Prérequis pour l’envoi d’un courrier électronique chiffré

Si vous essayez d’envoyer un courrier électronique avec le chiffrement de bout en bout (End-To-End Encryption ou E2EE en anglais) activé, Thunderbird peut signaler qu’il ne peut pas le chiffrer. Cet article explique les conditions requises pour l’envoi d’un courrier électronique chiffré.

Liste des prérequis

Toutes ces conditions doivent être remplies :

• Vous devez avoir une clé OpenPGP personnelle ou un certificat S/MIME personnel, et vous devez configurer Thunderbird pour l’utiliser. Découvrez comment effectuer ces actions dans un autre article, Configurer un compte de courrier pour utiliser le chiffrement de bout en bout.
• Si vous aviez précédemment configuré votre propre clé ou certificat, assurez-vous qu’il n’a ni expiré ni été révoqué, et que vous ne l’avez pas supprimé.
• Chaque destinataire que vous avez ajouté aux champs Pour, Copie à et Copie cachée à doit également posséder une clé OpenPGP personnelle ou un certificat S/MIME personnel et ils doivent avoir mis à disposition la clé publique ou le certificat correspondant. La façon de les obtenir et de les utiliser est décrite dans les sections suivantes de cet article.
• Lors de l’utilisation du chiffrement de groupe à l’aide de la fonctionnalité d’alias d’OpenPGP pour le destinataire, les clés publiques de toutes les personnes destinataires définies pour une adresse électronique d’alias doivent être disponibles.
• Vous devez disposer de clés ou de certificats de technologie identique pour tous les destinataires, y compris vous-même, car OpenPGP et S/MIME sont des technologies de chiffrement distinctes qui ne peuvent pas être mélangées dans un même courrier. Assurez-vous d’avoir sélectionné la bonne technologie lors de la rédaction d’un courrier électronique chiffré.

Si vous avez besoin d’une explication plus détaillée des termes mentionnés dans cet article ou pour savoir comment fonctionne la technologie de chiffrement des courriers électroniques en général, consultez l’article Présentation du chiffrement de bout en bout dans Thunderbird.

Obtention des clés publiques OpenPGP des personnes avec qui vous correspondez

Les mécanismes suivants peuvent être utilisés pour obtenir une clé publique OpenPGP :

• La personne avec qui vous correspondez vous envoie un courrier électronique et elle y joint sa clé publique. Lors de la visualisation d’un tel message, si vous cliquez sur le bouton OpenPGP affiché dans la zone d’en-tête, Thunderbird vous propose d’importer la clé.
• La personne avec qui vous correspondez vous envoie un courrier électronique qui comprend un en-tête Autocrypt contenant sa clé publique. Lors de l’affichage d’un tel message, si vous cliquez sur le bouton OpenPGP affiché dans la zone d’en-tête, Thunderbird vous propose d’importer la clé.
• La personne avec qui vous correspondez a publié sa clé publique sur un serveur web. Elle peut vous donner un lien vers sa clé publique ou vous pouvez utiliser une recherche sur le Web et trouver vous-même sa clé. Dans les deux cas, vous téléchargez la clé publique dans un fichier local, puis utilisez le gestionnaire de clés OpenPGP de Thunderbird pour importer le fichier contenant la clé publique.
• La personne avec qui vous correspondez a publié sa clé publique sur un serveur utilisant le protocole WKD (Web Key Directory). Lorsque vous tentez d’envoyer un courrier électronique chiffré, mais que vous ne disposez pas encore de clé publique pour l’adresse électronique de destination, Thunderbird peut vous proposer d’effectuer une découverte en ligne, qui est en mesure de trouver des clés publiques publiées à l’aide du protocole WKD.
• La personne avec qui vous correspondez a publié sa clé publique sur un serveur de clés pris en charge par Thunderbird, tel keys.openpgp.org. Lorsque vous tentez d’envoyer un courrier électronique chiffré, mais que vous n’avez pas encore de clé publique pour l’adresse électronique de destination, Thunderbird peut vous proposer d’effectuer une découverte en ligne, qui est en mesure de trouver les clés publiques publiées sur ce serveur de clés.
• La personne avec qui vous correspondez a publié sa clé publique sur un serveur de clés que Thunderbird n’est pas encore en mesure d’interroger automatiquement. Si cette personne vous indique le serveur de clés qui contient sa clé, vous pourriez peut-être utiliser un navigateur web pour visiter ce serveur de clés, rechercher la clé publique, la télécharger dans un fichier, puis importer ce fichier à l’aide du gestionnaire de clés OpenPGP de Thunderbird.

Si Thunderbird ne trouve pas automatiquement la clé, il est généralement plus simple d’envoyer un simple courrier électronique (sans chiffrement) à la personne avec qui vous correspondez et de lui demander de vous envoyer un message contenant sa clé publique.

Avec les versions 78 et 91 de Thunderbird, si vous receviez un courrier électronique contenant une clé, il fallait interagir avec ce message pour importer la clé, soit en utilisant le menu contextuel des pièces jointes et en demandant de l’importer, soit en cliquant sur le bouton OpenPGP affiché dans la zone d’en-tête qui pouvait signaler que le courrier électronique contenait une clé publique et pouvait proposer de l’importer.

Avec les versions 102 et plus récentes de Thunderbird, le logiciel collecte automatiquement dans un cache les clés qu’il repère pour une utilisation ultérieure. Lors de la rédaction d’un courrier électronique, si la clé publique de destination n’a pas encore été importée, Thunderbird peut alors vous proposer automatiquement d’utiliser les clés publiques qu’il a déjà collectées.

Notez bien qu’il n’est pas possible d’examiner le cache de toutes les clés que Thunderbird a automatiquement collectées. Thunderbird vous propose, si nécessaire, des clés appropriées dans l’assistant de clés OpenPGP, auquel vous pouvez accéder à partir de la fenêtre de rédaction des courriers électroniques de Thunderbird.

Pour consulter la liste des clés OpenPGP déjà importées, vous pouvez utiliser le gestionnaire de clés OpenPGP de Thunderbird.

Obtention des certificats S/MIME de destination

La manière standard de distribuer le certificat d’une personne consiste à envoyer un courrier électronique signé numériquement. Si vous avez reçu un courrier signé de la personne avec qui vous correspondez, cliquez sur le message pour le consulter. Si Thunderbird considère que la signature du courrier électronique et le certificat d’expédition sont valides, ils sont automatiquement importés et disponibles lorsque vous tentez de chiffrer un courrier électronique à destination de cette personne à l’aide de la technologie S/MIME. Si vous n’avez pas encore reçu de message signé de cette personne, vous pouvez lui demander de vous envoyer un courrier signé numériquement.

Notez bien que les certificats délivrés par les autorités de certification peuvent avoir une courte période de validité. Les certificats ne sont plus utilisables après l’expiration de leur période de validité. Dans ce cas, la personne avec qui vous correspondez doit obtenir une nouvelle attestation. Une fois cette démarche réalisée, elle peut vous envoyer un nouveau courrier électronique signé numériquement avec un certificat valide.

Les organisations qui exploitent un serveur LDAP peuvent le configurer pour stocker les certificats S/MIME. Si un serveur LDAP est configuré, Thunderbird peut l’interroger automatiquement s’il a besoin d’un certificat S/MIME.

Pour consulter la liste des certificats S/MIME que vous possédez déjà, vous pouvez utiliser le gestionnaire de certificats de Thunderbird.

Validité technique

Thunderbird n’utilise que des clés et des certificats qu’il considère techniquement valides.

Thunderbird exige qu’une clé OpenPGP contienne au moins une clé primaire ou subordonnée valide et utilisable pour créer des signatures numériques, ainsi qu’au moins une clé utilisable pour le chiffrement.

Thunderbird peut refuser d’utiliser des clés OpenPGP corrompues ou reposant sur des algorithmes cryptographiques que Thunderbird considère comme non sûrs.

Une clé publique OpenPGP a une structure interne, peut contenir plusieurs clés subordonnées et contient également des propriétés, telles que la période de validité, les noms d’utilisateur et les adresses électroniques associés. Ces propriétés peuvent être ajoutées, supprimées ou mises à jour. Pour s’assurer que les propriétés ont bien été modifiées par le ou la propriétaire légitime de la clé, elles sont signées numériquement à l’aide de la clé secrète de la personne propriétaire. Chaque signature numérique utilise un algorithme de signature. Thunderbird peut ignorer les propriétés basées sur des algorithmes de signature non sûrs.

Si vous avez obtenu la clé publique d’une personne et que Thunderbird refuse de l’importer ou de l’utiliser, les raisons possibles sont :

• après l’avoir importée, la clé semble manquer de certaines propriétés ;
• la clé a une période de validité inattendue ;
• la clé peut contenir des propriétés non sécurisées que Thunderbird a décidé de rejeter ou d’ignorer.

Correspondance de l’adresse électronique

Afin d’utiliser une clé publique OpenPGP ou un certificat S/MIME pour envoyer un courrier électronique chiffré à une adresse électronique, Thunderbird exige généralement que la structure interne de la clé ou du certificat contienne une adresse électronique qui lui corresponde exactement. Cette exigence permet à Thunderbird de décider automatiquement si une clé publique ou un certificat peut être utilisé pour une adresse électronique.

En d’autres termes, si Alice veut envoyer un courrier chiffré à bob@example.com, elle a besoin d’une clé publique OpenPGP ou d’un certificat S/MIME qui prétend être pour cette adresse électronique. Une clé ou un certificat prétendant être pour bobby@example.com ne sera pas utilisé par Thunderbird.

Si Alice voulait vraiment utiliser la clé publique ou le certificat indiquant bobby@example.com pour envoyer un courrier électronique à bob@example.com, alors Alice devrait avoir des connaissances supplémentaires sur les adresses électroniques de Bob, qui ne sont pas évidentes. Bob devrait demander à Alice d’utiliser cette clé malgré la divergence des adresses électroniques. Alice devrait demander à Thunderbird d’utiliser la clé publique ou le certificat malgré la non-concordance.

Cela est considéré comme un scénario avancé, que certaines personnes peuvent être amenées à utiliser, mais dont la plupart n’ont pas besoin. Thunderbird n’offre actuellement pas de solution interactive pour cela.

Cependant, comme certaines personnes expertes ont demandé de l’aide pour l’utilisation de clés publiques OpenPGP non concordantes, Thunderbird propose un mécanisme de configuration avancé, qui est documenté dans l’article Thunderbird et les clés d’alias OpenPGP.

Acceptation

Si vous avez obtenu une clé publique OpenPGP, que la clé prétend être au nom de la personne avec qui vous correspondez et qu’elle contient son adresse électronique, il y a toujours un risque que ce ne soit pas la bonne clé. Le risque est décrit en détail dans l’article Les clés OpenPGP pourraient être authentiques ou falsifiées.

En raison de ce risque, Thunderbird n’utilise pas automatiquement les clés publiques OpenPGP. Au contraire, pour chaque clé publique que vous souhaitez utiliser, vous devez confirmer que la clé est acceptable pour vous, comme décrit dans l’article ci-dessus.

En d’autres termes, si Alice a obtenu une clé publique OpenPGP qui indique l’adresse électronique bob@example.com, et qu’Alice tente d’envoyer un courrier électronique chiffré à bob@example.com, Thunderbird pourrait se plaindre qu’il n’y a pas encore de clé acceptée pour Bob. Alice doit suivre les conseils proposés à l’écran pour examiner la ou les clés disponibles pour bob@example.com. Elle doit les examiner, idéalement les vérifier et marquer les clés comme acceptées.

Pour S/MIME, des certificats techniquement valides qui sont signés par une autorité de certification qui a été incluse dans Thunderbird conformément à la politique du magasin racine de Mozilla (document en anglais) sont automatiquement acceptés par Thunderbird pour l’envoi de courriers électroniques chiffrés à l’adresse indiquée dans le certificat.