From e50f900ba9d892b9c60890ac729f0b78cab23511 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?C=C3=A9drix?= Date: Fri, 13 Mar 2026 09:01:21 +0100 Subject: [PATCH] vault backup: 2026-03-13 09:01:21 --- articles/2026/utiliser pgp sous linux.md | 286 +++++++++++++++++++++++ 1 file changed, 286 insertions(+) create mode 100644 articles/2026/utiliser pgp sous linux.md diff --git a/articles/2026/utiliser pgp sous linux.md b/articles/2026/utiliser pgp sous linux.md new file mode 100644 index 0000000..22f68d0 --- /dev/null +++ b/articles/2026/utiliser pgp sous linux.md @@ -0,0 +1,286 @@ +--- +title: "Utiliser PGP sous Linux : Signez vos fichiers avec Thunderbird" +description: "Apprenez à utiliser votre clé OpenPGP Thunderbird pour signer des fichiers (PDF, archives) sous Linux. Guide complet : export, import GPG et signature détachée." +tags: [OpenPGP, Thunderbird, Linux, GPG] +date: 2026-03-13 08:36 +lastmod: 2026-03-13 09:01 +type: + - article +category: + - "[[Guide]]" +status: brouillon +--- + +# Utiliser PGP sous Linux : Signez vos fichiers avec Thunderbird + +## Introduction + +Imaginez que vous puissiez apposer un sceau de cire inviolable sur chacun de vos documents numériques, garantissant à la fois votre identité et l'intégrité de vos fichiers. Longtemps réservée aux experts de la cryptographie, cette sécurité — portée par le standard **OpenPGP** — est désormais à la portée de tous. + +Si vous utilisez **Thunderbird**, vous détenez peut-être déjà cette puissance sans le savoir. Depuis sa version 78, le célèbre client mail a intégré nativement les outils de chiffrement, transformant une configuration autrefois laborieuse en une simple formalité. + +### Pourquoi sauter le pas aujourd'hui ? + +Posséder une clé GPG dans Thunderbird, c'est un peu comme avoir un stylo plume de haute sécurité : c'est élégant, c'est gratuit, et cela devient vite indispensable une fois qu'on a goûté à la tranquillité d'esprit qu'elle procure. Si votre clé n'est pas encore créée, c'est le moment idéal pour forger votre identité numérique. + +Avant de passer à la signature concrète de vos fichiers, assurons-nous que votre arsenal est prêt. Voici comment vérifier en un clin d'œil si votre clé sommeille déjà dans les réglages de Thunderbird. + +## Vérifier la présence de votre clé dans Thunderbird + +Avant de passer à la pratique, la première question à se poser est simple : Thunderbird a-t-il déjà une clé en mémoire pour vous ? Depuis que le logiciel gère OpenPGP par défaut, il se peut que vous en ayez configuré une sans même vous en souvenir. + +Pour voir si une clé est déjà associée à votre compte : + +1. Ouvrez Thunderbird et allez dans les **Paramètres du compte** (clic droit sur votre adresse mail dans la colonne de gauche). + +2. Dans le menu latéral, cliquez sur **Chiffrement de bout en bout**. + +3. Regardez la section **OpenPGP**. + + - Si vous voyez une suite de chiffres et de lettres (une "empreinte" ou Fingerprint) sous "Technologies de chiffrement", c'est que vous avez déjà une clé configurée. + + - Si c'est vide, vous n'avez pas encore de clé active pour ce compte. + + +## Gérer vos clés (Le gestionnaire OpenPGP) + +Une fois votre clé identifiée, vous pouvez en gérer les détails via le **Gestionnaire de clés OpenPGP**. C'est ici que Thunderbird centralise vos propres clés et celles de vos correspondants. + +Pour y accéder : + +1. Allez dans le menu principal (les trois barres horizontales **≡**). + +2. Sélectionnez **Outils** puis **Gestionnaire de clés OpenPGP**. + + +## Créer votre première clé OpenPGP + +Pour générer votre identité numérique directement dans Thunderbird, suivez ces étapes : + +1. **Lancez l'assistant :** Retournez dans les **Paramètres du compte** > **Chiffrement de bout en bout**. + +2. **Ajouter une clé :** Cliquez sur le bouton **Ajouter une clé...**. + +3. **Générer :** Sélectionnez l'option **Créer une nouvelle clé OpenPGP** puis cliquez sur **Continuer**. + +4. **Configuration :** + + - **Identité :** Vérifiez que votre adresse e-mail est la bonne. + + - **Validité :** Par défaut, Thunderbird propose une durée de 3 ans. Vous pouvez la modifier selon vos besoins. + + - **Paramètres avancés :** Le type de clé par défaut (ECC) est moderne et recommandé. + +5. **Confirmer :** Cliquez sur **Générer la clé**. Une fenêtre de confirmation apparaîtra : validez pour terminer l'opération. + + +### À savoir après la création + +Une fois la clé générée, elle apparaît avec son **empreinte numérique** dans vos paramètres. Thunderbird gère désormais cette clé en interne. + +Cependant, comme nous l'avons vu précédemment, cette clé reste pour l'instant confinée au logiciel de messagerie. Pour l'utiliser avec la commande `gpg` dans votre terminal et signer des fichiers locaux, il faudra passer par l'étape d'exportation. + +## Le cloisonnement des clés + +Il est important de noter une distinction technique : **Thunderbird et votre système d'exploitation ne partagent pas la même base de données.** + +- **Thunderbird** utilise son propre stockage interne. + +- **Le terminal (la commande `gpg`)** utilise généralement le dossier système `~/.gnupg`. + + +Par défaut, ces deux environnements sont étanches. Si vous souhaitez utiliser une clé créée dans Thunderbird pour signer des fichiers via votre terminal, il est nécessaire de créer un pont : vous devrez **exporter la clé** depuis Thunderbird pour l'**importer** manuellement dans votre trousseau système. + +## Exporter la clé vers le système + +Pour que vos commandes `gpg` (comme `--clearsign`) fonctionnent dans votre terminal, vous devez extraire la clé de Thunderbird pour l'intégrer à votre trousseau système. + +### Côté Thunderbird + +L'objectif est de créer un fichier temporaire contenant votre identité numérique : + +- Allez dans **Outils** > **Gestionnaire de clés OpenPGP**. + +- Faites un **clic droit** sur votre clé personnelle. + +- Choisissez **Exporter la ou les clés secrètes vers un fichier**. + +- Enregistrez le fichier sous le nom `ma_cle_privee.asc`. + + +> **Attention :** Ce fichier est extrêmement sensible. Il contient votre clé secrète. Ne le partagez jamais et ne l'envoyez pas par e-mail. + +### Côté Terminal + +Il faut maintenant importer ce fichier dans votre environnement GPG système : + +- Ouvrez votre terminal et lancez la commande suivante : + + ```Bash + gpg --import ma_cle_privee.asc + ``` + +- Une fois l'importation réussie, **supprimez immédiatement le fichier .asc** pour ne pas laisser traîner une copie de votre clé secrète sur votre disque dur. + + +### Vérification + +Pour confirmer que la manipulation a fonctionné, demandez à GPG la liste des clés privées disponibles : + +```Bash +gpg --list-secret-keys +``` + +Si votre nom et votre adresse e-mail s'affichent, votre terminal est désormais prêt à signer des documents avec votre clé Thunderbird. + +## Signer vos fichiers sans les modifier + +Maintenant que votre terminal reconnaît votre clé Thunderbird, vous pouvez signer n'importe quel document (un PDF, une image ou une archive) sans toucher au fichier original. Pour cela, nous allons utiliser la méthode de la **signature détachée**. + +### La commande de signature + +Ouvrez votre terminal dans le dossier où se trouve votre document et lancez la commande suivante : + +```Bash +gpg --armor --detach-sign mon_fichier.pdf +``` + +### Le résultat : deux fichiers valent mieux qu'un + +Après avoir saisi votre mot de passe (celui de votre clé Thunderbird), GPG va générer un second fichier nommé `mon_fichier.pdf.asc`. + +- **Le fichier original :** `mon_fichier.pdf` reste intact et parfaitement lisible par n'importe quel lecteur PDF. + +- **La signature :** `mon_fichier.pdf.asc` est un petit fichier texte qui contient la preuve mathématique de l'authenticité du premier. + + +Cette technique est idéale pour le partage de documents officiels ou techniques : + +1. **Intégrité préservée :** Vous ne modifiez pas l'octet de votre fichier source. + +2. **Liberté pour le destinataire :** Votre correspondant télécharge le fichier original normalement. S'il souhaite vérifier que vous en êtes bien l'auteur, il lui suffit d'utiliser le petit fichier `.asc` joint. + +3. **Compatibilité totale :** Cela fonctionne avec tous les types de fichiers, pas seulement le texte. + +## Comment votre destinataire vérifie-t-il la signature ? + +Une fois que vous avez envoyé le fichier original (`mon_fichier.pdf`) et sa signature (`mon_fichier.pdf.asc`), votre correspondant peut vérifier l'intégrité du document en une seule commande. + +### La commande de vérification + +Le destinataire doit placer les deux fichiers dans le même dossier et taper : + +```Bash +gpg --verify mon_fichier.pdf.asc mon_fichier.pdf +``` + +### Comprendre le résultat + +Le terminal renverra alors un message indiquant l'état de la signature : + +1. **"Bonne signature" (Good signature) :** C'est le signal vert. Le fichier est exactement celui que vous avez signé, aucun octet n'a été modifié. Le terminal affichera également votre nom et votre adresse e-mail. + +2. **"MAUVAISE signature" (BAD signature) :** Alerte rouge. Soit le fichier a été altéré après votre signature (corruption de données ou tentative de modification), soit la signature ne correspond pas à ce document. + + +### Une précision importante : la confiance + +Si c'est la première fois que votre correspondant vérifie l'une de vos signatures, il verra probablement un message d'avertissement indiquant que la clé n'est pas "certifiée par une autorité de confiance". + +C'est normal : cela signifie simplement que GPG a bien vérifié la **validité mathématique** de la signature, mais qu'il ne peut pas encore confirmer à 100 % que cette clé appartient bien à "Jean Dupont" sans une étape supplémentaire de certification. Pour un usage courant et grand public, le message "Bonne signature" est déjà la preuve que le fichier n'a pas été piraté. + +## Partager votre clé publique + +La clé publique est votre "carte d'identité numérique". Sans elle, votre ami peut voir que le fichier est signé, mais il ne peut pas prouver que c'est _vous_ qui l'avez signé. + +### Exporter la clé publique depuis Thunderbird + +Le processus est presque identique à l'export de la clé secrète, mais sans le danger : + +1. Retournez dans **Outils** > **Gestionnaire de clés OpenPGP**. + +2. Faites un clic droit sur votre clé. + +3. Choisissez cette fois : **Exporter la ou les clés publiques vers un fichier**. + +4. Enregistrez-le sous le nom `ma_cle_publique.asc`. + + +### Envoyer la clé + +Vous pouvez maintenant envoyer ce fichier `.asc` à votre ami par e-mail, par messagerie instantanée, ou même le publier sur votre site web. Il n'y a aucun risque de sécurité à diffuser ce fichier. + +### Côté destinataire : l'importation + +Pour que votre ami puisse vérifier vos futurs documents, il doit intégrer votre clé à son propre système. Il lui suffit d'ouvrir son terminal et de taper : + +```Bash +gpg --import ma_cle_publique.asc +``` + +Une fois cette manipulation faite, son ordinateur "connaît" officiellement votre identité numérique. Désormais, chaque fois qu'il lancera la commande `gpg --verify` sur l'un de vos fichiers, le terminal ne se contentera plus de dire que la signature est mathématiquement correcte : il affichera explicitement votre nom, confirmant que le document provient bien de vous. + +## Vérifier l'identité : Le "Fingerprint" (Empreinte) + +Envoyer une clé par e-mail, c'est bien, mais comment votre ami peut-il être sûr qu'un pirate n'a pas intercepté l'envoi pour remplacer votre clé par la sienne ? Pour lever le doute, on utilise l'**empreinte numérique** (le _Fingerprint_). + +### La rencontre de vive voix (Le top de la sécurité) + +Si vous voyez votre ami physiquement, c'est la méthode infaillible. + +- Ouvrez chacun votre terminal ou votre gestionnaire Thunderbird. + +- Comparez de vive voix la suite de chiffres et de lettres qui compose l'**empreinte** de votre clé. + +- Si les deux suites sont identiques, votre ami peut "signer" votre clé sur son ordinateur pour confirmer qu'il vous fait confiance à 100 %. + + +### Le croisement des canaux (La méthode pratique) + +Si vous ne pouvez pas vous voir, utilisez la stratégie du **multicanal**. C'est une technique simple pour éviter les interceptions : + +- Envoyez le fichier de votre clé (`.asc`) par **e-mail**. + +- Envoyez l'empreinte de la clé (le texte court de 40 caractères) via un **autre canal** : un SMS, une boucle Signal/WhatsApp, ou même l'afficher sur votre profil LinkedIn ou votre site personnel. + + +Si un attaquant parvient à pirater votre boîte mail, il peut remplacer votre fichier de clé. Mais il est extrêmement improbable qu'il puisse _aussi_ pirater votre téléphone pour modifier le SMS que vous envoyez au même moment. + +En comparant l'empreinte reçue par mail avec celle reçue par SMS, votre ami a la certitude absolue qu'il possède votre **véritable identité numérique**. + +## Comment afficher une empreinte + +L'empreinte est une suite unique de 40 caractères qui résume votre clé. C'est elle que vous devez comparer avec votre ami. + +### Option 1 : Via l'interface de Thunderbird + +C'est la méthode la plus simple pour la lire à haute voix ou faire une capture d'écran : + +1. Allez dans **Paramètres du compte** > **Chiffrement de bout en bout**. + +2. Sous la section **OpenPGP**, vous verrez directement votre clé s'afficher avec une suite de caractères du type : `0x1234 5678 90AB...` + +3. Cliquez sur **Détails de la clé** pour l'afficher en grand et pouvoir la copier-coller. + + +### Option 2 : Via le Terminal (plus rapide pour un copier-coller) + +Si vous avez déjà importé votre clé dans votre système (comme vu précédemment), tapez simplement cette commande : + +```Bash +gpg --fingerprint votre@email.com +``` + +Le terminal affichera alors un bloc d'informations. La ligne qui nous intéresse est celle intitulée **Empreinte de la clé** (ou _Key fingerprint_). Elle ressemble à ceci : `A1B2 C3D4 E5F6 G7H8 I9J0 K1L2 M3N4 O5P6 Q7R8 S9T0` + +--- + +## Le test de vérité + +Une fois que vous avez cette suite de caractères, transmettez-la à votre ami (par SMS, Signal, ou de vive voix). Votre ami, de son côté, tape la même commande sur son ordinateur : + +```Bash +gpg --fingerprint votre@email.com +``` + +**Si les deux suites sont rigoureusement identiques, la sécurité est totale.** Votre ami sait que la clé publique qu'il a importée est bien la vôtre, et non celle d'un imposteur. \ No newline at end of file