Keybase : comme une intro à la cryptographie

Comprendre presque facilement le chiffrement asymétrique, comment Keybase vous initiera en douceur au sujet et en conclusion : pourquoi un peu de pratique vous aidera à estimer la valeur « confiance » sur le réseau.

Chiffrer, chiffrer, chiffrer, c’est très tendance. En tout cas, ça fait parler, surtout en matière de communication, même si vous en avez entendu parler en des termes tels que « l’application cryptée Whatsapp« , notamment ces derniers jours mais aussi, malheureusement de façon régulière, sur des sites qui se donnent des airs sérieux… Alors sachez-le, chaque fois que quelqu’un confond « chiffrer » et « crypter », un chaton fait un AVC et devient hémiplégique. Je sais, c’est dur. Chiffrer, c’est, pour faire très simple, rendre des données illisibles à moins de disposer du sésame qui pourra les remettre en ordre.
On peut chiffrer des données, un message, un disque dur ou une clef USB de tout un tas de façons différentes selon les besoins et utilisations. Si on cherche à protéger des données « chez soit » pour s’assurer qu’en cas de vol ou de perte, elles seront protégées, un bon mot de passe suffit (pas celui de Windows hein, celui d’un utilitaire dédié). Mais les choses se compliquent quand on a besoin de partager des documents ou des informations avec un camarade. Pour vous assurer que lui et lui seul (ou elle) pourra accéder aux données concernées, il faudrait lui faire parvenir le mot de passe, ce qui peut vite devenir un casse-tête si vous ne pouvez pas le lui remettre en mains propres. Toute forme de partage à distance présentant un risque dès qu’on adopte un point de vue sécuritaire.

C’est de ce constat que naissent PGP (Pretty Good Privacy) et son alter ego libre GPG (GnuPrivacyGuard), un système dit asymétrique qui est aussi simple dans son concept qu’il est hermétique dans son utilisation.

A chacun sa clef et les messages seront bien gardés

D’un coté, il y a vous, de l’autre, votre interlocuteur avec lequel vous souhaitez communiquer ou partager des documents en étant certain que personne d’autre, en cas « d’interception » ne puisse avoir accès. La démarche est simple.

A l’aide de GPG, vous créez une paire de clefs de votre côté, l’une est privée et doit être précieusement conservée chez vous, elle a tout pouvoir, elle peut chiffrer et déchiffrer et même certifier que vous êtes bien l’auteur d’un document. L’ autre est publique, elle sert à chiffrer des messages et doit être partagée avec votre interlocuteur, soit directement, soit en étant publiée sur un « annuaire ». Pour vous contacter de façon sécurisée, l’interlocuteur écrira son texte sur sa machine puis utilisera votre clef publique pour le rendre illisible. Il ne lui reste qu’à vous faire parvenir le résultat par n’importe quel biais. Le document ne pourra être lu qu’à l’aide de votre clef privée.

Pour répondre à votre camarade de façon sécurisée, il faudra suivre la démarche inverse, vous procurez sa clef publique etc. Ci-dessous, vous voyez un bête exemple de texte en clair puis le même texte chiffré. Peu importe de qui vous cherchez à vous cacher, de la NSA avec votre chapeau en aluminium, de  Google parce que zut au système, d’Erdogan pour ne pas finir au cachot ou même d’un éventuel hacker, sans la clef, il ressemblera à l’image de droite.

L’avantage de GPG par rapport à d’autres modes de communication chiffrés, de Signal à Whatsapp en passant par ProtonMail, c’est que l’utilisateur est totalement maître du processus. N’allez pas pour autant douter de la fiabilité des exemples qui précèdent, dans tous les cas, il est question de chiffrement « point à point », le contenu est chiffré sur la machine de l’expéditeur et déchiffré sur celle du destinataire, la différence, à gros traits, c’est que la clef est chez vous, gérée par vous.

Dans le jargon, on appelle ça un post « pute à clic » destiné à être repris par la presse. A moins d’être une cible de choix de la CIA et le cas échéant d’être assez bête pour télécharger n’importe quoi, vous pouvez continuer à utiliser ces Applis. Méfiez-vous de Wikileaks, de ses raccourcis et de sa vision de la transparence.

Dans l’idée, c’est simple, en pratique, beaucoup finissent vite par se décourager. En premier lieu parce que gérer les clefs, les siennes ou celles des autres, est un travail assez exigeant. La création des clefs est même délicate, quel type de clef, quelle force, avec ou sans date d’expiration, comment la révoquer ? Pire, même s’il existe des interfaces graphiques pour gérer GPG (GPA sous Linux ou GPG4Win pour Windows), les options avancées sont réservées au travail en ligne de commande. En somme, l’idée simple devient vite une usine à gaz qu’un utilisateur peu averti mais intrépide aura tôt fait de quitter.

Keybase : du machin brouillon à GPG pour les nuls

Malgré un démarrage un peu chaotique, en partie dû à son côté fourre-tout pas très abouti, Keybase évolue tranquillement pour devenir un outil bien plus user friendly exploitant les possibilités offertes par GPG/PGP en associant un site web et une appli locale qu’il est indispensable d’installer.

En premier lieu, il fait office d’annuaire ou on peut publier sa clef publique associée à son identité. et si créer votre aire de clef vous effraie, Keybase peut le faire pour vous, ce qui ne vous libère complètement. Pour un puriste, c’est une hérésie de laisser un tiers se mêler de cette histoire mais pour un débutant, c’est nettement plus simple d’être guidé dans cette étape. Keybase permet ensuite de partager des clefs qu’il suffit de télécharger. Le concept n’est pas nouveau, mais l’interface est propre, ça change.

Toujours dans les services de base utiles à un débutant, Keybase propose un mode de chiffrement assisté grâce auquel il suffit de choisir un destinataire inscrit, comme dans un bête client mail ou un réseau social, de taper son message, de cliquer sur Encrypt et de copier-coller le résultat généré automatiquement avec la clef publique idoine. Nul besoin d’importer quoique se soit et de passer par des manipulations plus ou moins terrifiantes. Il ne reste plus qu’à envoyer le charabia obtenu par mail ou messagerie X ou Y. Sans plus d’efforts, Keybase se charge des opérations laborieuses et peu intuitives pour certains, ce qui en fait un excellent outil pour se pencher sur GnuPG.

Stockage, partage, preuve d’identité et chat

Au-delà de la possibilité offerte à un débutant un peu terrifié de découvrir GPG sans gilet de sauvetage et tutoriel – quitte à approfondir la question ultérieurement – Keybase propose différents services bien pratiques. Le premier, c’est la preuve de votre identité, vous pouvez certifier quelques comptes en ligne, de Twitter à Github en passant par votre site web. On s’en fout.

Followers ?

Renommé « Followers » en lieu et place des « Trackers » initiaux, le système qui laisse penser à une forme d’abonnement n’en est pas un ‘et la terminologie n’est toujours pas très claire). Suivre quelqu’un sur Keybase, ça n’est pas recevoir des notifications ou assurer une meilleure communication, Suivre un utilisateur, c’est une façon de confirmer que le profil est authentique. Voyez ça comme un témoin de moralité.

Keybase dispose également depuis cet hiver d’un chat sécurisé, même si au regard des critères absolutistes, il n’est pas encore parfait. Il faut garder en mémoire que le service est jeune et évolue régulièrement (sérieusement, les petites mises à jour du client sont quasiment quotidiennes).

Enfin, un service qu’on utilisera avec modération pour le moment mais qui se montre diablement pratique : les dossiers partagés. Chaque utilisateur de Keybase dispose gratuitement d’un espace de 10Go de stockage à répartir entre deux répertoires. Le premier est public, accessible à tous, parfait pour partager des documents , des applications, voire même des pages webs. Le second est privé, accessible uniquement par le détenteur du compte. Libre à chacun de créer ici des sous-répertoires accessibles à une sélection d’utilisateurs autorisés, aucun mot de passe n’étant requis. Une alternative à un service comme Google Drive… sans Google. Il est par ailleurs aisé d’ajouter ces répertoires, publics ou privés, à vos favoris réseaux et d’y accéder comme à n’importe quel autre dossier de votre machine.

Et tout ça c’est gratuit ? Meh…

Si vous levez un sourcil à l’idée d’un service proposant 10 Go de stockage en ligne gratuit, sans pub, sécurisé, c’est que vous êtes raisonnablement suspicieux. En premier lieu, Keybase est toujours un service « work in progress ». Quant au modèle économique, ses créateurs misent tout sur les professionnels auxquels ils comptent offrir des services payants qui financeront l’accès aux particuliers. Gardez donc en mémoire que Keybase n’est pas encore un service pérenne, un détail à ne pas négliger. Keybase, aujourd’hui, c’est une possibilité et un potentiel, pas un absolu, mais si vous avez envie de vous frotter à GPG en étant pris par la main, c’est un bon moyen de mettre les doigts de pieds dans la piscine avant de mettre la tête sous l’eau.

 Chiffrer pourquoi ?

Comme c’est une question récurrente, voici une liste à puces suivie d’une conclusion plus terre à terre.

  • Vous n’avez pas envie que votre fournisseur d’accès internet ou de service mail puisse consulter ou scanner vos échanges
  • Vous portez un chapeau en aluminium et vous avez peur de la NSA, de la CIA, du FSB et des aliens
  • Vous êtes un lanceur d’alertes ou un activiste qui risque gros quand il s’exprime
  • C’est fun

Et donc pour conclure

Evidemment, GPG au quotidien, c’est impossible. Mais comprendre, par un minimum de pratique et d’essais, le fonctionnement du chiffrement « point à point » (ou end to end), même partiellement automatisé par Keybase, vous amènera à mieux appréhender certains sujets. Pour commencer, l’utilisation de services mails qui offrent peu de garanties en matière de confidentialité.

Le second enseignement que vous pourrez tirer de tout ça ? Même si vous revenez à des app qui font le gros du travail pour vous, comme WhatsApp, Signal, Confide, CryptoCat… Vous tiquerez quand vous entendrez la phrase : « L’appli cryptée a été piratée« . Et surtout, plus nombreux seront ceux qui comprendront le fonctionnement et les enjeux du chiffrement, plus il se démocratisera (et pas seulement pour vos mails), rétablissant un point capital lorsqu’on vadrouille en ligne : la confiance. Ce qui malheureusement devient de plus en plus difficile.

You’re welcome. A présent, écoutons un étonnant morceau de Maître Gims.

Enfin, dernier petit mot, j’avais en réserve ce papier sur GPG et Keybase depuis des plombes, mais j’avais tout remisé dans un coin suite à la série d’articles #cryptofreak de NextINpact vers lesquels je renvoie tout ceux qui veulent en savoir plus autant sur GPG/PGP que d’autres modes de chiffrement (dont Veracrypt que j’affectionne pour sa double authentification mot de passe + fichier clef parfaite pour la paranos). Par contre, ce sera plus compliqué. Si vous êtes gentils et dans le besoin, je ressortirai les « poulesnuls » que j’ai dans un coin sur ces sujets, avec moins de mots compliqués. Sinon, il ne me reste que la stéganographie. Bisous.

Keybase..io

Quelques articles à voir chez NextINpact
Chiffrement : notre antisèche pour l’expliquer à vos parents
GPG : création de votre première paire de clefs et chiffrement d’un fichier
GPG : comment créer une paire de clefs presque parfaite
VeraCrypt : comment chiffrer et cacher des fichiers, un disque dur externe ou une clef USB

 

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s