Thunderbird, Enigmail and OpenPGP for Linux - Secure Email

Publié10 August 2016

Table des matières

...Loading Table of Contents...

    Mozilla Thunderbird est un logiciel libre et gratuit qui vous permet d'échanger et sauvegarder des courriers électroniques depuis plusieurs comptes provenant de plusieurs fournisseurs de service. Enigmail et GnuPG améliorent la sécurité et les paramètres 'vie privée' de votre correspondance électronique en permettant la compatibilité de Thunderbird avec le chiffrement de bout-en-bout fourni par OpenPGP. Ils vous permettent également de signer numériquement vos messages et de vérifier la signature numérique de vos correspondants.

    Lectures préalables

    Ce que vous apprendrez dans ce guide :

    • A gérer plusieurs comptes de messagerie en utilisant un outil unique
    • A lire et rédiger des messages alors que vous n'êtes pas connecté à Internet
    • A envoyer et recevoir des messages chiffrés
    • A signer numériquement vos messageries et authentifier les messages électroniques signés des autres

    1. A propos de Thunderbird

    Thunderbird est un logiciel libre et gratuit, multi-plateforme permettant d'envoyer, recevoir et stocker des messages électroniques. Un client de messagerie est une application qui vous permet de télécharger et gérer vos messages (issus de plusieurs comptes et de plusieurs fournisseurs de messagerie) sans utiliser de navigateur.

    Gnu Privacy Guard (GPG) est un programme libre et gratuit capable de chiffrer, déchiffrer et signer numériquement des messages et des fichiers. Il génère et gère également les clés privée et publique nécessaires.

    Enigmail est un module complémentaire qui vous permet d'accéder au chiffrement et aux fonctionnalités d'authentification fournie par GnuPG, qui doivent être installées pour le bon fonctionnement d'Enigmail.

    1.0 A savoir sur Thunderbird avant de commencer

    Pour utiliser Thunderbird, vous aurez besoin d'au moins un compte de messagerie. Si vous souhaitez créer un nouveau compte à utiliser avec Thunderbird, veuillez consulter le guide RiseUp.

    Comme tous les clients de messagerieThunderbird fait des copies de vos messages qu'il rend disponibles sur votre ordinateur. Cela inclut les messages que vous envoyez tout comme ceux que vous recevez. Il est donc particulièrement important de mettre en place un outil de chiffrement de votre appareil (tel que BitLocker lorsque vous décider d'utiliser Thunderbird. Thunderbird ne protège pas votre appareil si vous ouvrez des documents joints malveillants ou cliquez sur des liens malveillants. N'ouvrez pas de documents non et soyez prudents lorsque vous ouvrez des liens qui vous sont envoyés par message électronique. Apprenez à Protéger votre appareil contre les logiciels malveillants et les hackers grâce au guide. Protéger votre ordinateur contre les logiciels malveillants et les pirates guide.

    1.1 Autres outils similaires à Thunderbird

    Thunderbird est compatible avec GNU/Linux, Microsoft Windows et Mac OS X. Gérer plusieurs comptes de messagerie en toute sécurité est une tâche complexe et nous vous recommandons Thunderbird à cet effet. Cependant, si vous préférez utiliser une alternative, nous vous recommandons les outils libres et gratuits suivants :

    • Claws Mail compatible avec GNU Linux et Microsoft Windows
    • Sylpheed compatible avec Mac OS X, GNU Linux et Microsoft Windows
    • K9 Mail et OpenKeychain are available for Android
    • Mailpile a une version beta compatible avec GNU/Linux et Microsoft Windows (et devrait être compatible pour Mac OS X prochainement)

    Les avantages de Thunderbird en matière de sécurité sont significatifs, particulièrement en comparaison avec les alternatives commerciales comme Microsoft Outlook.

    2. Installer et configurer Thunderbird

    La plupart des distributions Linux proposent Thunderbird installé par défaut. Certaines distributions viennent avec la version appelée Icedove qui correspond au même logiciel sous un nom différent. Si vous utilisez Ubuntu, vous pouvez lancez Thunderbird en ouvrant Dash (simplement en appuyant sur la touche Windows), en cherchant Thunderbird, et en appuyant sur Entrée. Si votre distribution n'inclut pas Thunderbird par défaut, vous pouvez probablement l'installer depuis votre logithèque. Vous pourrez alors configurer Thunderbird et ajouter les informations relatives à votre compte de messagerie comme décrit ci-dessous.

    2.1 Ajouter un compte de messagerie dans Thunderbird

    Pour ajouter un compte mail à Thunderbird, suivez les étapes ci-dessous.

    Première étape. Lancez Thunderbird

    Si vous n'avez pas encore ajouter de compte, Thunderbird affichera l'écran Souhaitez-vous une nouvelle adresse de messagerie ?

    Figure 1: Thunderbird vous propose de vous aider à créer une nouvelle adresse de courrier électronique

    Deuxième étape. Cliquez sur [Passer cette étape et utiliser mon adresse existante] pour ouvrir l'écran de création d'un compte courrier.

    Figure 2: Ecran de création d'un compte courrier

    Troisième étape. Saisissez le nom, l'adresse électronique et le mot de passe qui correspondent au compte que vous souhaitez utiliser pour accéder à Thunderbird.

    Quatrième étapeDécochez la case [Retenir le mot de passe].

    Figure 3: Détails de la configuration du compte de messagerie

    Cinquième étapeCliquez sur [Continuer]. Thunderbird poursuivra la configuration du service courrier que vous avez saisi

    Figure 4: Thunderbird après vérification de la configuration d'un service de messagerie

    Vous voudrez probablement conserver la coche "IMAP (dossiers distants)"IMAP conserve la copie principale de vos fichiers email (y compris les dossiers boîte de réception, brouillons, modèles, courriers envoyés et corbeille) sur le serveur et fait une copie en local sur votre appareil. Cela vous permet d'accéder aux mêmes messages depuis plusieurs appareils tout en conservant vos fichiers synchronisés. (A l'inverse POP, supprime les messages depuis le serveur et les conserve sur le premier appareil sur lequel ils sont téléchargés. Ça ne signifie pas qu'ils sont réellement supprimés du serveur, mais l'accès à votre courrier électronique y est bien plus difficile depuis plusieurs appareils)

    Attention: Vérifiez bien qu'à la fois les informations entrantes et sortantes sont affichées sur l'écran suivant SSL (Secure Sockets Layer) ou STARTTLS (Start Transport Layer Security). L'un ou l'autre indique que votre service de messagerie est compatible avec un chiffrement de base.

    Sixième étape. Cliquez sur [Terminé] pour créer votre compte et accéder à l'interface principale de Thunderbird.

    Figure 5: Interface principale de Thunderbird

    Remarque : Pour ajouter un autre compte de messagerie, cliquez sur Fichier dans la barre de menu et sélectionnez [Nouveau > Compte Messagerie existant]. Cela relancera la fenêtre de la figure 2 ci-dessus. Ensuite, répéter simplement les étapes 3 à 6

    Chaque fois que vous exécuterez Thunderbird, il vous sera demandé de saisir votre mot de passe pour chaque compte ajouté.

    Figure 6: Ecran - Mot de passe requis

    Septième étape. Saisissez votre mot de passe.

    Figure 7: Saisie du mot de passe

    Huitième étape.. Cliquez sur [OK] pour vous connecter à votre compte en utilisant Thunderbird.

    3. Améliorer la sécurité et l'ergonomie de Thunderbird

    Cette section détaille comment configurer les préférences de Thunderbird pour vous aider à défendre votre système contre les attaques provenant de courriers électronique. Pour plus d'information, consulter Protéger votre ordinateur contre les logiciels malveillants et les pirates.

    3.1 Désactiver les messages en HTML

    Thunderbird vous permet d'inclure des couleurs, des polices, des images et autres formatage dans les emails que vous écrivez. Cela est possible parce que les messages envoyés continennent du HTML (la même technologie utilisée pour les pages internet) et pas uniquement du texte basique. Il a aussi la capacité d'afficher des messages HTML qui vous ont été envoyés par d'autres. Malheureusement, l'affichage de mail HTML peut vous exposer à certaines des attaques ciblant les navigateurs. Et l'écriture de courrier HTML empêche parfois le chiffrement GnuPG de fonctionner correctement.

    Pour afficher des courriers électroniques HTML en Texte seul, suivez les étapes ci-dessous :

    Première étapeCliquez sur  pour afficher le Menu Thunderbird.

    Deuxième étapeSélectionnez [Affichage > Corps du message en > Texte seul].

    Figure 1 : Désactivation de l'affichage des courriers en HTML

    Pour écrire des courriers électroniques en texte seul, suivez les étapes ci-dessous :

    Première étape. Cliquez sur  pour afficher le menu de Thunderbird.

    Deuxième étape. Sélectionnez [Options > Paramètres des comptes].

    Figure 2: Selection des paramètres des comptes dans Thunderbird

    Troisième étapeSélectionnez [Rédaction et adressage] sous votre adresse électronique.

    Figure 3: L'écran 'Rédaction et adressage'

    Quatrième étape. Décochez l'option [Rédiger les messages en HTML].

    Figure 4: Désactivation de l'écriture de message en HTML

    Cinquième étape. Cliquez sur [OK].

    3.2 Paramétrer les préférences relatives à la sécurité de Thunderbird

    Pour modifier les préférences de sécurité de Thunderbird, suivez les étapes ci-dessous :

    Première étape. Cliquez sur  pour activer la barre de menu Thunderbird.

    Deuxième étape. Sélectionnez [Préférences > Préférences].

    Troisième étape. Cliquez sur l'onglet Sécurité.

    Figure 2: Ecran des options de Sécurité de Thunderbird.

    Quatrième étape. Cliquez sur le sous-onglet Mots de passe.

    Figure 3: Onglet Mots de passe

    Pour afficher ou supprimer les mots de passe des comptes que vous avez sauvegardés sur votre ordinateur, cliquez sur [Mots de passe enregistrés...].

    Figure 3: Fenêtre Enregistrement des identifiants

    Pour supprimer tous les mots de passe sauvegardés par Thunderbird, cliquez sur [Tout supprimer]. Vous pouvez aussi supprimer les mots de passe individuellement.

    Attention : Nous vous recommandons de protéger vos mots de passe en utilisant un outil spécialement conçu à cet effet. Consultez KeePassX pour plus d'informations. Cependant, si vous avez l'intention d'autoriser Thunderbird à se souvenir d'eux pour vous, il est extrêmement important que vous définissiez un mot de passe principal pour que Thunderbird puisse chiffrer vos autres mots de passe. En fait, même si vous ne souhaitez pas que Thunderbird conserve les mots de passe de vos comptes, vous devriez malgré cela définir un mot de passe principal. Agir ainsi, vous permet de vous assurez que Thunderbird chiffre tout mot de passe que vous pourriez accidentellement demander de sauvegarder. Si vous faites cela, souvenez-vous de votre mot de passe principal ou enregistrez-le dans un endroit sûr (comme une base de données KeePassX. Et soyez conscient que Thunderbird vous demandera ce mot de passe principal chaque fois que vous redémarrez l'application.

    Cinquième étape. Cochez la coche [Utiliser un mot de passe principal] pour lancer l'écran suivant

    Figure 4: Fenêtre de modification du Mot de passe principal

    Sixième étape. Saisissez un mot de passe complexe et sûr dans les deux zones de saisie

    Septième étape. Cliquez sur [OK].

    3.3 Configurer les préférences de Thunderbird relative à la vie privée

    Les cookies contiennent des informations qui sont envoyées à votre navigateur par les sites Internet que vous consultez. Lorsque vous revenez sur ces sites, vous leur renvoyez les cookies correspondant avec votre demande de contenu. Les cookies sont utilisés pour plusieurs raisons. Par exemple, les sites Internet qui nécessitent une identification les utilisent souvent pour se souvenir si vous l'avez fait. Mais les cookies peuvent aussi être utilisés pour pister vos activités en ligne.

    Thunderbird accepte les cookies principalement pour être compatible avec les flux RSS et les groupes de discussions, pas pour les messages électroniques. Nous vous recommandons de désactiver l'utilisation des cookies dans Thunderbird. Si cela vous empêche d'utiliser une fonctionnalité de Thunderbird dont vous avez besoin, vous pourrez toujours revenir et l'activer.

    Vous pouvez demander à Thunderbird de ne pas accepter les cookies en suivant les étapes ci-dessous :

    Première étape. Cliquez sur  pour activer la barre de menu Thunderbird.

    Deuxième étape. Sélectionnez Préférences > Préférences

    Troisième étape. Cliquez sur l'onglet Vie privée.

    Figure 1: Onglet Vie privée

    Quatrième étape. Décochez les cases suivantes :

    • Autoriser le contenu distant dans les messages. (Vous pouvez toujours autoriser le contenu distant un message à la fois.)
    • Se souvenir des sites web et liens visités.
    • Accepter les cookies des sites

    Cinquième étape. Cliquez sur [Fermer]

    4. Envoyer et recevoir des messages chiffrés

    GNU Privacy Guard (GnuPG ou GPG) est un logiciel de chiffrement libre et gratuit développé par le GNU Project. Il est conforme aux standards OpenPGP et a été conçu pour interagir avec Pretty Good Privacy (PGP), un équivalent commercial développé par Phil Zimmermann. Enigmail est un module complémentaire qui vous permet d'accéder au chiffrement GnuPG depuis Thunderbird.

    GnuPG s'appuie sur une forme de chiffrement à clé publique qui nécessite que chaque utilisateur génère sa propre paire de clés. Cette paire de clés peut être utilisée pour chiffrer, déchiffrer et signer du contenu numérique tel que des messages électroniques. Cela inclut une clé privée et une clé publique :

    • Votre clé privée est une donnée extrêmement sensible. Quiconque réussi à obtenir une copie de cette clé sera capable de lire du contenu chiffré qui n'était destiné qu'à vous uniquement. Il pourrait aussi signer des messages à votre place. Votre clé privée est, elle-même, chiffrée par un mot de passe que vous choisirez lorsque vous générerez votre paire de clés. Vous devez choisir un mot de passe complexe et sûr de façon à ce que personne n'ait accès à votre clé privée. Vous utiliserez votre clé privée pour déchiffrer des messages qui vous sont envoyés par ceux qui ont une copie de votre clé publique.

    • Votre clé publique est faite pour être partagée avec les autres et ne peut être utilisée pour lire un message chiffré ou contrefaire un message. Une fois que votre correspondante a votre clé publique, vous pouvez commencer à lui envoyer des messages chiffrés. Elle seule sera capable de déchiffrer et lire ces messages parce qu'elle seule a accès à la clé privée qui correspond à la clé publique que vous utilisez pour les coder. De la même façon, pour que quelqu'un vous envoie un message chiffré, cette personne doit avoir une copie de votre clé publique. Il est important de vérifier que la clé publique que vous utilisez pour chiffrer les messages appartient effectivement à la personne avec qui vous essayer d'échanger. Si vous ou votre correspondant êtes dupés lors du chiffrement des messages avec la mauvaise clé publique, votre conversation ne sera pas sécurisée.

    GnuPG et Enigmail vous permettent aussi d'attacher des signatures numériques à vos messages. Si vous signez un message en utilisant votre clé privée, chaque destinataire ayant une copie de votre clé publique peut vérifier s'il a bien été envoyé par vous-même et que le contenu n'a pas été falsifié. De la même façon, si vous avez la clé publique d'un correspondant, vous pouvez vérifier ses signatures numériques

    4.1 Installer Enigmail

    La plupart des distributions Linux ont GnuPG installé par défaut. Cependant, vous aurez besoin d'installer le module complémentaire Enigmail pour Thunderbird pour que vous puissiez commencer à utiliser GnuPG pour le chiffrement de messages. Vous pouvez faire ceci en suivant les étapes suivantes :

    Step 1. Cliquez pour afficher le menu Thunderbird

    Deuxième étape: Sélectionnez Modules complémentaires pour afficher le gestionnaire de modules de Thunderbird

    Troisième étape: TapezEnigmail” dans le coin supérieur droit et appuyez sur Entrée

    Quatrième étape: Cliquez sur “Installer” pour télécharger Enigmail

    Cinquième étape: Cliquez sur le lien Redémarrer maintenant pour redémarrer Thunderbird et terminer l'installation d'Enigmail

    Maintenant que vous avez redémarrez Thunderbird, vous devriez voir “Enigmail” inclus dans la barre de menu.

    4.2 Générer des clés de chiffrement et configurer Enigmail

    Vous pouvez maintenant configurez un ou plusieurs comptes mails pour utiliser Enigmail et générer une ou plusieurs paires de clés de chiffrement.

    4.2.1 Générer des clés de chiffrement

    Vous pouvez configurer Enigmail et générer une paire de clés de chiffrage

    Première étape. Cliquez sur  pour afficher le menu Thunderbird

    Deuxième étape. Sélectionnez [Enigmail > Assistant de configuration].

    Figure 1: Assistant de configuration d'Enigmail

    Troisième étape. Cliquez sur [Suivant] pour débuter la configuration standard (comme débutant)

    Figure 2: Création d'une paire de clés

    Quatrième étape. Choisissez un mot de passe complexe et sûr et saisissez-le dans le champ correspondant pour générer une paire de clés.

    Note : Ce mot de passe sera utilisé pour chiffrer votre clé privée. Sans lui, vous ne pourrez pas signer ou déchiffrer les messages. Ainsi, il est important de choisir un mot de passe complexe et sûr dont vous vous souvenez ou que vous enregistrerez de manière sécurisée. Vous pouvez en apprendre plus dans le guide Créer et sauvegarder des mots de passe sûrs.

    Figure 3: Choisir un mot de passe complexe et sûr

    Cinquième étape. Cliquez sur [Suivant] pour générer une paire de clés de chiffrement.

    Figure 4: Création de la clé

    Enigmail vous avertira lorsque la création de la paire de clefs sera terminée.

    Figure 5: Paire de clef générée

    Vous devriez générer un certificat de révocation pour avertir les autres lorsqu'une clef n'est plus valide. Il faut faire cela si :

    • vous arrêtez d'utiliser une paire de clés

    • vous perdez une clé privée

    • vous oubliez le mot de passe d'une clé privée

    • vous pensez qu'une clé privée est compromise ou partagée avec d'autres

    Il est particulièrement important de générer un certificat de révocation si vous prévoyez de charger vos clés publiques sur un serveur de clés. Il n'y a aucun autre moyen de "supprimer" une clé une fois qu'elle est chargée, de plus il n'est pas recommandé d'avoir des clés compromises ou anciennes conservées sur un serveur de clés. Cela peut être déroutant.

    Sixième étape. Cliquez sur [Créer un certificat de révocation].

    Figure 6: Choix d'un emplacement pour votre certificat de révocation

    Septième étape. Accédez à l'emplacement où vous souhaitez enregistrer votre certificat de révocation.

    Ce certificat ne contient pas de données sensibles et ne peut être utilisé pour connaître votre clé privée, mais quelqu'un pourrait la charger sur un serveur clé et invalider votre paire de clé actuelle, donc laissez la dans un endroit sûr.

    Huitième étape. Cliquez sur [Enregistrer] pour saisir le mot de passe de votre clé privée

    Figure 7: Saisie du mot de passe de votre clé privée pour générer un certificat de révocation

    Neuvième étape. Saisissez votre mot de passe

    Dixième étape. Cliquez sur [OK] pour générer votre certificat de révocation

    Figure 8: Certificat de révocation généré

    Onzième étape. Cliquez sur [OK] pour revenir à l'assistant de configuration Enigmail.

    Figure 9: Terminer le paramétrage d'Enigmail

    Douzième étape. Cliquez sur [Suivant] pour terminer.

    Figure 10: Fin de la configuration d'Enigmail

    Treizième étape. Cliquez sur [Terminer] pour commencer à utiliser Enigmail.

    4.2.2 Affichage et gestion des paramètres des clés

    Une fois que vous avez généré votre paire de clés GnuPG et configuré votre compte de messagerie pour travailler avec Enigmail, vous pourrez voir et gérer les paramètres de votre paire de clés en suivant les étapes ci-dessous.

    Première étape. Cliquez sur  pour afficher le menu Thunderbird

    Deuxième étape. Sélectionnez [Enigmail > Gestion de clefs].

    Figure 1: Ecran de gestion des clés avec Enigmail.

    Troisième étape. Double-cliquez sur la paire de clefs qui correspond à votre compte de messagerie

    Figure 2: Paramètres de la paire de clés

    Ces fenêtres affichent, entre autres chsoes, l'ID de votre clé publique et son empreinte. Par exemple, l'ID de la clé publique pour ekaterina@riseup.net est 0x3EFCD6 tandis que l'empreinte complète est C1CA F701 479E 6C41 D968 0C4B D628 2447 3EFC EFD6. Cette fenêtre affiche également la date d'expiration de votre clé (26 octobre 2021 dans ce cas).

    Vous devez partager votre clé publique avec les autres pour qu'ils puissent vous envoyer des messages chiffrés. Vous devriez aussi partager votre empreinte complète, via un canal différent, pour que votre correspondant puisse vérifier que la clé publique que vous avez envoyée vous appartient réellement. Vous ne devez jamais partager votre clé privée, car quiconque en a une copie peut déchiffrer les messages qui vous sont envoyés et signer les messages pour qu'ils apparaissent comme provenant de vous.

    Si vous souhaitez modifier le mot de passe qui protège votre clé privée, cliquez sur [Sélectionner action...] et sélectionnez Modifier mot de passe. Votre mot de passe actuel vous est demandé et vous devez en choisir un nouveau. Pour révoquer votre clé, cliquez sur [Sélectionner action...] et sélectionnez Révoquer la clef.

    4.2.3 Paramétrer Enigmail pour fonctionner avec votre compte de messagerie

    Pour permettre à Enigmail d'utiliser un compte de messagerie particulier, suivez les étapes ci-dessous :

    Première étape. Cliquez sur pour lancer le menu Thunderbird

    Deuxième étape. Sélectionnez Préférences > Paramètres des comptes

    Figure 1: Menu Thunderbird

    Troisième étape. Cliquez sur Sécurité OpenPGP sous le compte de messagerie, à gauche de la fenêtre Paramètres des comptes.

    Figure 2: Paramètres de sécurité OpenPGP

    Quatrième étape. Vérifiez que la case Activer le support OpenPGP (Enigmail) pour cette identité est cochée

    Cinquième étape. Vérifiez que la case Utiliser l'adresse électronique de cette identité pour identifier la clef OpenPGP est cochée et que l'ID de la clef correspondant est sélectionné

    Sixième étape. Vérifiez que la case Toujours utiliser PGP/MIME est cochée

    Septième étape. Cochez la case Signer les messages chiffrés

    Figure 3: Paramétrage d'Enigmail pour signer des messages chiffrés par défaut

    Remarque: Si vous souhaitez configurer Enigmail pour qu'il envoie par défaut des messages chiffrés même si vous n'avez pas la clé publique de votre destinataire - vous pouvez le faire en cochant la case Chiffrer les messages par défaut.

    Huitième étape. Cochez [OK] pour revenir à la fenêtre principale de Thunderbird

    4.2.4 Générer des clés de chiffrement supplémentaires

    Il est courant d'ajouter des adresses de messagerie supplémentaires pour une même paire de clés GnuPG. Cependant, dans certains cas, il est préférable de créer une paire de clés différente pour chaque compte.
    C'est particulièrement important si vous ne souhaitez pas que les autres sachent que vos deux comptes appartiennent à la même personne.

    Vous pouvez générer une nouvelle paire de clés en suivant les étapes ci-dessous.

    Ces étapes supposent que vous avez déjà configuré Thunderbird pour fonctionner avec un deuxième compte de messagerie (dans notre cas, elenakaterina60@gmail.com).

    Première étape. Cliquez sur pour activer le menu Thunderbird

    Deuxième étape. Sélectionnez Enigmail > Gestion de clefs

    Figure 1: Ecran Enigmail de gestion des clés

    Troisième étape. Sélectionnez Génerer > Nouvelle Paire de clefs dans le menu Enigmail

    Remarque : Le menu Enigmail propose différentes options lorsque l'écran Gestion des clefs est actif

    Figure 2: Ecran création de clé OpenPGP

    Quatrième étape. Cliquez sur l'entrée sélectionnée à côté de Compte/Identifiant utilisateur pour choisir un compte différent

    Figure 3: Sélection d'un compte de messagerie alternatif pour lequel vous souhaitez générer une paire de clés GnuPG

    Cinquième étape. Sélectionnez le compte pour lequel vous souhaitez générer une paire de clés GnuPG

    Figure 4: Choix du mot de passe pour la nouvelle paire de clés GnuPG

    Sixième étape. Choisissez un mot de passe sûr et complexe pour votre nouvelle paire de clés et saisissez-le dans les champs Mot de passe et Répéter mot de passe. Pour plus d'informations, consultez le guide Créer et sauvegarder des mots de passe sûr et complexe.

    Septième étape. Cliquez sur [Génerer clef]

    Figure 5: Confirmation que vous souhaitez générer une nouvelle paire de clefs

    Huitième étape. Cliquez sur [Générer clef]

    Lorsque c'est fait, Enigmail vous demandera de générer un certificat de révocation.

    Figure 6: Nouvelle paire de clefs générée

    Neuvième étape. Cliquez sur [Générer Certificat]

    Figure 7: Choix d'un emplacement pour votre certificat de révocation

    Dixième étape. Accédez à l'emplacement où vous souhaitez enregistrer votre certificat de révocation

    Onzième étape. Cliquez sur [Enregistrer]

    Douzième étape. Saisissez le mot de passe pour la clé privée que vous venez de créer.

    Figure 8: Saisie du mot de passe pour votre clé secrète

    Treizième étape. Cliquez sur [OK]

    Figure 9: Certificat de révocation créé avec succès

    Quatorzième étape. Cliquez sur [OK] pour revenir à l'écran de gestion des clés

    Figure 9: Deux paires de clés affichées dans la fenêtre de gestion des clés

    Enigmail configurera automatiquement votre compte de messagerie pour l'utilisation de cette paire de clés. Consultez la section précédente pour savoir comment modifier les paramétrages d'un compte en particulier. (Nous vous recommandons de configurer Enigmail pour signer vos messages par défaut à moins d'avoir une raison spécifique de ne pas le faire.)

    4.3 Echange de clés publiques

    Avant de pouvoir commencer à vous envoyer des messages chiffrés, vous et votre correspondant devez échanger les clés publiques. Vous devez également confirmer la validité de toute clé reçue en confirmant qu'elle appartient bien à la personne qui prétend l'avoir envoyée.

    4.3.1 Envoyer votre clé publique comme pièce jointe

    Pour envoyer une clé publique en utilisant Enigmail, suivez les étapes suivantes. Vos correspondants peuvent vous envoyer leurs clés publiques de la même façon.

    Première étape. Ouvrir Thunderbird et cliquez sur [Ecrire] pour écrire un email.

    Deuxième étape. Composez votre message

    Figure 1: Composition d'un message dans Thunderbird

    Troisième étape: Cliquez sur [Attacher ma clef publique]

    Figure 2: Joindre votre propre clé publique dans un email avant de l'envoyer

    Le bouton (et l'icône trombone) devraient changer de couleur pour indiquer que votre clé publique sera jointe à ce message avant qu'il soit envoyé.

    Quatrième étape. Cliquez sur [Envoyer]

    Figure 3: Thunderbird s'apprête à envoyer un email avec une clé publique jointe

    Thunderbird vous demandera peut-être le mot de passe de votre compte de messagerie. Il ne vous demandera pas votre mot de passe GnuPG à moins de choisir signer cet email. (Joindre votre clé publique ne nécessite pas de débloquer votre clé privée.)

    Figure 4: Thunderbird demandant le mot de passe de votre compte de messagerie

    Cinquième étape. Saisissez le mot de passe de votre email et appuyez sur Entrée

    4.3.2 Importer une clé publique jointe à un message

    Votre correspondant et vous-même devrez suivre les étapes ci-dessous pour importer la clé publique de l'autre.

    Une clé publique devrait être visible dans le coin inférieur gauche du message dans lequel elle a été envoyée :

    Figure 1: Une clé publique comme document joint à un message

    Première étape. Faites un clic-droit sur le document joint

    Figure 2: Le menu contextuel d'une clé publique jointe à un message

    Deuxième étape. Sélectionnez Importer une clef OpenPGP

    Figure 3: Confirmation de l'import d'une clé publique

    Troisième étape. Cliquez sur [Oui] pour importer la clé publique

    Figure 4: Détails d'une clé publique importée, y compris son empreinte complète

    Quatrième étape. Cliquez sur [OK]

    L'écran Enigmail de Gestion des clés devrait maintenant afficher la clé publique de votre correspondant :

    Cinquième étape. Cliquez sur pour activer le menu Thunderbird

    Sixième étape. Sélectionnez Enigmail > Gestion de clefs.

    Figure 5: Une nouvelle clé publique est affichée dans l'écran de gestion des clefs d'Enigmail

    4.4 Valider et signer des clés publiques

    Vous devez maintenant vérifier que la clé importée appartient réellement à la personne qui vous l'a envoyée. C'est un processus que vous (et vos correspondants) devriez faire pour chaque clé publique que vous recevez. Une fois que vous avez vérifié la clé, vous la signez pour que GnuPG sache qu'elle est valide.

    4.4.1 Valider la clé publique de quelqu'un

    Pour valider la clé publique de votre correspondant, contactez-le par un autre moyen de communication qui vous permet d'être absolument certain que vous parlez à la bonne personne. La rencontre en face à face est la meilleure solution, mais les échanges vocaux ou vidéos sont acceptables si vous vous sentez confiant pour reconnaître la voix ou l'apparence de votre correspondant. Il n'est pas nécessaire que cette conversation soit confidentielle tant que vous évitez de discutez de sujets sensibles.

    Vous et votre correspondant devez vérifier l'empreinte des clés publiques que vous avez échangées. Une empreinte est une série unique de chiffres et de lettres qui identifie un paire de clés GnuPG. Vous pouvez utiliser la fenêtre de Gestion de clés d'Enigmail définir :

    • l'empreinte de la paire de clés que vous avez générée
    • l'empreinte des clés publiques des autres personnes que vous avez importées

    Pour visualiser l'empreinte d'une paire de clés en particulier, suivez les étapes ci-dessous:

    Première étapeCliquez sur  pour lancer le menu Thunderbird

    Deuxième étape. Sélectionnez Enigmail > Gestion de clefs

    Figure 1: Ecran de de gestion des clés Enigmail

    Troisième étape: Double-cliquez sur une paire de clés pour ouvrir la fenêtre des paramètres des clés d'Enigmail.

    Figure 2: Ecran des paramètres des clés Enigmail

    Dans la fenêtre Paramètres des clés, vous pourrez voir l'empreinte de la paire de clefs que vous avez sélectionnée. Par exemple, l'empreinte de ekaterina@riseup.net est ECA1 161E 9931 0324 9480 96F3 E1AB C41E AE41 6D10

    Votre correspondant devrait procéder aux étapes suivantes également. Donc pour vérifier les empreintes :

    1. Lisez l'empreinte de votre paire de clefs à votre correspondant

    2. Laissez-le vérifiez que l'empreinte qu'il a pour votre clef publique correspond à ce que vous venez de lui lire

    3. Ecoutez votre correspondant vous lire l'empreinte de sa paire de clés

    4. Vérifiez que l'empreinte que vous avez pour sa clef publique correspond à ce qu'il vient de vous lire

    Si les empreintes ne correspondent pas, changez de paire de clefs et répétez le processus.

    Remarque : Parce que les empreintes elles-mêmes ne sont pas sensibles, vous pouvez facilement écrire l'empreinte que votre correspondant vous lit. Ensuite, lorsque vous avez plus de temps, vous pouvez vérifier que cela correspond à l'empreinte que vous avez pour sa clef publique en utilisant l'écran de gestion des clés d'Enigmail. (C'est aussi pour cela que certaines personnes impriment leur empreinte GnuPG sur leurs cartes de visite.)

    4.4.2 Signer la clé publique de quelqu'un

    Une fois que vous avez vérifié la clef d'un correspondant, vous devrez la signer. Cela indiquera à Enigmail de se souvenir que vous considérez cette clef comme valide.

    Attention : Si vous signez la clef publique de quelqu'un et rendez publiquement disponible votre copie signée de sa clé, cela peut facilement exposer le fait que vous échangez des informations sensibles avec cette personne. Pour éviter que cela arrive par accident, cliquez toujours la case Signature locale lorsque vous signez la clé publique d'un correspondant.

    Vous pouvez signer un clef publique valide en suivant les étapes ci-dessous.

    Première étape. Cliquez sur  pour lancer le menu Thunderbird

    Deuxième étape. Sélectionnez Enigmail > Gestion de clefs

    Figure 1: Ecran de gestion des clés Enigmail

    Troisième étape. Faites un clic-droit sur la clé publique que vous souhaitez signer

    Quatrième étape. Sélectionnez Signer la clef

    Figure 2: Signature de la clé publique de quelqu'un d'autre

    Figure 3: Signature des clés localement pour éviter d'exposer votre connexion à leurs propriétaires

    Cinquième étape. Assurez vous que votre paire de clés est sélectionnée dans la zone à côté de Key for signing. Si vous avez deux paires de clés et que vous souhaitez envoyer un message chiffré à cette personne en les utilisant toutes les deux, vous devrez signer sa clé publique deux fois, une fois par "identité."

    Sixième étape. Cliquez sur I have done very careful checking

    Note: D'autres options (comme Je n'ai rien vérifié) ne vous autoriseront peut-être pas à envoyer des messages chiffrés au détenteur de cette clé. De plus, à cause d'un bug dans Enigmail, il sera peut-être difficile de modifier ce paramétrage ultérieurement. C'est pourquoi, nous recommandons de toujours sélectionner I have done very careful checking lorsque vous signer la clef publique d'un correspondant.

    Septième étape.  Cochez la case [Signature locale (non exportable)].

    Attention: A moins de vraiment faire confiance à GnuPG – et de savoir avec certitude que le détenteur de cette clé publique souhaite que votre signature de cette clé soit publique, vous devriez cocher la case Signature locale.

    Figure 3: Saisie du mot de passe pour votre clé privée afin de signer la clé publique de quelqu'un d'autre.

    Huitième étape. Cliquez sur [OK]

    Figure 4: Saisie du mot de passe pour débloquer votre clé privée

    Neuvième étape. Saisissez le mot de passe pour votre clé privée lorsqu'on vous le demande.

    Dixième étape. Cliquez sur [OK] pour signer la clé publique. Ceci indiquera à Enigmail que vous avez vérifié l'identité de son détenteur, ce qui vous permettra d'envoyer votre email chiffré.

    4.5 Chiffrement et déchiffrement de messages électroniques

    GnuPG ne protège que le contenu du courrier électronique et des pièces jointes que vous chiffrez. Les informations suivantes ne seront jamais chiffrées :

    • L'objet du message

    • L'adresse électronique de l'expéditeur

    • L'adresse électronique du destinataire

    • Tous noms réels qui pourraient être associés aux expéditeurs et aux destinataires (Elena S. Katerina <ekaterina@riseup.net>, par exemple)

    De plus, si vous paramétrez Enigmail pour utiliser Inline PGP au lieu de PGP/MIME, les noms de fichiers et pièces jointes que vous envoyez restent non chiffrés. C'est pourquoi il est important de choisir votre objet avec soin, pensez à créer une clef GnuPG key pour au moins un compte de messagerie qui n'inclut pas votre vrai nom et utilisez toujours PGP/MIME (activé par défaut).

    Enfin, lorsque vous envoyez un message électronique chiffré, une copie – chiffrée par rapport à votre clef publique — sera conservée dans votre dossier Courrier envoyé.

    4.5.1 Envoyer des messages chiffrés

    Une fois que vous et votre correspondant avez mutuellement importé, validé et signé les clés publiques, vous pouvez commencer à échanger des messages chiffrés. Vous pouvez chiffrer le contenu de vos messages en suivant les étapes ci-dessous:

    Première étape. Dans Thunderbird, cliquez sur [Ecrire] et rédigez un message à un destinataire pour lequel vous avez une clé publique signée.

    Figure 1: Ecriture d'un message chiffré avec Thunderbird

    Attention : Le bouton cadenas (qui indique que votre message sera chiffré) et le bouton stylo (qui indique que votre message sera signé) devrait s'allumer dès que vous saisissez une adresse pour laquelle vous avez une clé publique valide. Vous devriez aussi voir le message "Ce message sera signé et chiffré" vers le coin supérieur droit de la fenêtre. C'est parce que :

    • Par défaut, Enigmail chiffre automatiquement les messages envoyés à des correspondants pour qui vous avez une clé publique valide ;

    • Nous avons autorisé la signature des messages chiffrés, dans la partie précédente [Paramètres des comptes > Sécurité OpenPGP].

    Vous pouvez choisir de ne pas chiffrer ou signer un message en désactivant les boutons cadenas et stylo avant de cliquer sur [Envoyer]. (Vous pouvez aussi configurer Thunderbird pour envoyer un message chiffré par défaut). Cette option est disponible dans les paramétrages 'Chiffrement manuel' dans l'onglet Envoi du menu des préférences d'Enigmail).

    Deuxième étape. Terminer l'écriture du message

    Troisième étape. Cliquez sur [Envoyer]

    Figure 2: Saisie de votre mot de passe GnuPG

    Quatrième étape. Saisissez votre mot de passe GnuPG si demandé

    Cinquième étape. Cliquez sur [OK]

    Figure 3: Saisie de votre mot de passe pour votre compte de messagerie

    Sixième étapeSaisissez le mot de passe de votre compte messagerie.

    Septième étape. Cliquez sur [OK] pour envoyer votre message chiffré et signé.

    4.5.2 Déchiffrer le message de quelqu'un d'autre

    Lorsque vous cliquez sur un message chiffré, Enigmail vous demandera votre mot de passe et votre clé privée pour pouvoir déchiffrer le message.

    Figure 1: Saisie de votre mot de passe GnuPG

    Première étape. Saisissez votre mot de passe

    Deuxième étape. Cliquez sur [OK].

    Figure 1: Un message déchiffré avec une signature vérifiée

    Enigmail affichera des informations en haut du message. Dans l'image ci-dessus, par exemple, « Message déchiffré; Signature correcte d'Elena" vous indique que:

    • Le message était chiffré en utilisant une clef publique (qui peut être faite par n'importe qui)
    • Vous l'avez déchiffré avec succès
    • Il a été signé par quelqu'un avec une clé privée qui correspond à la clé publique de mansour@riseup.net que vous aviez importée
    • Vous avez signé la clef publique de mansour@riseup.net, en espérant qu'elle appartienne au vrai Mansour.

    FAQ

    Q : Combien de comptes puis-je paramétrer dans Thunderbird ?

    R : Autant que vous le souhaitez ! Thunderbird est un gestionnaire de messagerie et peut facilement gérer plus de 20 comptes !

    Q :Rappelez-moi, une fois de plus, quelles sont les parties du message qu'Enigmail chiffre ?

    R : Enigmail ne chiffre que le contenu des messages. Les lignes d'objet ne seront pas chiffrées, les adresses email de l'expéditeur et du destinataire non plus (tout comme les noms associés à ces adresses). Donc, choisissez vos lignes d'objet avec soin et envisagez de créer une clé de chiffrement GnuPG pour au moins un compte de messagerie qui n'inclut pas votre vrai nom.

    Q : Je ne comprends toujours pas le but de la signature électronique des mes messages.

    R : Une signature électronique prouve que vous êtes le vrai expéditeur de ce message en particulier et que le message n'a pas été falsifié au cours de l'envoi à son destinataire. Imaginez qu'il s'agit de l'équivalent électronique de la cire pour cacheter une enveloppe qui contient une lettre très importante.