Comment fonctionne le chiffrement des emails ?

Le chiffrement des e-mails sur Mailfence repose principalement sur le standard OpenPGP, un système éprouvé qui assure une sécurité de bout en bout. Voici une explication claire et détaillée de son fonctionnement, adaptée pour être accessible tout en couvrant les aspects techniques essentiels :

1. Les bases du chiffrement OpenPGP

• Objectif : Protéger le contenu de vos e-mails (corps du message et pièces jointes) pour qu’il ne puisse être lu que par le destinataire prévu, même si quelqu’un (pirate, FAI, ou même Mailfence) intercepte le message.
• Type de chiffrement : OpenPGP utilise un chiffrement hybride, combinant :
• Chiffrement asymétrique : Avec une paire de clés (publique et privée).
• Chiffrement symétrique : Avec une clé temporaire pour accélérer le processus.

2. Les clés : publique et privée

• Clé publique : Elle est partagée avec tout le monde. Elle sert à chiffrer un message destiné à vous.
• Clé privée : Elle reste secrète et protégée par un mot de passe que vous choisissez. Elle sert à déchiffrer les messages qui vous sont envoyés.
• Création sur Mailfence :

1. Allez dans Paramètres > Chiffrement > Générer une paire de clés.
2. Choisissez une taille (ex. : 2048 ou 4096 bits, plus c’est long, plus c’est sécurisé) et un mot de passe fort.
3. Mailfence génère la paire dans votre navigateur, pas sur leurs serveurs.

3. Comment un e-mail est chiffré

Quand vous envoyez un e-mail chiffré depuis Mailfence :

1. Étape 1 : Génération d’une clé symétrique :

• Votre navigateur crée une clé temporaire unique (souvent AES-256) pour chiffrer le contenu de l’e-mail. Cette clé est appelée “clé de session”.
• Le message et les pièces jointes sont chiffrés avec cette clé symétrique, rapide et efficace pour les gros volumes de données.

1. Étape 2 : Chiffrement de la clé de session :

• La clé de session est ensuite chiffrée avec la clé publique du destinataire (RSA ou algorithme similaire).
• Cela garantit que seule la personne avec la clé privée correspondante pourra déchiffrer la clé de session.

1. Étape 3 : Envoi :

• Le message chiffré (contenu + pièces jointes) et la clé de session chiffrée sont envoyés au destinataire via les serveurs Mailfence.
• Les serveurs ne voient que des données illisibles ; ils ne peuvent pas accéder au contenu.

4. Comment un e-mail est déchiffré

Quand vous recevez un e-mail chiffré sur Mailfence :

1. Étape 1 : Récupération de la clé de session :

• Votre clé privée (protégée par votre mot de passe) est utilisée pour déchiffrer la clé de session reçue avec le message.
• Vous entrez votre mot de passe dans l’interface Mailfence pour déverrouiller votre clé privée.

1. Étape 2 : Déchiffrement du contenu :

• Une fois la clé de session récupérée, elle déchiffre le contenu de l’e-mail (texte et pièces jointes) dans votre navigateur.
• Tout se passe localement sur votre appareil, pas sur les serveurs.

1. Résultat : Vous lisez le message en clair, mais personne d’autre ne peut y accéder sans votre clé privée.

5. Cas pratiques sur Mailfence

• Entre utilisateurs Mailfence :
• Si le destinataire utilise aussi Mailfence et a configuré OpenPGP, le chiffrement est automatique. Les clés publiques sont échangées via le répertoire interne sécurisé de Mailfence.
• Vous rédigez votre e-mail, cochez “Chiffrer” (ou c’est activé par défaut si configuré), et envoyez.
• Avec des utilisateurs externes :
• Le destinataire doit utiliser un système compatible OpenPGP (ex. : Thunderbird avec Enigmail, GPG).
• Vous devez lui envoyer votre clé publique (exportable depuis Mailfence) et obtenir la sienne pour chiffrer vos messages.
• Sans OpenPGP chez le destinataire, le message reste en clair ou vous pouvez utiliser une alternative (ex. : mot de passe partagé hors bande).
• Signature numérique :
• Vous pouvez signer vos e-mails avec votre clé privée pour prouver qu’ils viennent de vous et n’ont pas été altérés. Le destinataire vérifie avec votre clé publique.

6. Spécificités de Mailfence

• Interface intégrée : Pas besoin de plugins ou logiciels tiers ; tout se fait dans le navigateur, ce qui simplifie l’usage.
• Coffre-fort de clés : Vous pouvez stocker votre clé privée chiffrée sur les serveurs Mailfence (protégée par votre mot de passe) pour y accéder depuis plusieurs appareils. Mailfence n’a pas accès à votre mot de passe, donc la clé reste sécurisée.
• Limites :
• Les métadonnées (expéditeur, destinataire, sujet) ne sont pas chiffrées par OpenPGP, car elles sont nécessaires au routage de l’e-mail. Elles sont protégées par TLS en transit et AES-256 au repos, mais visibles par Mailfence.
• Le chiffrement n’est pas rétroactif : les e-mails importés d’un ancien service ne seront pas chiffrés sauf si vous les renvoyez.

7. Sécurité supplémentaire

• TLS : Les connexions entre vous et les serveurs Mailfence sont chiffrées, protégeant les données en transit.
• Mot de passe fort : La sécurité de votre clé privée dépend de la robustesse de votre mot de passe. Mailfence recommande 2FA pour protéger votre compte.
• Audit : OpenPGP est un standard open-source largement testé, et Mailfence suit ses meilleures pratiques.

En résumé

Le chiffrement des e-mails sur Mailfence fonctionne ainsi :

1. Vous chiffrez le message avec la clé publique du destinataire via OpenPGP.
2. Seule sa clé privée (et son mot de passe) peut le déchiffrer.
3. Tout se fait dans votre navigateur, et Mailfence n’a pas accès au contenu chiffré.

C’est un système puissant et convivial, parfait pour sécuriser vos communications, surtout si vos correspondants adoptent aussi OpenPGP. Pour une sécurité maximale, protégez bien votre mot de passe et utilisez 2FA !