Guide d'autodéfense numérique

Mises à jour : les logiciels évoluent, c'est pourquoi il est vivement conseillé d'utiliser la version la plus à jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Durée : quelques minutes.

L'objectif de cet outil est de vérifier l'authenticité d'un fichier disposant d'une signature numérique OpenPGP.

Les auteurs de ce guide n'ont pour l'instant pas trouvé d'outil graphique permettant d'effectuer des vérifications de signature de façon sérieuse qui soit inclus à la fois dans Tails et dans la version actuelle de Debian.

Nous allons donc ouvrir un terminal pour faire ces vérifications.

On va commencer la commande en tapant (sans faire Entrée) :

gpg --verify

Ajouter un espace à la suite, puis nous allons cliquer sur l'icône du fichier de signature (souvent suffixé de .sig ou .asc) et la faire glisser dans le terminal. Après avoir relâché le bouton, ce qui est affiché doit ressembler à :

gpg --verify '/home/amnesia/tails-i386-2.7.iso.sig'

Attraper alors l'icône du fichier à vérifier et la faire glisser aussi dans le terminal. Après avoir relâché le bouton, ce qui est affiché doit ressembler à :

gpg --verify '/home/amnesia/tails-i386-2.7.iso.sig' '/home/amnesia/tails-i386-2.7.iso'

Appuyer alors sur la touche Entrée pour lancer la vérification. Elle peut prendre plusieurs minutes en fonction de la taille du fichier et de la puissance de l'ordinateur qu'on utilise. Une fois la vérification terminée, l'ordinateur devrait afficher quelque chose qui ressemble à :

gpg: Signature faite le dim. 13 nov. 2016 17:08:49 CET
gpg:                avec la clef RSA 0xAF292B44A0EDAA41
gpg: Bonne signature de « Tails developers (offline long-term identity key) <tails@boum.org> »

Ces quelques lignes pourront êtres suivies de quelque chose comme :

gpg: Attention : cette clef n'est pas certifiée avec une signature de confiance.
gpg:             Rien n'indique que la signature appartient à son propriétaire.
Empreinte de clef principale : A490 D0F4 D311 A415 3E2B  B7CA DBB8 02B2 58AC D84F
   Empreinte de la sous-clef : 7919 2EE2 2044 9071 F589  AC00 AF29 2B44 A0ED AA41

Ces lignes ne nous indiquent pas que la signature est invalide, mais seulement que l'on a pas encore vérifié l'authenticité de la clé publique de la personne signataire des données, et qu'un adversaire pourrait effectuer une attaque de l'homme du milieu.

Si la signature était mauvaise, l'ordinateur afficherait quelque chose comme :

gpg: Signature faite le mar. 27 oct. 2015 00:48:02 UTC
gpg:                avec la clef RSA 0x98FEC6BC752A3DB6
gpg: MAUVAISE signature de « Tails developers (offline long-term identity key) <tails@boum.org> »