SCOP d'ingénieurs experts du logiciel libre depuis 2004
+33 1 70 61 60 16

PGP dans Thunderbird : vers une meilleure gestion des identités numériques

Dans une prochaine version majeure, Thunderbird implémentera nativement PGP. Une intégration qui ne se fait pas sans un petit dépoussiérage de certains mécanismes pour rendre notre utilisation de PGP plus fiable.

Notre prochain webinar

En octobre 2019 Mozilla a annoncé pour cette année l'intégration de PGP dans son client mail Thunderbird. Jusque là assuré par l'extension Enigmail , le support de PGP sera donc maintenant assuré nativement par Thunderbird, qui devrait s'appuyer sur la librairie Sequoia PGP , écrite en Rust ).

C'est donc à partir de la version 78 que Thunderbird embarquera nativement le support d'OpenPGP, venant ainsi compléter l'arsenal cryptographique du client qui embarque déjà S/MIME. Enigmail qui se repose sur GnuPG sera de con côté supporté jusqu'à la fin de vie de Thunderbird 68.

Le support natif de PGP par Thunderbird est un débat qui ne date pas d'hier au sein de la communauté Mozilla, le ticket a même plus de 20 ans . Mais cette fois ça y est, ou presque, puisque la release est annoncée pour cet été. Le tour de force de Thunderbird va donc être d'être en mesure d'envoyer des mails chiffrés et signés numériquement, de déchiffrer les mails reçus et de vérifier ces mails numériquement signés. Et tout ceci sans avoir recours à un logiciel tiers qu'il convient d'installer préalablement comme il est de coutume pour Enigmail.

L'équipe de développement veut cette intégration sécurisée, conviviale, et interopérable. Elle aurait opté pour la bibliothèque Sequoia PGP. Si des parties d'Enigmail (non spécifiques à GnuPG) ont été utilisées, il y a eu un gros travail effectué sur la gestion et l'échange des clés, ainsi que sur les modèles de confiance.

Tout ceci est très bien, c'est une bonne nouvelle, le support d'OpenPGP avait besoin d'être décrassé, mais la migration ne sera cependant pas transparente pour ceux qui utilisent déjà Enigmail/GnuPG. Il vous faudra commencer par migrer vos clés. Un assistant d'importation des clés devrait être fournit, mais son fonctionnement sera conditionné par l'installation de GnuPG sur la machine, ce qui ne devrait donc pas poser de problème. Un gain pour l'utilisateur qui a à gérer plusieurs clés différentes, c'est que le mot de passe utile pour protéger sa clé privée sera remplacé par le mot de passe principal de Thunderbird.

Concernant la protection de l'identité, les équipes de Mozilla ont planché sur une méthode de vérification de propriété des clés (à qui appartient la clé) très proche de celle du couple Enigmail/GnuPG. Une fois que l'on a confirmé que la clé publique de notre correspondant correspond bien (le checksum ), à son empreinte numérique (le fingerprint ), Thunderbird conservera en mémoire le niveau de confiance que l'on a accordé à la clé de notre correspondant, c'est le concept du Trust On First Use (TOFU). Nous pourrons utiliser notre clé privée pour signer numériquement la clé publique de notre interlocuteur si nous sommes à 100% assurés qu'elle appartient bien à la bonne personne... les Key Signing Parties ne sont donc pas menacées d'extinction.

La gestion du partage des clés est plus sensible, on se souvient d'ailleurs de l' attaque portée sur les serveurs de clés SKS l'année passée. Nous poussons traditionnellement nos clés PGP sur des répertoires de clés pour les rendre accessibles, et qu'une personne puisse facilement trouver notre clé publique afin de nous envoyer un mail chiffré. Cette méthode commence à montrer ses limites, et on lorgne sur le travail fait par Keybase autour de l'identité numérique pour se rendre compte que c'est bien plus poussé et mieux fichu que ces serveurs de clés. Si vous ne voyez pas pourquoi, essayez simplement d'envoyer un mail chiffré à ce fameux toto qui agit sur Github en pourrissant de nombreuses sources. Pour faire simple, l'identité numérique se compose d'une identité déclarative, d'une identité agissante et d'une identité calculée. GnuPG s'appuie traditionnellement sur l'identité déclarative là où Keybase apporte un peu d'identité agissante, et un soupçon d'identité calculée. En clair, on s'assure qu'on parle bien à la bonne personne en ne se bornant pas à du déclaratif.

Les limites sont elles aussi sensiblement les mêmes, Thunderbird n'intègrera pas de mécanisme de vérification automatique de l'identité et l'importance du niveau de confiance accordé la première fois demeure.


Olivier Laurelli

Inscrivez-vous à notre newsletter

Mieux comprendre le monde du DevOps et de l'administration système.

Abonnez-vous à notre newsletter

Hébergement & Infogérance

  • ✓ Service Astreinte 24h/7j/365
  • ✓ Supervision, monitoring & Alertes
  • ✓ Mises à jour en continu
  • ✓ Certificat SSL letsencrypt
  • ✓ Hébergement dédié sécurisé en France
  • ✓ Backup vers datacenter distant
Découvrir notre offre

Expertise Technologique

Notre équipe possède une vaste expertise technologique.