Protéger sa correspondance

Internet est de moins en moins sûr. Nous y sommes surveillés, profilés, harcelés de plus en plus, et cela nous oblige, si l’on n’est pas Mme Michu, à prendre plus de précautions.
Dans cet article, la question se limite à :
« comment faire pour que notre courrier reste privé ? »

 

Notre courrier électronique intéresse beaucoup de monde, et les spécialistes n’ont en général aucune difficulté à en prendre connaissance – bien moins qu’avec notre courrier postal !

La problématique est bien exposée par cet article d’un correspondant de la CNIL.

Plusieurs moyens sont utilisables pour en renforcer la confidentialité.

Le premier moyen consiste à ne pas utiliser les grands webmails habituels, comme par hasard tous américains (et soumis par conséquent au Patriot Act, et donc à une surveillance constante de la NSA et autres organismes de sécurité). Par ailleurs, vous n’êtes pas sans savoir que nos données sont exploitées systématiquement à des fins commerciales, et ce n’est pas par hasard si ces services gratuits pour l’usager leur rapportent autant d’argent.
Ne pas mettre sa messagerie dans des boîtes qui prospèrent grâce à l’exploitation de nos données paraît être une précaution élémentaire, quand même !

Le deuxième moyen passe par la sécurisation des connexions : Quelque soit votre prestataire, assurez-vous au moins qu’il vous propose une connexion sécurisée, de type SSL/TLS. Vérifiez-le dans les paramètres de votre programme de courrier. Par ex., dans Thunderbird de Mozilla, cela apparaît dans les « paramètres serveur » : les 3 images montrent les options les plus courantes. Si votre prestataire ne permet pas d’obtenir une connexion sécurisée, alors changez-en : Même Gmail, yahoomail ou hotmail vous le proposent.
securite-3-schemas
Cette remarque n’est-elle pas contradictoire avec ce que je disais plus haut ? Si, en partie : C’est une chose d’éviter l’interception des données dans le « tuyau de connexion », ce que permet, en principe, le protocole SSL (ou plutôt TLS 1, et si possible 1.2). C’en est une autre de rendre ces données indéchiffrables dans les serveurs où elles transitent et sont stockées.
C’est le même problème que pour les VPN : les données sont illisibles quand elles sont dans les tuyaux, mais elles sont en clair et donc consultables à chaque étape de leur périple sur la toile.

La 3ème solution consiste alors à chiffrer les messages. Et là, évidemment, c’est plus ou moins compliqué, selon le degré de sécurisation que l’on recherche.
La solution proposée ici n’offre pas une sécurité absolue, qui exigerait des moyens disproportionnés à la recherche de notre droit légitime à l’intimité de notre correspondance privée. Mais j’invite ceux que cela intéresse à se tourner vers des méthodes de cryptographie, qui abondent, en privilégiant quand même des outils gratuits et open source comme GPG. Vous trouverez un excellent tuto sur le site de Korben. Je viens de trouver cet autre tuto, plus récent, en provenance de la Free Software Foundation, et en français.
Et si vous êtes parano ou/et poursuivi par les services secrets, adoptez Tails !

Moi, ce que je propose, c’est simplement de chiffrer vos messages confidentiels, avec un outil que vous possédez probablement déjà, parce que vous en avez besoin pour compresser/décompresser des documents.
Les logiciels de compression (« d’archivage ») sont légion, et il y en a suffisamment de gratuits. Alors bien sûr, tous les logiciels de compression n’offrent pas d’option de « cryptage » (en français, on parle de chiffrement). Mais les principaux, comme Winrar, Winzip, 7-Zip, etc. le font. Tous ne proposent pas la même puissance de chiffrement, comme l’explique cet article de Tom’s Hardware qui compare Winzip et Winrar.
Personnellement, j’utilise 7-zip, gratuit, open source, multi-plateformes et très puissant (seule son ergonomie laisse à désirer), qui me permet de chiffrer mes messages en AES-256, et de chiffrer en plus le nom de fichier, ce qui rendrait le craquage de mes messages long et coûteux. Si votre correspondant n’a pas 7-zip, il peut déchiffre votre message avec Winrar.
Je ne vous décris pas la procédure, simplissime, puisque Framasoft a fait un excellent tuto. Et en voici un autre pour Winrar.
Une solution plus complexe consiste à utiliser un plugin de chiffrement comme enigmail pour la messagerie Thunderbird. Voici un tuto. Je vais bientôt faire un petit article sur Claws-mail, qui est une bonne alternative.

La seule contrainte, c’est qu’il faut bien sûr que votre correspondant possède le mot de passe. Chez moi, pas de problème, puisqu’il s’agit de communiquer avec ma famille et mes très proches, avec qui je partage le même jeu de clés (une clé par usage), qu’on s’est fixé en réunion. A vous de trouver votre propre solution, la seule que je vous déconseille étant évidemment de la communiquer par mail ! 😉

Enfin, on peut se tourner vers une messagerie sécurisée. J’en parle en dernier, car elle utilise des méthodes dont on a parlé ci-dessus : connexion sécurisée et chiffrement des messages ; l’avantage étant de ne pas avoir à mettre les mains dans le cambouis. L’offre est surtout professionnelle, comme Secure e-mail de Suva. Mais l’affaire Snowden a boosté la demande des particuliers, et donc des offres existent ou se préparent. Par ex. Méga, pour ceux qui sont clients par ailleurs, ou Mailpile, un webmail islandais prometteur (mais en anglais pour l’instant, et pas encore très stable à ce que j’ai lu).
Je propose une liste de messageries sécurisées dans mon article double, pour les webmails d’une part, pour les clients de messagerie d’autre part, et que je m’efforce de tenir à jour, car avec la multiplication incroyable des atteintes à la vie privée à laquelle nous assistons, cela devient une nécessité pour assurer sa sécurité, comme l’explique Mozilla, .

Espérons cependant que ces messageries sécurisées ne subiront pas le sort de Lavabit ! Bravo Lavar Levison, on te plaint vraiment, et on est fier de toi. Car tu auras montré que des messageries sécurisées peuvent réellement protéger leurs utilisateurs, tant que leurs responsables résistent aux pressions. N.B. On vient d’apprendre que c’est la pression des services secrets américains qui voulaient absolument obtenir les mails de Edward Snowden qui a conduit Lavar Levinson à fermer Lavabit.