Qu'est-ce que PGP?
Accueil
Articles
Qu'est-ce que PGP?

Qu'est-ce que PGP?

Intermédiaire
Publié le May 6, 2019Mis à jour le Nov 8, 2023
5m
PGP signifie Pretty Good Privacy (littĂ©ralement: “trĂšs bonne confidentialitĂ©â€). C'est un logiciel de cryptage conçu pour assurer la confidentialitĂ©, la sĂ©curitĂ© et l'authentification des systĂšmes de communication en ligne. Phil Zimmerman fut le crĂ©ateur du premier logiciel PGP et, selon lui, il fut rendu librement accessible en raison de la demande sociale croissante en matiĂšre de vie privĂ©e.

Depuis sa crĂ©ation en 1991, de nombreuses versions du logiciel PGP ont Ă©tĂ© crĂ©Ă©es. En 1997, Phil Zimmerman a proposĂ© Ă  l’IETF (Internet Engineering Task Force) de crĂ©er un standard PGP Ă  code source ouvert (open-source). La proposition a Ă©tĂ© acceptĂ©e et a conduit Ă  la crĂ©ation du protocole OpenPGP, qui dĂ©finit des formats de normes pour les clĂ©s et de chiffrement et les messages cryptĂ©s.

Bien qu'initialement utilisĂ© pour la sĂ©curisation des e-mails et des piĂšces jointes, PGP est dĂ©sormais appliquĂ© Ă  un grand nombre de cas d'utilisations, notamment les signatures numĂ©riques, le cryptage intĂ©gral d’un disque et la protection d’un rĂ©seau.

PGP appartenait initialement à la société PGP Inc, qui a ensuite été acquise par Network Associates Inc. En 2010, Symantec Corp. a acquis PGP pour 300 millions de dollars. Ce terme est désormais une marque commerciale utilisée pour leurs produits compatibles OpenPGP.


Comment ça marche?

PGP est l'un des premiers logiciels largement répandus à implémenter la cryptographie à clé publique. C'est un systÚme cryptographique hybride qui utilise à la fois un cryptage symétrique et asymétrique pour atteindre un niveau de sécurité élevé.
Dans un processus de base de cryptage de texte, un texte en clair (des donnĂ©es pouvant ĂȘtre clairement comprises) est converti en texte cryptĂ© (donnĂ©es illisibles). Mais avant que le processus de chiffrement ne soit effectuĂ©, la plupart des systĂšmes PGP effectuent une compression des donnĂ©es. En compressant les fichiers du texte brut avant de les transmettre, PGP Ă©conomise Ă  la fois de l'espace disque et du temps de transmission, tout en amĂ©liorant la sĂ©curitĂ©.

AprĂšs la compression du fichier, le processus de chiffrement commence. À ce stade, le fichier en texte brut compressĂ© est chiffrĂ© avec une clĂ© Ă  usage unique, appelĂ©e clĂ© de session. Cette clĂ© est gĂ©nĂ©rĂ©e alĂ©atoirement Ă  l'aide d'une cryptographie symĂ©trique et chaque session de communication PGP possĂšde une clĂ© de session unique.

Par la suite, la clĂ© de session (1) elle-mĂȘme est cryptĂ©e Ă  l'aide d'un cryptage asymĂ©trique: le destinataire (Bob) fournit sa clĂ© publique (2) Ă  l'expĂ©diteur du message (Alice) afin qu'il puisse crypter la clĂ© de session. Cette Ă©tape permet Ă  Alice de partager en toute sĂ©curitĂ© la clĂ© de session avec Bob via Internet, quelles que soient les conditions de sĂ©curitĂ©.


   


Le cryptage asymĂ©trique de la clĂ© de session est gĂ©nĂ©ralement effectuĂ© Ă  l'aide de l'algorithme RSA. De nombreux autres systĂšmes de cryptage utilisent RSA, notamment le protocole TLS (Transport Layer Security), qui sĂ©curise une grande partie de l’Internet.

Une fois que le texte chiffré du message et la clé de session chiffrée sont transmis, Bob peut utiliser sa clé privée (3) pour déchiffrer la clé de session, qui est ensuite utilisée pour déchiffrer le texte chiffré dans le texte en clair original.

Outre le processus de base de chiffrement et de déchiffrement, PGP prend également en charge les signatures numériques, qui remplissent au moins trois fonctions:

-    L’authentification: Bob peut vĂ©rifier que l'expĂ©diteur du message Ă©tait Alice.

-    L’intĂ©gritĂ©: Bob peut ĂȘtre sĂ»r que le message n’a pas Ă©tĂ© modifiĂ©.

-    La non-répudiation: une fois le message signé numériquement, Alice ne peut pas prétendre ne pas l'avoir envoyé.


Cas d'utilisations

L'une des utilisations les plus courantes de PGP consiste Ă  sĂ©curiser les e-mails. Un courrier Ă©lectronique protĂ©gĂ© avec PGP se transforme en une chaĂźne de caractĂšres illisibles (texte cryptĂ©) et ne peut ĂȘtre dĂ©chiffrĂ© qu'avec la clĂ© de dĂ©chiffrement correspondante. Les mĂ©canismes de travail sont pratiquement les mĂȘmes pour la sĂ©curisation des messages texte. De plus, certaines applications logicielles permettent Ă  PGP d'ĂȘtre implĂ©mentĂ© dans le fonctionnement d'autres applications, ajoutant ainsi un systĂšme de cryptage aux services de messagerie non sĂ©curisĂ©s.

Bien que PGP soit principalement utilisĂ© pour sĂ©curiser les communications Internet, il peut Ă©galement ĂȘtre utilisĂ© pour encrypter des pĂ©riphĂ©riques individuels. Dans ce contexte, PGP peut ĂȘtre appliquĂ© aux partitions de disque d'un ordinateur ou d'un pĂ©riphĂ©rique mobile. En chiffrant le disque dur, l'utilisateur devra fournir un mot de passe Ă  chaque dĂ©marrage du systĂšme.


Avantages et inconvénients

Grùce à son utilisation combinée du cryptage symétrique et asymétrique, PGP permet aux utilisateurs de partager en toute sécurité des informations et des clés cryptographiques via Internet. En tant que systÚme hybride, PGP bénéficie à la fois de la sécurité de la cryptographie asymétrique et de la rapidité du cryptage symétrique. Outre la sécurité et la rapidité, les signatures numériques garantissent l'intégrité des données et l'authenticité de l'expéditeur.

Le protocole OpenPGP a permis l’émergence d’un environnement concurrentiel normalisĂ© et les solutions PGP sont dĂ©sormais fournies par plusieurs sociĂ©tĂ©s et organisations. Cependant, tous les programmes PGP conformes aux normes OpenPGP sont compatibles les uns avec les autres. Cela signifie que les fichiers et les clĂ©s gĂ©nĂ©rĂ©s dans un programme peuvent ĂȘtre utilisĂ©s dans un autre sans problĂšmes.

En ce qui concerne les inconvĂ©nients, les systĂšmes PGP ne sont pas si simples Ă  utiliser et Ă  comprendre, en particulier pour les utilisateurs disposant de peu de connaissances techniques. En outre, la longue durĂ©e des clĂ©s publiques est considĂ©rĂ©e par beaucoup comme plutĂŽt gĂȘnante.

En 2018, une vulnérabilité majeure appelée EFAIL fut publiée par Electronic Frontier Foundation (EFF). EFAIL permettait aux attaquants d'exploiter le contenu HTML actif dans les courriers électroniques chiffrés pour accéder aux versions en texte clair des messages.

Cependant, certaines des préoccupations décrites par EFAIL étaient déjà connues de la communauté PGP depuis la fin des années 90 et, en fait, les vulnérabilités sont liées aux différentes implémentations des clients de messagerie, et non à PGP. Ainsi, malgré les gros titres alarmants et trompeurs, PGP n'est pas remis en cause et reste hautement sécurisé.


Pensées de clÎture

Depuis son dĂ©veloppement en 1991, PGP est devenu un outil essentiel pour la protection des donnĂ©es. Il est maintenant utilisĂ© dans un large Ă©ventail d’applications, assurant confidentialitĂ©, sĂ©curitĂ© et authentification Ă  plusieurs systĂšmes de communication et fournisseurs de services numĂ©riques.

Bien que la découverte de la faille EFAIL en 2018 ait suscité de vives inquiétudes quant à la viabilité du protocole, la technologie de base est toujours considérée comme robuste et cryptographiquement valable. Il est à noter que différentes implémentations de PGP peuvent présenter différents niveaux de sécurité.

Partager des publications
S’inscrire pour un compte.
Mettez vos connaissances en pratique en ouvrant un compte Binance dùs aujourd’hui.