Chiffrer vos emails, une stratégie assez souvent oubliée, du côté professionnel comme du côté personnel. Le chiffrement pgp, Pretty Good Privacy, bon niveau de confidentialité en français, permet de chiffrer ses emails à l’aide d’un système de chiffrement symétrique. Que vous soyez un particulier, un professionnel, ou directeur d’une entreprise, ce système de chiffrement devrait être obligatoire
Échanger de manière la plus sécurisé avec vos managers, et autres employés, afin d’éviter l’usurpation d’identité par exemple, ou les arnaques au président.
Voyons ensemble comment fonctionne ce système de chiffrement !
Fonctionnement de pgp
Le chiffrement pgp utilise un système de chiffrement symétrique. Vous pouvez tout chiffrer avec pgp, que ça soit vos emails, ou des fichiers. Le fonctionnement est très simple est utilise les paires de clé publique et clé privé.
Afin d’utiliser pgp, il faut bien entendu générer sa clé publique, visible au yeux de tous, et sa clé privé, totalement secrète. Vous possédez donc une clé privé, qui ne doit en aucun cas être partagé, qui permet de déchiffrer et une clé publique qui permet de chiffrer.
Cette clé publique va servir à chiffrer l’email (ou autre) d’une certaine manière, de sorte que vous pussiez le déchiffrer avec votre clé privé. Seul vous pourrez déchiffrer cet email ou ce fichier. Si vous chiffrer un email (ou autre) avec la clé publique de quelqu’un d’autre, et non la votre, seule le propriétaire de cette clé publique pourra déchiffrer l’email que vous voulez lui transmettre, tant que la clé privé n’est pas compromise.
Pour résumer, une clé publique sert à chiffrer, et une clé privé à déchiffrer. Vous ne pouvez donc que chiffrer avec une clé publique, voila pourquoi vous pouvez la partager, en pièce jointe par exemple dans vos emails, ou dans des serveurs prévus à cet effet.
Vous vous demandez sûrement comment savoir si il y a usurpation d’identité ? Après tout, comment savoir si clé publique est bien celle de la personne à qui je veux communiquer, envoyer des données sensible et autre ? Figurez vous qu’il y a une deuxième astuce pour le savoir !
Chaque clé possède une empreinte unique, c’est une sorte de clé raccourci permettant de la comparer, les clés publiques étant assez longues, les empreintes permettant donc de s’assurer de l’identité de la personne. Une fois les empreintes vérifiées, par exemple par téléphone ou en physique, vous pouvez signer numériquement la clé.
Cas concret : vous recevez un email chiffré d’une personne que vous connaissez mais l’adresse email n’a pas été signé numériquement (comparaison empreinte), il se pourrait donc :
- que c’est une usurpation d’identité, quelqu’un essai de se faire passer pour la personne en question
- ou que la cette personne à généré une nouvelle clé publique
Dans le second cas, vous l’aurez compris, il faudra immédiatement vérifier la véracité de ses dires en comparant l’empreinte de la clé publique.
Dans ce cas, une personne mal intentionnée peut parfaitement lire voir modifier l’email de l’email au récepteur. Et pourtant, le récepteur n’y verra que du feu, car n’ayant par vérifié l’empreinte de l’émetteur, le récepteur pensera que cet email est authentique alors qu’il peut passer par plusieurs personnes avant d’arriver entre ses mains …
Utilisation de pgp
Que vous soyez sur Linux, Mac OS X ou Windows, vous pouvez sans problème utiliser pgp (ou gpg). La majorité du temps, utiliser pgp avec un client email est conseillé, par exemple avec le fameux Thunderbird.
De nos jours, pas mal de progrès ont étaient fait via les navigateurs, permettant, par exemple, d’utiliser Gmail avec pgp. L’une des solutions phare est ProtonMail. L’utilisant de temps à autre, elle est vraiment très pratique et extrêmement simple à utiliser.
Cas pratique
Nous utiliserons ProtonMail dans ce cas, mais la démarche est la même.
Ayant échangé ma clé publique avec un client, je me suis assuré, et elle aussi, que l’empreinte été bonne en rencontrant cette personne. Pour vérifier cela sur Protonmail, allez simplement dans Contact, puis cliquez sur le contact choisi.
Enfin, cliquez sur la roue dentée, et validez l’empreinte.
Conclusion
Nous avons vu à travers cet article comment et pourquoi chiffrer vos emails professionnels ou personnels. Le monde professionnel échangeant de nature des informations sensibles, l’utilisation de pgp devrait être plus qu’obligatoire, les salariés devraient êtres formés la dessus.
Vous êtes dirigeant d’une entreprise, vous souhaitez dès à présent communiquer de manière sécurisé avec vos interlocuteurs sans être victime d’une usurpation d’identité ? N’hésitez pas à nous contacter, nous nous ferons un plaisir de vous répondre !
Information 🔥
Vous souhaitez en savoir plus concernant la cyber-sécurité ? Ou vous souhaitez rendre votre entreprise plus cyber-résiliente et vous prémunir des cyber-attaques ? 👾
Découvrez notre rapport téléchargeable gratuitement avec des étapes pratiques à réaliser afin de faire tendre votre entreprise vers la cyber-résilience : https://ab-agency.net/cyber-securite-cyber-resilience ✅