CYRIL VALLÉE

Quelqu’un utilise mon email pour m’inscrire sur des listes de diffusion, sans mon accord.

Temps de lecture : 3 minutes

En ouvrant mes emails ce matin, j’ai eu la désagréable surprise de trouver deux messages confirmant mon inscription à des partis politiques suisses, alors que je ne les ai pas sollicités. Deux choses dérangeantes : je ne me suis pas inscrit sur ces listes, et les partis en question, très à droite, sont loin de mes idées et de mes valeurs.

C’est particulièrement désagréable, parce que cela veut dire que quelqu’un (ou un robot, mais quelqu’un a programmé/mandaté ce robot logiciel) agit en mon nom et sans mon accord pour m’inscrire sur un site. De deux choses l’une, ou bien les partis eux-mêmes ont ces pratiques douteuses, ou bien c’est un petit malin qui a attrapé mon email (public sur mon site) et s’en est servi pour inscrire mon nom dans leur liste, sans, bien sûr, que je l’ai sollicité.

L’usurpation de mon identité est déjà très désagréable en soi, mais les listes de diffusion auxquelles j’ai été abonné sans mon consentement véhiculent des idées à mille lieues de mes valeurs. On parle ici de partis politiques suisses très à droite, dont je ne partage pas les idées.

Je signe toujours mes emails

C’est un peu particulier dans le cas d’une inscription sauvage à une liste, comme c’est le cas ici, mais cela me permet de rebondir sur cette idée : il est toujours possible et simple de s’assurer que c’est bien moi qui est à l’origine de l’email que vous recevez de ma part :

tous les emails que j’envoie moi-même sont signés numériquement à l’aide de ma clé GPG.

Cette clé sert à crypter les messages que vous pouvez m’envoyer, mais aussi à signer les messages que j’envoie. Comme je suis le seul à posséder la clé secrète, vous pouvez donc être certain que je suis à l’origine du message.

Comment vérifier la signature d’un email ?

Si vous disposez d’un client mail avec un module GPG (GPG tools pour Mail.app, Enigmail pour Thunderbird ou Postbox, etc.), c’est tout cuit : le module vous renseigne si la signature lui paraît valide.

Sinon, vous pouvez toujours vérifier manuellement la signature. En général, l’email est accompagné d’une pièce jointe en « .sig ».

Donc pour vérifier un email que j’aurais signé, vous devez rapatrier ma clé GPG dans votre trousseau :

$ gpg --keyserver pgp.mit.edu --recv-keys E221C47F

Maintenant vous pouvez vérifier la signature:

$ gpg --verify signature.sig

gpg: Signature made Sat Apr 25 22:10:51 2009 CEST using DSA key ID E221C47F

gpg: Good signature from "Cyril Vallée <m\*\*\*allee.net>"

Si cela vous paraît compliqué, ce ne sont que deux lignes dans un terminal, et de nombreux tutoriels (bien plus pédagogiques que moi) sont à portée de recherche sur DuckDuckGo.

Le monde évolue, cryptons nos communications

Ma clé GPG publique est disponible sur le site. Ainsi, tout un chacun peut m’envoyer des messages cryptés, mais peu aussi s’assurer que je suis bien celui qui a signé le message. Par les temps qui courent, il me semble de plus en plus important de protéger nos communications lorsqu’elles ne regardent personne. Si la loi protège le courrier que j’envoie sous enveloppe par la Poste, pourquoi ne pourais-je pas disposer du même droit pour mes courriers électroniques ? Crypter ses emails, c’est comme poster sa lettre dans une enveloppe.

Pour avancer un peu plus, voici deux liens à explorer. Si vous pensez que vous n’avez pas besoin de ces outils de protection de la vie privée parce que vous n’avez rien à cacher, prenez cinq minutes pour lire l’intro de ce site: https://www.privacytools.io.

Le site de l’Electronic Frontier Foundation propose sa dernière campagne pour crypter tout internet: https://www.eff.org/encrypt-the-web.

Bonne lecture. Signez et cryptez vos emails.