Pretty Good Privacy (PGP) expliqué
Pretty Good Privacy (PGP) est un logiciel de chiffrement qui utilise le chiffrement symétrique et asymétrique pour assurer une sécurité de haut niveau afin de protéger les services numériques et les systèmes de communication. PGP prend également en charge les signatures numériques pour garantir l'intégrité des données et l'authenticité de l'expéditeur.
Notions de base
PGP est un logiciel de chiffrement créé par Phil Zimmerman pour garantir la confidentialité, la sécurité et l'authentification des systèmes de communication en ligne. Zimmerman a rendu le premier programme PGP disponible gratuitement en réponse à la demande croissante de confidentialité.
Depuis sa création en 1991, plusieurs versions du logiciel PGP ont été développées. En 1997, Phil Zimmerman a proposé la création d'une norme PGP open source auprès de l'Internet Engineering Task Force (IETF), proposition qui a été acceptée. Cette initiative a conduit au développement du protocole OpenPGP, qui définit des formats standard pour les clés de chiffrement et les messages.
PGP appartenait initialement à PGP Inc., mais Network Associates Inc l'a ensuite acquis. En 2010, Symantec Corp. a racheté PGP pour 300 millions de dollars. Aujourd'hui, le terme PGP est utilisé comme marque pour les produits compatibles OpenPGP de Symantec.
Initialement utilisé pour sécuriser les messages et pièces jointes d'email, PGP est désormais appliqué à divers cas d'usage tels que les signatures numériques, le chiffrement complet des disques et la protection des réseaux.
Comment fonctionne PGP ?
PGP est un cryptosystème hybride qui emploie le chiffrement symétrique et asymétrique pour fournir un niveau de sécurité élevé. Il a été l'un des premiers logiciels largement disponibles à utiliser la cryptographie à clé publique.
Pour démarrer le processus de chiffrement, PGP compresse les fichiers en clair pour économiser de l'espace et du temps de transmission, ainsi que pour renforcer la sécurité. Après la compression, le fichier compressé est chiffré à l'aide d'une clé à usage unique, appelée clé de session, qui est générée aléatoirement via la cryptographie symétrique. Chaque session de communication PGP dispose de sa propre clé de session.
Ensuite, la clé de session est chiffrée avec le chiffrement asymétrique, le destinataire fournissant sa clé publique à l'expéditeur. Par exemple, Sarah chiffre la clé de session avec la clé publique de Tom pour la partager en toute sécurité via Internet. Cette étape garantit que la clé de session peut être transmise en toute sécurité quelles que soient les conditions réseau.
L'algorithme RSA est couramment utilisé pour le chiffrement asymétrique de la clé de session, comme c'est le cas pour d'autres systèmes de chiffrement tels que le protocole Transport Layer Security (TLS), qui sécurise une vaste partie d'Internet.
Après que Sarah a chiffré la clé de session, elle envoie le texte chiffré et la clé de session chiffrée à Tom. Tom utilise sa clé privée pour déchiffrer la clé de session, qu'il utilise ensuite pour déchiffrer le texte chiffré et retrouver le texte en clair d'origine.
PGP propose plus que le simple chiffrement et déchiffrement. Il prend également en charge les signatures numériques, qui remplissent trois fonctions principales. La première est l'authentification : Tom peut utiliser PGP pour vérifier que l'expéditeur du message était bien Sarah. La deuxième est l'intégrité : Tom peut s'assurer que le message n'a pas été altéré en utilisant PGP. La troisième est la non-répudiation : après que Sarah ait signé numériquement le message, elle ne peut pas nier l'avoir envoyé.
Utilisation
PGP est couramment utilisé pour sécuriser les e‑mails en les convertissant en texte chiffré nécessitant une clé de déchiffrement correspondante. Le même processus est utilisé pour sécuriser les messages texte et peut également être implémenté dans d'autres applications. Outre la sécurisation des communications Internet, PGP peut être utilisé pour chiffrer des appareils individuels tels que les partitions de disque d'ordinateurs et de mobiles. En chiffrant le disque dur, le système demande un mot de passe à chaque démarrage.
Avantages de l'utilisation de PGP
Confidentialité sans perte de rapidité
En combinant chiffrement symétrique et asymétrique, PGP est un outil puissant pour la communication sécurisée qui protège les informations sensibles. Avec PGP, les utilisateurs peuvent chiffrer des données et des clés cryptographiques et les partager en toute sécurité sur Internet. Ce système hybride offre le meilleur des deux mondes : la forte sécurité de la cryptographie asymétrique et la rapidité du chiffrement symétrique. De plus, PGP fournit des signatures numériques qui garantissent l'intégrité des données et l'authenticité de l'expéditeur, ajoutant une couche de protection supplémentaire au processus de communication.
Norme OpenPGP
Plusieurs entreprises et organisations proposent des solutions PGP conformes au protocole OpenPGP, créant un environnement standardisé et concurrentiel. La bonne nouvelle est que tous les programmes PGP respectant la norme OpenPGP sont interopérables. Ainsi, les fichiers et clés créés dans un programme peuvent être utilisés dans un autre sans problèmes de compatibilité.
Inconvénients de l'utilisation de PGP
Seuil d'entrée
Les systèmes PGP présentent certains inconvénients dont les utilisateurs doivent être conscients. L'un d'eux est qu'ils peuvent être difficiles à utiliser et à comprendre, en particulier pour les personnes ayant des connaissances techniques limitées. De plus, beaucoup trouvent les longues clés publiques peu pratiques.
Vulnérabilité EFAIL
L'Electronic Frontier Foundation (EFF) a publié en 2018 une vulnérabilité notable nommée EFAIL. Cette faille permettait à des attaquants d'accéder aux versions en clair de messages via du contenu HTML actif dans des e‑mails chiffrés. Toutefois, certaines des faiblesses mises en avant par EFAIL étaient déjà connues de la communauté PGP depuis la fin des années 1990, et les vulnérabilités concernaient les différentes implémentations des clients mail et non PGP lui‑même. Ainsi, malgré les gros titres alarmants, PGP reste très sécurisé et n'est pas compromis.
Conclusion
PGP est un outil essentiel de protection des données depuis sa création en 1991. Il est aujourd'hui utilisé dans de nombreuses applications, offrant sécurité, authentification et confidentialité pour les services numériques et les systèmes de communication. Malgré la découverte de la faille EFAIL en 2018, qui a soulevé des questions sur sa viabilité, la technologie de base de PGP reste robuste et cryptographiquement sûre. Cependant, les niveaux de sécurité peuvent varier selon les différentes implémentations de PGP.