Qu’est ce que ce fichier « signature.asc » que vous m’avez envoyé ?

Depuis quelque temps, tous les e-mails que j’envoie sont accompagnés d’un fichier “signature.asc”.
Il s’agit d’un fichier qui prouve que le message que vous avez reçu est le même que celui que je vous ai envoyé.

Pourquoi faire ?

Signer un e-mail permet de le dater, de vérifier son émetteur et de s’assurer que son contenu n’a pas été modifié.

Il faut savoir que entre l’émetteur et le destinataire d’un email, celui-ci passe par plusieurs ordinateurs qui le lisent tous (pour savoir vers qui l’acheminer par exemple).
La possibilité que le message soit modifié existe, c’est déjà arrivé :

Qu’est ce que vous devez faire ?

Rien si vous vous en fichez. C’est un truc de parano.

Par contre si votre vie privée vous tient à cœur et que vous n’avez pas confiance en vos intermédiaires (cf ci-dessus) vous pouvez vérifier l’intégrité du message reçu.

Le plus simple est d’installer Enigmail sur Thunderbird ou un dérivé (perso j’utilise PostBox) ou Gpg4Win pour Outlook. Il y en a surement plein d’autre.

Sous Chrome/Firefox Mailvelope

Pour plus d’information sur la signature Gpg : www.gnupg.org

Comment ça marche ?

Lorsque le message est écrit, la signature est générée en fonction de son contenu au moyen de ma clé privée (il n’y a que moi qui peux l’utiliser).

Cette signature peut être lue seulement avec ma clé public (ci-dessous).

Donc :

  • Si le message reçu est modifié la signature n’est plus valide.
  • Si l’émetteur n’est pas moi (mais a utilisé mon adresse email) il ne peut pas le signer en mon nom. Si vous recevez un message de ma part non signé, c’est louche.

T’es parano ?

Oui vous devriez aussi.

L’étape suivante est de chiffrer le message. Dans ce cas non seulement le message ne peut être modifié mais il ne peut pas non plus être lu par quelqu’un d’autre que son destinataire. C’est en gros ce qu’on espère quand on envoi un courrier à quelqu’un.

Ce n’est pourtant pas le cas : http://www.framablog.org/index.php/post/2013/12/15/Votre-courrier-gratuit-Schnail-Mail

Cela implique que le destinataire a un moyen de déchiffrer le message. Si c’est votre cas faite le moi savoir.

Ma signature public

que vous pouvez retrouvez ici : http://pgp.mit.edu/pks/lookup?op=get&search=0xF4CDE46E1A49C659