Pourquoi chiffrer le courrier électronique ? Il faut savoir que lorsque vous envoyez un message électronique depuis votre poste, celui-ci transite par plusieurs ordinateurs (le message est enregistré sur le disque dur de ce qu'on appelle des serveurs relais) avant d'arriver sur l'ordinateur du destinataire. Ce voyage n'est pas sans péril, en effet, derrières ces ordinateurs se cachent, des entreprises, des administrations ou des personnes peu scrupuleuses qui pourront lire votre courriel (qui par leur conception même et leurs protocoles, circulent à découvert, c'est-à-dire non chiffré ou chiffré sur Internet) " comme une carte postale sans enveloppe ". L'intérêt du chiffrement est là, même si le risque d'interception est faible, il est de plus en plus courant et même si celui qui réceptionne le message a une conscience professionnelle il est important de cacher des informations portant sur vos secrets professionnels ou tout simplement sur votre intimité.
Pour protéger un document confidentiel, et s’assurer qu’une personne non autorisée n’y aura pas accès, il existe principalement deux approches (complémentaires) :
Le premier type de chiffrement à avoir été inventé, bien avant l'ère chrétienne, est le chiffrement " symétrique " : l’émetteur et le récepteur commencent par se mettre d’accord sur une méthode de chiffrement. Par exemple, ils peuvent décider de remplacer telle lettre par telle autre : A par F, B par M, C par Z, etc. Ensuite, ils doivent s’échanger la " clé " de chiffrement. Si l’algorithme est une simple permutation de lettres, la clé est le tableau de correspondance entre les lettres non-chiffrées et les lettres chiffrées. On parle de chiffrement " symétrique " car l’émetteur et le récepteur doivent connaître une même clé, servant à la fois aux opérations de chiffrement et de déchiffrement. Le chiffrement symétrique est généralement simple, rapide, et il peut être très sûr … pourvu qu’un espion ne puisse pas découvrir la clé privée (secrète) ! Or, avant de pouvoir communiquer ensemble, l’émetteur et le récepteur doivent se mettre d’accord sur cette clé privée. Une solution consiste à se l’échanger en main propre, mais bien sûr ce n’est pas toujours possible. Cet échange initial de la clé de chiffrement est le principal point faible du chiffrement symétrique. Avant la fin du XXe siècle, il était inconcevable qu’il existe un autre type de chiffrement … jusqu’à ce que le chiffrement asymétrique soit inventé.
Le chiffrement asymétrique, ou chiffrement à clé publique est basé sur l'existence de fonction mathématiques à sens unique, c'est-à-dire qu'il est facile d'appliquer cette fonction à un message, mais il est extrêmement difficile de retrouver ce message à partir du moment où on l'a transformé. En réalité, on utilise en chiffrement asymétrique des fonctions à sens unique et à " brèche secrète ". Une telle fonction est difficile à inverser, à moins de posséder une information particulière, tenue secrète : la clé privée. À partir d’une telle fonction, voici comment se déroule la " transaction " : Monsieur X souhaite recevoir de messages chiffrés de n'importe qui, pour cela, il génère une fonction à sens unique et à brèche secrète à l'aide d'un algorithme de chiffrement asymétrique (RSA par exemple). Il le diffuse, mais garde secret l'information permettant d'inverser cette fonction. On parle donc de clé publique pour celle qu'on diffuse (sans se soucier de la sécurité) et clé privée pour l’information secrète (propriété de Monsieur X).
Vous ne comprenez toujours pas ?
Chaque personne possède un jeu de deux clés : il conserve secrètement la clé de déchiffrement, ce que l'on appelle donc la clé privée, mais il divulgue librement la clé de chiffrement, que l'on appelle la clé publique.
Si Monsieur X veut envoyer un message a Madame Y par rapport à un cours d’informatique qu'elle a raté, il commence par lui demander sa clé publique (l'inconvénient étant que si l’échange ne se faisant pas en mains propres, n’importe qui peut mette la main sur la clé). Grâce à cette clé publique, Monsieur X chiffre son message, et envoie le résultat à Madame Y. Puisque Madame Y est la seule à posséder la clé privée, elle sera la seule à pouvoir déchiffrer le message. L'avantage par rapport au chiffrement symétrique est que la clé de déchiffrement n'est jamais échangée. La magie du déchiffrement asymétrique permet à deux personnes de communiquer ensemble de façon absolument confidentielle, même si une personne non consciencieuse se permet d'écouter toutes leurs communications, du premier au dernier message.
La signature numérique apporte une sécurité complémentaire au chiffrement. Comment être sûr que le courriel que vous venez de recevoir dans votre boîte de réception est bien celui écrit par l'expéditeur déclaré ? En effet, comment savoir qu'un plaisantin n'a pas intercepté le message, l'a changé à sa guise et l'a rendu accessible à n'importe qui s'y connaissant un minimum en informatique ? L'interception d'un message tel un relevé bancaire pourrait se révéler être catastrophique, c'est pour cela que la signature numérique peut être une véritable solution (dans un cadre légal où elle donne une valeur juridique à votre message électronique).
Mais qu'est-ce qu’une signature électronique (ou numérique) ?
Il s'agit en fait d'un dispositif technique dérivé du chiffrement qui permet grosso modo d'authentifier vos messages. Pour cela, il faut obtenir un certificat personnel (émis par une autorité compétente de certification) basé sur une clé privée et sur une clé publique : la clé privée servira à signer électroniquement des courriers électroniques et la clé publique permet de chiffrer les messages qu'on lira avec la clé privée stockée sur l'ordinateur (le destinataire ne pourra lire votre courrier qu'en ayant possession de votre clé publique).
Ce système permet donc de prouver que vous êtes bien l'auteur du message et que celui-ci n'a pas été modifié en cours de route mais ne permet pas que le contenu de message soit confidentiel car tout le monde peut avoir accès a votre clé publique et donc décoder le message.
L'obtention d'un certificat se fait en plusieurs étapes (avec la reconnaissance de l'autorité de certification, la possession d'un certificat personnel, etc.) mais nous n'en ferons pas une plus ample énumération dans cette partie. Notez qu'il est facile de visualiser ces certificats avec n'importe quel logiciel spécialisé et compétent.
Nous ne dirons jamais assez qu’il est nécessaire, si le contenu de vos messages est quelque peu sensible, de les coder, ou en un terme plus approprié de les " chiffrer ".