Dans votre messagerie en ligne Posteo, vous pouvez utiliser un véritable chiffrement de bout en bout avec OpenPGP grâce à l’extension de navigateur Mailvelope.

Dans cet article d’aide, nous vous expliquons comment installer le chiffrement de bout en bout dans votre messagerie en ligne. Dans l’étape suivante, vous saurez comment créer une paire de clés individuelle pour votre communication chiffrée ou importer une paire déjà existante. Enfin, nous vous montrons comment faire parvenir votre clé à vos contacts, afin de pouvoir leur écrire des e-mails chiffrés.

Avant de commencer : Avis de sécurité actuel (mai 2017)

Nous avons fait effectuer un audit de sécurité actuel de Mailvelope (mai 2017). Ce dernier a permis de détecter une faille critique dans l’interaction entre le navigateur Firefox et Mailvelope. Dans certaines circonstances, l’architecture de sécurité de Firefox permet à des agresseurs d’accéder à la clé privée de l’utilisateur à l’aide d’extensions compromises. Veillez à prendre en compte impérativement les recommandations de sécurité supplémentaires à la fin de cet article.

Comment installer Mailvelope

Si vous utilisez Google Chrome, vous trouverez l’extension dans le Chrome Webapp Store. Sur le site internet de Mailvelope, vous pouvez télécharger Mailvelope pour Firefox.

Mailvelope est un projet open source et a été soumis à un audit de sécurité indépendant par Cure53 (service de sécurité informatique allemand).

Dans les articles d’aide suivants, nous vous expliquons comment installer une extension :

• Comment installer une extension Firefox ?
• Comment installer une extension Google Chrome ?

Comment vérifier l’installation

Après l’installation, vous verrez le nouveau bouton Compose and encrypt s’afficher dans votre messagerie en ligne.

Cliquez sur Compose and encrypt pour vérifier si l’installation a réussi. Si vous voyez des symboles de cadenas autour du corps du message, l’installation a fonctionné.

Si vous ne voyez pas ces symboles de cadenas, vérifiez que vous avez activé l’interface de programmation Mailvelope pour Posteo.

Comment créer ou importer une paire de clés

Vous avez installé Mailveloppe avec succès, il vous faut maintenant une paire de clés individuelle. Elle se compose de deux parties : une clé publique avec laquelle vos contacts chiffrent les e-mails qu’ils vous adressent, puis une clé privée qui vous permet de déchiffrer les e-mails reçus. Ne communiquez jamais votre clé privée à d’autres personnes. Ainsi, vous garantissez que vous seul pouvez lire vos e-mails chiffrés.

Vous disposez déjà d’une paire de clés OpenPGP ? Vous pouvez alors passer directement au paragraphe Comment importer votre paire de clés personnelle.

Comment créer votre paire de clés individuelle

1. Cliquez sur le symbole Mailvelope dans la barre de menu de votre navigateur.
2. Cliquez sur Options pour ouvrir Mailvelope.

3. Cliquez sur Générer une clé.

4. Dans « Courriel », saisissez votre adresse Posteo. Choisissez un mot de passe pour l’accès à votre clé privée. Ce mot de passe ne doit pas nécessairement être votre mot de passe Posteo. Le mot de passe protège votre clé privée contre tout accès non autorisé. Laissez le champ « Nom » vide afin de protéger votre anonymat.
5. Cliquez sur Soumettre.

6. Attendez que votre paire de clés soit générée.

Une fois que Mailvelope a créé votre paire de clés, vous la trouverez dans le trousseau Mailvelope.

Comment importer votre paire de clés personnelle

Vous pouvez également importer une paire de clés dèjà existante dans Mailvelope :

1. Pour ce faire, cliquez sur le symbole Mailvelope dans votre navigateur.
2. Cliquez sur Options.

3. Cliquez sur Importer les clés.
4. Cliquez sur Sélectionner un fichier texte contenant la clé à importer.
5. Sélectionnez le fichier de votre clé au format « .asc ».
6. Cliquez sur Importer.

Et voilà ! Vous avez installé Mailvelope avec succès et créé ou importé votre paire de clés personnelle. Nous vous expliquons maintenant comment communiquer votre clé publique à d’autres personnes afin de pouvoir communiquer avec elles de façon chiffrée.

Comment envoyer votre clé publique à vos contacts

Si quelqu’un souhaite vous écrire un e-mail chiffré, il a besoin de votre clé publique. Avec cette dernière, il peut chiffrer ses e-mails adressés à vous.

Tout d’abord, exportez votre clé publique dans un fichier :

1. Cliquez sur le symbole Mailvelope dans la barre d’outils de votre navigateur.
2. Cliquez sur Options.

3. Ouvrez l’onglet Gestion de clés.
4. Cliquez sur Afficher les clés.
5. Sélectionnez votre clé.

6. Cliquez sur Exporter.
7. Sélectionnez Publique.
8. Enregistrez votre clé sur votre ordinateur en cliquant sur Télécharger.

Astuce : choisissez un emplacement qui vous permet de retrouver facilement votre fichier. Donnez-lui un nom clair comme clé-publique-jean-exemple.asc.

Vous pouvez maintenant envoyer votre clé publique en pièce jointe de vos e-mails.

1. Rédigez un nouveau message adressé à la personne à laquelle vous souhaitez envoyer votre clé publique.

2. Ajoutez votre clé enregistrée en cliquant sur Joindre un fichier.
3. Cliquez sur Envoyer.

Astuce : en plus de cela, vous pouvez enregistrer votre clé publique dans l’annuaire de clés Posteo.

Recommmandations supplémentaires de sécurité pour l’utilisation de Mailvelope dans Firefox

L’architecture de Firefox n’isole pas suffisamment les extensions les unes des autres. Depuis quelque temps, une nouvelle architecture de Firefox est développée pour réparer cette faille. Mozilla prévoit d’achever les travaux d’ici novembre 2017 avec la sortie de Firefox 57. Jusqu’à ce que Mozilla ait adapté son architecture, les recommandations de sécurité suivantes s’appliquent :

1. En attendant, utilisez un autre logiciel : vous pouvez soit utiliser Mailvelope dans un autre navigateur, soit utiliser PGP avec un client de messagerie local.
   Dans notre rubrique d’aide, vous trouverez plusieurs articles d’aide à ce sujet..
2. Sinon, un profil de Firefox réservé à Mailvelope minimise le risque de façon transitoire. Dans notre rubrique d’aide, nous avons publié des instructions pas-à-pas pour créer des profils dans Firefox :
   instructions pour Mac
   instructions pour Windows
   Les utilisateurs de Mailvelope ayant un autre fournisseur de messagerie peuvent également suivre ces instructions.

Veillez à respecter absolument les recommandations de sécurité suivantes afin de minimiser le risque d’une attaque efficace :

• n’installez aucune autre extension dans le nouveau profil du navigateur.
• Utilisez le profil de Firefox uniquement pour votre communication chiffrée avec Mailvelope : n’ouvrez que la messagerie en ligne de votre fournisseur de messagerie et n’ouvrez jamais d’autres sites Web dans ce profil.
• Choisissez également le mot de passe le plus sûr possible pour votre clé PGP.
• Veillez à ne pas installer d’autres extensions par inadvertance (notamment par hameçonnage) qui pourraient vous attaquer.

Compte tenu des problèmes dans l’architecture de Firefox, nous vous conseillons de procéder comme suit :

• réduisez au minimum l’utilisation d’extensions dans votre navigateur Firefox, jusqu’à ce que Mozilla ait modifié son architecture.
• En créant un compte d’utilisateur supplémentaire et séparé dans votre système d’exploitation pour votre communication chiffrée de bout en bout, vous vous protégez encore mieux des agresseurs potentiels.

Articles complémentaires

• Comment envoyer des e-mails chiffrés de bout en bout dans ma messagerie en ligne Posteo ? Et comment déchiffrer des e-mails chiffrés ?
• Ma clé S/MIME ou OpenPGP doit-elle respecter certains critères ?
• Comment activer le chiffrement à l’entrée avec ma clé publique PGP ?
• Comment utiliser PGP/MIME dans mon smartphone ou ma tablette Android ?
• Comment créer et utiliser un profil Firefox pour Posteo dans Windows ?
• Comment créer et utiliser un profil Firefox pour Posteo dans macOS ?