Déchiffrer les fichiers et les e-mails chiffrés côté client exportés

Si votre organisation utilise le chiffrement côté client (CSE) Google Workspace, vous pouvez vous servir de l'utilitaire de déchiffrement pour déchiffrer les fichiers et les e-mails chiffrés côté client que vous exportez à l'aide de l'outil d'exportation des données ou de Google Vault. Vous pouvez exécuter l'utilitaire de déchiffrement à partir d'une ligne de commande.

Lorsque vous exécutez l'utilitaire de déchiffrement, vous utilisez des flags de ligne de commande pour préciser différents éléments : informations d'authentification de votre fournisseur d'identité (IdP), emplacement des fichiers chiffrés, emplacement de sortie des fichiers déchiffrés, ainsi que d'autres options. Vous pouvez également créer un fichier de configuration (config) pour enregistrer les indicateurs de déchiffrement que vous utilisez souvent.

Avant de commencer

  • Lorsque vous déchiffrez un fichier Google Docs, Sheets ou Slides, le nom du fichier se termine par .gdoczip ou une extension similaire. Après le déchiffrement, vous pouvez convertir ces fichiers au format Microsoft Office à l'aide du convertisseur de fichiers. Pour en savoir plus, consultez Convertir des fichiers Google exportés et déchiffrés en fichiers Microsoft Office.
  • Si vous exportez des messages Gmail chiffrés côté client depuis Google Vault, vous devez utiliser le format MBOX. L'utilitaire de déchiffrement ne peut pas traiter les exportations au format PST.
  • L'utilitaire de déchiffrement peut déchiffrer tous les messages chiffrés avec des certificats S/MIME. Il peut également déchiffrer les messages chiffrés sans certificats S/MIME (c'est-à-dire les messages utilisant le chiffrement de bout en bout (E2EE) de Gmail) si vos utilisateurs ont chiffré les messages ou le message d'origine dans des fils de discussion.
  • L'utilitaire de déchiffrement ne peut pas déchiffrer les messages (y compris tous les messages d'un fil de discussion) chiffrés sans certificats S/MIME (chiffrement de bout en bout Gmail) dans une autre organisation.

Configuration requise

  • Microsoft Windows 10 ou 11 64 bits
  • macOS 12 (Monterey) ou version ultérieure. Les processeurs Apple et Intel sont pris en charge.
  • Linux x86_64

Télécharger l'utilitaire de déchiffrement

Ouvrez l'archive ou le volume, puis extrayez l'exécutable de l'utilitaire de déchiffrement dans un répertoire ou un dossier local.

Configurer l'accès au service de clés

L'utilitaire de déchiffrement envoie des requêtes à votre service de clés de chiffrement, également appelé service de liste de contrôle d'accès aux clés (KACLS), qui protège chaque fichier ou message chiffré de votre exportation. Demandez à l'administrateur de votre fournisseur d'identité (IdP) et à l'administrateur de votre service de clés de chiffrement des identifiants que le service de liste de contrôle d'accès aux clés acceptera. Sinon, celui-ci refusera les tentatives de déchiffrement du contenu exporté par l'utilitaire de déchiffrement.

Ce dont vous avez besoin

Pour configurer l'accès au service de liste de contrôle d'accès aux clés, assurez-vous de disposer des éléments suivants :

  • ID client OAuth pouvant être utilisé par les applications installées. L'ID client de l'utilitaire de déchiffrement doit être un ID client utilisable par les logiciels de bureau installés et spécifique à l'utilitaire de déchiffrement. Cet ID client doit être différent de ceux définis dans la console d'administration Google pour les applications CSE Web, de bureau et mobiles.
  • Code secret du client OAuth associé à l'ID client si votre IdP est Google. Vous n'avez pas besoin du code secret du client si vous utilisez un IdP tiers.
  • Adresse e-mail du compte utilisateur qui s'authentifie auprès du service de liste de contrôle d'accès aux clés pour le déchiffrement des exportations. Il peut s'agir de votre propre compte ou d'un compte spécial configuré par vos administrateurs. Vous devez vous connecter avec ce compte utilisateur lorsque vous exécutez l'utilitaire de déchiffrement. Vous aurez donc probablement besoin du mot de passe du compte.

Points de terminaison du service de liste de contrôle d'accès aux clés

La configuration du service de liste de contrôle d'accès aux clés doit autoriser le compte utilisateur et l'ID client à appeler les points de terminaison permettant de déchiffrer les exportations. L'administrateur de votre service de liste de contrôle d'accès aux clés peut généralement effectuer cette configuration pour vous. Le point de terminaison du service de liste de contrôle d'accès aux clés appelé par l'utilitaire de déchiffrement dépend du type de contenu chiffré :

  • CSE Agenda : privilegedunwrap
  • CSE Docs, Sheets et Slides : privilegedunwrap
  • CSE Drive : privilegedunwrap
  • CSE Gmail (avec certificats S/MIME) : privilegedprivatekeydecrypt
  • CSE Gmail (sans certificats S/MIME) : privilegedunwrap

Configurer l'accès S/MIME Gmail (facultatif)

Si vous déchiffrez des messages Gmail chiffrés côté client qui utilisent S/MIME depuis Google Vault, l'utilitaire de déchiffrement doit appeler l'API publique de Gmail pour télécharger des données supplémentaires. Les exportations Google Vault n'incluent pas les certificats S/MIME de chaque utilisateur. L'utilitaire de déchiffrement les extrait donc automatiquement dans Gmail si nécessaire.

Pour permettre à l'utilitaire de déchiffrement de demander les certificats S/MIME de n'importe quel utilisateur de votre organisation, vous devez lui transmettre des identifiants de compte de service au niveau du domaine. Pour savoir comment configurer ce compte de service et créer un fichier JSON contenant les identifiants privés du compte de service, consultez Gmail uniquement : Configurer S/MIME pour le chiffrement côté client.

Remarque : Cette configuration n'est pas requise si vous déchiffrez des messages chiffrés côté client à partir de l'outil d'exportation des données, ou si vous déchiffrez des messages chiffrés provenant de Vault qui ne possèdent pas de certificats S/MIME.

L'utilitaire de déchiffrement ne peut pas extraire les certificats S/MIME d'un utilisateur et ne peut donc pas déchiffrer les messages chiffrés côté client qui utilisent S/MIME si l'une des conditions suivantes est remplie :

Pour vous assurer que les messages chiffrés côté client sont déchiffrés avec des certificats S/MIME, vous pouvez :

  • déchiffrer immédiatement les messages exportés depuis Vault tant que les certificats sont disponibles ;
  • utiliser l'outil d'exportation des données pour exporter les messages. Ces exportations incluent les certificats de chaque utilisateur.

Créer d'abord un fichier de configuration

L'utilitaire de déchiffrement utilise OAuth et votre IdP pour acquérir un identifiant d'authentification qu'il inclut dans chaque requête privilegedunwrap et privilegedprivatekeydecrypt du service de liste de contrôle d'accès aux clés. Votre configuration OAuth ne change pas souvent. Vous pouvez donc créer un fichier de configuration (config) contenant vos paramètres OAuth pour éviter d'avoir à les définir chaque fois que vous exécutez l'utilitaire de déchiffrement. Pour en savoir plus sur les indicateurs de fichier de configuration, consultez Indicateurs disponibles pour créer une configuration et Indicateurs disponibles pour modifier une configuration ci-dessous.

Remarque : Bien que cette étape de configuration soit facultative, nous vous recommandons de la suivre pour simplifier l'utilisation de l'utilitaire de déchiffrement. Si vous ne créez pas de fichier de configuration, vous pouvez transmettre les indicateurs OAuth dans la ligne de commande à chaque exécution de l'utilitaire de déchiffrement. Si vous faites les deux, les valeurs des indicateurs transmises dans la ligne de commande remplacent celles lues à partir du fichier de configuration.

Exemple : Créer une configuration pour l'IdP Google

Sous Windows

Sous macOS ou Linux

Vous pouvez maintenant modifier la configuration pour ajouter le code secret du client OAuth dans le flux d'attribution du code d'autorisation.

Sous Windows

Sous macOS ou Linux

Si votre IdP n'est pas Google : n'ajoutez pas le code secret du client, qui n'est nécessaire que pour l'IdP Google. De nombreux autres IdP refuseront les demandes d'authentification lorsque le code secret du client est présent.

Déchiffrer les fichiers et les e-mails chiffrés côté client

L'utilitaire de déchiffrement traite les fichiers d'exportation décompressés.

  1. Une fois que vous avez créé une exportation dans l'outil d'exportation des données ou dans Google Vault, téléchargez les fichiers ZIP sur votre ordinateur local.
  2. Décompressez les fichiers dans un répertoire ou un dossier local.
  3. Exécutez l'utilitaire de déchiffrement sur les fichiers décompressés, puis enregistrez les fichiers en texte brut déchiffrés dans un autre répertoire.

Exemple : Utilisation d'un fichier de configuration préparé sans les identifiants du compte de service

Sous Windows

Sous macOS ou Linux

Exemple : Utilisation d'un fichier de configuration préparé avec des identifiants de compte de service

Sous Windows

Sous macOS ou Linux

Exemple : Utilisation sans fichier de configuration ni identifiant de compte de service

Sous Windows

Sous macOS ou Linux

Indicateurs de l'utilitaire de déchiffrement

Un indicateur de déchiffrement peut commencer par un ou deux traits d'union. Par exemple, l'indicateur permettant d'afficher des informations d'aide peut être l'un ou l'autre des suivants :

-help

--help

Remarque : Vous ne pouvez utiliser que des traits d'union pour les indicateurs, pas de barre oblique (/).

Les indicateurs des arguments de chaîne peuvent inclure un signe égal ou un espace pour spécifier l'argument. Par exemple, les indicateurs suivants sont équivalents :

-action=decrypt

-action decrypt

Indicateurs d'aide

Option Description
-version Permet d'afficher la chaîne de caractères indiquant la version. Si vous contactez l'assistance, assurez-vous de fournir la version de l'utilitaire de déchiffrement que vous utilisez.
-help Affiche un écran de tous les indicateurs pour référence.
-logfile Indique le fichier de sortie où les journaux d'exécution seront écrits. Dans le nom du fichier, le texte [TIMESTAMP] sera remplacé par l'heure de début de l'exécution.

Indicateurs de déchiffrement

Option Description
-action decrypt Facultatif. Indique que le mode de l'utilitaire consiste à déchiffrer les fichiers chiffrés côté client. Il s'agit du mode par défaut.
-email <email_address> Facultatif. Adresse e-mail pouvant être préremplie dans l'écran d'authentification IdP qui s'ouvre dans le navigateur.
-issuer <uri> Obligatoire, sauf si elle figure dans le fichier de configuration. URI de découverte de l'émetteur OAuth pour le fournisseur d'identité, par exemple, https://accounts.google.com. Pour en savoir plus, consultez Se connecter au fournisseur d'identité pour le chiffrement côté client.
-client_id <oauth_client_id> Obligatoire, sauf si elle figure dans le fichier de configuration. ID client OAuth provenant du fournisseur d'identité spécifié dans l'indicateur -issuer. Pour en savoir plus, consultez Se connecter au fournisseur d'identité pour le chiffrement côté client.
-client_secret <oauth_client_secret> Facultatif, bien que certains IdP puissent l'exiger. Partie du code secret du client OAuth correspondant à l'ID client spécifié dans l'indicateur -client_id.
-pkce
-nopkce		 Active ou désactive la clé de vérification pour l'échange de code (PKCE) dans le flux d'attribution du code d'autorisation. Si aucun de ces indicateurs n'est spécifié, l'utilitaire de déchiffrement active cette option par défaut.
-input <directory_or_file>

Obligatoire. Répertoire d'entrée ou fichier d'exportation.

Si vous indiquez un répertoire, l'utilitaire de déchiffrement parcourt toute l'arborescence des répertoires de manière récursive, afin de trouver tous les fichiers chiffrés côté client qui ont été exportés. Cette option permet de déchiffrer par lot tous les fichiers exportés à partir d'une archive d'exportation décompressée.

Si vous indiquez un seul fichier chiffré côté client ayant été exporté, le déchiffrement ne portera que sur ce fichier. S'il ne s'agit pas d'un fichier chiffré côté client, l'utilitaire de déchiffrement vous demandera de vous authentifier auprès de l'IdP, mais ne déchiffrera aucun fichier.
-output <directory> Obligatoire. Répertoire dans lequel les fichiers déchiffrés seront enregistrés.
-overwrite
-nooverwrite		 Permet d'activer ou de désactiver l'écrasement des fichiers de sortie déchiffrés en texte clair. Si cette règle est désactivée (valeur par défaut), l'utilitaire de déchiffrement ne traite pas les fichiers de texte chiffré si le fichier en texte clair existe déjà.
-workers <integer>

Facultatif. Nombre de nœuds de calcul de déchiffrement en parallèle. Si vous n'utilisez pas cet indicateur, l'outil de chiffrement utilise par défaut le nombre de cœurs de processeur et d'hyper-threads indiqués par le système d'exploitation.

Si votre ordinateur rencontre des problèmes de performances ou que vous recevez une erreur de traitements multiples lors du déchiffrement des fichiers, vous pouvez définir cet indicateur sur "1" pour désactiver les traitements en parallèle.
-config <file>

Facultatif. Fichier de configuration contenant des valeurs d'indicateurs enregistrées. Utilisez un fichier de configuration pour éviter de coller les mêmes indicateurs de ligne de commande chaque fois que vous déchiffrez des fichiers. Pour en savoir plus, consultez Indicateurs disponibles pour créer une configuration et Indicateurs disponibles pour modifier une configuration ci-dessous.

Les valeurs d'indicateurs définies dans la ligne de commande prévalent sur les valeurs de la configuration.

Remarque : Si vous spécifiez un fichier dans la configuration et qu'il est introuvable, une erreur se produit.
-credential <file> Facultatif. Indiquez un fichier JSON contenant une clé privée de compte de service au niveau du domaine. Ainsi, le déchiffrement des messages Gmail chiffrés côté client enverra à l'API Gmail une requête concernant les certificats S/MIME et les métadonnées du service de liste de contrôle d'accès aux clés (KACLS) de chaque utilisateur.

Indicateurs disponibles pour créer une configuration

Utilisez ces indicateurs pour enregistrer dans un fichier de configuration les indicateurs de ligne de commande fréquemment utilisés pour le déchiffrement, afin de pouvoir les réutiliser. Un fichier de configuration est au format JSON, qui contient du texte lisible.

Option Description
-action createconfig Obligatoire. Ignore le mode d'exécution par défaut et exécute le mode de modification du fichier de configuration.
-config file Obligatoire. Spécifiez le nom du fichier de sortie où vous souhaitez enregistrer la configuration. Si le fichier existe déjà, il sera écrasé sans avertissement.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce		 Facultatif. Toutes les valeurs d'indicateurs spécifiées seront enregistrées dans le fichier de configuration pour être réutilisées.

Indicateurs disponibles pour modifier une configuration

Utilisez ces indicateurs pour modifier les valeurs d'indicateurs dans un fichier de configuration.

Option Description
-action updateconfig Obligatoire. Ignore le mode d'exécution par défaut et exécute le mode de modification du fichier de configuration.
-config file Obligatoire. Fichier de configuration que vous souhaitez modifier. Si le fichier n'existe pas, une erreur se produit.
-email <email_address>
-discovery_uri <uri>
-client_id <oauth_client_id>
-client_secret <oauth_client_secret>
-pkce
-nopkce

Tous facultatifs. Les valeurs d'indicateurs que vous spécifiez sur la ligne de commande sont ignorées. Toutes les autres valeurs d'indicateurs présentes dans la configuration sont conservées. Pour désactiver un indicateur enregistré, spécifiez une valeur vide.

Remarque : Si une modification altère le format JSON, une erreur risquera de se produire lorsque vous utiliserez la configuration dans l'utilitaire de déchiffrement.

Flags informatifs

Utilisez ces flags pour imprimer des informations lisibles sur les fichiers chiffrés côté client.

Option Description
-action info (Obligatoire) Remplace le mode d'exécution par défaut par lemode informatif
-input directory_or_file

(Obligatoire) Spécifie le répertoire d'entrée ou le fichier d'exportation

Si vous indiquez un répertoire, l'utilitaire analyse toute l'arborescence des répertoires de manière récursive afin de trouver tous les fichiers d'exportation chiffrés côté client. Si vous spécifiez un fichier, l'utilitaire fournit des informations uniquement pour ce fichier.

Vous pouvez répéter cet indicateur pour spécifier des répertoires ou des fichiers d'entrée supplémentaires. Exemple :

$ decrypter -action=info -input=file1.gcse -input=file2.gcse -input=file3.gcse