Les enjeux
Dans un monde où la surveillance généralisée (PRISM, Echelon, loi de programmation militaire, etc.) devient monnaie courante et où presque toutes nos communications se font via des moyens de communication électronique, se protéger devient essentiel.
Je vais ici parler d’un système très utilisé, le mail.
Les façons d’agir
Utiliser un serveur « NSA proof »
C’est une étape très importante. En effet, si les services de renseignement veulent connaître les correspondances d’une personne avec une adresse en @gmail.com ou @hotmail.com, il leur suffit d’aller sur les serveurs de google ou microsoft et de prendre ce qui les intéresse.
C’est très simple pour eux puisqu’ils ont déjà les accès, ça a été prouvé avec les révélations d’Edward Snowden. De plus, en une opération ils ont accès à des millions de comptes.
Si vos mails sont gérés par de plus petites structures, cela leur demandera plus de travail pour un résultat similaire voire moindre puisqu’il leur faudra demander les mails à plus de monde. D’ailleurs personne n’est tenu d’accepter.
Pour se faire, vous pouvez soit utiliser votre propre serveur ou si vous n’avez pas l’envie ou les compétences de le faire, utiliser un serveur dans lequel vous avez confiance. Dans ce cas je vous conseille gozmail.
Et encore mieux, chiffrer
Le contenu du mail
Nous avons ici deux options, PGP ou S/MIME. Le premier se base sur des clés GPG et le deuxième sur des certificats x509. J’utilise PGP pour ma part donc je vais vous présenter cette méthode.
Comme pour tout chiffrement digne de ce nom, il faut qu’il soit fait chez vous, depuis votre client mail et non sur un serveur à Katmandou depuis un webmail, d’ailleurs on ne devrait jamais utiliser de webmail. Ensuite, il faut faire en sorte que votre client sache faire du PGP. C’est inclus de base dans mutt, pour thunderbird il faut utiliser le plugin enigmail. Il vous faut alors générer votre clé PGP associée à votre adresse (avec enigmail vous aurez un assistant qui vous expliquera comment faire, vous pouvez aussi suivre le tutoriel de ubuntu-fr).
Pour finir, échangez votre clé publique (et non privée qui doit le rester) avec vos autres contacts et vous êtes prêt à envoyer des mails chiffrés en PGP. La mienne peut-être trouvée sur les serveurs de clés ou bien chez moi.
Attention, si vous signez publiquement des clés PGP, n’oubliez pas que vous créez un réseau de confiance. Votre signature ne vaut plus rien si vous signez à volo.
Lors du transport du mail
Ça s’adresse ici à ceux qui ont leur propre serveur mail.
Grâce au protocole DANE, nous pouvons mettre le fingerprint de notre certificat SSL dans le DNS et ainsi dire aux autres serveurs de communiquer de manière chiffrée en utilisant ce certificat.
Bortz a fait un article simple et efficace pour savoir comment configurer postfix avec TLS / SSL.