Outils pour utilisateurs

Outils du site


sysadmin:mail:thunderbird:chiffrement

Chiffrement et courrier électronique avec Mozilla Thunderbird

Les termes « cryptage » et « crypter » sont des anglicismes ; en français, on dit chiffrement et chiffrer lorsqu'on utilise la cryptographie.

On aborde ici les points suivants :

  • chiffrement des connexions entre le logiciel client (Thunderbird) et les serveurs (IMAPS, POPS, SMTPS),
  • chiffrement des messages eux-mêmes, par S/MIME ou OpenPGP.

Les connexions chiffrées par SSL/TLS (IMAPS, POPS, SMTPS) et S/MIME utilisent des certificats X.509.

Gestion des certificats

Le chiffrement consiste essentiellement à utiliser la cryptographie à clefs publiques. Pour chiffrer les connexions entre Thunderbird et les serveurs, on utilise SSL/TLS i. e. X.509 et son modèle centralisé avec tiers de confiance (l'autorité de certification).

Chiffrement de la connexion

Dans ce contexte, le chiffrement consiste à chiffrer la connexion entre Thunderbird et le serveur. Ce chiffrement permet de :
  • s'assurer que le serveur est le bon,
  • s'assurer de la confidentialité des communications.

Autrement dit, votre login et votre mot de passe sont envoyés au bon serveur et non pas à un faux serveur qui recueillerait alors ces précieux sésames. D'autre part, ils ne transitent pas en clair. Enfin, vos messages non plus ne transitent pas en clair.

C'est au serveur à permettre (ou non) une connexion chiffrée ie. sur SSL/TLS. Pour utiliser SSL, aller dans Paramètres des comptes et cliquer sur Serveur sur la gauche :

En cochant SSL, le port passe de 143 à 993 pour IMAPIMAPS et de 110 à 995 pour POPPOPS.

2008/08/29 10:37

Chiffrer et signer les messages

Dans ce contexte, le chiffrement permet de :

  • signer numériquement les messages,
  • chiffrer les messages.

En général, on utilise le chiffrement pour signer les messages, plus rarement pour les chiffrer.

La signature électronique des messages assure les destinataires que :
  1. l'expéditeur n'a pas été usurpé,
  2. le contenu n'a pas été altéré durant le transit du message.

Le chiffrement des messages assure la confidentialité des échanges.

La gestion des clefs de chiffrement est un problème complexe ; il existe deux mondes :

  • celui où l'on fait confiance à un tiers, l'autorité de certification ; on utilise alors des certificats X.509, centralisés par les autorités de certifications.
  • celui où l'on ne fait confiance qu'à soit même et un réseau de confiance, complètement décentralisé ; on utilise alors des clefs OpenPGP et on dispose de son réseau de confiance.

X.509 aka S/MIME

Tout est fournit en standard avec Thunderbird, pas besoin d'installer une extension. Pour commencer, il vous faut :

  • votre certificat,
  • les certificats de votre autorité de certification.

Votre certificat vous est fournit sous la forme d'un fichier (au format PKCS#12) par l'opérateur de l'autorité. Ce fichier contient la clé privée et le certificat lui-même et est protégé par une passphrase (mot de passe long). Le certificat contient votre clé publique et sa description (émetteur, propriétaire, validité, etc.).

Certificats utilisateurs

Ici notre certificat est bien présent (le bouton Importer nous a servi à l'installer).

Passons aux paramètres du compte, sélectionnons Sécurité dans le panneau de gauche :

En cliquant sur Sélectionner un certificat, la fenêtre suivant s'ouvre pour sélectionner le certificat ; ici il n'y en a qu'un :

Thunderbird demande si ce certificat est aussi utilisé pour déchiffrer les messages :

À la fin, le certificat est sélectionné ; il reste à cocher Signer les messages numériquement pour que tout message sortant soit signé :

Voici un message signé dont la signature est valide :

Dans la pratique, un message signé par S/MIME contient une pièce jointe smime.p7s ; ce fichier contient la signature et le certificat.

OpenPGP

Pour commencer, il faut :

  • avoir installé PGP ou GnuPG sur le système (voir OpenPGP),
  • installer l'extension Enigmail,
  • avoir une clef OpenPGP.

Utilisation

Dans les paramètres du compte, cliquer à gauche sur OpenPGP ; le panneau de droite affiche alors :

Cliquer sur Choisir une clef… ; la fenêtre de sélection s'ouvre :

Sélectionner la clef et valider ; vérifier que l'identifiant de la clef est le bon ; ici c'est 8A9A1054.

Un message correctement signé ressemble alors à :

sysadmin/mail/thunderbird/chiffrement.txt · Dernière modification: 2012/05/02 10:19 par Pascal Cabaud