MTIC : Dossiers

Dossiers de la MTIC


	La mission
	Programmes
	Technologies et standards
	Rencontres et événements
	Dossiers de la MTIC
	Mission Carcenac
	Bouquet du libre
	Avantages XML
	Canal mutualisation
	Forums
	Liens utiles
	Téléchargement

Accolade


Chercher|Contact|Anglais


  Inscription à notre lettre

PGP, un des logiciels de protection de la vie privee.

Le developpement des reseaux et du commerce electronique conduit a des besoins quant au respect de la vie privee et a la securite des echanges.
PGP (Pretty good privacy), est un logiciel emblematique pour la protection des echanges prives et communautaires, en voici quelques elements d'approfondissement.

PGP n'est pas le seul produit de ce type. Mais, au dela de ses capacites, PGP est interessant pour quatre raisons :

il a ete, et reste, un modele en la matiere ;
ses fonctionnalites refletent une vision repandue aux Etats-Unis, qui fait de la protection de la vie privee la pierre d'angle de la communication ;
il se situe en quelque sorte a cheval entre les logiciels libres et les solutions commerciales et proprietaires ;
son usage a titre personnel est une propedentique a l'usage de solutions plus evoluees.

1) - A QUOI SERT PGP ?

Avec PGP, on peut faire trois choses :

Signer un fichier par l'ajout d'information qui prouve que je suis bien l'auteur de ce fichier et qu'il est integre.
Assurer la confidentialite par le chiffrement du fichier a faire parvenir a X. Je chiffre avec la clef publique de X, et il dechiffre avec sa clef privee.
Faire les deux operations en même temps.

PGP permet de securiser la messagerie electronique et le stockage d'information numerique :

d'une part, PGP permet de proteger les echanges via la messagerie electronique de maniere a ce que seul le destinataire puisse les lire en proposant des services de confidentialite et d'authentification ;
d'autre part, il permet de stocker de l'information sur son ordinateur de maniere securisee.
PGP est un logiciel de chiffrement a clef publique. Tous les utilisateurs qui veulent communiquer entre eux via PGP possedent chacun un trousseau de clef (une clef privee, une clef publique).

Considerons ces clefs comme des mots de passe. Je diffuse ma clef publique sur des canaux securises ou non securises. Je garde ma clef privee sur mon ordinateur et je ne la communique jamais.

2) AVEC QUI UTILISER PGP : S'ECHANGER LES CLES PUBLIQUES

PGP se base sur les utilisateurs pour echanger des cles ; il fonctionne donc bien pour les petits groupes de travail.

En effet, l'utilisation de PGP implique la creation d'un reseau de confiance pour l'echange des clefs. Il sera le plus souvent constitue d'un nombre limite de relations preetablis et identifies. Dans le cas de l'existence d'un annuaire, on pourra sans doute l'etendre a quelques centaines de correspondants.

On peut decrire trois manieres securisees d'echanger des clefs publiques :

La clef est transmise physiquement et directement a son destinataire (echange de main a main) ;
La clef est distribuee electroniquement et authentifiee par un mecanisme externe afin de verifier l'identite de son proprietaire ;
La clef est recuperee depuis une entite, physique ou non, ayant la confiance des deux parties. C'est le tiers de confiance.

3) COMBIEN ME COUTE PGP ?

PGP est gratuit pour les particuliers. Pour une utilisation commerciale, il faudra s'acquitter d'une licence aupres de Network Associates, (http://www.nai.com/). Les acheteurs publics doivent donc faire jouer la concurrence en fonction de leurs exigences fonctionnelles et de securite.

4) OU PUIS-JE TROUVER PGP ?

Vous pouvez telecharger PGP a l'adresse http://www.pgp.com/ dans des versions gratuites et payantes.

5) PGP EST-IL AUTORISE EN FRANCE ?

Oui, le logiciel utilise une clef de chiffrement d'une longueur de 128 bits qui est autorisee par la legislation francaise.

L'usage de PGP est libre pour une utilisation personnelle, dans le cadre commercial une declaration prealable est necessaire.

6) PGP EST-IL FACILE A INSTALLER ET A UTILISER

Le logiciel s'installe tres facilement, comme n'importe quel utilitaire courant. Ses fonctionnalites sont tres accessibles.

En pratique il faut cependant faire preuve d'une certaine rigueur pour veritablement disposer d'une bonne securite. Ceci concerne notamment la manipulation des clefs et le suivi dans la mise a jour des dernieres versions du logiciel.

Une des facons les plus commodes d'utiliser PGP est d'utiliser un logiciel d'e-mail courant exploitant les plug-ins PGP.

Avec ces plug-ins, on peut chiffrer, dechiffrer et signer des messages ainsi que verifier l'identite d'un expediteur tout en composant et en lisant les e-mail d'un simple clic.

Si vous utilisez une application e-mail qui n'est pas geree par les plug-ins, vous pouvez aisement chiffrer le texte d'un message, en utilisant le logiciel PGPtray de Network Associates par exemple.

En outre, si vous avez besoin de chiffrer ou dechiffrer des fichiers attaches, vous pouvez le faire directement depuis le presse-papiers de votre systeme d'exploitation, en choisissant l'option du menu appropriee.

Vous pouvez aussi utiliser PGP pour chiffrer et signer des fichiers sur le disque dur de votre ordinateur afin d'obtenir un stockage securise, pour effacer securitairement des fichiers de votre disque dur ou pour nettoyer l'espace libre du disque, de telle sorte que des donnees sensibles ne puissent pas être recuperees avec des logiciels de restauration de disque.

7) PGP A-T-IL DES FAIBLESSES ?

Une faille dans la sécurité de PGP a été découverte en août 2000. Elle affecte les versions 5.5 (1997) à 6.5.3. Elle a été corrigée dans les nouvelles versions et des logiciels correctifs sont disponibles sur le site Internet du fournisseur pour les versions touchées.

Ces nouvelles versions de PGP sont créditées d'un bon niveau de sécurité pour toute utilisation privée visant à protéger des informations personnelles. Toutefois, pour l'administration française, PGP n'est pas agréé à ce jour pour protéger des informations classifiées de défense, ni recommandé pour protéger des informations d'un certain niveau de sensibilité.

8) D'OU VIENT PGP ?

PGP a ete cree en 1991 par un informaticien americain, Philip Zimmermann qui a decide de le diffuser sur Internet. Il a ete jusqu'a une date recente un logiciel libre. Cette evolution reflete a la fois la consolidation du modele des logiciels libres et le dysmorphisme evolutif de la famille des logiciels libres.

9) COMMENT CHIFFRER & DECHIFFRER UN FICHIER AVEC PGP

Je veux chiffrer un fichier pour l'utilisateur X.

J'entre la clef publique de X dans mon logiciel PGP.

Il me suffit de chiffrer le fichier avec cette clef publique, et d'envoyer le fichier chiffre a X (par email par exemple).

Puisque le fichier a ete chiffre avec la clef publique de X, il n'y a que la clef PRIVEE de X qui pourra dechiffrer ce fichier.

Donc X utilise sa clef privee pour dechiffrer le fichier que je lui ai envoye.

A chaque fois que je rencontrerai un nouvel utilisateur avec qui je desire communiquer, il me faudra lui demander sa clef publique... Et lui envoyer la mienne s'il veut me repondre.

DOCUMENTS ET ACTUALITES

FRANCE
- Site PGP en francais news
  http://www.geocities.com/SiliconValley/Bay/9648/news.htm
- Dossier de PGP de ZDNet
  http://www.zdnet.fr/prod/secu/a0011242.html
- Cryptographie : PGP a 128 bits autorise en France
  http://www.zdnet.fr/actu/tech/a0008698.html
- Le nouveau PGP enfin en francais
  http://www.zdnet.fr/actu/tech/a0012601.html
  http://www.vnunet.fr/VNU2/actualites/page_article.htm?date=2000-01-18&numero=3857
USA
- PGP.org et actualites
  http://www.pgpi.org/
- Chiffrement : les Etats-Unis levent la plupart des restrictions a l'export
  http://www.zdnet.fr/actu/tech/a0012566.html
- PGP pourra enfin s'exporter
  http://www.vnunet.fr/VNU2/actualites/page_article.htm?date=1999-12-14&numero=3583