{"id":89,"date":"2026-06-12T16:26:04","date_gmt":"2026-06-12T16:26:04","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/12\/chiffrer-fichier-gpg-tutoriel\/"},"modified":"2026-06-12T16:27:24","modified_gmt":"2026-06-12T16:27:24","slug":"chiffrer-fichier-gpg-tutoriel","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/12\/chiffrer-fichier-gpg-tutoriel\/","title":{"rendered":"GPG : chiffrer fichiers et emails, 12 \u00e9tapes [2026]"},"content":{"rendered":"\n

Vos mots de passe sont hach\u00e9s, votre trafic passe par HTTPS, votre messagerie promet le chiffrement de bout en bout. Pourtant, d\u00e8s qu’un fichier sensible quitte votre machine par email ou par cl\u00e9 USB, il voyage le plus souvent en clair. GPG<\/strong> (GNU Privacy Guard) r\u00e8gle ce probl\u00e8me depuis pr\u00e8s de trente ans, et il reste en 2026 l’outil de r\u00e9f\u00e9rence pour chiffrer un fichier, signer un document ou prot\u00e9ger un email. Ce tutoriel vous guide en 12 \u00e9tapes, de l’installation \u00e0 un projet de sauvegarde chiffr\u00e9e fonctionnel, avec des commandes test\u00e9es, des exemples de sortie et un module de d\u00e9pannage.<\/p>\n\n\n\n

Comptez 30 \u00e0 45 minutes pour parcourir l’ensemble. Aucun pr\u00e9requis cryptographique avanc\u00e9 n’est n\u00e9cessaire : si vous savez ouvrir un terminal, vous savez utiliser GPG. \u00c0 la fin, vous saurez g\u00e9n\u00e9rer une paire de cl\u00e9s moderne en Ed25519, chiffrer des fichiers en sym\u00e9trique comme en asym\u00e9trique, signer et v\u00e9rifier des documents, publier votre cl\u00e9 publique et configurer Thunderbird pour vos emails.<\/p>\n\n\n\n

Pourquoi GPG reste l’outil de chiffrement de r\u00e9f\u00e9rence en 2026<\/h2>\n\n\n\n

GPG est l’impl\u00e9mentation libre du standard OpenPGP. En juillet 2024, l’IETF a publi\u00e9 la RFC 9580<\/strong>, qui remplace l’ancienne RFC 4880 et modernise le format : nouveaux algorithmes \u00e0 courbes elliptiques, chiffrement authentifi\u00e9 AEAD en mode OCB, et abandon progressif des primitives h\u00e9rit\u00e9es. GnuPG suit ce standard et le met en \u0153uvre dans une base de code audit\u00e9e, utilis\u00e9e par les distributions Linux pour v\u00e9rifier chaque paquet install\u00e9 sur votre syst\u00e8me.<\/p>\n\n\n\n

La force de GPG tient \u00e0 un principe simple : la cryptographie \u00e0 cl\u00e9 publique. Vous poss\u00e9dez deux cl\u00e9s math\u00e9matiquement li\u00e9es. La cl\u00e9 publique se partage sans risque et sert \u00e0 chiffrer un message qui vous est destin\u00e9 ou \u00e0 v\u00e9rifier votre signature. La cl\u00e9 priv\u00e9e reste secr\u00e8te et sert \u00e0 d\u00e9chiffrer ou \u00e0 signer. Personne ne peut lire un fichier chiffr\u00e9 pour vous sans votre cl\u00e9 priv\u00e9e, m\u00eame en interceptant le transfert. Ce m\u00e9canisme repose sur les m\u00eames familles math\u00e9matiques que les signatures num\u00e9riques<\/a> qui authentifient les logiciels et les certificats du web.<\/p>\n\n\n\n

GnuPG fonctionne en local, hors ligne, sans serveur central ni compte \u00e0 cr\u00e9er. Contrairement aux messageries chiffr\u00e9es propri\u00e9taires, vous gardez la ma\u00eetrise compl\u00e8te de vos cl\u00e9s. Le co\u00fbt de cette libert\u00e9, c’est une courbe d’apprentissage plus raide. Ce guide existe pour l’aplanir.<\/p>\n\n\n\n

Trois usages dominent en pratique. Le premier est l’archivage : vous chiffrez des fichiers que vous d\u00e9posez sur un cloud, une sauvegarde ou un disque externe, sans accorder votre confiance \u00e0 l’h\u00e9bergeur. Le deuxi\u00e8me est l’\u00e9change : vous transmettez un document confidentiel \u00e0 un correspondant qui pourra seul l’ouvrir. Le troisi\u00e8me est la signature : vous prouvez qu’un fichier vient bien de vous et qu’il n’a pas \u00e9t\u00e9 modifi\u00e9 en route. Ce tutoriel couvre les trois, dans cet ordre de difficult\u00e9 croissante.<\/p>\n\n\n\n

Les algorithmes derri\u00e8re GPG : Ed25519, AES-256 et OCB<\/h2>\n\n\n\n

Comprendre ce qui tourne sous le capot aide \u00e0 faire les bons choix. GPG n’invente aucun algorithme : il assemble des primitives \u00e9prouv\u00e9es et publiquement audit\u00e9es. Voici celles qui comptent en 2026.<\/p>\n\n\n\n

Ed25519<\/strong> est l’algorithme de signature \u00e0 courbe elliptique recommand\u00e9 pour les nouvelles cl\u00e9s. Con\u00e7u par Daniel J. Bernstein et ses coauteurs, il signe vite, produit des signatures courtes (64 octets) et r\u00e9siste aux erreurs d’impl\u00e9mentation qui ont historiquement affaibli d’autres sch\u00e9mas. Curve25519<\/strong>, sa cousine pour l’\u00e9change de cl\u00e9s (ECDH), sert \u00e0 la sous-cl\u00e9 de chiffrement. Ensemble, ces deux courbes remplacent avantageusement le RSA 4096 : une cl\u00e9 Ed25519 tient sur quelques dizaines d’octets l\u00e0 o\u00f9 une cl\u00e9 RSA en demande des centaines, pour un niveau de s\u00e9curit\u00e9 comparable.<\/p>\n\n\n\n

C\u00f4t\u00e9 chiffrement des donn\u00e9es, GPG s’appuie sur AES-256<\/strong>, le standard de chiffrement par bloc adopt\u00e9 mondialement. La RFC 9580 ajoute le chiffrement authentifi\u00e9 AEAD<\/strong>, notamment le mode OCB<\/strong>, qui combine confidentialit\u00e9 et int\u00e9grit\u00e9 en une seule passe : le destinataire d\u00e9tecte toute alt\u00e9ration du message chiffr\u00e9, pas seulement son contenu d\u00e9chiffr\u00e9. Pour le hachage interne, les courbes modernes et certaines op\u00e9rations s’appuient sur la famille SHA-2 et sur BLAKE2, des fonctions dont le r\u00f4le est expliqu\u00e9 dans notre article sur les fonctions de hachage cryptographiques<\/a>.<\/p>\n\n\n\n

Un dernier \u00e9l\u00e9ment m\u00e9rite attention : la fonction de d\u00e9rivation de cl\u00e9 S2K (String-to-Key) utilis\u00e9e en mode sym\u00e9trique. Elle transforme votre phrase secr\u00e8te en cl\u00e9 AES-256 en lui appliquant un grand nombre d’it\u00e9rations de hachage, ce qui ralentit les attaques par force brute. C’est le m\u00eame principe de durcissement que celui employ\u00e9 pour le stockage des mots de passe. Plus la phrase est longue et impr\u00e9visible, plus cette protection est efficace.<\/p>\n\n\n\n

Ce dont vous avez besoin : pr\u00e9requis et versions<\/h2>\n\n\n\n

GnuPG est pr\u00e9install\u00e9 sur la quasi-totalit\u00e9 des distributions Linux et de macOS. Sur Windows, le bundle Gpg4win fournit GPG plus une interface graphique. Voici les versions \u00e0 viser en 2026.<\/p>\n\n\n\n

Composant<\/th>Version vis\u00e9e (2026)<\/th>R\u00f4le<\/th><\/tr><\/thead>
GnuPG (branche stable)<\/td>2.5.x (ex. 2.5.20, publi\u00e9e le 13 mai 2026)<\/td>Moteur de chiffrement et de signature<\/td><\/tr>
GnuPG (ancienne branche)<\/td>2.4.x<\/td>Encore maintenue, pr\u00e9sente sur les LTS plus anciennes<\/td><\/tr>
Ubuntu \/ Debian<\/td>Ubuntu 24.04 LTS ou plus r\u00e9cent<\/td>Syst\u00e8me h\u00f4te conseill\u00e9<\/td><\/tr>
Gpg4win (Windows)<\/td>Derni\u00e8re version stable<\/td>Bundle GPG + Kleopatra pour Windows<\/td><\/tr>
GPG Suite (macOS)<\/td>Derni\u00e8re version stable<\/td>Bundle GPG + int\u00e9gration Mail\/Keychain<\/td><\/tr>
Thunderbird<\/td>Version ESR r\u00e9cente<\/td>Chiffrement OpenPGP natif des emails<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

V\u00e9rifiez la version install\u00e9e avant de commencer. Une version 2.2 ou ant\u00e9rieure fonctionne, mais ne propose pas les m\u00eames algorithmes par d\u00e9faut.<\/p>\n\n\n\n

$ gpg --version\ngpg (GnuPG) 2.5.20\nlibgcrypt 1.11.0\nCopyright (C) 2026 g10 Code GmbH\nAlgorithmes pris en charge :\nCle publique : RSA, ELG, DSA, ECDH, ECDSA, EDDSA\nChiffrement : AES, AES192, AES256, TWOFISH, CAMELLIA256\nHachage : SHA1, SHA256, SHA384, SHA512, SHA224\nCompression : Non compresse, ZIP, ZLIB, BZIP2<\/code><\/pre>\n\n\n\n
Si la commande renvoie une erreur, GPG n’est pas install\u00e9. L’\u00e9tape suivante corrige cela.<\/p>\n\n\n\n
\u00c9tape 1 : installer GnuPG sur Linux, Windows et macOS<\/h2>\n\n\n\n
Sur Ubuntu, Debian et leurs d\u00e9riv\u00e9s, GPG s’installe avec le gestionnaire de paquets. Le paquet gnupg<\/code> tire toutes les d\u00e9pendances utiles, dont gpg-agent<\/code> qui g\u00e8re le cache des phrases secr\u00e8tes.<\/p>\n\n\n\n
# Ubuntu \/ Debian\nsudo apt update\nsudo apt install gnupg\n\n# Fedora \/ RHEL\nsudo dnf install gnupg2\n\n# Arch Linux\nsudo pacman -S gnupg<\/code><\/pre>\n\n\n\n
Sur Windows, t\u00e9l\u00e9chargez Gpg4win depuis le site officiel. L’installeur ajoute la commande gpg<\/code> au terminal PowerShell et fournit Kleopatra, une interface graphique pour g\u00e9rer les cl\u00e9s. Sur macOS, GPG Suite s’installe via un fichier .dmg et int\u00e8gre le chiffrement directement dans l’application Mail. Les commandes de ce tutoriel sont identiques sur les trois syst\u00e8mes une fois GPG en place.<\/p>\n\n\n\n
Confirmez l’installation avec gpg --version<\/code>. Vous devez voir EDDSA et ECDH dans la liste des algorithmes \u00e0 cl\u00e9 publique. Leur pr\u00e9sence garantit que vous pourrez cr\u00e9er des cl\u00e9s Ed25519 modernes \u00e0 l’\u00e9tape 3.<\/p>\n\n\n\n
\u00c9tape 2 : comprendre sym\u00e9trique et asym\u00e9trique avant de chiffrer<\/h2>\n\n\n\n
GPG propose deux modes. Les confondre est la premi\u00e8re source d’erreurs chez les d\u00e9butants, alors clarifions-les avant la moindre commande.<\/p>\n\n\n\n
Le chiffrement sym\u00e9trique : une seule phrase secr\u00e8te<\/h3>\n\n\n\n
En mode sym\u00e9trique, une seule phrase secr\u00e8te chiffre et d\u00e9chiffre le fichier. GnuPG d\u00e9rive une cl\u00e9 AES-256 \u00e0 partir de votre phrase via une fonction de d\u00e9rivation (S2K). C’est id\u00e9al pour prot\u00e9ger une archive que vous garderez pour vous, ou pour transmettre un fichier \u00e0 quelqu’un avec qui vous partagez d\u00e9j\u00e0 un secret par un autre canal. Pas besoin de g\u00e9n\u00e9rer de paire de cl\u00e9s. L’inconv\u00e9nient : il faut communiquer la phrase secr\u00e8te, et tout ce qui transite peut fuiter.<\/p>\n\n\n\n
Le chiffrement asym\u00e9trique : la cl\u00e9 publique du destinataire<\/h3>\n\n\n\n
En mode asym\u00e9trique, vous chiffrez avec la cl\u00e9 publique du destinataire. Lui seul, avec sa cl\u00e9 priv\u00e9e, peut d\u00e9chiffrer. Aucun secret partag\u00e9 \u00e0 transmettre. C’est le mode \u00e0 privil\u00e9gier pour communiquer avec autrui. GPG combine en r\u00e9alit\u00e9 les deux : il g\u00e9n\u00e8re une cl\u00e9 de session AES-256 al\u00e9atoire pour chiffrer les donn\u00e9es, puis chiffre cette petite cl\u00e9 de session avec la cl\u00e9 publique du destinataire. On profite ainsi de la rapidit\u00e9 du sym\u00e9trique et de la commodit\u00e9 de l’asym\u00e9trique. Ce hybride s’appuie sur des courbes elliptiques comme Curve25519, le m\u00eame socle que celui d\u00e9crit dans notre dossier sur la cryptographie<\/a>.<\/p>\n\n\n\n
\u00c9tape 3 : g\u00e9n\u00e9rer votre paire de cl\u00e9s Ed25519<\/h2>\n\n\n\n
La pratique moderne privil\u00e9gie les courbes elliptiques sur le RSA 4096. Une cl\u00e9 Ed25519 pour la signature et une sous-cl\u00e9 Curve25519 (cv25519) pour le chiffrement offrent une s\u00e9curit\u00e9 \u00e9quivalente au RSA tout en restant bien plus compactes et rapides. Lancez l’assistant complet.<\/p>\n\n\n\n
$ gpg --full-generate-key\n\nSelectionnez le type de cle desire :\n   (9) ECC (signature et chiffrement) *par defaut*\n  (10) ECC (signature seule)\n  (14) Existing key from card\nVotre choix ? 9\n\nSelectionnez la courbe elliptique desiree :\n   (1) Curve 25519 *par defaut*\nVotre choix ? 1\n\nLa cle est valable pour ? (0) 2y\nNom reel : Camille Martin\nAdresse electronique : camille@example.com\nCommentaire :<\/code><\/pre>\n\n\n\n
Choisissez l’option ECC avec Curve 25519. Pour la dur\u00e9e de validit\u00e9, deux ans (2y<\/code>) est un bon compromis : assez court pour limiter le risque en cas de compromission, assez long pour ne pas devoir tout refaire chaque mois. Vous pourrez prolonger l’\u00e9ch\u00e9ance \u00e0 tout moment avec votre cl\u00e9 priv\u00e9e. Saisissez ensuite une phrase secr\u00e8te forte<\/strong>, id\u00e9alement une suite de plusieurs mots. Elle prot\u00e8ge votre cl\u00e9 priv\u00e9e sur le disque. Les principes d’une bonne phrase rejoignent ceux de la s\u00e9curit\u00e9 des mots de passe<\/a>.<\/p>\n\n\n\n
GnuPG a besoin d’entropie pour g\u00e9n\u00e9rer la cl\u00e9. Sur un serveur sans activit\u00e9, bougez la souris ou lancez une t\u00e2che disque. Une fois termin\u00e9, v\u00e9rifiez le r\u00e9sultat.<\/p>\n\n\n\n
$ gpg --list-keys --fingerprint\npub   ed25519 2026-06-12 [SC] [expire : 2028-06-11]\n      A1B2 C3D4 E5F6 0789 1A2B  3C4D 5E6F 7081 92A3 B4C5\nuid           [ ultime ] Camille Martin <camille@example.com>\nsub   cv25519 2026-06-12 [E]<\/code><\/pre>\n\n\n\n
La ligne pub<\/code> indique votre cl\u00e9 principale Ed25519 (capacit\u00e9s [SC] : Sign et Certify). La ligne sub<\/code> indique la sous-cl\u00e9 cv25519 d\u00e9di\u00e9e au chiffrement ([E] : Encrypt). La longue cha\u00eene hexad\u00e9cimale est votre empreinte<\/strong> (fingerprint), l’identifiant qui authentifie r\u00e9ellement votre cl\u00e9.<\/p>\n\n\n\n
\u00c9tape 4 : cr\u00e9er un certificat de r\u00e9vocation<\/h2>\n\n\n\n
Cette \u00e9tape est souvent n\u00e9glig\u00e9e, puis cruellement regrett\u00e9e. Un certificat de r\u00e9vocation vous permet d’annoncer publiquement que votre cl\u00e9 n’est plus valide, par exemple si vous perdez la cl\u00e9 priv\u00e9e ou si elle est compromise. Sans lui, une cl\u00e9 fuit\u00e9e reste ind\u00e9finiment pr\u00e9sent\u00e9e comme l\u00e9gitime. G\u00e9n\u00e9rez-le tout de suite, tant que vous avez acc\u00e8s \u00e0 votre cl\u00e9.<\/p>\n\n\n\n
$ gpg --output revocation-camille.asc --gen-revoke camille@example.com\n\nFaut-il creer un certificat de revocation pour cette cle ? (o\/N) o\nIndiquez la cause de la revocation :\n  0 = aucune raison indiquee\n  1 = la cle a ete compromise\n  2 = la cle est remplacee\n  3 = la cle n'est plus utilisee\nQuelle est votre decision ? 1\n\nCertificat de revocation cree.<\/code><\/pre>\n\n\n\n
Stockez ce fichier revocation-camille.asc<\/code> ailleurs que sur votre machine de travail : cl\u00e9 USB chiffr\u00e9e, gestionnaire de secrets, impression papier dans un coffre. Quiconque poss\u00e8de ce certificat peut r\u00e9voquer votre cl\u00e9. Restreignez-en les droits d’acc\u00e8s sous Linux : chmod 600 revocation-camille.asc<\/code>.<\/p>\n\n\n\n
\u00c9tape 5 : chiffrer un fichier en sym\u00e9trique avec AES-256<\/h2>\n\n\n\n
Le cas le plus simple : prot\u00e9ger un fichier par une phrase secr\u00e8te, sans aucune cl\u00e9. L’option -c<\/code> (ou --symmetric<\/code>) d\u00e9clenche le chiffrement sym\u00e9trique. GnuPG utilise AES-256 par d\u00e9faut dans les configurations modernes.<\/p>\n\n\n\n
$ gpg -c rapport-confidentiel.pdf\nEntrez la phrase secrete : ********\nConfirmez la phrase secrete : ********\n\n$ ls -l rapport-confidentiel.pdf*\n-rw-r--r-- 1 camille camille 184320 juin 12 10:14 rapport-confidentiel.pdf\n-rw-r--r-- 1 camille camille 184512 juin 12 10:15 rapport-confidentiel.pdf.gpg<\/code><\/pre>\n\n\n\n
Le fichier .gpg<\/code> est la version chiffr\u00e9e, illisible sans la phrase. Pour obtenir une sortie en texte ASCII (utile pour coller dans un email ou un message), ajoutez --armor<\/code>, qui produit un fichier .asc<\/code>. Forcez explicitement l’algorithme si besoin avec --cipher-algo AES256<\/code>.<\/p>\n\n\n\n
$ gpg -c --armor --cipher-algo AES256 notes.txt\n$ head -2 notes.txt.asc\n-----BEGIN PGP MESSAGE-----\n\njA0ECQMCq3...<\/code><\/pre>\n\n\n\n
Une fois le fichier chiffr\u00e9 v\u00e9rifi\u00e9, supprimez l’original en clair si vous n’en avez plus besoin. Sur un disque classique, pr\u00e9f\u00e9rez shred -u<\/code> \u00e0 un simple rm<\/code> pour limiter la r\u00e9cup\u00e9ration des donn\u00e9es.<\/p>\n\n\n\n
\u00c9tape 6 : exporter et partager votre cl\u00e9 publique<\/h2>\n\n\n\n
Pour que vos correspondants puissent vous \u00e9crire de fa\u00e7on chiffr\u00e9e, ils ont besoin de votre cl\u00e9 publique. L’exporter en format ASCII armor\u00e9 la rend facile \u00e0 transmettre par email ou \u00e0 publier.<\/p>\n\n\n\n
$ gpg --armor --export camille@example.com > camille-pubkey.asc\n\n$ cat camille-pubkey.asc\n-----BEGIN PGP PUBLIC KEY BLOCK-----\n\nmDMEZ...\n-----END PGP PUBLIC KEY BLOCK-----<\/code><\/pre>\n\n\n\n
Le drapeau --export<\/code> n’exporte que la cl\u00e9 publique. Votre cl\u00e9 priv\u00e9e ne sort jamais avec cette commande, vous pouvez donc diffuser ce fichier sans crainte. Pour exporter la cl\u00e9 priv\u00e9e (sauvegarde uniquement, \u00e0 conserver hors ligne), il faut la commande distincte --export-secret-keys<\/code>, \u00e0 manier avec une extr\u00eame prudence.<\/p>\n\n\n\n
Partagez aussi votre empreinte par un canal de confiance (carte de visite, profil sign\u00e9, message en personne). Vos correspondants l’utiliseront \u00e0 l’\u00e9tape suivante pour v\u00e9rifier qu’ils d\u00e9tiennent la bonne cl\u00e9 et non une contrefa\u00e7on.<\/p>\n\n\n\n
\u00c9tape 7 : importer et valider la cl\u00e9 d’un correspondant<\/h2>\n\n\n\n
Quand un correspondant vous envoie sa cl\u00e9 publique, importez-la dans votre trousseau, puis v\u00e9rifiez son empreinte avant de lui faire confiance. Cette v\u00e9rification est le c\u0153ur de la s\u00e9curit\u00e9 d’OpenPGP : sans elle, rien ne prouve que la cl\u00e9 appartient bien \u00e0 la bonne personne.<\/p>\n\n\n\n
$ gpg --import bob-pubkey.asc\ngpg: cle 7F8E9D0C1B2A3456 : cle publique \u00ab Bob Durand <bob@example.com> \u00bb importee\ngpg: Quantite totale traitee : 1\ngpg:                 importees : 1\n\n$ gpg --fingerprint bob@example.com\npub   ed25519 2026-05-30 [SC]\n      7F8E 9D0C 1B2A 3456 ABCD  EF01 2345 6789 ABCD EF01\nuid           [ inconnue ] Bob Durand <bob@example.com><\/code><\/pre>\n\n\n\n
Comparez l’empreinte affich\u00e9e avec celle que Bob vous a communiqu\u00e9e par un autre canal. Si elles correspondent, signez la cl\u00e9 pour la marquer comme valid\u00e9e dans votre trousseau.<\/p>\n\n\n\n
$ gpg --edit-key bob@example.com\ngpg> lsign\nVoulez-vous vraiment signer cette cle ? (o\/N) o\ngpg> save<\/code><\/pre>\n\n\n\n
La mention [ inconnue ]<\/code> devient alors une confiance \u00e9tablie. Ce m\u00e9canisme de validation par empreinte est la version concr\u00e8te de la toile de confiance<\/strong> (web of trust) d’OpenPGP. En pratique, beaucoup d’utilisateurs se contentent aujourd’hui de la v\u00e9rification directe d’empreinte plut\u00f4t que de la propagation compl\u00e8te de la confiance.<\/p>\n\n\n\n
\u00c9tape 8 : chiffrer un fichier pour un destinataire pr\u00e9cis<\/h2>\n\n\n\n
Avec la cl\u00e9 publique de Bob import\u00e9e et valid\u00e9e, vous pouvez lui chiffrer un fichier que lui seul pourra ouvrir. L’option -e<\/code> chiffre, -r<\/code> d\u00e9signe le destinataire.<\/p>\n\n\n\n
$ gpg -e -r bob@example.com contrat.pdf\n\n$ ls -l contrat.pdf.gpg\n-rw-r--r-- 1 camille camille 248192 juin 12 11:02 contrat.pdf.gpg<\/code><\/pre>\n\n\n\n
Le fichier contrat.pdf.gpg<\/code> est d\u00e9sormais lisible uniquement avec la cl\u00e9 priv\u00e9e de Bob. Vous pouvez chiffrer pour plusieurs destinataires en r\u00e9p\u00e9tant -r<\/code> : gpg -e -r bob@example.com -r alice@example.com contrat.pdf<\/code>. Pour conserver vous-m\u00eame la capacit\u00e9 de relire le fichier, ajoutez votre propre adresse comme destinataire suppl\u00e9mentaire, sinon vous ne pourrez plus l’ouvrir.<\/p>\n\n\n\n
Combinez chiffrement et signature en une seule commande avec -s<\/code> : gpg -s -e -r bob@example.com contrat.pdf<\/code>. Bob obtiendra alors la confidentialit\u00e9 et la preuve que le fichier vient bien de vous. Pour transmettre par email ou messagerie texte, ajoutez --armor<\/code> afin d’obtenir un .asc<\/code> lisible.<\/p>\n\n\n\n
\u00c9tape 9 : d\u00e9chiffrer un fichier re\u00e7u<\/h2>\n\n\n\n
Quand vous recevez un fichier chiffr\u00e9 pour vous, GPG rep\u00e8re automatiquement qu’il faut votre cl\u00e9 priv\u00e9e et vous demande votre phrase secr\u00e8te. La commande est la m\u00eame pour le sym\u00e9trique et l’asym\u00e9trique.<\/p>\n\n\n\n
$ gpg --decrypt --output contrat.pdf contrat.pdf.gpg\ngpg: chiffre avec une cle cv25519, identifiant 92A3B4C5...\ngpg: \u00ab Camille Martin <camille@example.com> \u00bb\nEntrez la phrase secrete : ********\n\n$ file contrat.pdf\ncontrat.pdf: PDF document, version 1.7<\/code><\/pre>\n\n\n\n
Sans l’option --output<\/code>, GPG \u00e9crit le contenu d\u00e9chiffr\u00e9 sur la sortie standard, ce qui est pratique pour un fichier texte (gpg --decrypt message.txt.gpg<\/code>) mais inutilisable pour un binaire. Pr\u00e9cisez toujours --output<\/code> pour les PDF, images et archives. Si vous obtenez l’erreur No secret key<\/code>, c’est que le fichier a \u00e9t\u00e9 chiffr\u00e9 pour une autre cl\u00e9 que la v\u00f4tre.<\/p>\n\n\n\n
\u00c9tape 10 : signer et v\u00e9rifier un document<\/h2>\n\n\n\n
La signature ne chiffre rien : elle prouve l’origine et l’int\u00e9grit\u00e9 d’un fichier. Une signature d\u00e9tach\u00e9e<\/strong> place la preuve dans un fichier s\u00e9par\u00e9, ce qui laisse l’original intact et lisible. C’est la m\u00e9thode utilis\u00e9e pour authentifier les t\u00e9l\u00e9chargements de logiciels. Le r\u00f4le du hachage dans ce processus est d\u00e9taill\u00e9 dans notre article sur les fonctions de hachage<\/a>.<\/p>\n\n\n\n
$ gpg --detach-sign --armor communique.pdf\nEntrez la phrase secrete : ********\n\n$ ls communique.pdf*\ncommunique.pdf  communique.pdf.asc<\/code><\/pre>\n\n\n\n
Le fichier communique.pdf.asc<\/code> contient la signature. Diffusez les deux fichiers ensemble. Pour v\u00e9rifier une signature re\u00e7ue, indiquez d’abord le fichier de signature, puis l’original.<\/p>\n\n\n\n
$ gpg --verify communique.pdf.asc communique.pdf\ngpg: Signature faite le jeu. 12 juin 2026 11:40:02 CEST\ngpg:                avec la cle EDDSA A1B2C3D4E5F60789...\ngpg: Bonne signature de \u00ab Camille Martin <camille@example.com> \u00bb [ultime]<\/code><\/pre>\n\n\n\n
\u00ab Bonne signature \u00bb confirme que le fichier n’a pas \u00e9t\u00e9 modifi\u00e9 et qu’il provient bien du d\u00e9tenteur de la cl\u00e9. Un message BAD signature<\/code> signale soit une alt\u00e9ration du fichier, soit une signature qui ne correspond pas. Ne faites jamais confiance \u00e0 un fichier dont la v\u00e9rification \u00e9choue.<\/p>\n\n\n\n
\u00c9tape 11 : publier sa cl\u00e9 sur un serveur de cl\u00e9s<\/h2>\n\n\n\n
Pour que n’importe qui puisse r\u00e9cup\u00e9rer votre cl\u00e9 publique sans vous la demander, publiez-la sur un serveur de cl\u00e9s. Le serveur moderne de r\u00e9f\u00e9rence est keys.openpgp.org<\/code>, qui v\u00e9rifie l’adresse email avant de diffuser les identit\u00e9s, ce qui limite les pollutions.<\/p>\n\n\n\n
$ gpg --keyserver keys.openpgp.org --send-keys A1B2C3D4E5F60789\ngpg: envoi de la cle 92A3B4C5 au serveur keys.openpgp.org\n\n# Recuperer la cle de quelqu'un\n$ gpg --keyserver keys.openpgp.org --search-keys alice@example.com<\/code><\/pre>\n\n\n\n
Apr\u00e8s l’envoi, keys.openpgp.org<\/code> vous adresse un email de validation. Tant que vous ne confirmez pas, seule la cl\u00e9 brute est publi\u00e9e, sans votre nom ni votre adresse. Pensez \u00e0 republier votre cl\u00e9 chaque fois que vous prolongez son \u00e9ch\u00e9ance, sinon les serveurs continueront de pr\u00e9senter l’ancienne date d’expiration.<\/p>\n\n\n\n
\u00c9tape 12 : chiffrer ses emails avec Thunderbird<\/h2>\n\n\n\n
Depuis la version 78, Thunderbird int\u00e8gre OpenPGP nativement, sans extension. C’est la voie la plus simple pour chiffrer ses emails sur le bureau. Le principe reste celui des \u00e9tapes pr\u00e9c\u00e9dentes : on chiffre avec la cl\u00e9 publique du destinataire.<\/p>\n\n\n\n
  1. Ouvrez Param\u00e8tres des comptes<\/strong>, puis l’onglet Chiffrement de bout en bout<\/strong>.<\/li>
  2. Cliquez sur Ajouter une cl\u00e9<\/strong> et importez votre cl\u00e9 existante, ou laissez Thunderbird en g\u00e9n\u00e9rer une.<\/li>
  3. Importez les cl\u00e9s publiques de vos correspondants via le Gestionnaire de cl\u00e9s OpenPGP<\/strong>.<\/li>
  4. \u00c0 la r\u00e9daction d’un message, activez l’ic\u00f4ne de cadenas pour Chiffrer<\/strong> et celle de signature pour Signer<\/strong>.<\/li>
  5. Thunderbird vous avertit si une cl\u00e9 manque pour un destinataire, auquel cas l’email partira en clair.<\/li><\/ol>\n\n\n\n
    Sous Linux, Thunderbird peut s’appuyer sur votre trousseau GnuPG syst\u00e8me plut\u00f4t que sur son propre magasin interne, ce qui \u00e9vite de dupliquer les cl\u00e9s. Activez cette option dans les param\u00e8tres de configuration avanc\u00e9s. Pour ceux qui pr\u00e9f\u00e8rent une messagerie chiffr\u00e9e cl\u00e9 en main sans g\u00e9rer GPG, comparez les offres dans notre face-\u00e0-face Proton Mail contre Tuta<\/a>.<\/p>\n\n\n\n
    Projet complet : un script de sauvegarde chiffr\u00e9e automatique<\/h2>\n\n\n\n
    Rassemblons tout dans un projet utile : un script qui archive un dossier, le chiffre pour votre propre cl\u00e9, le signe, puis nettoie. Id\u00e9al pour des sauvegardes que vous d\u00e9posez sur un stockage cloud sans lui faire confiance.<\/p>\n\n\n\n
    #!\/usr\/bin\/env bash\n# sauvegarde-chiffree.sh : archive, chiffre et signe un dossier\nset -euo pipefail\n\nSOURCE=\"$HOME\/documents-sensibles\"\nDEST=\"$HOME\/sauvegardes\"\nKEY=\"camille@example.com\"\nDATE=$(date +%Y-%m-%d)\nARCHIVE=\"$DEST\/backup-$DATE.tar.gz\"\n\nmkdir -p \"$DEST\"\n\n# 1. Creer l'archive compressee\ntar -czf \"$ARCHIVE\" -C \"$(dirname \"$SOURCE\")\" \"$(basename \"$SOURCE\")\"\n\n# 2. Chiffrer pour soi-meme et signer en une passe\ngpg --yes --sign --encrypt --recipient \"$KEY\" \\\n    --output \"$ARCHIVE.gpg\" \"$ARCHIVE\"\n\n# 3. Supprimer l'archive en clair\nshred -u \"$ARCHIVE\"\n\necho \"Sauvegarde chiffree prete : $ARCHIVE.gpg\"\necho \"Taille : $(du -h \"$ARCHIVE.gpg\" | cut -f1)\"<\/code><\/pre>\n\n\n\n
    Rendez le script ex\u00e9cutable avec chmod +x sauvegarde-chiffree.sh<\/code>, puis lancez-le. La sortie ressemble \u00e0 ceci.<\/p>\n\n\n\n
    $ .\/sauvegarde-chiffree.sh\nSauvegarde chiffree prete : \/home\/camille\/sauvegardes\/backup-2026-06-12.tar.gz.gpg\nTaille : 42M<\/code><\/pre>\n\n\n\n
    Pour automatiser, ajoutez une entr\u00e9e cron. Comme la signature demande la phrase secr\u00e8te, configurez gpg-agent<\/code> avec un cache assez long, ou utilisez une sous-cl\u00e9 d\u00e9di\u00e9e sans phrase pour les t\u00e2ches non interactives. Pour restaurer : gpg --decrypt --output restore.tar.gz backup-2026-06-12.tar.gz.gpg<\/code> puis tar -xzf restore.tar.gz<\/code>. Vous disposez maintenant d’un pipeline de sauvegarde dont la confidentialit\u00e9 ne d\u00e9pend plus du fournisseur de stockage.<\/p>\n\n\n\n
    \u00c0 ce stade, vous ma\u00eetrisez l’essentiel : g\u00e9n\u00e9rer une cl\u00e9, chiffrer pour vous comme pour autrui, signer, v\u00e9rifier, publier et automatiser. Le reste rel\u00e8ve de l’affinage. Avant de pr\u00e9senter les pi\u00e8ges et le d\u00e9pannage, retenez la logique d’ensemble. Le sym\u00e9trique prot\u00e8ge ce que vous gardez, l’asym\u00e9trique prot\u00e8ge ce que vous \u00e9changez, et la signature prouve ce que vous publiez. Chaque commande de ce guide se rattache \u00e0 l’une de ces trois intentions. Quand un doute surgit, demandez-vous d’abord laquelle s’applique, et la bonne option appara\u00eet d’elle-m\u00eame.<\/p>\n\n\n\n
    Cinq pi\u00e8ges courants \u00e0 \u00e9viter avec GPG<\/h2>\n\n\n\n
    Ces erreurs reviennent sans cesse. Les conna\u00eetre \u00e0 l’avance vous \u00e9pargnera des heures de frustration et, parfois, une perte de donn\u00e9es irr\u00e9versible.<\/p>\n\n\n\n