PgP ancien mais toujours d'actualité !
Vendredi 04 janvier 2002 @ 23:30:24 | Auteur:
nexus
PgP logiciel de cryptage compatible Linux et Windows . Une introduction à la crypto et un clin d'oeil d'ilotech à son créateur .....
Ce qui précède n'est pas de moi (à
l'exception des intertitres, confesse-je),
mais de Philippe Zimmermann, auteur de PGP, le logiciel le plus populaire
de cryptage des messages électroniques. Si je me permets de le
copier/coller
de la sorte, c'est que je n'ai jamais trouvé quelque chose de plus
convaincant que
ce texte, intitulé « Pourquoi
j'ai créé PGP ? » et dont vous pouvez lire l'intégralité
sur l'excellent site PGP
en Français, référence francophone en la matière.
AIde-toi l'e-mail t'aidera
Ceux qui connaissent un peu l'histoire de PGP
peuvent sauter le paragraphe qui suit,
encore que... : Pretty Good Privacy (PGP) est un logiciel créé en
1991 par Philip Zimmermann,
un informaticien américain féru de cryptologie, la science qui sert,
depuis des siècles,
à protéger la confidentialité des communications. Pendant des siècles,
donc, la crypto
fut utilisée par les espions, les militaires, les gouvernants, bref :
tous ceux qui voulaient
être sûrs de pouvoir s'exprimer en toute confidentialité. Sauf qu'avec
l'informatique,
et l'internet, tout a changé. La crypto ne concerne plus les seuls « services
secrets »,
mais tout le monde. Je répète : « tout le monde ». La
preuve : la crypto est même
devenue la pierre angulaire du commerce électronique, seule méthode à même
de pouvoir
garantir la sécurisation des transactions. Et si le commerce électronique
s'y met, c'est dire
que ça concerne bien « tout le monde » ! Entendez par là
que je n'ai guère d'affection particulière
pour ce genre de chose-là, mais que cela montre bien à quel point la
crypto est devenue
l'alpha et l'oméga de l'« internet pour tous ».
La parano de ma maman et des
impôts
Donc, à ceux qui parlent de « parano »
dès que l'on parle de « crypto », répondons tous
en chœur et à tout va : va donc, hé, « mytho » !
Sous-entendu : comme s'il était possible
d'effectuer quelque transaction électronique que ce soit (qu'il s'agisse
d'un achat, ou bien d'un e-mail)
sans avoir à recourir à la crypto. Enfin si, c'est possible : sauf
que c'est un peu comme si l'on laissait
traîner n'importe comment sa carte bleue et ses courrier de telle sorte
que n'importe quel fouineur
puisse les récupérer les doigts dans l'nez. Un peu comme si on ne
fermait jamais à clef la porte
de son appartement, de sa voiture ou bien que l'on laissait n'importe qui
fouiller dans son ordi :
un e-mail passe en effet par une dizaine de serveurs différents, en
moyenne, avant d'atteindre
son correspondant, offrant autant de possibilités d'être intercepté, lu
ou encore enregistré dans
une base de données. Je ne sais pas pour vous, mais je n'ai pas
l'impression de faire dans la parano
quand je scelle les enveloppes que j'envoie (aux impôts, à mes potes ou
à maman).
C'est pas tant que j'aie quelque chose à cacher, mais bon, j'fais gaffe,
c'est tout.
Normal, quoi.
Dis, tonton, qui c'est qui
cause ?
Sauf que PGP n'est pas vraiment perçu comme
« normal », justement. Philip Zimmermann
fut d'ailleurs fort embêté à l'époque par le gouvernement américain,
qui l'accusa de « trafic d'armes ».
Pourquoi ? Parce que la cryptographie, sur laquelle repose PGP, était
alors considérée comme une
arme de guerre interdite à l'exportation... Aujourd'hui, Phil a été
disculpé, PGP a été racheté par une grosse
société commerciale, et des dizaines de milliers d'internautes du monde
entier se servent quotidiennement
de la version freeware (gratuite) de PGP pour protéger la confidentialité,
et l'authentification, de leurs emails.
PGP permet en effet tout autant de se protéger des écoutes indiscrètes
que de l'usurpation de son identité :
d'une part il garantit que seul vous et votre correspondant seront à même
de lire le contenu du message,
d'autre part il garantit que c'est bien XX@YY.ZZ, et pas un avatar, qui
vous écrit. Et comme l'usurpation
d'identité est l'un des sports favoris des scripts kiddies
(p'tits jeunes qui se prennent pour des hackers),
que c'est même devenu l'une des valeurs montantes de la cybercriminalité
aux USA, alors que
le gouvernement français vient de se fendre d'une « consultation
nationale » sur la signature électronique
(en plein été... mais bon, ceci est encore une autre histoire), histoire
de pouvoir certifier que c'est bien
vous qui signez, là, et pas quelqu'un d'autre.
Bon, passons aux questions « pratiques »
qui reviennent souvent.
. PGP, c'est trop compliqué. Faux :
l'installation de PGP réclame moins de clics que celle d'Outlook,
par exemple (et au hasard). Son utilisation, ensuite, est on ne peut plus
simple : d'un simple clic sur
votre logiciel de courrier électronique, il vous sera possible de crypter
vos messages en ouvrant
une fenêtre pop up et en y tapant votre phrase de passe (ben oui, PGP est sécurisé,
alors c'est
pas un " mot de passe ", mais carrément une phrase qu'il vous
faudra mémoriser).
. PGP est buggué : stop la rumeur !
Jamais personne n'a pu amener ne serait-ce que l'once
d'un début de bit de preuves pour étayer le fait que PGP aurait été
« révisé », revu et corrigé
par les services secrets ricains, ou autres. Si l'on a bien découvert un
bug récemment, il n'affectait
que les versions commerciales, et la nouvelle version 6.5.8, freeware,
corrige le problème.
Quant aux paranos, ils n'ont qu'à utiliser la version 2.63i, elle est
imparable !
. PGP ne sert à rien : d'aucuns rétorquent
en effet que cela ne revient à se compliquer l'internet
pour pas grand chose. Z'avez pas lu ou quoi ? Outre que ça sert à
populariser le fait qu'il est
tout aussi important de crypter ses e-mails que de fermer l'enveloppe de
ses courriers papiers,
outre le fait que cela authentifie l'auteur de l'e-mail, outre le fait que
cela sert aussi à éviter les
écoutes furtives, PGP sert aussi à familiariser ceux qui s'en servent
avec quelques notions de
sécurité informatique. S'il n'est pas obligatoire de savoir comment
fonctionne un moteur pour
savoir conduire une voiture, c'est parfois préférable. De même, il est
préférable d'avoir quelques
notions de sécurité informatique quand on surfe sur le net, et qu'on se
sert d'un ordi.
Last but not least, se servir régulièrement
(sinon quotidiennement) de PGP sert aussi à bien
mémoriser la phrase de passe, ce qui n'est pas forcément une mince
affaire... et vous laisserait
dans le besoin, et fort emmerdé, le jour où vous en auriez vraiment
besoin.
Jean-Marc Manach