expliqué dans la section suivante.

J’ai importé ma clé secrète, mais Thunderbird ne peut pas déchiffrer mes e-mails

Peut-être avez-vous importé la mauvaise clé ? Pour vérifier si vous avez vraiment importé la bonne clé, vous pouvez suivre les étapes suivantes :

1. Dans Thunderbird, cliquez sur un message que vous pensez pouvoir déchiffrer, mais que vous ne pouvez pas déchiffrer.
2. Utilisez le bouton ≡ > Enregistrer comme > Fichier et enregistrer votre message dans un fichier sur le disque (par exemple, /tmp/test.eml).
3. Ouvrez un terminal. Lancez la commande :
   
   gpg --list-packets /tmp/test.eml
   
   Vous devriez obtenir une liste d’identifiants de clés qui peuvent être utilisés pour décrypter le message (chiffré avec … ID …).
4. Retournez dans Thunderbird : ≡ > Outils > Gestionnaire de clés OpenPGP
5. Pour chacune des clés secrètes que vous avez à disposition (indiquées en gras), double-cliquez pour afficher les propriétés des clés, puis cliquez sur l’onglet structure.

Pouvez-vous trouver les identifiants qui étaient affichés ci-dessus par gpg ? Vous devez avoir les clés secrètes d’au moins un des identifiants affichés par gpg. Si vous n’avez pas de clé secrète correspondante, vous ne pouvez pas déchiffrer le message. Si vous disposez d’une clé secrète correspondante, mais que Thunderbird ne parvient toujours pas à déchiffrer le message, veuillez signaler le bogue à Thunderbird avec plus de détails sur votre clé.

Que faire si ma clé secrète n’est pas encore prise en charge par Thunderbird ?

Thunderbird 78 vous permet de configurer optionnellement le logiciel externe GnuPG pour manipuler vos clés secrètes (pour signer numériquement et déchiffrer les messages reçus). Cela permet l’utilisation de cartes à puce ou de tokens matériels qui stockent une clé secrète. Vous pouvez également l’utiliser pour des clés stockées dans des fichiers dans votre ordinateur et non prises en charge par l’implémentation OpenPGP intégrée à Thunderbird.

Vous devez installer et configurer vous-même le logiciel GnuPG nécessaire, car il ne peut pas être distribué avec Thunderbird. Par conséquent, ce mécanisme n’est pas activé par défaut. Pour savoir comment l’utiliser, veuillez vous référer à la question suivante sur les cartes à puce.

Notez que les clés publiques et leurs paramètres d’acceptation (pour le chiffrement et la vérification de signature) sont toujours gérés par le code interne de Thunderbird.

Puis-je utiliser une carte à puce ou un token matériel avec Thunderbird 78 ?

Oui, nous proposons un mécanisme en option. Il suppose l’installation de GnuPG et des autres logiciels nécessaires par vous-même. Veuillez consulter ce document (en anglais) pour plus de détails : https://wiki.mozilla.org/Thunderbird:OpenPGP:Smartcards

Envoyer un message électronique chiffré ou signé numériquement ?

Assurez-vous d’avoir configuré votre clé personnelle pour votre compte de messagerie ou votre identité. Lorsque vous écrivez un courrier électronique, utilisez le menu Options, ou le menu trouvé sur le bouton de sécurité, et activez la protection que vous souhaitez utiliser.

Qu’est-ce qui est nécessaire pour envoyer un message chiffré ?

• Vous devez configurer et sélectionner votre clé personnelle.
• Vous devez avoir une clé publique acceptée pour chaque destinataire du message chiffré que vous souhaitez envoyer. Les clés publiques sont souvent jointes aux messages de vos correspondants et correspondantes. Il y a plus d’informations sur l’obtention des clés publiques d’autres personnes dans une autre section de ce document.
• Vous devez vérifier que les clés publiques de vos correspondants et correspondantes leur appartiennent réellement. Si vous acceptez la clé publique de quelqu’un sans la vérifier, vous exposerez votre communication à l’attaque de l’homme du milieu.
• Si vous n’avez pas la clé publique de chaque destinataire, l’envoi de votre message est bloqué et Thunderbird vous en avertit. Vous pouvez choisir soit de ne pas envoyer le message du tout, soit de désactiver le chiffrement et envoyer le message sans protection.

Qu’est-ce que l’acceptation des clés signifie ?

Techniquement, n’importe qui est en mesure de créer une clé OpenPGP à n’importe quel nom, en utilisant n’importe quelle adresse électronique. Personne n’est capable de limiter ou d’empêcher cela. Par conséquent, chaque fois que vous recevez la clé publique d’un correspondant ou d’une correspondante, vous courez le risque qu’il s’agisse d’une fausse clé et d’une tentative de vous tromper. Sauf si vous avez vérifié la clé de votre correspondant ou correspondante, vous ne devriez pas avoir de conversation confidentielle, car vous pourriez bien être victime d’une attaque de l’homme du milieu. Il vous appartient de décider si vous vous préoccupez de ce vecteur d’attaque et vous pouvez choisir au cas par cas selon le correspondant ou la correspondante.

Si vous acceptez une clé, cela signifie que vous voulez utiliser cette clé pour envoyer des messages chiffrés à ce correspondant ou cette correspondante. Si vous recevez un courrier électronique d’un correspondant ou d’une correspondante, votre décision d’acceptation contrôle la façon dont la signature numérique est affichée. Seules les signatures des clés acceptées sont affichées comme valides.

Pourquoi marquer ma propre clé secrète acceptée comme clé personnelle ?

Il s’agit d’une attaque théorique. Thunderbird traite les clés personnelles différemment, il accorde la pleine confiance à ces clés, et nous ignorons la question habituelle d’acceptation (vérifiée, non vérifiée, etc.).

En théorie, un attaquant pourrait créer une clé au nom de l’un de vos contacts, vous envoyer la clé secrète et vous tromper pour que vous l’importiez. En vous obligeant à confirmer qu’une clé secrète vous appartient, vous ne manquerez pas de remarquer qu’elle n’est pas à votre nom et vous rejetterez probablement son utilisation comme votre clé personnelle. Cela arrête l’attaque. Ce paramétrage est similaire au modèle de GnuPG consistant à donner à la clé la « possession de la confiance ultime ».

Pourquoi le chiffrement est-il automatiquement activé lorsque je réponds à un message chiffré ?

Lorsque vous répondez, les informations qui figurent dans le message auquel vous répondez sont citées (incluses) par défaut. Votre correspondant ou correspondante pouvait avoir de bonnes raisons pour chiffrer son message, vous devez donc faire montre de beaucoup de prudence lorsque vous incluez le texte original dans un nouveau message que vous envoyez. Il est conseillé de continuer à utiliser le chiffrement. Si vous n’êtes pas en mesure de chiffrer, ou si vous envisagez de répondre sans chiffrement, vous devriez sans doute supprimer l’intégralité du texte cité du message que vous rédigez.

Comment obtenir les clés publiques de mes correspondants et correspondantes ?

Si votre correspondant ou correspondante vous envoie un courrier auquel sa clé publique est jointe, soit en pièce jointe ordinaire, soit contenue dans un en-tête de courrier caché selon le standard Autocrypt, Thunderbird vous propose d’importer la clé.

Vous pouvez essayer de découvrir les clés en ligne d’après l’adresse électronique, en cliquant sur une adresse électronique dans un message que vous lisez, et en utilisant la commande « découvrir la clé » affichée dans le menu contextuel. Actuellement, cette action lance une recherche des clés publiées en utilisant le protocole WKD et recherche les clés dans le serveur de clés keys.openpgp.org. Le même mécanisme peut être utilisé à partir du gestionnaire de clés OpenPGP, en utilisant la commande Keyserver « Discover Keys Online » qui permet une recherche en partant de n’importe quelle adresse électronique, identifiant de clé ou empreinte numérique. En outre, le même mécanisme de découverte peut être utilisé lors de la tentative d’envoi d’un courrier chiffré afin de vérifier les informations clés manquantes. Si une clé a été publiée sur Internet, vous pouvez la télécharger et utiliser le gestionnaire de clés OpenPGP pour importer le fichier téléchargé. Vous pouvez essayer aussi de l’importer en la téléchargeant depuis une URL donnée.

Enigmail proposait une recherche sur des serveurs de clés non vérifiables. Thunderbird n’offre pas cette possibilité pour l’instant en raison des différents problèmes détectés avec ces serveurs de clés dans le passé récent. Si vous avez besoin d’obtenir une clé d’un serveur de clés qui n’est pas actuellement pris en charge par Thunderbird 78, vous devez alors utiliser d’autres logiciels pour l’obtenir, puis l’enregistrer dans un fichier et, enfin, vous pouvez utiliser le gestionnaire de clés d’OpenPGP pour importer le fichier de cette clé publique.

Vous pouvez obtenir les clés publiques correspondantes d’autres serveurs en utilisant les commandes gpg suivantes :

gpg --keyserver pgp.key-server.io --armor --export PASTE_KEY_ID_HERE

Copiez les clés publiques PGP reçues dans le presse-papiers et importez-les en utilisant le menu Édition du gestionnaire de clés OpenPGP en choisissant l’option « Importer une ou des clés depuis le presse-papiers ».

Thunderbird prend-il en charge le chiffrement opportuniste ou automatique ?

Non. Pour l’instant, Thunderbird exige que l’utilisateur ou l’utilisatrice prenne le contrôle et décide quand le chiffrement doit être utilisé ou quand il ne doit pas l’être, en choisissant les options appropriées lors de la rédaction d’un courrier électronique.

J’avais configuré le module Enigmail pour faire confiance à toutes les clés utilisables. Thunderbird prend-il en charge cela ?

Non. Pour la clé publique de chaque correspondant ou correspondante que vous souhaitez ou devez utiliser, Thunderbird 78 demande que vous acceptiez cette clé au moins une fois.

Pourquoi Thunderbird active-t-il automatiquement la signature numérique lorsque j’active le chiffrement ?

Par lui-même, le chiffrement des messages ne fournit que la confidentialité du contenu, mais il ne fournit pas d’informations fiables sur la personne l’ayant réellement expédié. En théorie, quelqu’un pourrait vous envoyer un message chiffré, mais vous tromper sur son expéditeur ou expéditrice, vous donnant l’impression trompeuse d’une communication digne de confiance. Comme un message chiffré sans signature numérique n’est pas vraiment sécurisé, il est fortement recommandé de signer numériquement les courriers aussi.

Thunderbird n’offre pas actuellement l’option d’empêcher la signature numérique d’être activée automatiquement. Nous pourrions envisager d’offrir cette configuration par défaut à l’avenir. Pour l’instant, si vous ne voulez pas envoyer de signature numérique, vous devez désactiver manuellement à chaque fois cette option avant d’envoyer un courrier chiffré.

Pourquoi Thunderbird envoie-t-il automatiquement ma clé publique chaque fois que je signe numériquement un courriel ?

Le seul but de la signature numérique d’un message consiste en ce que le ou la destinataire puisse vérifier que la signature numérique est correcte. Une signature numérique ne peut pas être vérifiée si la clé publique du correspondant ou de la correspondante n’est pas disponible. Pour vous assurer que vos destinataires sont en mesure de vérifier votre signature, il est préférable de toujours inclure votre clé publique.

Pour l’instant, nous ne fournissons pas d’option de configuration permettant de ne pas ajouter automatiquement votre clé publique à un message signé numériquement, il est donc nécessaire de manuellement désactiver cette inclusion avant l’envoi.

Ma clé publique est très grande, car elle contient beaucoup de signatures. Elle est trop grande pour l’inclure dans chaque message signé

À cause de limitations, nous ne sommes pas en mesure actuellement de minimiser automatiquement votre clé. Si vous voulez éviter que votre grande clé soit envoyée avec chaque message signé numériquement, vous pouvez utiliser d’autres logiciels, tel GnuPG, pour modifier et minimiser votre clé. Assurez-vous de conserver une sauvegarde fiable de votre clé secrète. Exportez ensuite votre clé. Utilisez d’autres logiciels pour la minimiser. Supprimez ensuite votre clé secrète dans Thunderbird, importez la clé minimisée et assurez-vous d’ajuster les paramètres de votre compte pour l’utiliser. Une version à venir de Thunderbird pourrait essayer de minimiser automatiquement la clé si nécessaire, mais cela dépendra des fonctionnalités futures de la bibliothèque RNP.

Avec GnuPG, j’ai utilisé une configuration avancée pour utiliser un groupe de destinataires et définir les clés à utiliser

Actuellement, Thunderbird 78 ne prend pas en charge cette fonctionnalité, mais nous voulons le faire à l’avenir. Cette amélioration est suivie dans le bogue 1644085.

Thunderbird prend-il en charge les règles par destinataire ou les règles de filtrage pour déchiffrer automatiquement les messages ?

Puis-je désactiver le chiffrement du sujet du message ?

Non, pas pour le moment.

Thunderbird prend-il en charge la toile de confiance ?

Non. Thunderbird n’accorde pas automatiquement la confiance aux clés signées par autrui, ni ne les accepte. Aussi, pour l’instant, si vous indiquez avoir vérifié la clé d’un correspondant ou d’une correspondante, Thunderbird ne lui ajoute pas votre signature. Cela pourrait changer dans une prochaine version de Thunderbird.

Lors de l’utilisation de l’outil de migration Enigmail pour migrer les clés publiques, Thunderbird devrait détecter les clés qui ont déjà été signées par votre clé personnelle, et marquer automatiquement les clés correspondantes comme acceptées, de sorte que vous n’avez pas besoin de commencer à partir de zéro.

Comment Thunderbird stocke-t-il les clés acceptées ?

Ces informations sont conservées dans un fichier appelé openpgp.sqlite dans le répertoire du profil de Thunderbird.

Où Thunderbird stocke-t-il les clés OpenPGP ?

Elles sont conservées dans le répertoire du profil de Thunderbird.

Comment puis-je exporter ma clé secrète ou publique ?

Utilisez le gestionnaire de clés OpenPGP que vous pouvez trouver dans le menu Outils de la barre de menus principale. Retrouvez-y la clé que vous souhaitez exporter et cliquez dessus pour la sélectionner. Utilisez alors la barre de menus de cette fenêtre pour ouvrir le menu Fichiers et sélectionnez « Exporter une ou des clés publiques » ou « Sauvegarder une ou des clés secrètes » selon votre besoin. Le gestionnaire de clés OpenPGP permet aussi d’exporter les clés publiques de vos correspondants et correspondantes.

Vous pouvez aussi ouvrir les paramètres des comptes pour le compte de courrier de la clé que vous voulez exporter et sélectionner le panneau Chiffrement de bout en bout. À côté de chaque clé personnelle, se trouve un petit chevron sur lequel vous pouvez cliquer pour ouvrir les informations de la clé. Cliquez le bouton Plus pour afficher la liste des actions possibles. Choisissez soit « Exporter une ou des clés publiques » soit « Sauvegarder une ou des clés secrètes ».

J’ai besoin d’utiliser GnuPG et Thunderbird en parallèle, puis-je synchroniser mes clés ?

Non. Pour l’instant, Thunderbird utilise sa propre copie des clés et ne prend pas en charge la synchronisation des clés avec GnuPG. L’exception est le mécanisme proposé pour les cartes à puce, qui pourrait servir à utiliser les clés personnelles gérées par GnuPG.

Comment ma clé personnelle est-elle protégée ?

Au moment où vous importez votre clé personnelle dans Thunderbird, nous la déverrouillons et la protégeons avec un mot de passe différent qui est automatiquement (aléatoirement) créé. Le même mot de passe automatique est utilisé pour toutes les clés secrètes OpenPGP gérées par Thunderbird. Vous devriez utiliser la fonctionnalité du mot de passe principal de Thunderbird. Sans mot de passe principal, vos clés OpenPGP dans votre dossier de profil ne sont pas protégées.

Thunderbird prend-il en charge le protocole Autocrypt ?

Thunderbird ne prend pas en charge la philosophie du protocole Autocrypt selon lequel le chiffrement devrait être entièrement automatique. Cependant, Thunderbird fournit une compatibilité limitée avec des clients de messagerie qui prennent en charge le chiffrement automatique.

• Lorsque vous envoyez un courrier et que vous utilisez l’option permettant de joindre votre clé publique OpenPGP et que votre clé est suffisamment simple pour être compatible avec Autocrypt, Thunderbird ajoute l’en-tête approprié dans le message sortant, ce qui peut permettre à votre correspondant ou correspondante d’en apprendre davantage sur votre clé publique.
• Lorsque vous recevez un message contenant la clé publique d’un correspondant ou d’une correspondante dans un en-tête Autocrypt, Thunderbird vous permet d’importer la clé.
• Pour le moment, Thunderbird ne prend pas en charge la fonctionnalité « Gossip ».

J’ai déjà utilisé le mode junior d’Enigmail (symboles verts, rouges, jaunes), quelles sont mes possibilités ?

Enigmail pour Thunderbird 68 avait proposé deux modes de fonctionnement très différents. Un mode classique, décrit dans les paramètres comme « force utilisant S/MIME et Enigmail », et un mode « junior », mis en œuvre par le logiciel de la société de logiciels pEp. Notez que Thunderbird n’est pas affilié à la société pEp.

Thunderbird 78 ne fournit pas le mode junior, la fonctionnalité OpenPGP intégrée que fournit Thunderbird 78 est davantage similaire au mode de fonctionnement classique d’Enigmail.

Au démarrage de Thunderbird 78, après la mise à niveau d’Enigmail vers la version 2.2.x (la version qui fournit l’assistance à la migration), Enigmail va ouvrir une page web fournie par la société pEp, dans laquelle il vous sera proposé de télécharger une version plus récente de son logiciel.

Si vous ne voulez pas installer de logiciel de pEp, vous pouvez essayer une migration manuelle vers la nouvelle fonctionnalité OpenPGP intégrée à Thunderbird. Pour ce faire, vous devez définir la configuration qui a désactivé le mode Junior précédent. Ouvrez les paramètres généraux de Thunderbird, faites défiler vers le bas, ouvrez l’éditeur de configuration et recherchez la préférence extensions.enigmail.juniorMode. Double-cliquez dessus pour la modifier, et définissez sa valeur à zéro. Ce changement de configuration fait croire à l’outil de migration Enigmail que vous utilisiez le mode classique d’Enigmail.

Redémarrez Thunderbird 78. Après le redémarrage, l’assistant de migration Enigmail 2.2.x vous proposera d’effectuer une migration de vos clés. Comme l’outil Enigmail ne fait que migrer les clés et les paramètres gérés par GnuPG, il ne peut pas migrer les paramètres de confiance gérés par le logiciel pEp. Cependant, Enigmail devrait être en mesure de migrer vos clés personnelles, vous permettant de déchiffrer les messages chiffrés avec cette clé. Enigmail devrait également pouvoir migrer les clés publiques de vos correspondants et correspondantes. Cependant, la plupart des clés correspondantes, ou toutes, ont probablement le statut « non acceptée » dans Thunderbird 78, vous devez donc les accepter ou les vérifier une seule fois quand vous essayez de les utiliser.

Après avoir redémarré Thunderbird 78, si aucune proposition de migration n’est affichée, vous devez alors accéder à une commande depuis la barre de menu supérieure. Si vous utilisez Windows ou Linux, et que la barre de menus supérieure n’est pas visible, utilisez un clic droit de la souris dans la zone supérieure de la fenêtre principale de Thunderbird, et activez la barre de menus. Ensuite, ouvrez le menu Outils, qui contient la commande « Migrer les paramètres d’Enigmail ».

J’utilise Enigmail 2.2.x pour effectuer une migration, mais l’importation apparaît bloquée

Peut-être que le logiciel a rencontré un problème. Veuillez consulter la section expliquant comment obtenir de plus amples informations sur les échecs.

Où poser des questions ou signaler des problèmes avec la fonctionnalité OpenPGP ?

Si votre problème n’est pas traité dans cette page ou les documents liés, veuillez vous référer à la section « Discussion » de la page suivante pour savoir comment nous contacter : https://wiki.mozilla.org/Thunderbird:OpenPGP#Discussion

Comment savoir si mon problème a déjà été signalé ?

Veuillez vous référer à la section « Open issues and TODO list » (Questions ouvertes et liste des choses À faire) : https://wiki.mozilla.org/Thunderbird:OpenPGP#Open_issues_and_TODO_list

Je vois un problème et je veux essayer de l’analyser moi-même

Vous trouverez plus d’informations ici dans la section « Debugging / Tracing » (Débogage / Suivi) : https://wiki.mozilla.org/Thunderbird:OpenPGP#Debugging_.2F_Tracing

Thunderbird a été automatiquement mis à niveau vers la version 78, mais je préfère rester avec Thunderbird 68 et Enigmail

Lorsque vous avez démarré Thunderbird 78 avec un profil, vous ne pouvez pas revenir facilement à la version 68, car le profil a été migré. Thunderbird 68 refusera de l’utiliser et ne démarrera pas.

• Si vous disposez d’une sauvegarde de votre profil, vous pouvez essayer de le restaurer. Vous devriez alors pouvoir redémarrer Thunderbird 68.
• Si vous n’avez pas de sauvegarde, vous pouvez créer un nouveau profil pour Thunderbird 68 et configurer Thunderbird à nouveau.
• L’utilisation de l’option de démarrage de Thunderbird --allow-downgrade n’est pas recommandée, car vous perdriez certains paramètres de configuration et vous risquez de provoquer un comportement inattendu.

J’ai reçu un message chiffré avec un destinataire caché (clé ID 0x0000000) et Thunderbird ne peut pas le déchiffrer

Ce n’est pas encore pris en charge. L’ajout de cette fonctionnalité est suivi ici : https://github.com/rnpgp/rnp/issues/1275