GPG vs PGP : quelle est la différence ? (2026)

« GPG vs PGP » est l’une des comparaisons les plus déroutantes en sécurité — parce que ce ne sont pas vraiment des concurrents. Ce sont trois couches de la même famille que l’on emploie comme synonymes. Ce guide les démêle simplement : ce que sont PGP, OpenPGP et GPG, comment ils s’articulent, et lequel vous utilisez réellement en 2026.

La réponse courte

• PGP (Pretty Good Privacy) est le programme de chiffrement d’origine, créé par Phil Zimmermann en 1991. Le nom désigne aujourd’hui un produit commercial (ses droits ont changé de mains plusieurs fois).
• OpenPGP est la norme ouverte (RFC 4880, mise à jour par la RFC 9580) qui définit le format et les algorithmes — pour que des programmes différents soient interopérables.
• GPG / GnuPG (GNU Privacy Guard) est l’implémentation libre et open-source de la norme OpenPGP — celle que la plupart des gens, des outils et des systèmes Linux utilisent réellement.

La formulation honnête est donc : PGP est l’origine, OpenPGP est la norme, GPG est l’outil libre que vous exécutez. Ils sont compatibles parce qu’ils parlent tous OpenPGP.

Comment ils s’articulent

Voyez ça comme l’e-mail lui-même : il y a eu une idée d’origine, puis une norme publiée, puis de nombreux programmes qui l’implémentent. Avec le chiffrement :

1. PGP a prouvé l’idée en 1991 et est devenu célèbre (et juridiquement attaqué) pour avoir apporté la cryptographie à clé publique forte aux gens ordinaires.
2. Pour que d’autres logiciels soient interopérables, le format a été normalisé sous le nom d’OpenPGP.
3. GnuPG (GPG) a été écrit comme une implémentation libre de cette norme, sans code propriétaire — d’où son adoption par défaut partout, de la signature des paquets Linux à l’e-mail chiffré.

Comment ça marche réellement (la partie qui compte)

Tous reposent sur le même modèle : le chiffrement à clé publique (asymétrique). Vous avez une paire de clés — une clé publique que vous partagez, et une clé privée que vous gardez secrète.

• Pour vous envoyer un message chiffré, on utilise votre clé publique ; seule votre clé privée peut le déchiffrer.
• Pour prouver qu’un message vient bien de vous, vous le signez avec votre clé privée, et n’importe qui peut le vérifier avec votre clé publique.

C’est exactement le socle de chiffrement décrit dans qu’est-ce que le chiffrement — GPG/PGP en est l’une des applications réelles les plus importantes.

À quoi ça sert

• E-mail chiffré — l’usage classique ; expéditeur et destinataire échangent leurs clés publiques.
• Chiffrer des fichiers — chiffrer un fichier pour soi ou pour un destinataire avant de le stocker ou de l’envoyer.
• Signature — les projets logiciels signent leurs versions pour qu’on puisse vérifier qu’elles sont authentiques et non altérées (les distributions Linux s’appuient massivement dessus).

Alors lequel choisir ?

Pour la quasi-totalité des gens : utilisez GPG (GnuPG). Il est gratuit, open-source, activement maintenu, disponible sur Linux, macOS et Windows (Gpg4win), et pleinement compatible OpenPGP — il interopère donc avec tout ce qui s’annonce « PGP ». Vous ne touchez au produit commercial « PGP » que si une organisation s’est spécifiquement standardisée dessus.

La nuance honnête : GPG brut a une courbe d’apprentissage raide et la gestion des clés est facile à rater. Pour l’e-mail privé du quotidien, beaucoup sont mieux servis par un service qui gère OpenPGP à leur place.

En résumé

GPG et PGP ne sont pas des rivaux : PGP est le programme d’origine devenu nom commercial, OpenPGP est la norme ouverte qui rend l’interopérabilité possible, et GPG (GnuPG) est l’implémentation libre que vous exécutez réellement. Tous utilisent le même modèle de clé publique/privée. En 2026, choisissez GPG pour un usage pratique — ou un service basé sur OpenPGP comme un fournisseur d’e-mail chiffré si vous voulez la protection sans la ligne de commande. Pour le panorama complet, voir qu’est-ce que le chiffrement et les options de meilleur e-mail sécurisé.

Questions fréquentes

GPG, c’est pareil que PGP ?

Pas exactement, mais ils sont compatibles. PGP est le programme de chiffrement d’origine (et aujourd’hui un produit commercial) ; GPG (GnuPG) est un programme distinct, libre et open-source, qui implémente la même norme OpenPGP. Comme tous deux suivent OpenPGP, un message chiffré avec l’un peut être déchiffré avec l’autre. Dans le langage courant on dit « PGP » pour désigner la technique, mais l’outil qu’on exécute est presque toujours GPG.

GPG est-il gratuit ?

Oui. GnuPG (GPG) est un logiciel libre et open-source, disponible gratuitement sur Linux, macOS (via des outils comme GPG Suite) et Windows (Gpg4win). C’est une grande raison pour laquelle il est devenu l’implémentation par défaut d’OpenPGP, utilisée partout, de l’e-mail chiffré à la signature des versions logicielles.

PGP/GPG est-il encore sûr en 2026 ?

La cryptographie à clé publique sous-jacente reste solide quand on l’utilise avec des algorithmes et des tailles de clés modernes. Les vraies faiblesses sont pratiques : mauvaise gestion des clés, clés privées perdues ou non protégées, et métadonnées (PGP/GPG chiffre le contenu du message, pas qui vous écrivez ni quand). Bien utilisé, il reste fiable ; pour la plupart des gens, un service d’e-mail chiffré audité réduit le risque d’erreurs dangereuses.

Faut-il utiliser la ligne de commande pour utiliser GPG ?

Pas forcément. GPG est en lui-même un outil en ligne de commande, mais des interfaces graphiques (Kleopatra sur Windows/Linux, GPG Suite sur macOS) et des extensions e-mail le rendent utilisable sans taper de commandes. Et si vous préférez ne pas gérer de clés du tout, un service d’e-mail basé sur OpenPGP s’occupe du chiffrement pour vous derrière une boîte mail normale.