Utiliser la cryptographie.

Pourquoi utiliser la cryptographie dans notre association ?

Donnons tout de suite un avertissement, même cryptées sur 128 bits avec GnuPG, nos correspondances ne sont pas totalement à l'abri des écoutes du NSA. Simplement, en dehors de cette puissante agence gouvernementale américaine, il existe une multitudes d'officines douteuses qui nous détestent et aimeraient bien savoir ce que nous prévoyons d'organiser dans les mois qui viennent. Toutes ces officines n'ont pas, loin s'en faut, les moyens du NSA. Dans ce cas, crypter nos messages reste une sage précaution. De même, avant d'aller jusqu'au cryptage de nos textes, nous pourrions mettre en place la signature électronique, afin d'authentifier nos messages, à coup sûr. Cette précaution éviterait les faux messages et les intox de toutes sortes que nous avons vu apparaître entre les deux tours des dernières élections présidentielles. A l'occasion de la préparation de grands rassemblements tels que le sommet du G8, nous ne sommes pas à l'abri de fausses rumeurs.

D'autre part, l'avantage de PGP, c'est qu'il peut être mis en oeuvre sur tous les systèmes d'exploitation. Nous évitons ainsi la guerre des systèmes. La seule exigence serait d'utiliser la version libre de PGP, nommée GnuPG. C'est cette version qui est vivement recommandée par Phil Zimmermann, l'inventeur du logiciel de cryptage PGP. Il sait de quoi il parle...

Le concepts de cryptographie de Gnupg repose sur l'existence de clés publiques et privées. On appelle ce concepts "cryptographie à clé assymétrique". Chacun crée sur sa machine, à l'aide de GnuPG, une clé privée et une clé publique. La première est strictement personnelle et secrète, comme l'indique son nom. La seconde, au contraire, est publique et diffusée à tous. Il existe même des serveurs de clés publiques.

Pour bien comprendre le processus, il faut admettre que les clés publiques et privées de chaque utilisateur sont crées ensemble, sur la même machine. Elles sont dépendantes l'une de l'autre. Elles sont en quelque sorte jumelles.

Supposons deux CEL. Chacun possède sa clé privée et la clé publique de l'autre. Paul envoie un message à Pierre. Comment il crypte ce message ?

Toute l'astuce de cette méthode de cryptage réside dans cette réponse : Paul crypte son message avec la clé publique de Pierre. Ce message transite sur les supports de l'internet, à la disposition de tous, mais il ne peut être décrypté qu'avec la clé privée adéquate, en fait celle qui a été crée sur la même machine que la clé publique. Et justement, cette clé privée est entre les mains de Pierre. La boucle est bouclée. Pierre possède les deux clés qui vont ensemble, sa clé privée et sa clé publique avec laquelle Paul a crypté le message.

C'est tout ?

Dans les grandes lignes, oui. Il reste quand même un problème, lorsque des personnes échangent des données sur les messageries électroniques sans jamais se rencontrer, voire même se connaître. Qui est l'émetteur de la clé publique ? C'est peut-être Pascal, à qui nous n'accordons aucune confiance et qui s'est déguisé sous le nom de Paul. Divers méthodes peuvent être mises en oeuvre, mais la plus simple est que les personnes appartenant à la même association se réunissent, en chair et en os, afin d'échanger leurs clés publiques, carte d'adhésion et pièce d'identité à l'appui ! En fait, au cours de ses " parties de clés ", on n'échange pas les clés cryptées, tâche fastidieuse, mais une empreinte de celles-ci. Cette empreinte peut être réalisée sur n'importe quel système qui a généré les clés et elle peut s'écrire sur une carte de visite.

Il existe une autre méthode, afin de cacher nos messages. Il s'agit de la stéganographie. Cette méthode est connue des services d'écoutes gouvernementaux et il existe des logiciels spéciaux, qui permettent de détecter si une image a été modifiée, afin d'y cacher des fichiers textes. Là, il ne s'agit plus de clés publiques ou privées, il s'agit de dissimulation. La meilleure façon d'utiliser ces systèmes est la " force brute ". La quantité d'images et de textes transmis est telle qu'il est impossible aux services d'écoute de tout surveiller. Certaines méthodes sont très efficaces et peu sensibles à la détection, mais elles reposent uniquement sur un mot de passe. Ce mot doit par conséquent être très long et bien choisi. De plus, il ne peut être échangé sur les réseaux, il faut l'échanger lors d'un contact avec l'interlocuteur.

Signalons que quel que soit le but recherché, cryptographie des messages ou simple signature électronique, le processus de création de clés est le même. Ce n'est qu'au moment de l'utilisation que l'on décide quelle option utiliser.

Il n'est pas possible de donner ici le mode d'emploi de votre logiciel de création de clés. Nous ne pouvons que vous conseiller d'aller sur le site de GnuPG : http://gnupg.org.