Le mot PGP est l’abréviation de Pretty Good Privacy. Il s'agit d'un logiciel de cryptage conçu pour assurer la confidentialité, la sécurité et l'authentification des systèmes de communication Internet. Phil Zimmerman est le propriétaire du premier logiciel PGP et, selon lui, il a été rendu disponible gratuitement en raison de la demande sociale croissante en matière de confidentialité.

De nombreuses versions de PGP ont été créées depuis sa création en 1991. En 1997, Phil Zimmerman a soumis une proposition à l'Internet Engineering Task Force (IETF) pour créer un standard PGP open source. La proposition a ensuite été acceptée et a conduit à la création du protocole OpenPGP, qui définit des formats standards pour les clés de chiffrement et les messages.

Bien qu'initialement utilisé uniquement pour sécuriser les messages électroniques et les pièces jointes, PGP est désormais appliqué à un large éventail de cas d'utilisation, notamment les signatures numériques, le chiffrement complet du disque et la protection du réseau.

PGP appartenait initialement à PGP Inc, qui a ensuite été acquise par Network Associates Inc. En 2010, Symantec Corp. a acheté PGP pour 300 millions de dollars, et le terme est désormais une marque déposée utilisée pour ses produits compatibles OpenPGP.


Comment ça marche ?

PGP a été l'un des premiers programmes largement répandus à implémenter la cryptographie à clé publique. Il s'agit d'un système de chiffrement hybride qui utilise un chiffrement symétrique et asymétrique pour atteindre un niveau de sécurité élevé.

Lors d'un simple chiffrement de texte, le texte en clair (données clairement compréhensibles) est converti en texte chiffré (données illisibles). Cependant, avant le chiffrement, la plupart des systèmes PGP compressent les données en compressant les fichiers en clair avant leur envoi. Cela permet d'économiser de l'espace disque et du temps de transmission, tout en améliorant la sécurité.

Une fois le fichier compressé, le processus de chiffrement proprement dit commence. À ce stade, le fichier texte compressé est chiffré à l'aide d'une clé à usage unique appelée clé de session. Cette clé est générée aléatoirement par chiffrement symétrique, et chaque session de connexion PGP possède une clé de session unique.

Ensuite, la clé de session (1) est chiffrée par chiffrement asymétrique. Le destinataire (Bob) fournit sa clé publique (2) à l'expéditeur du message (Alice) afin qu'elle puisse chiffrer la clé de session. Cette étape permet à Alice de partager la clé de session avec Bob en toute sécurité sur Internet, quelles que soient les conditions de sécurité.

ما هو الـ PGP؟


Le chiffrement asymétrique de la clé de session est généralement réalisé à l'aide de l'algorithme RSA. De nombreux autres systèmes de chiffrement utilisent RSA, notamment le protocole TLS (Transport Layer Security), qui sécurise une grande partie d'Internet.

Une fois le texte chiffré du message et la clé de session chiffrée envoyés, Bob peut utiliser sa clé privée (3) pour déchiffrer la clé de session qui est ensuite utilisée pour déchiffrer le texte chiffré dans le texte en clair d'origine.


ما هو الـ PGP؟


Outre le processus de base de chiffrement et de déchiffrement, PGP prend également en charge les signatures numériques, qui remplissent au moins trois fonctions :

  • Authentification : Bob peut vérifier que l'expéditeur du message est Alice.

  • Intégrité : Bob peut être sûr que le message n’a pas été modifié.

  • Non-répudiation : après avoir signé numériquement un message, Alice ne peut pas prétendre qu'elle ne l'a pas envoyé.


Cas d'utilisation

L'une des utilisations les plus courantes de PGP est la sécurisation des messages électroniques. Les messages protégés par PGP sont convertis en une chaîne de caractères illisible (texte chiffré) qui ne peut être déchiffrée qu'avec la clé de déchiffrement correspondante. Le fonctionnement est pratiquement le même que pour la sécurisation des messages texte. Certains logiciels permettent également d'implémenter PGP en complément d'autres applications, ajoutant ainsi un système de chiffrement aux services de messagerie non sécurisés.

Bien que PGP soit le plus souvent utilisé pour sécuriser les connexions Internet, il peut également être utilisé pour chiffrer des appareils individuels. Ainsi, PGP peut être appliqué aux partitions de disque d'un ordinateur ou d'un appareil mobile. Ainsi, lorsqu'un disque dur est chiffré, l'utilisateur sera invité à saisir un mot de passe à chaque démarrage du système.


Avantages et inconvénients

Grâce à l'utilisation combinée du chiffrement symétrique et asymétrique, PGP permet aux utilisateurs de partager des informations et des clés de chiffrement en toute sécurité sur Internet. PGP bénéficie à la fois de la sécurité du chiffrement asymétrique et de la rapidité du chiffrement symétrique en tant que système hybride. Outre la sécurité et la rapidité, les signatures numériques garantissent également l'intégrité des données et l'authenticité de l'expéditeur.

Le protocole OpenPGP, qui permet un environnement unifié et compétitif, est désormais proposé par de nombreuses entreprises et organisations. Cependant, tous les programmes PGP conformes aux normes OpenPGP sont interopérables. Cela signifie que les fichiers et clés créés dans un programme peuvent être utilisés sans problème dans d'autres programmes.

En ce qui concerne les inconvénients, les systèmes PGP ne sont pas faciles à utiliser et à comprendre, surtout pour les utilisateurs peu expérimentés. De plus, la longueur importante des clés publiques est considérée par beaucoup comme relativement gênante.

En 2018, une vulnérabilité majeure appelée EFAIL a été publiée par l'Electronic Frontier Foundation (EFF). EFAIL permettait aux attaquants d'exploiter le contenu HTML actif des e-mails chiffrés pour accéder à des versions non chiffrées des messages.

Cependant, certaines des préoccupations décrites par EFAIL étaient déjà connues de la communauté PGP depuis la fin des années 1990. En réalité, les vulnérabilités concernent diverses implémentations des clients de messagerie, et non PGP lui-même. Ainsi, malgré les gros titres alarmants et trompeurs, PGP reste hautement sécurisé.


Réflexions finales

Depuis sa création en 1991, PGP est devenu un outil essentiel pour la protection des données et est désormais utilisé dans une large gamme d'applications, offrant confidentialité, sécurité et authentification à de nombreux systèmes de communication et fournisseurs de services numériques.

Bien que la découverte de la faille EFAIL en 2018 ait soulevé d'importantes inquiétudes quant à la viabilité du protocole, la technologie sous-jacente est toujours considérée comme robuste et cryptographiquement fiable. Il convient également de noter que les différentes implémentations de PGP peuvent offrir des niveaux de sécurité variables.