Depuis la sortie de Thunderbird 78, le client mail de Mozilla intègre directement des options pour signer numériquement et chiffrer ses mails avec entre autre OpenPGP. Auparavant, il fallait avoir recours à l’extension Enigmail pour cela. Aussi, voici comment configurer ce chiffrement de bout et bout avec OpenPGP dans Thunderbird et envoyer des mails chiffrer qu’uniquement vous et le destinataire pourront lire. Et ce chiffrement fonctionnera peu importe le service mail que vous utilisez.
Table des matières
Pourquoi signer et chiffrer ses mails ?
Signer numériquement un mail permet aux destinataires d’être sûr que :
- Vous êtes bien l’émetteur et pas quelqu’un qui essaie d’usurper votre identité numérique.
- Le message reçu correspond bien à celui envoyé par vous.
Chiffrer ses mails permet d’éviter l’espionnage de vos messages échangés par des tiers.
En effet, lorsque vous envoyez un mail non chiffré, ce dernier peut être lu par d’autre que vous et le/les destinataire(s). Par exemple :
- Votre fournisseur d’accès internet, si la connexion avec votre serveur mail n’est pas sécurisée (connexion non SSL/TSL)
- Votre fournisseur du service mail. Généralement, le contenu d’une boite mail est accessible par les propriétaires des serveurs qui hébergent le service. Mais, il existe des fournisseurs qui ont à cœur le respect de votre vie privé (ProtonMail, Tutanota, Mailfence, et quelques autres) et qui chiffrent l’espace de stockage de la messagerie. Ainsi même eux n’y ont pas accès…
- Le fournisseur du service mail de votre correspondant.
- …
Mais chiffrer ses e-mails aussi pour conséquences que vous ne pourrez plus utiliser :
- un accès Webmail pour lire ces e-mails chiffrés (sauf avec plugins dans le navigateur), hormis avec quelques exceptions comme les services précédemment cités qui gère OpenPGP.
- un client mail qui ne gère pas OpenPGP. Ceux proposés par défaut sur les smartphones Android et iOS ne le gèrent pas. Mais il existe des alternatives comme FairEmail ou K9 Mail sur Android. (Désolé si vous avez un IPhone, mais je n’en connais pas gratuites à défaut d’être libre sous iOS…)
Comment ça fonctionne ?
Plusieurs solutions permettent le chiffrement de vos messages. Mais celle qui va nous intéresser aujourd’hui dans Thunderbird s’appuie sur OpenPGP. OpenPGP un format de cryptographie normalisé et très utilisé.
Pour le détail du fonctionnement, je vous recommande de lire l’excellent article du site de Mozilla qui présente le chiffrement de bout en bout dans Thunderbird.
Sinon, en résumé, pour chiffrer/déchiffrer les messages avec OpenPGP, vous allez devoir générer une paire de clés. Ces clés sont des suites de nombres aléatoires qui vous seront personnels. Ce duo est appelé clé personnelle.
La première clé du duo, dite clé privée, sert à déchiffrer les messages. Elle doit rester votre secret et vous ne devez en aucun cas la communiquer à d’autre.
La deuxième clé, dite clé publique, sert à chiffrer les messages qui vous sont adressés. Pour qu’un correspondant puisse vous envoyer des messages chiffrés uniquement lisible par vous, il faut lui communiquer cette clé.
Thunderbird permet de générer ces clés ou de les importer si vous en avez déjà.
Et enfin, pour que vous puissiez envoyer des mails chiffrés, il vous faudra connaître la clé publique de votre correspondant.
Chiffrer ses mails avec Thunderbird
Prérequis
- Thunderbird 78 ou une version supérieure
Générer ses clés personnelles
Pour générer vos clés personnelles, allez dans les paramètres de votre compte mail.
Puis dans l’onglet Chiffrement de bout en bout. Alors dans la section OpenPGP, cliquez sur le bouton Ajouter une clé….
Dans la nouvelle fenêtre, sélectionnez Créer une nouvelle clé OpenPGP et faites Continuer.
Définissez les paramètres :
- Expiration de la clé. Le prolongement de cette date d’expiration peut se faire par la suite dans les propriétés de la clé qui sont accessibles via le gestionnaire de clés OpenPGP.
- Et les avancés. Si vous n’êtes pas expert, je recommande de garder ceux proposés par défaut.
Puis cliquez sur Générer la clé, lisez l’avertissement et confirmez.
Une fois l’opération de création terminée, Thunderbird la sélectionne automatiquement pour l’utiliser quand c’est nécessaire.
Vous la trouverez aussi dans le gestionnaire de clés OpenPGP.
Pour accéder au gestionnaire, outre avec le bouton dans les propriétés de votre compte, vous pouvez y accéder depuis
Menu > Outils > Gestionnaires de clés OpenPGP
.
Communiquer sa clé publique à ses correspondants
Vous l’avez compris pour que vos correspondants puissent vous envoyer des mails chiffrés, il leur faut votre clé publique.
Pour envoyer cette clé publique, vous avez plusieurs possibilités. Une première est de passer par le gestionnaire de clés OpenPGP. Dans ce dernier, faites un clic droit de la souris sur votre clé et vous pourrez :
- La copier dans de presse-papier et la coller dans un mail.
- L’exporter dans un fichier
.asc
et ainsi la transmettre de diverses manières à vos correspondants (mail, clé USB, etc.) - Ou l’envoyer directement dans un mail dans un fichier
.asc
.
Une deuxième possibilité consiste à le faire depuis la fenêtre de rédaction d’un mail depuis le menu Sécurité en cochant la case joindre ma clé publique.
Si vous signez numériquement les messages envoyés, cela ajoutera automatiquement en pièce jointe au mail votre clé publique.
Importer la clé publique d’un correspondant
Pour envoyer des mails chiffrés à vos correspondants, il vous faut importer leur clé publique dans votre gestionnaire de clés OpenPGP.
Si vous avez reçu la clé dans un mail, faites sur la pièce jointe un clic droit de la souris sur le fichier clé et choisissez Importer une clé OpenPGP.
Sinon, vous pouvez l’importer depuis le gestionnaire de clés OpenPGP.
Une fois la clé importée, vous aurez une confirmation affichant, entre autre, l’empreinte de la clé (une chaine de 40 caractères) et un lien pour valider la vérification de la clé.
Pensez à toujours vérifiez que la clé d’un correspondant est bien la sienne et non une clé contrefaite malveillante. Sinon d’autres que vous pourrez déchiffrer vos messages.
Pour faire cette vérification, par exemple appelez ou rencontrez votre correspondant et comparez l’empreinte que vous avez avec celle donnée par votre correspondant. Cette empreinte peut se retrouver facilement dans les propriétés de la clé.
Maintenant vous pouvez envoyer des mails chiffrés à ce correspondant…
Chiffrer ses mails envoyés avec Thunderbird
Pour chiffrer le mail envoyé, dans la fenêtre de rédaction, allez dans le menu Sécurité. Alors sélectionnez : Exiger le chiffrement.
Si le destinataire n’a pas de clé publique dans votre gestionnaire, le message ne pourra pas partir. Sinon, sa clé publique sera automatiquement utilisée pour le chiffrement.
Sauvegarder sa clé personnelle
La sauvegarde de sa clé personnelle permettra de la réimporter dans d’autres clients mail qui supportent OpenPGP et ainsi vous pourrez lire les messages chiffrés reçus ou envoyés.
Pour sauvegarder sa clé, allez dans le gestionnaire de clé OpenPGP, puis dans le menu Fichier > Sauvegarder une ou des clés secrètes dans un fichier
.
Définissez un mot de passe. Il vous sera utile pour l’importation de la clé. Mais attention à ne pas le perdre.
Pour aller plus loin
- Sur le site de Mozilla, les articles sur de présentation du chiffrement bout en bout dans Thunderbird et la FAQ OpenPGP dans Thunderbird
- le site de OpenPGP et sa liste des clients compatibles (pas très à jour…)