Comme on vous l’expliquait dans notre article détaillant le fonctionnement des services d’emails chiffrés, pour pouvoir envoyer et recevoir des mails chiffrés, il est nécessaire de procéder à un partage des clés publiques OpenPGP. Mais comment le faire facilement et surtout, où ? On vous explique.
Les serveurs de clés
Les serveurs de clés modernes
En 2019, des attaques de key poisoning ont sonné le glas des anciens modèles de serveurs de clés SKS basés sur le Web of Trust, un principe où les utilisateurs avaient la charge de valider le lien entre l’identité des personnes et leurs clés publiques à l’aide de signatures. Apprenant de ces erreurs, des nouveaux serveurs de clés ont pris la suite et ont décidé de fonctionner de façon plus centralisée. Le plus connu d’entre eux est probablement keys.openpgp.org qui a opté pour une nouvelle approche de la gestion des clés. Cette fois-ci, la propriété des clés est non plus vérifiée par les utilisateurs, mais par le service, qui envoie un mail de confirmation à l’adresse mail à laquelle la clé est liée. Également, le serveur ne fonctionne pas de manière décentralisée. Le choix est justifié par le souci de protéger la vie privée et la sécurité des utilisateurs : pour faire tourner une instance du serveur, il serait nécessaire d’avoir accès à l’ensemble des adresses mail enregistrées, ce qui permettrait à n’importe qui de récupérer une liste facilement et de les spammer.
Tout n’est pas parfait et cette approche vient avec des désavantages, comme l’impossibilité d’avoir plus d’une clé publique liée à une adresse mail. Également, si votre adresse mail est compromise, l’attaquant peut décider de verser une nouvelle clé à partir de celle-ci. Et enfin, ce fonctionnement met définitivement fin au Web of Trust puisque les signatures sont supprimées. Mais, grâce à cette façon de faire, il est possible de supprimer son adresse mail du répertoire et d’éviter de voir s’accumuler des clés publiques obsolètes.
Pour trouver votre clé, les utilisateurs doivent rentrer votre adresse mail exacte ou l’empreinte de votre clé publique. Si on veut distribuer à grande échelle sa clé publique, il est donc conseillé de s’inscrire sur l’un des serveurs de ce genre, en vérifiant bien que le serveur en question n’est pas un serveur de clés SKS, sensibles aux attaques. Généralement, les services de messagerie sécurisés proposent leurs propres serveurs de clés, sur lesquels il est possible de rechercher d’autres utilisateurs du service.
Retrouvez nos autres contenus sur les messageries chiffrées :
Web Key Directory
Un moyen encore plus simple pour obtenir les clés publiques de ses contacts est le Web Key Directory (WKD). Si vous utilisez un client de messagerie qui est compatible, dès que vous communiquez avec quelqu’un dont la clé publique a été ajoutée au Web Key Directory, votre client de messagerie se charge pour vous de la chercher et de la récupérer, vous permettant de communiquer facilement de façon sécurisée avec cette personne. Dans certains cas, vous n’avez même pas besoin de la télécharger si vous ne souhaitez pas gérer un trousseau de clé.
Chaque fournisseur d’email qui supporte WKD possède son propre serveur WKD, lié à son domaine. Cela signifie que dès qu’une paire de clés est créée ou importée pour une adresse mail créée sur leur service, la clé publique est également ajoutée à leur serveur WKD. Si vous utilisez un client de messagerie compatible, ou que votre messagerie offre ce service, vous et vos contacts n’avez donc plus besoin d’utiliser exactement le même fournisseur pour profiter de communications chiffrées automatiquement. Si votre adresse mail est liée à un domaine que vous possédez, vous devrez procéder à l’ajout vous-même. Plusieurs tutoriels existent sur le sujet.
Aujourd’hui, WKD est assez bien supporté. Des fournisseurs de messagerie comme Protonmail ou Mailfence proposent l’ajout et la recherche automatique de clés pour leurs utilisateurs. Des logiciels et extensions comme Thunderbird et Enigmail prennent également en charge la fonctionnalité.
Partager sa clé publiquement
Un autre moyen utilisé pour le partage de clés publiques est leur publication, à l’aide d’un lien par exemple, sur ses réseaux sociaux ou son site web. En partant du principe que vos réseaux sociaux ou votre site web n’ont pas été détournés, vos contacts peuvent donc avoir confiance dans le fait que la clé publique et l’adresse mail vous appartiennent bien. Vous pouvez également partager votre clé publique à vos contacts dans vos discussions en ligne, toujours en partant du principe que vous êtes sûr de l’identité de la personne avec qui vous discutez.
Si vous utilisez un service de messagerie sécurisé, il vous proposera généralement d’attacher automatiquement votre clé publique à chacun de vos mails. Le désavantage de cette méthode, c’est que même les personnes qui n’utilisent pas ce système la recevront. Peu importe la méthode de partage, il est généralement recommandé de procéder à une vérification supplémentaire par téléphone par exemple, à l’aide des empreintes des clés, pour s’assurer qu’elles sont légitimes.
- storage1 Go de stockage
- securityChiffrement natif par défaut
- alternate_emailPas de domaine personnalisé
- smartphoneApplications iOS, Android
- push_pinJurisdiction Suisse
