Guide d'autodéfense numérique

Mises à jour : les logiciels évoluent, c'est pourquoi il est vivement conseillé d'utiliser la version la plus à jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Durée : 15 à 30 minutes.

Si notre clé privée était compromise, il faudrait faire parvenir le certificat de révocation créé précédemment à nos correspondants, pour que ceux-ci ne puissent plus l'utiliser et sachent qu'elle n'est plus de confiance.

Attention : les instructions qui suivent révoqueront de manière irréversible notre clé. À utiliser avec modération !

Faire savoir que notre paire de clés est compromise

Dans le cas où notre propre paire de clés est compromise, par exemple si celle-ci a été obtenue après piratage de notre système, l'enjeu est d'arriver à le faire savoir à nos correspondants.

Que ce soit sous Tails ou avec une Debian chiffrée, il faudra tout d'abord importer ce certificat de révocation.

Importer le certificat de révocation

Si l'on utilise une Debian chiffrée, il faut tout d'abord installer le paquet seahorse-nautilus. Si l'on utilise Tails, le paquet nécessaire à l'importation du certificat de révocation est déjà installé.

Pour importer le certificat, faire un clic-droit sur celui-ci et sélectionner Ouvrir avec Importer une clé dans le menu contextuel.

Au moment de l'écriture de ce guide, il y a toujours le message d'erreur Echec de l'importation. Des clés ont été trouvées, mais pas importées. qui s'ouvre après l'exécution de la dernière opération. Mais ceci ne devrait pas altérer la révocation désirée.

Par ailleurs, pour vérifier l'effective révocation de la clé, il faut lancer Mots de passe et clés à partir de la vue d'ensemble des Activités en appuyant sur la touche ( sur un Mac) puis en tapant mots et cliquer sur le logiciel correspondant. Dans la liste des clés, le nom des clés révoquées est barré, il faut donc vérifier que celle révoquée précédemment est effectivement barrée.

Maintenant, il nous reste encore à faire savoir à nos correspondants que notre paire de clés a été compromise, car pour l'instant seul notre ordinateur est au courant. Pour y remédier nous pouvons publier notre clé désormais révoquée. Il faudra ensuite dire à nos correspondants, par exemple par email, qu'il leur faut se synchroniser avec le serveur de clés afin de révoquer notre clé publique en leur possession. Si en revanche nous n'avons pas publié notre clé publique sur un serveur de clés, il faudra inclure le certificat de révocation dans un email envoyé à nos correspondants.

Publier la paire de clés révoquée

Si notre clé publique a au préalable été publiée sur un serveur de clés, le mieux est de se synchroniser avec ce même serveur, pour que notre clé publique y soit désormais révoquée également, permettant ainsi à tous nos correspondants d'en être avertis en se synchronisant également. Attention toutefois, si aucune clé n'est sélectionnée, c'est l'intégralité du trousseau qui va être envoyé au serveur de clés.

Cependant, si jamais une seule clé est sélectionnée et qu'il est tout de même proposé d'envoyer l'intégralité du trousseau au serveur de clé, il faut cliquer sur Annuler et fermer la fenêtre Mots de passe et clés. Puis, il faut à nouveau suivre les étapes du paragraphe précédent Publier la paire de clés révoquée.

Pour cela, que ce soit sous Tails ou dans une Debian, lancer Mots de passe et clés à partir de la vue d'ensemble des Activités en appuyant sur la touche ( sur un Mac) puis en tapant mots. Puis suivre la partie Publier sa clé publique sur les serveurs de clés de l'outil créer et maintenir une paire de clés.

Une fois cette synchronisation effectuée, reste à faire savoir cela à nos correspondants. Pas de recette toute faite pour ça, entre envoyer un email chiffré à ceux-ci, le leur faire savoir de vive-voix, etc.

Révoquer la paire de clés d'un correspondant

Si l'un de nos correspondant nous a fait savoir que sa paire de clés est compromise et qu'il l'a révoquée, il nous faut mettre cela à jour sur notre ordinateur, que ce soit Tails ou une Debian chiffrée.

Se synchroniser avec un serveur de clés

Dans le cas où notre correspondant a mis à jour sur un serveur de clés, sa clé publique désormais révoquée, il nous faudra simplement se synchroniser avec ce serveur de clés. Pour cela, lancer Mots de passe et clés à partir de la vue d'ensemble des Activités en appuyant sur la touche ( sur un Mac) puis en tapant mots. Sélectionner la clé que l'on veut synchroniser, puis cliquer sur le menu Distant puis Synchroniser et publier des clés.... Si aucun serveur de clés n'a été choisi, cliquer sur le bouton Serveurs de clés, et selectionner hkp://pool.sks-keyservers.net pour Debian et hkp://jirk5u4osbsr34t5.onion dans Tails pour publier nos clés. Fermer la fenêtre et cliquer enfin sur Synchroniser.

Importer le certificat de révocation d'un correspondant

Si par contre la clé compromise de notre correspondant n'est pas disponible sur un serveur de clés, ou non synchronisée, et que celui-ci nous a fait parvenir le certificat de révocation, il nous faudra l'importer nous-mêmes. Pour cela, suivre les étapes du paragraphe Importer le certificat de révocation précédent.