Depuis sa création en 1991, de nombreuses versions du logiciel PGP ont été créées. En 1997, Phil Zimmerman a proposé à l’IETF (Internet Engineering Task Force) de créer un standard PGP à code source ouvert (open-source). La proposition a été acceptée et a conduit à la création du protocole OpenPGP, qui définit des formats de normes pour les clés et de chiffrement et les messages cryptés.
Bien qu'initialement utilisé pour la sécurisation des e-mails et des pièces jointes, PGP est désormais appliqué à un grand nombre de cas d'utilisations, notamment les signatures numériques, le cryptage intégral d’un disque et la protection d’un réseau.
PGP appartenait initialement à la société PGP Inc, qui a ensuite été acquise par Network Associates Inc. En 2010, Symantec Corp. a acquis PGP pour 300 millions de dollars. Ce terme est désormais une marque commerciale utilisée pour leurs produits compatibles OpenPGP.
Comment ça marche?
Après la compression du fichier, le processus de chiffrement commence. À ce stade, le fichier en texte brut compressé est chiffré avec une clé à usage unique, appelée clé de session. Cette clé est générée aléatoirement à l'aide d'une cryptographie symétrique et chaque session de communication PGP possède une clé de session unique.
Par la suite, la clé de session (1) elle-même est cryptée à l'aide d'un cryptage asymétrique: le destinataire (Bob) fournit sa clé publique (2) à l'expéditeur du message (Alice) afin qu'il puisse crypter la clé de session. Cette étape permet à Alice de partager en toute sécurité la clé de session avec Bob via Internet, quelles que soient les conditions de sécurité.
Le cryptage asymétrique de la clé de session est généralement effectué à l'aide de l'algorithme RSA. De nombreux autres systèmes de cryptage utilisent RSA, notamment le protocole TLS (Transport Layer Security), qui sécurise une grande partie de l’Internet.
Une fois que le texte chiffré du message et la clé de session chiffrée sont transmis, Bob peut utiliser sa clé privée (3) pour déchiffrer la clé de session, qui est ensuite utilisée pour déchiffrer le texte chiffré dans le texte en clair original.
Outre le processus de base de chiffrement et de déchiffrement, PGP prend également en charge les signatures numériques, qui remplissent au moins trois fonctions:
- L’authentification: Bob peut vérifier que l'expéditeur du message était Alice.
- L’intégrité: Bob peut être sûr que le message n’a pas été modifié.
- La non-répudiation: une fois le message signé numériquement, Alice ne peut pas prétendre ne pas l'avoir envoyé.
Cas d'utilisations
L'une des utilisations les plus courantes de PGP consiste à sécuriser les e-mails. Un courrier électronique protégé avec PGP se transforme en une chaîne de caractères illisibles (texte crypté) et ne peut être déchiffré qu'avec la clé de déchiffrement correspondante. Les mécanismes de travail sont pratiquement les mêmes pour la sécurisation des messages texte. De plus, certaines applications logicielles permettent à PGP d'être implémenté dans le fonctionnement d'autres applications, ajoutant ainsi un système de cryptage aux services de messagerie non sécurisés.
Bien que PGP soit principalement utilisé pour sécuriser les communications Internet, il peut également être utilisé pour encrypter des périphériques individuels. Dans ce contexte, PGP peut être appliqué aux partitions de disque d'un ordinateur ou d'un périphérique mobile. En chiffrant le disque dur, l'utilisateur devra fournir un mot de passe à chaque démarrage du système.
Avantages et inconvénients
Le protocole OpenPGP a permis l’émergence d’un environnement concurrentiel normalisé et les solutions PGP sont désormais fournies par plusieurs sociétés et organisations. Cependant, tous les programmes PGP conformes aux normes OpenPGP sont compatibles les uns avec les autres. Cela signifie que les fichiers et les clés générés dans un programme peuvent être utilisés dans un autre sans problèmes.
En ce qui concerne les inconvénients, les systèmes PGP ne sont pas si simples à utiliser et à comprendre, en particulier pour les utilisateurs disposant de peu de connaissances techniques. En outre, la longue durée des clés publiques est considérée par beaucoup comme plutôt gênante.
En 2018, une vulnérabilité majeure appelée EFAIL fut publiée par Electronic Frontier Foundation (EFF). EFAIL permettait aux attaquants d'exploiter le contenu HTML actif dans les courriers électroniques chiffrés pour accéder aux versions en texte clair des messages.
Cependant, certaines des préoccupations décrites par EFAIL étaient déjà connues de la communauté PGP depuis la fin des années 90 et, en fait, les vulnérabilités sont liées aux différentes implémentations des clients de messagerie, et non à PGP. Ainsi, malgré les gros titres alarmants et trompeurs, PGP n'est pas remis en cause et reste hautement sécurisé.
Pensées de clôture
Depuis son développement en 1991, PGP est devenu un outil essentiel pour la protection des données. Il est maintenant utilisé dans un large éventail d’applications, assurant confidentialité, sécurité et authentification à plusieurs systèmes de communication et fournisseurs de services numériques.
Bien que la découverte de la faille EFAIL en 2018 ait suscité de vives inquiétudes quant à la viabilité du protocole, la technologie de base est toujours considérée comme robuste et cryptographiquement valable. Il est à noter que différentes implémentations de PGP peuvent présenter différents niveaux de sécurité.