GuiGui's Show

Depuis sa version 78, Thunderbird dispose de sa propre implémentation interne d'OpenPGP pour le chiffrement des emails. Il n'utilise plus GnuPG via l'excellente extension Enigmail.

Cette implémentation interne ne répond pas à mes attentes sur cinq points :

• Il faut définir un mot de passe principal pour le gestionnaire de mots de passe interne à Thunderbird. Sinon, la phrase de passe de la clé OpenPGP est stockée en clair dans le profil Thunderbird. Une phrase de passe pour en protéger une autre… … … ;
  
  
• La phrase de passe du gestionnaire de mots de passe de Thunderbird est conservée en RAM depuis sa saisie jusqu'à la fermeture de Thunderbird. Pour les personnes qui utilisent l'hibernation ou le suspend-to-ram de leur système, ça signifie qu'elle est toujours en RAM. L'agent GnuPG permettait, lui, de configurer la durée de conservation en RAM ;
  
  
• Si l'on utilise sa clé OpenPGP pour d'autres usages que l'email avec Thunderbird, deux trousseaux de clés hermétiques cohabitent : celui interne à Thunderbird et celui de GnuPG. Il faut donc mettre à jour la clé de ses contacts deux fois (dans Thunderbird et dans GnuPG), repousser deux fois la date d'expiration de sa propre clé (pour éviter les erreurs, je repousse l'expiration depuis GnuPG, j'exporte ma clé sous forme de fichier, je l'importe dans le gestionnaire de clés OpenPGP de Thunderbird), etc. C'est relou ;
  
  
• Absence d'une option dans l'interface permettant d'associer une clé de chiffrement précise à une adresse emails. C'est nécessaire quand un correspondant n'a volontairement pas déclaré une adresse emails dans les identités de sa clé OpenPGP (vie privée, tout ça) et/ou quand il utilise des adresses emails contenant un délimiteur / tag (on peut donc avoir une adresse emails par couple { destinataire ; sujet de la causerie }, très pratique pour trier automatiquement ses emails et prioriser leur lecture). Une solution peu intuitive existe, mais ce n'est pas optimal… ;
  
  
• Pour chercher une clé sur un serveur de clés, Thunderbird utilise le protocole VKS. Pas moyen d'utiliser le traditionnel HKP / HKPS. Or, à ce jour, un seul serveur VKS semble être disponible, celui d'OpenPGP.org. Résilience ? Pas cool. Note : VKS est, un peu, une API HTTPS, donc, si comme moi tu désactives les autorités de certification x509 inutiles, penses à activer celle de Let's Encrypt (ISRG Root X1). Sans cela, la recherche d'une clé échouera sans message d'erreur, et la mise à jour automatique des clés de tes correspondants ne se fera pas.

J'ai déjà développé les trois premiers points en juin 2021. Cependant, j'ai écrit une fausse information : configurer Thunderbird pour utiliser à nouveau GnuPG ne résout pas tous les problèmes sus-énoncés, car GnuPG sera utilisé uniquement pour les opérations de signature et de déchiffrement (source).

Pour le chiffrement et la vérification d'une signature, c'est toujours l'implémentation interne de Thunderbird qui sera utilisée. Cela s'explique : cette fonctionnalité d'externalisation est prévue pour prendre en charge les smartcards, c'est-à-dire les cartes à puce qui contiennent une clé privée OpenPGP (comme une Yubikey). Or, on utilise une clé privée uniquement pour signer ou pour déchiffrer (le chiffrement et la vérification d'une signature s'effectuent avec une clé publique).

Donc, il faut quand même synchroniser les trousseaux Thunderbird et GnuPG (Thunderbird a besoin de ta clé publique pour déchiffrer la copie des emails envoyés), surtout si tu utilises ta paire de clés OpenPGP pour d'autres usages que l'email avec Thunderbird (besoin des clés publiques de tes correspondants des deux côtés). En revanche, en utilisant GnuPG, ta clé privée sera alors protégée par celui-ci (et éventuellement son agent) plutôt que par Thunderbird, ce qui contrecarre bien les deux premiers points énoncés ci-dessus.