Courrier éléctronique et sécurité

Par |Pr0teK|, pr0tekti0n@hotmail.com

Ce texte est réservé aux personne ayant de grandes connaissances dans le domaine "Internet".

Introduction

Avec l'utilisation toujours croissante du courrier électronique (E-Mail) comme mode de com- munication sur Internet ainsi que d'autres services, la sécurité de ce type de courrier devient de plus en plus importante. De nombreux utilisateurs se posent des questions telles que:

Q: Peux-on intercepter le courrier électronique ?

R: Oui, l' E-mail n'est pas sur. Il est possible d'intercepter des messages éléctroniques.

Q: Peux-on envoyer du courrier électronique sous un faux nom ?

R: Oui, toute personne peux masquer son identité sur le Net.

Internet et les services de courrier électronique que l'on peux y trouver ne sont pas surs! A travers ce document, vous pourrez découvrir pourquoi les services mail ne sont pas surs et com- ment y remédier.

1) Les E-Mail privés.

Imaginons que vous vous serviez du courrier électronique pour envoyer des messages dans une entreprise. Il se pourait qu'au cours de cette courte correspondance, vous échangiez des détails intimes (je sais pas moi, une déclaration d'amour :) ). Votre employeur n'aurait aucune difficulté à les lire...
Tenez-vous réellement à ce que votre employeur soit parfaitement au courrant de votre vie privée? Si c'est non (enfin j'espere), il est nécessaire que vous protégiez vos lettres des regards indiscrets.

2) Probleme de sécurité.

Les informations transmises par courrier électronique sur Internet le sont en texte clair. Ces textes sont stockés sur n'importe quel ordinateur Internet. Ils sont tenus à la disposition du destinataire pour qu'il les recoive sur simple demande. Voila pourquoi les personnes indiscretes disposent de multiples occasions pour lire les messages d'autres utilisataires. En fait, ces "voyeurs" doivent accéder à des parties déterminées sur un réseau:

- Le courrier électronique est la plupart du temps transmis via le SMTP (simple mail transfert protocol). Lors de cette transmission, des paquets de données sont envoyées sur un réseau (Internet).
Tres souvent, l' E-Mail n'est pas directement transmis au destinataire mais sauvegardé temporairement.
Votre E-Mail restera un certains temps sur un serveur, en clair!
C'est bien sur à ce moment là que les messages peuvent etre lus et copier par des responsables du serveur ou par des hackers.
On pourrait se demander alors si des messages sont lus sur Internet et combien...

3) Identification.

Bien que tous les E-Mail disposent d'une adresse d'expéditeur, cette information n'est pas fiable!
Il est facile de s'amuser à envoyer des messages sous un faux nom (ceci est expliqué dans de nombreux zine de hacking tels Frhack, allez sur www.multimania.com/gripsou/ ). Suivre des messages reste possible jusqu'à un certain point.
Quand une communication est transmise via divers ordinateurs, c'est à peine si l'on sait réellement d'ou elle vient à l'arrivée.
Il est donc presque impossible de distinguer si un E-Mail est, dans l'état présent, un original ou ce que l'on pourrait appeler "falsification".

4) Codage d' E-Mail.

Il existe de nombreux systemes de codage qui permettent, jusqu'à un certain point, de garantir fiabilité et authenticité. En fait, aucun programme ne peut à ce jour garantir 100 % de sécurité. Dans le cas le plus simple, l'expéditeur et le destinataire s'accordent sur une "clé" déterminée. De tels procédés que si vous disposez d'un moyen de communication sur pour vous mettre d'accord sur une clé (ne faite pas ca sur IRC), et notre bon vieux téléphone n'est pas plus sur qu'une lettre...

5) Systeme à clé publique.

Puisqu'il est rare de trouver une voie de communication sure, d'autre procedés de codage permettant la transmition de la fameuse clé sont tres souvent utilisés de nos jours. Chaque utilisateur crée deux clés: La premiere est communiquée de facon "publique". Grace à cette clé toutes les autres personnes chiffrent le courrier destiné à un correspondant.
Ce n'est qu'avec la seconde clé perso que le correspondant pourra déchiffrer son courrier: C'est la raison pour laquelle cette clé personnelle doit etre secrete.
Voici un shema, je ne suis pas tres fort en dessin...



|------------|
| Expéditeur |________________________________________________ --------------
|----------- |                                                 |Destinataire|
        |                                                      --------------
 -------------        _________________________________________________|
 |  Fichier  |       |                                                 |
 -------------      CLE                                                |
        |            |                                                 |
        |            |                                                 |
        |            |                                                 |
 ------------        |                                                 |
 |  Envois  |________|                                                 |
 ------------                                                          |
        |                                                              |
        |                   ----------      ----------                 |
        |___________________|Internet|_____| Envois| __________________|
                            ----------      ----------

6) PGP

PGP- Pretty Good Privacy est le systeme à clé publique le plus répendu. Il permet:

- De coder des lettres.

- De les signer électroniquement.

Une signature életronique garantit qu'un courrier a réellement été rédigé par une personne déterminée.
Pour vérifier l'authenticité d'une signature, le destinataire utilise pour le décodage la clé publique.
Si le déchiffrage du courier ne peux etre effectué; cela signifie que le message a été manipulé.
7) PGP suite

A partir d'un message que l'on aura signé, on crée un "extrait" ayant les caractéristiques de ce message.
Cet "extrait" est ensuite codé à l'aide de la clé et transmis avec le courrier si le destinataire veut vérifier l'authenticité de la signature, il doit déchiffrer l'extrait codé au moyen de la clé publique de l'expéditeur et doit créer un autre extrait (et oui...) du courrier lisible. Si les deux extraits se recoupent, l'authenticité du courrier et démontrée. Cette methode, disponible dans PGP (le logiciel), permet aux utilisateurs ne possédant pas PGP ( oui et ils ne sont pas rares :( ... )de lire des courriers signés.

8) Clé PGP.

Bien que les possibilités de PGP présentées ici nous permettent déjà de coder et de signer des messages, d'autres questions se posent. La premiere concerne la maniere dont une personne peut faire parvenir un message chiffré à un autre utilisateur avec lequel elle n'a encore aucun contact... il ne faut pas oublier que la clé doit rester secrete...
Prennons un exemple:

Une personne A boudrait communiquer avec une peronne B qu'il ne connait pas encore. Si A voulait communiquer avec B, il lui demanderait d'abord sa clé publique. Et si une personne C pouvait intercepter ce message et envoyer à la place de B, une réponse avec une fausse clé, C serait alors le seul à pouvoir lire ces lettre.
A penserait communiquer avec B alors qu'elle communiquerait avec C...
Comment peut on alors reduire cette possibilité d'aggression ?

9) Serveur de Clé.

            
   ______________                      ______________                    _______________
   |            |                      |            |                    |             |
   | Personne A |                      | Personne B |                    | Personne C  |
   |____________|                      |____________|                    |_____________|
         |                                   |                               |      
         |                                   |                               |
         |                                   |                               |
  _______|__________                         |                            ___|  
  |                 |                 _______|___________          _______|___________         
  | Clé publique    |                 |                 |          |                 |
  |_________________|                 | Clé publique    |          | Utilisation de  |
         |                            |_________________|          |  la clé de A    |
         |                                   |                     |_________________| 
         |            _______________________|                            |
         |___________|                                                    |
              _______|__________                                          |
              |                |                                   _______|__________      
              | Acces Internet |                                   |                |
              |________________|                                   | Acces Internet |
                      |                                            |________________|
                      |                                                |          |
                      |                                                |          |
               _______|__________                                      |          |
               |                |______________________________________|          |
               | Serveur Clé    |                                                 |
               |________________|_________________________________________________|
                                       |                 |
                                       | Clé publique    | 
                                       |_________________|


Les serveurs de clés sont des ordinateurs d'acces public, qui recuillent des clés publiques et qui les envoient sur demande (sympas non ?). Toute personne peut donc y trouver des clés publiques des autres utilisateurs (seulement si ils sont enregistrés).

Les serveurs de clés pourraient etre pris en otage par des hackers, ne l'oublions pas...

10) La "chaine" de confiance.

Le principe sur lequel elle est fondée est le suivant: des personnes qui se connaissent ou bien, qui sont sure de l'existence réelle de l'autre, signent leur clés publiques.



   ______________                                     ______________
   |            |               Confiance             |            |                    
   | Personne A |-----------------><------------------| Personne B |                    
   |____________|                 :)                  |____________|                    
         |                                                  |
         |                                                  |
         |                                                  | 
   ______|_______                                   ________|______        
   |            |           ________________       |              |
   | Clé privée |___________|              |_______| Clé publique |              
   |____________|           | Logiciel PGP |       |______________| 
                            |______________|    
La signature d'une clé correspond à celle d'un message. Si B désire signer la clé publique de A, alors il la code avec sa propre clé privée.

Une chaine de confiance est crée quand de nombreux utilisateurs PGP signent entre eux des clés publiques.

11) "Empreintes digitales".

Toute clé publique PGP sera clairement marquée d'une "empreinte digitale". Une telle empreinte est aussi unique que chaque clé. Elle permet d'attribuer de maniere fiable une clé PGP à une personne. Par exemple, si une personne vous transmet son empreinte digitale, vous serez certain que la clé est bien la sienne. Il faut bien sur que la personne puisse vous envoyer ses empreintes digitales :) ...

12) Sécurité avec PGP.

La fiabilité de codage tel que PGP repose sur l'importance des moyens que devrait employer un agresseur pour calculer la clé privée. En effet il existe des "cracker PGP", vous pourrez vous en procurer tres certainement sur http://neworder.box.sk
Sachez qu'il aura fallu 8 mois à une organisation pour cracker une telle clé...
Ceci devrez vous donnez une idée des moyens qu'il faudrait utiliser pour casser une clé...
13) Logiciels PGP (enfin!).

Il existe différentes versions de PGP:

- Des versions non commerciales pour un usage aux Etats-Unis et le Canada UNIQUEMENT.
- Des versions commerciales pour les E-U et le Canada.
- Des versions internationnales non commerciales.
L'utilisation de PGP est à priori illégale car:

- L'un des deux procédés de cryptographie employé dans PGP, à savoir RSA, ne peux etre utiliser qu'aux Etats-Unis.
- En Europe, l'usage non commercial de PGP est normalement possible puisque le code source RSA a été exporté illégalement des Etats-Unis.
14) Installation de PGP sous DOS!

PGP est autant un programme exécutable dispo pour de nombreux sytemes en source C. Si vous téléchagez un programme PGP, vous aurez les fichiers suivants:


_________________________________________________________________________________________________
|                 |                                                                             |
| Nom du fichier  |                   Contenu du fichier                                        |
|_________________|_____________________________________________________________________________|    
|                 |                                                                             |   
|  pgp.exe        |    Programme exécutable                                                     |
|_________________|_____________________________________________________________________________|
|                 |                                                                             |
|  config.txt     |    Fichier de configuration pour PGP                                        |
|_________________|_____________________________________________________________________________|
|                 |                                                                             |
| setup.doc       |    Remarques sur la config de PGP                                           |
|_________________|_____________________________________________________________________________|
|                 |                                                                             |
| pgpdoc1.txt     |    La doc officielle de PGP                                                 |
|_________________|_____________________________________________________________________________|
Lisez premierement toutes les infos des fichiers txt et doc. Ajoutez ensuites ces lignes dans votre fichier autoexec.bat:

SET PGPPATH=C:le_rep_ou_vous_avez_mis_PGP
SET PATH=C:le_rep_ou_vous_avez_mis_PGP;%PATH%
SET TZ=MET-1DST
TZ correspond à Time Zone.

Info sur le config.txt

Dans le tableau suivant, vous trouverez les parametres importants:


_________________________________________________________________________________________________
|                      |                                                                        |
| Parametre            |                   Remarque                                             |
|______________________|________________________________________________________________________|    
|                      |                                                                        |   
|  MyName = "Dupond"   |   Vous devez bien sur mettre votre nom                                 |
|______________________|________________________________________________________________________|
|                      |                                                                        |
|  Language = fr       |   Langue à choisir                                                     |
|______________________|________________________________________________________________________|
|                      |                                                                        |
| Armor = on           |   Activer le PGP pour coder vos e-mail                                 |
|______________________|________________________________________________________________________|

Si vous désirez utiliser PGP sur un autre syteme, lisez bien le CONFIG.TXT.

15) PGP "Keyrings".

PGP utilise deux fichiers pour la mémorisation des clés: pubring.pgp et secring.pgp Il inscrit les clés publiques de vos correspondants dans le pubring.pgp . Ce fichier n'est pas "sensible". En revanche le secring.pgp est TRES important puisque c'est dedant qu'est inscrite votre clé privée!
Mettez donc plutot ce fichier sur disquette que vous conserverez en lieu sur.
Vous devez aussi protéger le fichier randseed.bin qui est aussi important.

Des que vous aurez paramétré PGP et protégé vos petits fichiers, vous pourrez commencer à utiliser PGP.

16) Déduter.

Q: Comment créer une clé personnelle ?

R: tapez: "pgp -kg" le programme vous demandera aussi la longeur de la clé:

Je vous conseille de prendre le 2), une clé normale, bien que le 1) soit suffisant. Un identificateur de clé vous sera demandé:

17) Comment crypter et décrypter des messages.

Créez d'abord le fichier que vous voulez crypter. Ex: test.txt

Pour le codage tapez:
"pgp -eat test.txt"
Vous obtiendrez un fichier test.asc

Pour le décryptage tapez:
"pgp -d test.asc"

18) Les autres commandes PGP.


_________________________________________________________________________________________________
|                      |                                                                        |
| Fonction PGP         |                   Commande                                             |
|______________________|________________________________________________________________________|    
|                      |                                                                        |   
| Codage d'un texte    |   pgp -e{fichier texte} {ID du destinataire}                           |
| avec la clé du dest. |                                                                        |
|______________________|________________________________________________________________________|
|                      |                                                                        |
|  Signature           |   pgp -s{fichier texte} [-u {votre ID}]                                |
|______________________|________________________________________________________________________|
|                      |                                                                        |
| Décodage d'un texte  |   pgp {fichier codé} [-o {fichier texte lisible}]                      |
| avec examen de la    |                                                                        |
| signature            |                                                                        |
|______________________|________________________________________________________________________|

19) Source PGP et sites Internet

Serveur officiel: ftp://ftp.pgp.net/pub/pgp
Bon site en anglais bien sur: http://www.pgp.com
Et bien sur en fancais:
http://www.yahoo.fr/Informatique_et_multimedia/Securite_et_cryptage/Pretty_Good_Privacy__PGP_/

20) Fin !!!

Voila c'est tout, si vous désirez plus d'information ou de l'aide, n'hésitez pas à m'envoyer un mail!

|Pr0teK|