trousseau

En ces temps d’espionnite aigüe, alors que le monde entier s’inquiète des agissements de la NSA mais court confier ses données sensibles à des entreprises américaines hébergées dans le cloud (donc aux États-Unis), le chiffrement des données est un problème de plus en plus critique, même si vous n’avez strictement rien à vous reprocher (pour l’instant).

Il y a une douzaine d’années, je commençais toutes mes introductions à la sécurité des systèmes d’information par la même phrase :

Ce n’est pas parce que vous n’êtes pas paranoïaque que cela signifie que tout le monde n’est pas contre vous.

Trousseau est un logiciel multi plate-formes développé en Go par mon camarade en subversion informatique Théo (suivez-le sur Twitter et sur Github, c’est un ordre), qui permet de partager des documents chiffrés à plusieurs. Trousseau se base sur GPG, un autre logiciel libre, et un standard en matière de chiffrement.

GPG est très bien, mais il souffre de deux handicaps : non solum il ne permet de chiffrer des documents que vers un seul destinataire, sed etiam il ne permet pas de gérer un ensemble de documents à un seul endroit.

Trousseau apporte une solution à ces deux problèmes problème en utilisant un container unique chiffré, et en le rendant accessible à plusieurs utilisateurs dès lors qu’ils disposent d’une clé GPG. Il est possible de rajouter ou de supprimer simplement des destinataires, et le trousseau peut ensuite être synchronisé via git (même un compte public Github fait l’affaire, jusqu’au jour où une des clés se fait compromettre bien profond).

Techniquement, les données sont stockées dans un fichier plat sous la forme d’un ensemble de paires clés / valeurs, qui, chiffré, aura l’apparence de n’importe quel message GPG, c’est à dire un bloc ASCII (mais rassurez-vous ça marche aussi l’été).

Mais passons à la pratique.

Pour utiliser Trousseau, il vous faut :

  • Une clé GPG, valide, et de préférence publiée sur un serveur de clés. Je vous laisse chercher sur Google pour les tutos.
  • La dernière version de Trousseau.
  • Des amis avec qui partager des trucs (mais c’est pas obligé, les sans amis fixes peuvent aussi partager des trucs avec eux-même).

Installer Trousseau est simple comme bonjour. Il suffit de télécharger la dernière release disponible sous forme de binaire pour Linux et Mac OS X. Pour ce qui est de la configuration, RTFM c’est pas bien dur.

On va ensuite créer un trousseau. Il vous faut d’abord récupérer la clé des destinataires, en l’occurrence Alice et Bob (oui, ceux de Crypto Appliquée).

$ gpg --recv-keys --keyserver pgp.mit.edu bob@mail.com alice@mail.com
$ trousseau create 042D9183,alice@mail.com,bob@mail.com

Vous êtes maintenant prêt à partager tous vos petits secrets honteux avec Alice et Bob. L’utilisation est über simple :

$ trousseau set 123 abc
key-value pair set: 123:abc
$ trousseau set web.browser.shameful.history --file /home/fred/.chrome/history.bin
[lot of useless output]

On peut donc chiffrer aussi bien des chaines de caractères que des fichiers.

Pour récupérer les infos :

$ trousseau get 123 
123 key's value: abc

Et puisque c’est un logiciel libre, rien ne vous empêche de contribuer, ou d’en auditer le code pour vous assurer que Théo n’a pas rajouté sa clé GPG dans les destinataires en mode ninja. Quant à moi, je vous laisse, il faut que j’aille chiffrer la sextape de ma voisine d’en face avant que ma femme ne tombe dessus.

Perry the Platypus wants you to subscribe now! Even if you don't visit my site on a regular basis, you can get the latest posts delivered to you for free via Email: