Thunderbird, Enigmail and OpenPGP for Windows - Secure Email

Publié10 August 2016

Table des matières

...Loading Table of Contents...

    Mozilla Thunderbird est un logiciel libre et gratuit qui vous permet d'échanger et sauvegarder des courriers électroniques depuis plusieurs comptes provenant de plusieurs fournisseurs de service. Enigmail et GnuPG améliorent la sécurité et les paramètres 'Vie Privée' de votre correspondance électronique en permettant la compatibilité de Thunderbird avec le chiffrement de bout-en-bout fourni par OpenPGP. Ils vous permettent également de signer numériquement vos messages et de vérifier la signature numérique de vos correspondants.

    Lectures préalables

    Ce que vous apprendrez dans ce guide :

    • A gérer plusieurs comptes de messagerie en utilisant un outil unique
    • A lire et rédiger des messages alors que vous n'êtes pas connecté à Internet
    • A envoyer et recevoir des messages chiffrés
    • A signer numériquement vos messageries et authentifier les messages électroniques signés des autres

    1. A propos de Thunderbird

    Thunderbird est un logiciel libre et gratuit, multi-plateforme permettant d'envoyer, recevoir et stocker des messages électroniques. Un client de messagerie est une application qui vous permet de télécharger et gérer vos messages (issus de plusieurs comptes et de plusieurs fournisseurs de messagerie) sans utiliser de navigateur.

    Gnu Privacy Guard (GPG) est un programme libre et gratuit capable de chiffrer, déchiffrer et signer numériquement des messages et des fichiers. Il génère et gère également les clés privée et publique nécessaires.

    Enigmail est un module complémentaire qui vous permet d'accéder au chiffrement et aux fonctionnalités d'authentification fournie par GnuPG, qui doivent être installées pour le bon fonctionnement d'Enigmail.

    1.0 A savoir sur Thunderbird avant de commencer

    Pour utiliser Thunderbird, vous aurez besoin d'au moins un compte de messagerie. Si vous souhaitez créer un nouveau compte à utiliser avec Thunderbird, veuillez consulter le guide RiseUp. Comme tous les clients de messagerieThunderbird fait des copies de vos messages qu'il rend disponibles sur votre ordinateur. Cela inclut les messages que vous envoyez tout comme ceux que vous recevez. Il est donc particulièrement important de mettre en place un outil de chiffrement de votre appareil (tel que BitLocker lorsque vous décider d'utiliser Thunderbird. Thunderbird ne protège pas votre appareil si vous ouvrez des documents joints malveillants ou cliquez sur des liens malveillants. N'ouvrez pas de documents non et soyez prudents lorsque vous ouvrez des liens qui vous sont envoyés par message électronique. Apprenez à Protéger votre appareil contre les logiciels malveillants et les hackers grace au guide. Protéger votre ordinateur contre les logiciels malveillants et les pirates guide.

    1.1 Autres outils similaires à Thunderbird

    Thunderbird est compatible avec Microsoft Windows, Mac OS X et GNU/Linux. Gérer plusieurs comptes de messagerie en toute sécurité est une tâche complexe et nous vous recommandons Thunderbird à cet effet. Cependant, si vous préférez utiliser une alternative, nous vous recommandons les outils libres et gratuits suivants :

    • Claws Mail compatible avec GNU Linux et Microsoft Windows
    • Sylpheed compatible avec Mac OS X, GNU Linux et Microsoft Windows
    • K9 Mail et OpenKeychain are available for Android
    • Mailpile a une version beta compatible avec GNU/Linux et Microsoft Windows (et devrait être compatible pour Mac OS X prochainement)

    Les avantages de Thunderbird en matière de sécurité sont significatifs, particulièrement en comparaison avec les alternatives commerciales comme Microsoft Outlook.

    2. Installer et configurer Thunderbird

    2.1 Installer Thunderbird

    Pour installer Thunderbird, suivez les étapes ci-dessous :

    Première étapeAccédez à la page de téléchargement de Thunderbird à https://www.mozilla.org/fr/thunderbird

    Figure 1: Page de téléchargement de Thunderbird

    Deuxième étape. Cliquez sur [Téléchargement gratuit].

    Figure 2: Téléchargement de Thunderbird

    Troisième étape. Cliquez sur [Enregistrer fichier] pour lancer le téléchargement de Thunderbird.

    Quatrième étape. Faites un clic-droit sur le fichier Thunderbird et sélectionnez [Ouvrir] pour extraire le fichier.

    Figure 3: Ouverture du fichier téléchargé de Thunderbird

    Figure 4: Extraction de Thunderbird

    Cinquième étape. Cliquez sur [Suivant] pour commencer le processus d'installation de Thunderbird.

    Figure 5: Fenêtre d'installation de Mozilla Thunderbird

    Sixième étape. Sélectionnez [Standard] dans la fenêtre d'installation de Mozilla Thunderbird.

    Figure 6: Options d'installation dans la fenêtre d'installation de Thunderbird

    Septième étape. Cochez [Utiliser Thunderbird comme application de courrier électronique par défaut], si vous préférez avoir Thunderbird comme application de courrier électronique par défaut.

    Huitième étape. Cliquez sur [Suivant] pour continuer.

    Neuvième étape. Cliquez sur [Installer] pour commencer l'installation de Thunderbird.

    Figure 7: Lancement de l'installation de Thunderbird

    Figure 8: Installation de Thunderbird

    Dixième étape. Cliquez sur [Terminer] pour terminer le processus d'installation de Thunderbird.

    Figure 9 : Fin de l'assistant d'installation de Mozilla Thunderbird

    2.2 Ajouter un compte de messagerie dans Thunderbird

    Pour ajouter un compte mail à Thunderbird, suivez les étapes ci-dessous.

    Première étape. Lancez Thunderbird la fenêtre ci-dessous apparaîtra (après avoir cliqué sur [Courrier électronique] sous "Créer un nouveau compte") :

    Figure 1: Première exécution de Thunderbird

    Deuxième étape. Cliquez sur [Passer cette étape et utiliser mon adresse existante] pour ouvrir l'écran de création d'un compte courrier.

    Figure 2: Ecran de création d'un compte courrier

    Troisième étape. Saisissez le nom, l'adresse électronique et le mot de passe qui correspondent au compte que vous souhaitez utiliser pour accéder à Thunderbird.

    Quatrième étapeDécochez la case [Retenir le mot de passe].

    Cinquième étapeCliquez sur [Continuer]. Thunderbird poursuivra la configuration du service courrier que vous avez saisi

    Figure 3 : Thunderbird après vérification de la configuration d'un service de messagerie

    Vous voudrez probablement conserver la coche "IMAP (dossiers distants)"IMAP conserve la copie principale de vos fichiers email (y compris les dossiers boîte de réception, brouillons, modèles, courriers envoyés et corbeille) sur le serveur et fait une copie en local sur votre appareil. Cela vous permet d'accéder aux mêmes messages depuis plusieurs appareils tout en conservant vos fichiers synchronisés. (A l'inverse POP, supprime les messages depuis le serveur et les conserve sur le premier appareil sur lequel ils sont téléchargés. Ça ne signifie pas qu'ils sont réellement supprimés du serveur, mais l'accès à votre courrier électronique y est bien plus difficile depuis plusieurs appareils).

    Attention: Vérifiez bien qu'à la fois les informations entrantes et sortantes sont affichées sur l'écran suivant SSL (Secure Sockets Layer) ou STARTTLS (Start Transport Layer Security). L'un ou l'autre indique que votre service de messagerie est compatible avec un chiffrement de base.

    Sixième étape. Cliquez sur [Terminé] pour créer votre compte et accéder à l'interface principale de Thunderbird.

    Figure 4: Interface principale de Thunderbird

    Note : Pour ajouter un autre compte de messagerie, cliquez sur Fichier dans la barre de menu et sélectionnez [Nouveau > Compte Messagerie existant]. Ensuite, répéter simplement les opérations précédentes.

    Chaque fois que vous exécuterez Thunderbird, il vous sera demandé de saisir votre mot de passe pour chaque compte ajouté.

    Figure 5: Ecran - Saisissez votre mot de passe

    Septième étape. Saisissez votre mot de passe.

    Figure 6 : Saisie du mot de passe dans l'écran Mail Server Password Required screen

    Huitième étape. Cliquez sur [OK] pour vous connecter à votre(vos) compte(s) en utilisant Thunderbird.

    3. Améliorer la sécurité et l'ergonomie de Thunderbird

    Cette section détaille comment configurer les préférences de Thunderbird pour vous aider à défendre votre système contre les attaques provenant de courriers électroniques. Pour plus d'information, consulter Protéger votre ordinateur contre les logiciels malveillants et les pirates.

    3.1 Désactiver les messages en HTML

    Thunderbird vous permet d'inclure des couleurs, des polices, des images et autres formatage dans les emails que vous écrivez. Cela est possible parce que les messages envoyés contiennent du HTML (la même technologie utilisée pour les pages internet) et pas uniquement du texte basique. Il a aussi la capacité d'afficher des messages HTML qui vous ont été envoyés par d'autres. Malheureusement, l'affichage de mail HTML peut vous exposer à certaines des attaques ciblant les navigateurs. Et l'écriture de courrier HTML empêche parfois le chiffrement GnuPG de fonctionner correctement.

    Pour afficher des courriers électroniques HTML en Texte seul, suivez les étapes ci-dessous :

    Première étapeCliquez sur  pour afficher le Menu Thunderbird.

    Deuxième étapeSélectionnez [Affichage > Corps du message en > Texte seul].

    Figure 1 : Désactivation de l'affichage des courriers en HTML

    Pour écrire des courriers électroniques en texte seul, suivez les étapes ci-dessous :

    Première étape. Cliquez sur  pour afficher le menu de Thunderbird.

    Deuxième étape. Sélectionnez [Options > Paramètres des comptes].

    Figure 2: Sélection des paramètres des comptes dans Thunderbird

    Troisième étapeSélectionnez [Rédaction et adressage] sous votre adresse électronique.

    Figure 3: L'écran 'Rédaction et adressage' avec l'option 'Rédiger les messages en HTML' décochée

    Quatrième étape. Décochez l'option [Rédiger les messages en HTML].

    Cinquième étape. Cliquez sur [OK].

    3.2 Paramétrer les préférences relatives à la sécurité de Thunderbird

    Pour modifier les préférences de sécurité de Thunderbird, suivez les étapes ci-dessous :

    Première étape. Cliquez sur  pour activer la barre de menu Thunderbird.

    Deuxième étape. Sélectionnez [Options > Options].

    Figure 1: Sélection des Options via la barre de menu Thunderbird

    Troisième étape. Cliquez sur l'onglet Sécurité.

    Figure 2: Ecran des options de Sécurité de Thunderbird.

    Quatrième étape. Cliquez sur le sous-onglet Mots de passe.

    Figure 3: Onglet Mots de passe

    Pour afficher ou supprimer les mots de passe des comptes que vous avez sauvegardés sur votre ordinateur, cliquez sur [Mots de passe enregistrés...].

    Figure 4: Fenêtre Enregistrement des identifiants

    Pour supprimer tous les mots de passe sauvegardés par Thunderbird, cliquez sur [Tout supprimer]. Vous pouvez aussi supprimer les mots de passe individuellement.

    Attention : Nous vous recommandons de protéger vos mots de passe en utilisant un outil spécialement conçu à cet effet. Consultez KeePassX pour plus d'informations. Cependant, si vous avez l'intention d'autoriser Thunderbird à se souvenir d'eux pour vous, il est extrêmement important que vous définissiez un mot de passe principal pour que Thunderbird puisse chiffrer vos autres mots de passe. En fait, même si vous ne souhaitez pas que Thunderbird conserve les mots de passe de vos comptes, vous devriez malgré cela définir un mot de passe principal. Agir ainsi, vous permet de vous assurez que Thunderbird chiffre tout mot de passe que vous pourriez accidentellement demander de sauvegarder. Si vous faites cela, souvenez-vous de votre mot de passe principal ou enregistrez-le dans un endroit sûr (comme une base de données KeePassX. Et soyez conscient que Thunderbird vous demandera ce mot de passe principal chaque fois que vous redémarrez l'application.

    Cinquième étape. Cochez la coche [Utiliser un mot de passe principal] pour lancer l'écran suivant :

    Figure 5: Fenêtre de modification du mot de passe principal

    Sixième étape. Saisissez un mot de passe complexe et sûr dans les deux zones de saisie et cliquez sur [OK].

    3.3 Configurer les préférences de Thunderbird relative à la vie privée

    Les cookies contiennent des informations qui sont envoyées à votre navigateur par les sites Internet que vous consultez. Lorsque vous revenez sur ces sites, vous leur renvoyez les cookies correspondant avec votre demande de contenu. Les cookies sont utilisés pour plusieurs raisons. Par exemple, les sites Internet qui nécessitent une identification les utilisent souvent pour se souvenir si vous l'avez fait. Mais les cookies peuvent aussi être utilisés pour pister vos activités en ligne.

    Thunderbird accepte les cookies principalement pour être compatible avec les flux RSS et les groupes de discussions, pas pour les messages électroniques. Nous vous recommandons de désactiver l'utilisation des cookies dans Thunderbird. Si cela vous empêche d'utiliser une fonctionnalité de Thunderbird dont vous avez besoin, vous pourrez toujours revenir et l'activer.

    Vous pouvez demander à Thunderbird de ne pas accepter les cookies en suivant les étapes ci-dessous :

    Première étape. Cliquez sur  pour activer la barre de menu Thunderbird.

    Deuxième étape. Sélectionnez [Options > Options].

    Troisième étape. Cliquez sur l'onglet Vie privée.

    Figure 1: Onglet 'Vie privée'

    Quatrième étape. Décochez les cases suivantes :

    • Autoriser le contenu distant dans les messages. (Vous pouvez toujours autoriser le contenu distant un message à la fois.)
    • Se souvenir des sites web et liens visités
    • Accepter les cookies

    4. Envoyer et recevoir des messages chiffrés

    GNU Privacy Guard (GnuPG or GPG) est un logiciel de chiffrement libre et gratuit développé par le GNU Project. Il est conforme aux standards OpenPGP et a été conçu pour interagir avec Pretty Good Privacy (PGP), un équivalent commercial développé par Phil Zimmermann et maintenu par Symantec.

    Enigmail est un module complémentaire qui vous permet d'accéder au chiffrement GnuPG depuis Thunderbird.

    GnuPG s'appuie sur une forme de chiffrement à clé publique qui nécessite que chaque utilisateur génère sa propre paire de clés. Cette paire de clés peut être utilisée pour chiffrer, déchiffrer et signer du contenu numérique tel que des messages électroniques. Cela inclut une clé privée et une clé publique :

    • Votre clé privée est une donnée extrêmement sensible. Quiconque réussi à obtenir une copie de cette clé sera capable de lire du contenu chiffré qui n'était destiné qu'à vous uniquement. Il pourrait aussi signer des messages à votre place. Votre clé privée est, elle-même, chiffrée par un mot de passe que vous choisirez lorsque vous générerez votre paire de clés. Vous devez choisir un mot de passe complexe et sûr de façon à ce que personne n'ait accès à votre clé privée. Vous utiliserez votre clé privée pour déchiffrer des messages qui vous sont envoyés par ceux qui ont une copie de votre clé publique.

    • Votre clé publique est faite pour être partagée avec les autres et ne peut être utilisée pour lire un message chiffré ou contrefaire un message. Une fois que votre correspondante a votre clé publique, vous pouvez commencer à lui envoyer des messages chiffrés. Elle seule sera capable de déchiffrer et lire ces messages parce qu'elle seule a accès à la clé privée qui correspond à la clé publique que vous utilisez pour les coder. De la même façon, pour que quelqu'un vous envoie un message chiffré, cette personne doit avoir une copie de votre clé publique. Il est important de vérifier que la clé publique que vous utilisez pour chiffrer les messages appartient effectivement à la personne avec qui vous essayer d'échanger. Si vous ou votre correspondant êtes dupés lors du chiffrement des messages avec la mauvaise clé publique, votre conversation ne sera pas sécurisée.

    GnuPG et Enigmail vous permettent aussi d'attacher des signatures numériques à vos messages. Si vous signez un message en utilisant votre clé privée, chaque destinataire ayant une copie de votre clé publique peut vérifier s'il a bien été envoyé par vous-même et que le contenu n'a pas été falsifié. De la même façon, si vous avez la clé publique d'un correspondant, vous pouvez vérifier ses signatures numériques

    4.1 Installer GnuPG et Enigmail

    Cette section aborde l'installation de GnuPG et Enigmail.

    4.1.1 Installer GnuPG

    Pour installer GnuPG, suivez les étapes ci-dessous :

    Première étape. Accédez à la page de téléchargement de Gpg4win sur https://www.gpg4win.org/.

    Figure 1: Site Internet Gpg4win

    Deuxième étape. Cliquez sur [Télécharger Gpg4win].

    Figure 2: Page de téléchargement de Ggp4win

    Troisième étape. Cliquez sur [Gpg4win 2.3.1] ou toute version plus récente.

    Figure 3: Téléchargement de Gpg4win

    Quatrième étape. Cliquez sur [Enregistrer fichier] pour télécharger Gpg4win.

    Cinquième étape. Faites un clic-droit sur le fichier gpg4win téléchargé et sélectionnez [Ouvrir].

    Figure 4: Ouverture du fichier gpg4win

    Sixième étape. Sélectionnez une langue pour l'installation de Gpg4win.

    Figure 5: Choix de la langue

    Septième étape. Cliquez sur [Suivant] pour lancer l'installation de Gpg4win.

    Figure 6: Fenêtre d'installation de Gpg4win

    Huitième étape. Lisez le Contrat de Licence et cliquez sur [Suivant].

    Figure 7: Contrat de Licence Gpg4win

    Neuvième étape. Sélectionnez les fonctionnalités de Gpg4win que vous souhaitez installer. Les paramètres par défaut sont bien.

    Figure 8: Fonctionnalités Gpg4win

    Dixième étape. Sélectionnez l'emplacement où vous souhaitez installer Gpg4win et cliquez sur [Suivant].

    Figure 9: Emplacement du fichier d'installation Gpg4win

    Onzième étape. Sélectionnez [Suivant].

    Figure 10: Options d'installation de Gpg4win.

    Douzième étape. Sélectionnez un dossier dans le menu Démarrer pour le raccourci Gpg4win. Cliquez sur [Suivant] pour commencer l'installation de Gpg4win.

    Figure 11: Sélection des raccourcis Gpg4win

    Treizième étape. Cliquez sur [Suivant] pour commencer l'installation de Gpg4win.

    Figure 12: Installation en cours de Gpg4win

    Quatorzième étape. Cliquez sur [Suivant].

    Figure 13: Fin du processus d'installation de Gpg4win

    Quinzième étape. Cliquez sur [Terminer] pour terminer le processus d'installation de Gpg4win.

    Figure 14: Fin du processus d'installation de Gpg4win

    4.1.2 Installer Enigmail

    Pour installer Enigmail, suivez les étapes ci-dessous.

    Première étape. Lancez Thunderbird et connectez-vous à votre compte.

    Figure 1 : Thunderbird

    Deuxième étape. Cliquez sur .

    Figure 2: Ouverture du gestionnaire de modules complémentaires

    Troisième étape. Sélectionnez [Modules complémentaires] pour ouvrir le gestionnaire de modules complémentaires.

    Figure 2: Ouverture du gestionnaire de modules complémentaires

    Quatrième étape. Saisissez [Enigmail] dans la zone de recherche du coin supérieur droit du gestionnaire de modules complémentaires et appuyez sur Entrée.

    Figure 3: Recherche du module complémentaire Enigmail

    Cinquième étape. Cliquez sur [Installer] à coté de l'entrée pour Enigmail pour commencer l'installation du module complémentaire.

    Figure 4: Installation d'Enigmail

    Lorsque Thunderbird aura terminé l'installation du module complémentaire, vous serez averti.

    Figure 5: Enigmail est installé

    Sixième étape. Cliquez sur [Redémarrez maintenant] pour relancer Thunderbird et terminer l'installation d'Enigmail. Lors du démarrage de Thunderbird, il lancera automatiquement l'assistant de configuration Enigmail, qui vous aidera à générer le chiffrement des clefs.

    4.2 Générer des clés de chiffrement et configurer Enigmail

    Cette section aborde la génération d'une paire de clés GnuPG et la configuration  d'Enigmail.

    4.2.1 Générer des clés de chiffrement

    Pour générer une paire de clef GnuPG, suivez les étapes ci-dessous.

    Première étape. Cliquez sur   et sélectionnez [Enigmail > Assistant de configuration]. Cela lancera l'assistant d'installation GnuPG.

    Figure 1: L'assistant d'installation Enigmail

    Deuxième étape. Sélectionnez [Démarrer la configuration maintenant] et cliquez sur [Suivant].

    Troisième étape. Sélectionnez [Je préfère la configuration standard (recommandé pour les novices)] et cliquez sur [Suivant].

    Figure 2: Configuration d'Enigmail

    Quatrième étape. Sélectionnez une phrase secrète complexe (sûre) et saisissez-la dans les deux champs de l'écran suivant :

    Figure 3: Choix d'une phrase secrète pour votre GnuPG key pair

    Note : Cette phrase secrète sera utilisée pour chiffrer votre clé privée, qui vous permettra de signer les messages que vous envoyez et de déchiffrer ceux que vous recevez. Elle ne doit être communiquée à qui que ce soit. Ainsi, il est important de choisir une phrase secrète complexe et sûre que vous n'oublierez pas. Vous pouvez en apprendre plus dans le guide Créer et sauvegarder des mots de passe sûrs.

    Figure 4: Saisir la phrase secrète de votre paire de clés GnuPG

    Cinquième étape. Cliquez sur [Suivant] pour générer une paire de clés de chiffrement.

    Patientez jusqu'à ce que la clé soit générée.

    Figure 5: Création de la clé.

    Lorsqu'Enigmail a terminé la génération de votre paire de clés GnuPG, vous serez averti et le bouton Générer un certificat de révocation apparaîtra.

    Figure 6: Enigmail est prêt à générer un certificat de révocation

    Vous devriez générer un certificat de révocation pour avertir les autres lorsqu'une clef n'est plus valide. Il faut faire cela si :

    • vous arrêtez d'utiliser une paire de clés

    • vous perdez une clé privée

    • vous oubliez le mot de passe d'une clé privée

    • vous pensez qu'une clé privée est compromise ou partagée avec d'autres

    Il est particulièrement important de générer un certificat de révocation si vous prévoyez de charger vos clés publiques sur un serveur de clés. Il n'y a aucun autre moyen de « supprimer » une clé une fois qu'elle est chargée, de plus il n'est pas recommandé d'avoir des clés compromises ou anciennes conservées sur un serveur de clés, déroutant ainsi les gens.

    Sixième étape. Cliquez sur [Créer un certificat de révocation].

    Figure 7: Enigmail demandant vos identifiants

    Septième étape. Saisissez le mot de passe que vous avez défini lorsque vous avez créé votre paire de clés GnuPG.

    Huitième étape. Sélectionnez un nom de fichier et un emplacement pour votre certificat de révocation.

    Figure 8: Choix d'un nom et d'un emplacement pour votre certificat de révocation

    Dans cet exemple, nous plaçons le certificat de révocation dans le dossier Documents, mais vous pouvez l'enregistrer où vous le souhaitez dans un dossier sûr.

    Neuvième étapeCliquez sur [Enregistrer] pour afficher l'avertissement d'Enigmail sur l'importance de conserver en sécurité votre certificat de révocation.

    Figure 9 : Avertissement relatif au certificat de révocation

    Dixième étape. Cliquez sur [OK] pour revenir à l'assistant d'installation.

    Figure 10: L'assistant Enigmail

    Onzième étape. Cliquez sur [Suivant] pour terminer le processus de génération des clefs.

    Figure 11: Fenêtre de remerciement d'Enigmail

    Douzième étape. Cliquez sur [Terminer] pour quitter l'assistant d'installation et revenir à Thunderbird.

    4.2.2 Configurez Enigmail pour fonctionner avec votre compte de messagerie

    Vous devez autoriser Enigmail pour chacun des comptes configurés dans Thunderbird, que vous souhaitez utiliser pour envoyer ou recevoir des courriers électroniques chiffrés par GnuPG. Pour faire ceci, suivez les étapes ci-dessous.

    Première étape. Cliquez sur  et sélectionnez [Options > Paramètres des comptes].

    Figure 1: Ouverture des paramètres des comptes dans Thunderbird.

    Cela affichera l'écran Paramètres des comptes.

    Figure 2: Ecran des Paramètres des comptes de Thunderbird

    Deuxième étape. Cliquez sur [Sécurité OpenPGP] sous les comptes avec lesquels vous souhaitez envoyer ou recevoir des messages chiffrés.

    Figure 3: Paramètres d'Enigmail OpenPGP pour un compte de messagerie Thunderbird

    Cet écran vous permet de définir différentes préférences pour le chiffrage de messages par Enigmail. Si vous générez votre paire de clés GnuPG en suivant les instructions précisées dans les paragraphes précédents – après avoir ajouter un compte unique à Thunderbird – ce compte devrait déjà avoir été configuré pour fonctionner avec Enigmail. Il devrait aussi être lié à la paire de clés que vous avez générée. Si ce n'est pas le cas, poursuivez avec la troisième étape, ci-dessous. Si c'est le cas, vous pouvez passer à la Figure 6.

    Troisième étape. Cochez la case à côté de [Activer le support OpenPGP (Enigmail) pour cette identité].

    Quatrième étape. Cliquez sur [Choisir une clef...] pour ouvrir la fenêtre Sélection des clés OpenPGP pour chiffrement.

    Figure 4: Ecran de sélection d'une clé OpenPGP pour chiffrement

    Cinquième étape. Sélectionnez la paire de clés que vous voulez utiliser pour ce compte de messagerie.

    Figure 5: Sélection d'une paire de clés pour un compte de messagerie particulier dans Thunderbird

    Sixième étape. Cliquez sur [Choisir une clef...] pour lier cette paire de clefs à ce compte de messagerie et revenir à l'écran des options de sécurité de OpenPGP.

    Ci-dessous, nous recommandons deux paramétrages optionnels qui sont à configurer (ce ne sont pas les options par défaut).

    Figure 6: Configuration d'Enigmail pour ce compte de messagerie

    Septième étape. Cochez la case [Toujours utiliser PGP/MIME]

    Avec cette case cochée, Enigmail est plus en mesure de chiffrer les pièces jointes, y compris les noms de fichiers.

    Huitième étape. Cochez la case [Signer les messages chiffrés]

    Avec cette case cochée, Enigmail signera numériquement tous les messages chiffrés envoyés via ce compte à moins de lui dire précisément de ne pas le faire. Les messages non chiffrés resteront non signés par défaut.

    Neuvième étape. Cliquez sur [OK] pour revenir à Thunderbird.

    4.2.3 Affichage et gestion des paramètres des clés

    Une fois que vous avez généré votre paire de clés GnuPG et configuré votre compte de messagerie pour travailler avec Enigmail, vous pourrez voir et gérer les paramètres de votre paire de clés en suivant les étapes ci-dessous.

    Première étape. Cliquez sur  et sélectionnez [Enigmail > Gestion de clefs].

    Figure 1: Ouverture de l'écran de gestion des clefs Enigmail

    Ceci lancera votre écran Gestion des clefs avec Enigmail.

    Figure 2: Ecran de gestion des clés avec Enigmail.

    Deuxième étape. Double-cliquez sur le nom de votre paire de clefs pour afficher ou modifier ses paramètres.

    Figure 3: Paramètres de la paire de clés

    La fenêtre 'Paramètre de clés' affiche des informations importantes sur votre paire de clé GnuPG :

    • Identifiant de clef: L'ID de la clé montré ci-dessus pour ekaterina@riseup.net est 0x54719074. (Il s'agit des 8 derniers caractères de l'empreinte complète ci-dessous)
    • Empreinte de la clef: L'empreinte de la clé pour la même paire de clé est 15A3 49D0 44DA E137 0EA2 1995 5990 6DB4 5471 9074. Vous n'avez pas besoin de garder secrète l'empreinte de votre clef. En fait, elle est faite pour être partagée.
    • Date d'expiration: Cette paire de clef ne sera plus fonctionnelle après le 16 septembre 2021.

    Avant que les autres puissent vous envoyez des messages chiffrés, ils doivent disposer d'une copie de votre clé publique. Vous pouvez en apprendre plus sur le partage de clé dans le Section 4.3. Votre empreinte de clé est un élément important pour que vos correspondants s'assurent que la clé qu'ils ont pour vous est bien en réalité la vôtre. La vérification des clés est abordée dans la Section 4.4.

    (Optionnel) Modification de la date d'expiration d'une paire de clés

    Si vous avez besoin de modifier la date d'expiration de votre paire de clés GnuPG, suivez les étapes ci-dessous. C'est la façon la plus pratique d'étendre la date d'expiration, lorsqu'elle approche, si vous avez besoin de plus temps pour générer une nouvelle paire de clés et informer ceux avec qui vous communiquez par messages chiffrés.

    Première étape. Cliquez sur [Changer] à côté de la date d'expiration de votre paire de clefs.

    Figure 1: Modification de date d'expiration d'une paire de clés

    Cela lancera l'écran de modification de la date d'expiration comme indiqué ci-dessous.

    Figure 2: Ecran de Modification de la date d'expiration

    Remarque: Le nombre d'années affiché en bas de l'écran ne correspond pas forcément avec la date d'expiration actuelle. Si vous cliquez sur [OK] sans rien modifier, vous pourriez temporairement réduire la durée de vie de votre paire de clés.

    Deuxième étape. Saisissez le nombre d'années, à partir d'aujourd'hui, pour lequel vous souhaitez que votre paire de clés soit fonctionnelle.

    Figure 3: Modification de la date d'expiration d'une paire de clé GnuPG

    Troisième étape. Cliquez sur [OK] pour saisir la phrase secrète de votre clef privée.

    Figure 4 : Saisie du mot de passe de la clef privée.

    Quatrième étape. Saisissez votre phrase secrète.

    Cinquième étape. Cliquez sur [OK] pour modifier la date d'expiration de votre paire de clefs GnuPG.

    (Optionnel) Modification de la phrase secrète pour une clé privée

    Nous recommandons de modifier votre phrase secrète de temps en temps au cas où elle aurait été compromise à votre insu. Si vous souhaitez modifier la phrase secrète qui protège votre clé privée, suivez les étapes ci-dessous.

    Première étape. Cliquez sur [Sélectionner l'action...] et sélectionnez [Modifier la phrase secrète].

    Figure 1 : Modification de la phrase secrète

    Deuxième étape. Saisissez votre mot de passe actuelle pour votre clef privée.

    Figure 2: Saisie du mot de passe pour la clef privée

    Troisième étape. Cliquez sur [OK].

    Quatrième étape. Saisissez votre nouveau mot de passe et cliquez sur [OK].

    Figure 3: Saisie d'un nouveau mot de passe pour la clé privée

    Cinquième étape. Re-saisissezr votre nouveau mot de passe et cliquez sur [OK].

    Figure 4: Re-saisie d'un nouveau mot de passe pour la clé privée

    Vous avez maintenant modifié le mot de passe pour la clé privée.

    4.3 Echange de clés publiques

    Avant de pouvoir commencer à vous envoyer des messages chiffrés, vous et votre correspondant devez échanger les clés publiques. Vous devez également confirmer la validité de toute clé reçue en confirmant qu'elle appartient bien à la personne qui prétend l'avoir envoyée.

    4.3.1 Envoyer votre clé publique comme pièce jointe

    Pour envoyer une clé publique en utilisant Enigmail, vous et votre correspondant devrez tous deux réaliser les étapes suivantes :

    Première étape. Ouvrir Thunderbird et cliquez sur [Écrire] pour écrire un email.

    Deuxième étape. Sélectionnez [Enigmail > Attacher une clef publique...]. (Sinon, cliquez sur le bouton [Attacher ma clef publique] au-dessus de votre adresse email, ignorez les étapes suivantes, et allez directement à la quatrième étape.)

    Figure 1 : Joindre une clé publique

    Troisième étape. Sélectionnez la clé que vous souhaitez envoyer (généralement celle associée au compte de messagerie que vous utilisez actuellement).

    Figure 2 : Sélection d'une clé publique à attacher

    Quatrième étape. Cliquez sur [Envoyer]. Votre clé n'apparaîtra pas comme document joint jusqu'à ce l'email soit envoyé.

    Figure 3 : Une clé publique jointe prête à être envoyée

    Cinquième étape. Saisissez votre mot de passe GnuPG et appuyez sur Entrée si demandé.

    4.3.2 Importer une clé publique dans un message

    Votre correspondant et vous-même devrez suivre les étapes ci-dessous pour importer la clé publique de l'autre.

    Une clé publique devrait être visible dans le coin inférieur gauche du message dans lequel elle a été envoyée :

    Figure 1: Une clé publique comme document joint à un message

    Première étape. Faites un clic-droit sur le document joint et sélectionnez [Importer une clé OpenPGP] pour importer la clé publique de votre correspondant.

    Figure 2: Importer une clé OpenPGP

    Deuxième étape. Cliquez sur [Oui] pour importer la clé publique de votre correspondant.

    Figure 3: Fenêtre de confirmation Enigmail

    Troisième étape. Cliquez sur [OK] pour fermer la fenêtre vous indiquant que Les clés ont été importées avec succès.

    Figure 4: Clé publique importée avec succès

    Quatrième étape. Cliquez sur  et sélectionnez [Enigmail > Gestion des clefs].

    Figure 5: Ouverture de la fenêtre de gestion des clés dans Enigmail

    Vous devriez maintenant être en mesure de voir la clé publique de votre correspondant :

    Figure 6: Une nouvelle clé publique affichée dans la fenêtre de gestion d'Enigmail

    4.4 Valider et signer des clés publiques

    Vous devez maintenant vérifier que la clé importée appartient réellement à la personne qui vous l'a envoyée. C'est un processus que vous (et vos correspondants) devriez faire pour chaque clé publique que vous recevez. Une fois que vous avez vérifié la clé, vous la signez pour que GnuPG sache qu'elle est valide.

    4.4.1 Valider la clef publique de quelqu'un

    Pour valider la clé publique de votre correspondant, contactez-le par un autre moyen de communication qui vous permet d'être absolument certain que vous parlez à la bonne personne. La rencontre en face à face est la meilleure solution, mais les échanges vocaux ou vidéos sont acceptables si vous vous sentez confiant pour reconnaître la voix ou l'apparence de votre correspondant. Il n'est pas nécessaire que cette conversation soit confidentielle tant que vous évitez de discutez de sujets sensibles. Vous échangerez les empreintes des clés publiques, il n'est pas nécessaire qu'elles restent secrètes.

    Vous et votre correspondant devez vérifier l'empreinte des clés publiques que vous avez échangées. Une empreinte est une série unique de chiffres et de lettres qui sert à identifier chaque clé. Vous pouvez utiliser la fenêtre de Gestion de clefs d'OpenPGP pour visualiser l'empreinte des paires de clés que vous avez créées et des clés publiques que vous avez importées.

    Pour visualiser l'empreinte d'une paire de clés en particulier, suivez les étapes énumérées ci-dessous:

    Première étapeCliquez sur  et sélectionnez [Enigmail > Gestion de clefs].

    Figure 1: Ouverture de la fenêtre de gestion des clés d'Enigmail

    Deuxième étape. Double-cliquez sur une paire de clés pour ouvrir la fenêtre des Paramètres des clés dans Enigmail

    Figure 2: Ecran des paramètres des clés Enigmail

    Dans la fenêtre Paramètres des clés, vous pourrez voir l'empreinte de la paire de clefs que vous avez sélectionnée. Par exemple, l'empreinte de ekaterina@riseup.net est 15A3 49D0 44DA E137 0EA2 1995 5990 6DB4 5471 9074.

    Votre correspondant devrait procéder aux étapes suivantes également. Donc pour vérifier les empreintes : 1. Lisez l'empreinte de votre paire de clefs à votre correspondant

    1. Laissez-le vérifiez que l'empreinte qu'il a pour votre clef publique correspond à ce que vous venez de lui lire

    2. Ecoutez votre correspondant vous lire l'empreinte de sa paire de clés

    3. Vérifiez que l'empreinte que vous avez pour a clef publique correspond à ce qu'il vient de vous lire

    Si les empreintes ne correspondent pas, changez de paire de clefs et répéter le processus.

    Remarque : Parce que les empreintes elles-mêmes ne sont pas sensibles, vous pouvez facilement écrire l'empreinte que votre correspondant vous lit. Ensuite, lorsque vous avez plus de temps, vous pouvez vérifier que cela correspond à l'empreinte que vous avez pour sa clef publique en utilisant l'écran de gestion des clés d'Enigmail. (C'est aussi pour cela que certaines personnes impriment leur empreinte GnuPG sur leurs cartes de visite.)

    4.4.2 Signer la clé publique de quelqu'un

    Une fois que vous avez vérifié la clef d'un correspondant, vous devrez la signer. Cela indiquera à Enigmail de se souvenir que vous considérez cette clef comme valide.

    Attention : Si vous signez la clef publique de quelqu'un et rendez publiquement disponible votre copie signée de sa clé, cela peut facilement exposer le fait que vous échangez des informations sensibles avec cette personne. Pour éviter que cela arrive par accident, cliquez toujours la case Signature locale lorsque vous signez la clé publique d'un correspondant.

    Vous pouvez signer un clef publique valide en suivant les étapes ci-dessous.

    Première étape. Cliquez sur  et sélectionnez [Enigmail > Gestion des clefs].

    Deuxième étape. Faites un clic-droit sur la clef publique que vous souhaitez signer et sélectionnez [Signer la clef].

    Figure 1: Signature de la clef publique de quelqu'un d'autre.

    Troisième étape. Assurez-vous que votre paire de clés est sélectionnée dans la zone à côté de Clef pour signer.

    Figure 2: Ecran Enigmail - Signature de clef

    Quatrième étape. Cliquez sur [J'ai fait une vérification très poussée].

    Note: D'autres options (comme Je n'ai rien vérifié) ne vous autoriseront peut-être pas à envoyer des messages chiffrés au détenteur de cette clé. De plus, à cause d'un bug dans Enigmail, il sera peut-être difficile de modifier ce paramétrage ultérieurement. C'est pourquoi, nous recommandons de toujours sélectionner J'ai fait une vérification très poussée lorsque vous signer la clef publique d'un correspondant.

    Cinquième étape. Cochez la case [Signature locale (non exportable)].

    Attention: A moins de vraiment faire confiance à GnuPG – et de savoir avec certitude que le détenteur de cette clé publique souhaite que votre signature de cette clé soit publique, vous devriez cocher cette case.

    Sixième étape. Cliquez sur [OK].

    Figure 3: Saisie du mot de passe pour votre clé privée afin de signer la clé publique de quelqu'un d'autre. Septième étape. Saisissez le mot de passe pour votre clef privée.

    Huitième étape. Cliquez sur [OK] pour signer la clé publique. Ceci indiquera à Enigmail que vous avez vérifié l'identité de son détenteur, ce qui vous permettra d'envoyer votre email chiffré.

    4.5 Chiffrement et déchiffrement de messages électroniques

    GnuPG ne protège que le contenu du courrier électronique et des pièces jointes que vous chiffrez. Les informations suivantes ne seront jamais chiffrées :

    • L'objet du message

    • L'adresse électronique de l'expéditeur

    • L'adresse électronique du destinataire

    • Tous noms réels qui pourraient être associés aux expéditeurs et aux destinataires (Elena S. Katerina <ekaterina@riseup.net>, par exemple)

    De plus, si vous paramétrez Enigmail pour utiliser Inline PGP au lieu de PGP/MIME, les noms de fichiers et pièces jointes que vous envoyez restent non chiffrés.

    C'est pourquoi il est important de choisir votre objet avec soin, pensez à créer une clef GnuPG key pour au moins un compte de messagerie qui n'inclue pas votre vrai nom et utilisez toujours PGP/MIME.

    Enfin, lorsque vous envoyez un message électronique chiffré, une copie – chiffrée par rapport à votre clef publique — sera conservée dans votre dossier Courrier envoyé.

    4.5.1 Envoyer des messages chiffrés

    Une fois que vous et votre correspondant avez mutuellement importé, validé et signé les clés publiques, vous pouvez commencer à échanger des messages chiffrés.

    Vous pouvez chiffrer le contenu de vos messages en suivant les étapes ci-dessous:

    Première étape. Dans Thunderbird, cliquez sur [Ecrire] et rédigez un message à un destinataire pour lequel vous avez une clé publique signée.

    Figure 1: Fenêtre d'écriture de Thunderbird

    Attention : Le bouton 'cadenas' (qui indique que votre message sera chiffré) et le bouton 'stylo' (qui indique que votre message sera signé) devrait s'allumer dès que vous saisissez une adresse pour laquelle vous avez une clé publique valide. Vous devriez aussi voir le message "Ce message sera signé et chiffré" dans le coin supérieur droit de la fenêtre. C'est parce que :

    • Par défaut, Enigmail chiffre automatiquement les messages envoyés à des correspondants pour qui vous avez une clé publique valide ;
    • Nous avons autorisé la signature des messages chiffrés, dans la partie précédente [Paramètres des comptes > Sécurité OpenPGP].

    Vous pouvez choisir de ne pas chiffrer ou signer un message en désactivant les boutons cadenas et stylo avant de cliquer sur [Envoyer]. (Vous pouvez aussi configurer Thunderbird pour envoyer un message chiffré par défaut). Cette option est disponible dans les paramétrages 'Cryptage manuel' dans l'onglet Envoi du menu des préférences d'Enigmail).

    Deuxième étapeCliquez sur Enigmail dans la barre de menu de la fenêtre de composition.

    Figure 2: Autoriser le chiffrement et la signature

    Troisième étape. Cochez la coche Chiffre le message.

    Quatrième étape. Cochez la coche Signe le message.

    Une fois que vous avez saisi une adresse Pour : pour qui vous avez une clé publique vérifiée, le message suivant devrait apparaître dans le coin supérieur droit de votre fenêtre :

    Figure 3: Enigmail vous informe qu'il est prêt à chiffrer et signer un courrier

    Cinquième étapeCliquez sur [Envoyer].

    Sixième étapeSaisissez le mot de passe de votre clé privée.

    Septième étape. Cliquez sur [OK] pour envoyer votre message (chiffré et signé).

    4.5.2 Déchiffrer le message de quelqu'un d'autre

    Lorsque vous cliquez sur un message chiffré, Enigmail vous demandera votre mot de passe et votre clé privée pour pouvoir déchiffrer le message.

    Saisissez votre mot de passe et cliquez [Unlock].

    Figure 1: Un message déchiffré avec une signature vérifiée

    Enigmail affichera des informations en haut du message. Dans l'image ci-dessus, par exemple, « Decrypted message; Good signature from Mansour" vous indique que:

    • Le message était chiffré en utilisant une clef publique (qui peut être faite par n'importe qui)
    • Vous l'avez déchiffré avec succès
    • Il a été signé par quelqu'un avec une clé privée qui correspond à la clé publique de mansour@riseup.net que vous aviez importée
    • Vous avez signé la clef publique de mansour@riseup.net, en espérant qu'elle appartienne au vrai Mansour.

    FAQ

    Q : Que se passe-t-il si j'installe uniquement Enigmail et pas GnuPG ?

    R : C'est très simple, vraiment. Enigmail ne sera pas opérationnel. Après tout, c'est le logiciel GnuPG qui fournit l'outil de chiffrement qu'Enigmail utilise.

    Q : Combien de comptes puis-je paramétrer dans Thunderbird ?

    R : Autant que vous le souhaitez ! Thunderbird est un gestionnaire de messagerie et peut facilement gérer plus de 20 comptes !

    Q : Mon ami a un compte Gmail. Devrais-je le convaincre d'installer Thunderbird, Enigmail et GnuPG ?

    R : Ce serait idéal. Assurez-vous simplement qu'il configure tous les paramètres relatif à la sécurité comme vous l'avez fait. Ensuite, vous pourrez communiquer tous les deux très efficacement, en toute sécurité et de façon privée !

    Q : Rappelez-moi, une fois de plus, quelles sont les parties du message qu'Enigmail chiffre ?

    R : Enigmail ne chiffre que le contenu des messages. Les lignes d'objet ne seront pas chiffrées, les adresses email de l'expéditeur et du destinataire non plus (tout comme les noms associés à ces adresses). Donc, choisissez vos lignes d'objet avec soin et envisagez de créer une clé de chiffrement GnuPG pour au moins un compte de messagerie qui n'inclut pas votre vrai nom.

    Q : Je ne comprends toujours pas le but de la signature électronique des mes messages.

    R : Une signature électronique prouve que vous êtes le vrai expéditeur de ce message en particulier et que le message n'a pas été falsifié au cours de l'envoi à son destinataire. Imaginez qu'il s'agit de l'équivalent électronique de la cire pour cacheter une enveloppe qui contient une lettre très importante.