Depuis quelque temps, tous les e-mails que j’envoie sont accompagnés d’un fichier “signature.asc”.
Il s’agit d’un fichier qui prouve que le message que vous avez reçu est le même que celui que je vous ai envoyé.
Pourquoi faire ?
Signer un e-mail permet de le dater, de vérifier son émetteur et de s’assurer que son contenu n’a pas été modifié.
Il faut savoir que entre l’émetteur et le destinataire d’un email, celui-ci passe par plusieurs ordinateurs qui le lisent tous (pour savoir vers qui l’acheminer par exemple).
La possibilité que le message soit modifié existe, c’est déjà arrivé :
- http://www.demainlemail.com/2013/03/censure-des-mails-par-apple-quelle-legitimite/
- http://www.atlantico.fr/decryptage/quand-google-veut-censurer-vos-mails-phrases-problematiques-et-denonciation-automatique-quels-risques-pour-libertes-individuelle-724183.html
Qu’est ce que vous devez faire ?
Rien si vous vous en fichez. C’est un truc de parano.
Par contre si votre vie privée vous tient à cœur et que vous n’avez pas confiance en vos intermédiaires (cf ci-dessus) vous pouvez vérifier l’intégrité du message reçu.
Le plus simple est d’installer Enigmail sur Thunderbird ou un dérivé (perso j’utilise PostBox) ou Gpg4Win pour Outlook. Il y en a surement plein d’autre.
Sous Chrome/Firefox Mailvelope
Pour plus d’information sur la signature Gpg : www.gnupg.org
Comment ça marche ?
Lorsque le message est écrit, la signature est générée en fonction de son contenu au moyen de ma clé privée (il n’y a que moi qui peux l’utiliser).
Cette signature peut être lue seulement avec ma clé public (ci-dessous).
Donc :
- Si le message reçu est modifié la signature n’est plus valide.
- Si l’émetteur n’est pas moi (mais a utilisé mon adresse email) il ne peut pas le signer en mon nom. Si vous recevez un message de ma part non signé, c’est louche.
T’es parano ?
Oui vous devriez aussi.
L’étape suivante est de chiffrer le message. Dans ce cas non seulement le message ne peut être modifié mais il ne peut pas non plus être lu par quelqu’un d’autre que son destinataire. C’est en gros ce qu’on espère quand on envoi un courrier à quelqu’un.
Ce n’est pourtant pas le cas : http://www.framablog.org/index.php/post/2013/12/15/Votre-courrier-gratuit-Schnail-Mail
Cela implique que le destinataire a un moyen de déchiffrer le message. Si c’est votre cas faite le moi savoir.
Ma signature public
-----BEGIN PGP PUBLIC KEY BLOCK----- Version: SKS 1.1.4 Comment: mQENBFKCy3QBCACZ8sgjRxlQuVT44eZYBhkegPg5C2nCBkIZxb976tpaiphixnjY2t7AyfUe 6PUBl72oVX/plvYYb/u2Q4k4zgtPBj0j2kU/VsPf5d+lB78tP94mJl49LSFj0RYZOrPOU/U8 dhQERHrt6pryXr8UlIu6km+Kc22k3IspzYUCBi5VpsAt6qBI4RN+LTpsjY6te3LgXaBu1Fk1 W9ueKTPD2QTveCtboY5z3mAQ4KM73DhUNrerR8EF19DKnP2Om1vLC0pmQjV+Ocdr+Jc/IoI0 UKdUBdq73ywQmcdQ3QpJoUV/0hs0Tqv989w9cgMaTxEbwNbSw2+v/kpNeRg3iAXCm/m3ABEB AAG0Ikdlb3JnZXMgQ3ViYXMgPGNvbnRhY3RAc2FtZGhhLm5ldD6JATkEEwECACMFAlKCy3QC Gw8HCwkIBwMCAQYVCAIJCgsEFgIDAQIeAQIXgAAKCRD0zeRuGknGWaQIB/427qn22Om+vNdu RlG1rzmwYi67j+InoAQiNCwQvzWGZzQhTNAgRFlCWw6KU7Z8BQCar3/mxXbC3RiUiq39mpz9 pWOpOjaxEPp1ZetdQSln5KYLe0iMSTUEg7jY65GH6BpXRhufs/4oKadP01eDRY12gRj7KwkG S8Py7q4r5KMhS8tBW24V1kLGEUTbismAoA1RXLQBrArCHxE58l6tXGjehs90dpoUWEhpj78r EfkNN1cucPPTEkh8t8o6N7MgN/5Uomu38wSj0RamVulTYPdnkJAYJLyKXTX1CUDA8Sidgj3q zMWdTymLKooU5ioJ7iuLOvTdXp63ZqUZWDcTNtoQ =adHF -----END PGP PUBLIC KEY BLOCK-----
que vous pouvez retrouvez ici : http://pgp.mit.edu/pks/lookup?op=get&search=0xF4CDE46E1A49C659