Avec LibreOffice 6.0, il est désormais possible de chiffrer et de signer directement un fichier via GnuPG. Mais dans la pratique, est-ce simple ? C'est ce que nous avons vérifié pour vous.
LibreOffice 6.0 est disponible depuis quelques jours, après de longs mois de travail. Parmi ses nombreuses nouveautés, il y en a une qui a particulièrement attiré notre attention : le support natif de GnuPG (GPG).
Il s'agit de l'aboutissement du projet gpg4libre, financé par l'Office fédéral de la sécurité des technologies de l’information allemand (BSI), qui vise à permettre la signature et le chiffrement des documents LibreOffice via des fonctionnalités intégrées.
Un chiffrement natif, qui exploite des standards
Le processus est différent d'un chiffrement classique via GPG. Dans ce dernier cas, il faut déchiffrer le fichier avant de pouvoir l'ouvrir et le modifier. Une fois enregistré, il faut le chiffrer à nouveau avec la bonne clé. Avec l'intégration native, les étapes intermédiaires sont supprimées : il suffit de l'ouvrir, de le modifier et de l'enregistrer.
Le fichier généré au format LibreOffice est une archive que l'on peut décompresser. On y retrouve tous les composants habituels, entièrement chiffrés. Seul le manifeste est encore lisible. Il contient les informations sur le chiffrement, et respecte le standard XML Encryption :
Bien entendu, la signature est elle aussi supportée. En pratique, elle l'est même depuis LibreOffice 5.4 sous Linux, la version 6.0 la généralisant à toutes les plateformes. Bien entendu, il faudra que GPG soit installé sur votre machine, parfois via des packs comme GPG4win ou GPG Tools.
La signature d'un fichier en pratique
Pour procéder, rien de plus simple : il vous suffit d'ouvrir un fichier LibreOffice, puis de vous rendre sur la fonction Signatures numériques dans le menu Ficher. Cliquez ensuite sur Signer le document...
Une fenêtre s'ouvrira alors, affichant la liste de vos certificats X.509 et GPG. Signature oblige, il s'agit de ceux pour lesquels vous disposez d'une clé privée. Vous avez la possibilité de voir le détail de chaque certificat ou d'ajouter une description. Une fois votre choix effectué, vous devrez entrer la phrase de passe du certificat.
Votre signature apparaîtra alors dans la liste, plusieurs pouvant être ajoutées à un même document. Une fois la fenêtre fermée, une barre s'affichera pour indiquer que le document est signé, ainsi qu'une icône dans la barre d'état de l'application. Bien entendu, chaque enregistrement du document réinitialisera les signatures.
Le chiffrement d'un fichier
Pour le chiffrement, tout se passera dans Fichier > Enregistrer sous... (CTRL + MAJ + S). Une case à cocher Chiffrer avec une clé GPG est disponible. Cette fois, c'est une liste des clés publiques accessibles sur votre machine qui sera affichée, avec la possibilité de sélectionner celles à utiliser.
Lors de nos tests, un chiffrement pour plusieurs clés aboutissait pour le moment à une erreur. Dommage pour des documents destinés à une équipe par exemple. Espérons que cela sera corrigé à l'avenir. On regrette aussi l'impossibilité de s'assurer qu'un fichier ouvert est bien chiffré ou non, à travers une icône par exemple, tout comme l'absence d'un processus unique pour assurer le chiffrement et la signature d'un document.
En l'état actuel, il faut en effet opter pour le chiffrement via l'enregistrement, puis signer le fichier via la fonctionnalité dédiée. On aurait aimé que tout puisse se faire d'une traite, puisque les deux solutions vont en général de paire.
GPG partout : à qui le tour ?
Si elle reste perfectible, on appréciera le travail de l'équipe de LibreOffice pour cette intégration native de GPG. Cette implémentation d'OpenPGP existe sur de nombreuses plateformes depuis près de 20 ans, est largement utilisée pour certains usages, et de telles options ne peuvent que favoriser son expansion. On aimerait d'ailleurs que plus de projets libres fassent cet effort.
Comme pour les avancées de GPG, c'est une institution allemande qui est à l'origine de cette intégration, via un financement. Le gouvernement français, qui a encore récemment vanté les mérites de l'open source à travers une déclaration de Mounir Mahjoubi, pourrait sans doute s'inspirer des pratiques de nos voisins en la matière. D'autant que LibreOffice fait partie du socle interministériel de logiciels libres (dans sa version 5.4 pour le moment).
Enfin, on note que les produits de Microsoft Office ne gèrent qu'une protection par mot de passe et une signature via un certificat X.509 qui peut être généré depuis le compte utilisateur. Le tout via une implémentation maison à laquelle il faut accepter de faire confiance, en l'absence d'un code source public. Et contrairement à Outlook, qui peut être complété par GpgOL, il n'existe pas (encore ?) d'extension permettant une gestion native de GPG.
La conférence gpg4libre filmée à l'occasion de la Froscon en août 2017
