PGP pour débutants : guide simple pour commencer

Commencer avec PGP est plus facile que vous ne le pensez. Vous générez une paire de clés — une publique, une privée — partagez la clé publique avec les personnes avec qui vous voulez communiquer, et utilisez la clé privée pour déchiffrer les messages qu'ils vous envoient. Vous n'avez pas besoin d'installer de logiciel pour essayer. Avec un outil PGP en ligne gratuit comme KeychainPGP, vous pouvez chiffrer votre premier message en moins de cinq minutes, directement depuis votre navigateur.

Pourquoi le chiffrement est important

Chaque jour, des milliards de messages transitent sur Internet. E-mails, messages de chat, documents — la plupart sont envoyés en texte clair, ce qui signifie que quiconque les intercepte peut les lire. Cela inclut les fournisseurs d'accès Internet, les pirates sur les Wi-Fi publics et même les programmes de surveillance gouvernementaux.

Les fuites de données ne sont pas des événements rares. Elles arrivent constamment. Si vos messages ne sont pas chiffrés, ils sont stockés dans des bases de données en texte lisible, attendant la prochaine fuite.

Le chiffrement résout ce problème. Quand vous chiffrez un message avec PGP, il est brouillé en charabia illisible. Seule la personne qui détient la bonne clé privée peut le débrouiller.

Qu'est-ce que PGP, simplement

PGP signifie Pretty Good Privacy. Créé en 1991 par Phil Zimmermann, c'est devenu le standard mondial pour le chiffrement de messages et de fichiers.

Voici la façon la plus simple de comprendre PGP. Pensez-y comme une boîte aux lettres avec une fente.

Imaginez une boîte aux lettres spéciale dans la rue. N'importe qui peut s'approcher et déposer une lettre par la fente. Mais une fois la lettre à l'intérieur, seul vous pouvez l'ouvrir, car vous seul avez la clé de la porte de la boîte aux lettres.

  • La fente de la boîte aux lettres est votre clé publique. Vous la donnez à quiconque veut vous envoyer un message privé. Il est sûr de la partager.
  • La clé de la boîte aux lettres est votre clé privée. Vous ne la partagez jamais avec personne.

C'est ce qu'on appelle le chiffrement asymétrique — une clé verrouille, une autre déverrouille. Pour une explication technique plus approfondie, lisez notre guide complet sur ce qu'est PGP.

Concepts clés à connaître

Clé publique : votre adresse

Votre clé publique est comme votre adresse postale. Vous la distribuez librement pour que les gens puissent vous envoyer des choses. En PGP, vous partagez votre clé publique pour que d'autres puissent chiffrer des messages que vous seul pouvez lire.

Clé privée : votre mot de passe

Votre clé privée est comme la clé de votre porte d'entrée. C'est la seule chose qui vous permet d'ouvrir les messages chiffrés avec votre clé publique. Vous ne devez jamais partager votre clé privée avec quiconque.

Chiffrement vs signature

PGP peut faire deux choses : chiffrer et signer.

  • Chiffrement — brouille un message pour que seul le destinataire puisse le lire. Vous utilisez la clé publique du destinataire pour chiffrer, et il utilise sa clé privée pour déchiffrer.
  • Signature — prouve qu'un message vient de vous et n'a pas été altéré. Vous utilisez votre propre clé privée pour signer, et n'importe qui avec votre clé publique peut vérifier la signature.

Empreintes de clés

Une empreinte de clé est une courte chaîne de caractères qui identifie de manière unique une clé PGP. Les empreintes servent à vérifier qu'une clé publique appartient bien à la personne que vous pensez. Comparez toujours l'empreinte via un canal de confiance séparé.

ASCII Armor

Quand vous voyez une clé PGP ou un message chiffré comme un bloc de texte commençant par -----BEGIN PGP MESSAGE-----, c'est de l'ASCII armor. C'est simplement une façon d'encoder des données binaires en caractères de texte imprimables pour pouvoir les copier-coller dans des e-mails, des fenêtres de chat ou des formulaires web.

Votre premier message PGP

Suivons les étapes pour chiffrer votre premier message avec l'application web KeychainPGP. C'est un outil PGP en ligne gratuit qui fonctionne entièrement dans votre navigateur.

Étape 1 : Ouvrez l'application web. Allez sur keychainpgp.github.io. L'application se charge via WebAssembly, le moteur PGP fonctionne localement sur votre ordinateur.

Étape 2 : Générez votre paire de clés. Dans l'onglet Clés, créez une nouvelle clé. KeychainPGP génère une paire de clés Ed25519 + X25519 moderne.

Étape 3 : Exportez et partagez votre clé publique. Utilisez la fonction d'export pour copier votre clé publique au format ASCII-armored.

Étape 4 : Importez la clé publique du destinataire. Dans l'onglet Clés, collez le bloc de clé publique de votre contact.

Étape 5 : Écrivez et chiffrez votre message. Allez dans l'onglet Chiffrer, tapez votre message, sélectionnez le destinataire et cliquez sur « Chiffrer vers le presse-papiers ».

Étape 6 : Envoyez le message chiffré. Collez le texte chiffré dans n'importe quel e-mail, chat ou application de messagerie.

Étape 7 : Déchiffrez une réponse. Copiez le bloc de message PGP chiffré, allez dans l'onglet Déchiffrer, collez et cliquez sur Déchiffrer.

Pour un guide plus détaillé, consultez notre tutoriel comment utiliser PGP.

Erreurs courantes de débutant

1. Partager sa clé privée. Votre clé privée ne doit jamais être envoyée à quiconque. Ne partagez que votre clé publique.

2. Ne pas vérifier les empreintes. Vérifiez toujours l'empreinte de la clé via un canal séparé et de confiance — un appel téléphonique, un appel vidéo ou une rencontre en personne.

3. Perdre sa clé privée sans sauvegarde. Si vous perdez votre clé privée, chaque message chiffré avec cette clé est perdu pour toujours. Sauvegardez votre clé privée dans un endroit sécurisé.

4. Ne pas sauvegarder son certificat de révocation. Un certificat de révocation vous permet de déclarer publiquement que votre clé n'est plus valide si elle est compromise.

5. Utiliser des clés obsolètes ou faibles. Si vous générez de nouvelles clés aujourd'hui, utilisez des algorithmes modernes. KeychainPGP utilise Ed25519 + X25519 par défaut.

Prochaines étapes

  • Lisez le guide complet : Comment utiliser PGP couvre la signature, la vérification, la gestion des clés et des sujets avancés.
  • Comprenez ce qu'est PGP : Pour un approfondissement, lisez Qu'est-ce que PGP.
  • Apprenez le chiffrement par presse-papiers : Découvrez comment le chiffrement par presse-papiers vous permet d'utiliser PGP avec n'importe quelle application.
  • Essayez l'outil en ligne : Ouvrez l'outil PGP en ligne et entraînez-vous.
  • Obtenez l'application de bureau : L'application de bureau KeychainPGP ajoute les raccourcis globaux, la barre système et l'effacement automatique du presse-papiers.

Questions fréquemment posées

PGP est-il difficile à apprendre ?

Non. Le concept de base est simple : une clé publique à partager, une clé privée à garder secrète. Chiffrer un message prend quelques clics avec un outil moderne comme KeychainPGP.

Faut-il installer un logiciel pour utiliser PGP ?

Pas nécessairement. Vous pouvez utiliser l'outil PGP en ligne de KeychainPGP directement dans votre navigateur. Il fonctionne entièrement sur votre appareil via WebAssembly.

Quelqu'un peut-il casser mes messages chiffrés PGP ?

Avec des algorithmes modernes (comme Ed25519 + X25519 utilisés par KeychainPGP), casser le chiffrement par force brute prendrait plus que l'âge de l'univers avec la technologie actuelle. Les vrais risques sont pratiques : perdre sa clé privée, utiliser une phrase de passe faible ou avoir un malware sur son appareil.

Quelle est la différence entre PGP, GPG et OpenPGP ?

PGP est le programme original créé en 1991. OpenPGP est le standard ouvert (RFC 4880) qui définit les formats. GPG (GNU Privacy Guard) est une implémentation libre du standard OpenPGP. KeychainPGP est une autre implémentation, construite sur Sequoia-PGP en Rust. Tous sont compatibles car ils suivent le même standard.

Comment partager ma clé publique ?

Exportez votre clé publique au format ASCII-armored — c'est un bloc de texte commençant par -----BEGIN PGP PUBLIC KEY BLOCK-----. Collez-la dans un e-mail, publiez-la sur votre site web, partagez-la dans un chat ou téléchargez-la sur un serveur de clés. N'oubliez pas de vérifier les empreintes avec vos contacts via un canal séparé.