PGP, sigle pour Pretty Good Privacy, est une solution de chiffrement cryptographique majoritairement utilisée pour sécuriser l'échange d'e-mails. Créé en 1991 par le scientifique américain Philip Zimmermann, PGP est un logiciel de cryptographie hybride : il se fonde à la fois sur la cryptographie symétrique et sur la cryptographie asymétrique pour garantir la confidentialité des données et l'authentification de l'expéditeur. Pour utiliser PGP, il faut installer un module complémentaire ou choisir un service de messagerie qui propose PGP par défaut.

>> Téléchargement : Comment allier croissance de l'entreprise et respect de la vie privée ?  

 

Que signifie PGP ?

PGP signifie « assez bon niveau de confidentialité » dans sa traduction littérale de Pretty Good Privacy. À l'instar des chiffrements S/MIME ou encore TLS, PGP chiffre des e-mails ou des fichiers, pour les rendre lisibles par les seules personnes autorisées.

Chiffrer un e-mail permet d'assurer la confidentialité de son contenu : pour toute personne non autorisée qui ne détient pas la clé de déchiffrement, le message est inintelligible car il se présente sous forme d'une suite de caractères qui n'a aucun sens. Avec le chiffrement cryptographique PGP :

  • L'expéditeur s'assure de la confidentialité de son e-mail. Pendant toutes les étapes de son transit via les serveurs et les routeurs, les tiers qui ont légalement ou illégalement accès à l'e-mail ne peuvent pas en lire le contenu puisque même s'il est intercepté, il est incompréhensible.
  • Le destinataire s'assure de l'identité de l'expéditeur de l'e-mail. Il peut vérifier qu'aucun tiers n'a usurpé l'identité numérique de l'expéditeur. L'intégrité du message est ainsi garantie, il n'y a aucun risque de falsification.

 

Comment fonctionne le chiffrement PGP ?

Pour fonctionner, PGP utilise la combinaison du chiffrement symétrique et du chiffrement asymétrique. Pour schématiser : le chiffrement symétrique se base sur une clé de chiffrement unique pour chiffrer et déchiffrer le message ; le chiffrement asymétrique consiste à générer deux clés : la clé publique chiffre le message, la clé privée permet de le déchiffrer. La clé privée du destinataire du message reste entre ses seules mains, contrairement à la clé de chiffrement symétrique qui doit être partagée entre les correspondants. De fait, le niveau de sécurité de l'échange d'e-mails est accru avec PGP : la cryptographie symétrique protège le contenu du message et la cryptographie asymétrique protège la clé.

Le fonctionnement de PGP pour assurer la confidentialité des données :

  1. PGP génère une paire de clés : une clé publique, qui ne sert qu'à chiffrer, et une clé privée, également appelée clé de session, qui sert à déchiffrer.
  2. Le destinataire de l'e-mail transmet la clé publique à ses contacts.
  3. Le contact utilise la clé publique pour chiffrer l'e-mail, puis l'envoie.
  4. Le destinataire utilise sa clé privée, dont il est seul détenteur, pour déchiffrer l'e-mail.

Le fonctionnement de PGP pour authentifier l'expéditeur :

  1. L'expéditeur signe son e-mail avec sa clé privée.
  2. Avec la clé publique dont il dispose, le destinataire vérifie que c'est bien l'expéditeur qui a envoyé l'e-mail, il s'assure ainsi que le contenu est intègre.

 

Pourquoi utiliser le chiffrement PGP ?

PGP est utilisé pour chiffrer des e-mails, dans un objectif de confidentialité des échanges, pour vérifier l'identité de l'expéditeur, dans un objectif d'authentification et d'intégrité, et pour chiffrer des fichiers. En pratique, PGP est majoritairement utilisé pour le chiffrement des e-mails.

Utiliser PGP, à l'instar de tout autre procédé de chiffrement, s'inscrit dans le cadre des principes de respect de la vie privée et de confidentialité des données. C'est d'ailleurs à cet effet que PGP est créé par Philip Zimmermann, qui explique en substance à l'époque que comme les agences de renseignement, les gens et les organisations doivent avoir accès à des technologies cryptographiques pour préserver leur intimité.

L'usage de PGP convient aux professionnels qui traitent des données à caractère sensible. Les journalistes, par exemple, l'utilisent pour sécuriser les informations exclusives qu'ils échangent et pour vérifier l'identité de leurs sources. Les entreprises B2C et B2B qui manipulent des données confidentielles peuvent également utiliser PGP pour ajouter un niveau de sécurité de nature à rassurer leurs clients. Les métiers obligés au secret professionnel, de même, peuvent se protéger grâce à cette solution de chiffrement considérée comme très fiable. À noter que peu nombreux sont les particuliers à utiliser PGP, en raison de la complexité de sa mise en œuvre. Pour préserver leur vie privée, ils se reposent généralement sur le système de sécurité par défaut de leur service de messagerie.

Comment allier croissance de l'entreprise et respect de la vie privée ?

Maximisez vos performances marketing en regagnant la confiance de vos clients.

 

Comment obtenir une clé PGP ?

À moins que PGP soit le système de chiffrement des e-mails par défaut du service de messagerie, comme sur Proton Mail par exemple, il faut dans un premier temps télécharger et installer un logiciel PGP. Il existe de nombreux logiciels PGP, gratuits ou payants. Pour choisir le logiciel, il faut vérifier la compatibilité du module avec le service de messagerie et avec le système d'exploitation utilisé. Pour chiffrer ses e-mails Outlook sur Windows, par exemple, il est possible de télécharger Gpg4win ou gpg4o ; GPGTools et GnuPG sont compatibles avec la boîte de messagerie Mail d'Apple sur macOS ; sur Mozilla Thunderbird, les modules de chiffrement Enigmail et GnuPG sont adaptés pour les versions antérieures à Thunderbird 78, les versions postérieures intègrent nativement la solution OpenPGP.

Une fois le module installé, il faut générer une paire de clés PGP en suivant la procédure propre au logiciel. L'utilisateur crée ensuite un mot de passe ou une phrase secrète pour protéger sa paire de clés. Pour l'utiliser, il exporte la clé publique et l'envoie par e-mail aux contacts de son choix. À noter que les contacts doivent également avoir un logiciel PGP. À réception de la clé publique, le contact l'importe. Au moment d'envoyer un e-mail, le contact le chiffre en utilisant la clé publique. Seul le destinataire peut lire l'e-mail, en le déchiffrant grâce à sa clé privée.

Pour exporter la clé publique, il est possible d'en faire un copier-coller ou d'utiliser la commande d'exportation du module PGP. Selon la méthode, la clé publique est envoyée directement dans le corps de l'e-mail, ou en attachant le fichier en pièce jointe. Pour obtenir la clé PGP pour chiffrer son e-mail, le contact utilise la commande « Importer » de son module PGP.

Exemple d'utilisation de PGP par Apple pour les échanges à caractère sensible : pour permettre à ses clients de s'assurer que les e-mails sont en provenance d'Apple, et pour proposer aux clients de chiffrer leurs e-mails confidentiels à destination d'Apple, Apple utilise le procédé de chiffrement PGP. Le client doit préalablement installer le logiciel GPGTools ou GnuPG. Cela étant fait, le client peut obtenir la clé PGP d'Apple librement accessible sur cette page support pour l'utiliser conformément à son besoin.

Communauté HubSpot

 

Pour aller plus loin dans votre stratégie , téléchargez Comment allier croissance de l'entreprise et respect de la vie privée ?.Comment allier croissance de l'entreprise et respect de la vie privée ?

 

Publication originale le Oct 10, 2022 3:43:55 AM, mise à jour le 20 janvier 2023

Sujet(s):

Cybersécurité