[Sécurité] FireGPG, encryptez vos emails envoyés avec Gmail
Gmail a révolutionné le webmail. D’abord engagé dans la course à l’usabilité et à la rapidité, puis dans celle de l’espace de stockage, Gmail se tourne aujourd’hui vers l’ajout de fonctionnalités avec son « labs ».
Il n’est donc pas étonnant de voir de plus en plus d’entreprises se tourner vers cette solution souple pour la gestion de leurs emails. Or on l’a vu récemment, le « cloud computing » n’est pas sans risque.
Le premier d’entre eux est la délocalisation des données et leur hébergement par un tiers. En cas de panne ou de défaillance, plus moyen d’accéder à ses propres données. Nous en avons eu l’exemple récemment avec LiveJournal, victime d’une perte de données, qui a du mettre la clé sou la porte; ou encore Gmail est son fameux trou noir de près de 3 heures.
Et c’est là que se situe sans doute le second plus gros problème. Bien que Google soit à mon avis un tiers digne de confiance, personne n’est à l’abri d’une attaque durant le transport des données (de type « man in the middle » entre autres). Il y a donc un problème de sécurité que certaines entreprise ne peuvent se permettre.
En effet, comment imaginer envoyer des données sensibles sur le net? Seule solution viable, crypter ses données pour compliquer la tache des pirates.
FireGPG est une extension pour Firefox qui permet de crypter ou signer facilement les emails envoyés via Gmail (et d’autres webmails comme Yahoo).
Il s’appuie pour cela sur la librairie open source GnuPG. Celle-ci utilise le mécanisme bien connu et éprouvé de chiffrement asymétrique par clés publiques/privées.
FireGPG ajoute des fonctionnalités à l’interface de Gmail pour vous permettre d’utiliser GPG directement dans votre webmail. Ainsi, des liens pour chiffrer, signer ou insérer le message et la clé directement sont présents.
En prime, FireGPG supporte l’openpgp/mime !
Pour envoyer un message, vous devez d’abord connaitre la clé publique de vos contacts. En général celles-ci se trouvent sur un serveur et sont donc facilement récupérables par FireGPG. Sinon vous pouvez utiliser le gestionnaire de clés pour les ajouter associés aux emails.
Pour recevoir des messages chiffrés, il vous faudra également générer votre propre clé publique et la publier. Votre clé privée, elle, ne doit jamais être publiée ou communiquée. Pour ce faire, utilisez le bouton « Nouvelle clé » dans le gestionnaire de clé et choisissez un mot de passe complexe.
Une fois les clés récupérées et vos clés créées, vous pouvez envoyer des messages chiffrés. Juste avant d’envoyer, vérifiez que l’image du cadenas est grisée. Si c’est le cas, cliquez sur « chiffrer ».
Une autre option vous permet de signer vos message. Ceci permet à vos contact de vérifier que vous êtes bien l’auteur du message. Cette étape n’est pas obligatoire mais constitue une sécurité supplémentaire si vous avez des doutes sur l’authenticité des messages.
Vous pouvez envoyer! A ce niveau là, le système vous demandera votre mot de passe de clé privée et fera le reste.
FireGPG permet également de désactiver l’auto-enregistrement car les messages temporaires ainsi stockés sur les serveurs de Google ne sont pas sécurisés.
Je trouve le plugin super sympa. A utiliser sans modération sans les entreprises et lorsqu’on échange des données sensibles avec son client.
Pour installez FireGPG, suiviez la procédure décrite sur le site officiel.
Téléchargez le plugin FireGPG
En savoir plus
Pour les plus intéressés, voici une vidéo en anglais: