S/MIME pour la signature et le chiffrement des messages

Lorsque vous envoyez un email, vous voulez que le message arrive non modifié auprès du destinataire souhaité et qu’il ne puisse être lu que par ce dernier. Si vous recevez vous-même un message électronique, vous voulez également que le contenu ne soit pas lu ou même manipulé par des tiers. De plus, l’expéditeur spécifié devrait également être l’expéditeur réel du message et ne pas simplement prétendre être l’expéditeur. Cependant, ces souhaits ne peuvent être réalisés qu’avec le cryptage et les signatures électroniques ; sans eux, les cybercriminels ont la voie libre malgré la protection anti-spam et les logiciels antivirus. Une procédure standard, à l’aide de laquelle les deux éléments de sécurité peuvent être utilisés, est le S/MIME défini en 1999.

Adresse email professionnelle
Découvrez une nouvelle façon de traiter vos emails
  • Adresse email à votre nom
  • Fonctions d'IA pour rédiger des emails parfaits (en option)
  • Messagerie sécurisée avec protection anti-spam

Qu’est-ce que S/MIME?

Dans la RFC 1847, deux extensions de sécurité ont été spécifiées pour la norme d’email MIME (Multipurpose Internet Mail Extension). Le format multipart/signé pour la signature des messages et le format multipart/crypté pour leur cryptage. 4 ans plus tard, l’IEFT (Internet Engineering Tasking Force) a publié l’extension MIME S/MIME décrite dans la spécification RFC 2633 : une norme qui supporte le premier format de signature.

Pour le cryptage, cependant, la procédure utilise sa propre solution application/pkcs7-mime. Vous pouvez choisir librement si un mail avec S/MIME doit être uniquement chiffré, signé ou bien si les deux opérations doivent être appliquées.

Le cryptage S/MIME et la signature est possible sur tous les clients de messagerie courants, comme par exemple Microsoft Outlook, Thunderbird ou Apple Mail. Une alternative bien connue, qui prend en charge aussi bien multipart/signé que multipart/chiffré est l’OpenPGP.

Comment fonctionne le chiffrement et la signature S/MIME ?

S/MIME est basée sur une méthode de chiffrement asymétrique et utilise donc une paire de clés composée d’une clé privée et d’une clé publique. Alors que la clé publique est partagée avec tous les contacts par courriel, la clé privée n’est ouverte qu’à l’utilisateur. Il est utilisé à la fois pour envoyer des messages chiffrés en combinaison avec la clé publique du destinataire et pour décrypter les messages reçus. Avec un certificat S/MIME, le client de messagerie peut générer et échanger des clés, un tel certificat peut être obtenu auprès de différents fournisseurs.

Pour que le chiffrement des courriers électroniques fonctionne, chaque message S/MIME est précédé de l’information d’en-tête qui fournit au client destinataire l’information nécessaire pour saisir et traiter le contenu. Entre autres, le type de contenu (par exemple « enveloped-data » pour les données chiffrées), le nom de fichier correspondant (par exemple smime.p7m pour les données signées ou chiffrées) ou la forme d’encodage sont spécifiés. Un en-tête possible d’un email chiffré ressemble à ce qui suit :

Content-Type: application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=smime.p7m

La signature S/MIME, qui peut être automatiquement épinglée à un email, est pratique pour plusieurs raisons : elle envoie la clé publique pour une communication sécurisée au destinataire, qui peut également vous envoyer des messages avec un contenu chiffré. La signature prouve également au destinataire que l’email a bien été envoyé par vous. Contrairement à PGP, l’ajout d’une signature n’entraîne pas l’apparition de caractères cryptiques. Si le client de réception détecte des incohérences lors de la vérification de la signature reçue, la légitimité du message n’est pas confirmée, ce qui permet à l’utilisateur de conclure que les données ont été manipulées.

Note

si aucune signature numérique n’est utilisée, la clé publique peut être partagée par d’autres moyens, par exemple en la publiant sur un serveur de clés ou sur votre propre site Web ou en la partageant sous forme de fichier sur un support de stockage externe.

Comment puis-je obtenir un certificat S/MIME pour mon propre trafic d’email ?

Comme nous l’avons déjà mentionné, l’utilisation de S/MIME nécessite un certificat (X.509). En principe, il est possible d’en créer un vous-même, cependant, vous avez d’abord besoin d’un certificat racine, que vous devez également générer dans ce cas. De plus, tous les partenaires de communication doivent d’abord importer ce certificat racine avant que l’échange de clés puisse être initié. La solution la plus simple et la moins compliquée est l’achat d’un certificat auprès d’un organisme de certification officiel, avec des offres payantes et gratuites. La classification des certificats disponibles dans les trois classes suivantes est typique :

  • Classe 1 : le certificat délivré par l’autorité de certification garantit l‘authenticité de l’adresse électronique fournie.
     
  • Classe 2 : le certificat garantit l’authenticité de l’adresse email spécifiée et du nom correspondant. En outre, le cas échéant, la société est également confirmée. Les informations sont vérifiées à l’aide de bases de données de tiers ou de copies de carte d’identité.
     
  • Classe 3 : les certificats de classe 3 diffèrent des certificats de classe 2 en ce que le demandeur doit s’identifier personnellement.

Si vous souhaitez crypter vos mails avec S/MIME et que vous recherchez un certificat, vous ne devez pas perdre de vue sa fonction principale : il est conçu pour sécuriser vos communications électroniques en empêchant l’interception et la manipulation du contenu des messages. C’est pourquoi, lors du choix d’un fournisseur, il est prioritaire de prêter attention à la fiabilité et au sérieux.

Sectigo est un service recommandable, dont les certificats sont reconnus par 99% des clients de messagerie électronique. L’autorité de certification, particulièrement connue pour les certificats SSL de haute qualité, propose des certificats à usage privé (à partir de 16,99 dollars par an), ou à usage professionnel (à partir de 39,99 dollars par an) avec lesquels il est possible de mettre en œuvre le chiffrement sécurisé de bout en bout avec S/MIME. L’hébergeur italien Actalis est aussi une option fiable pour générer des certificats gratuits.

Comment configurer S/MIME dans votre programme de messagerie électronique

Pour intégrer la procédure de sécurité du courrier électronique dans votre client de messagerie, vous avez logiquement besoin du certificat S/MIME, la recherche de fournisseurs est donc la première étape vers une boîte aux lettres sécurisées. Ensuite, il est nécessaire de créer et d’installer un certificat personnalisé. La procédure exacte varie légèrement, mais elle est fondamentalement similaire pour tous les fournisseurs. Après l’installation, configurez le programme de messagerie électronique respectif de sorte qu’il utilise S/MIME et le certificat intégré à cette fin. Habituellement, le processus d’installation est complété par le redémarrage du client, après quoi des fonctions spécifiques pour le chiffrement manuel ou automatique ou la signature des messages sont activées.

Dans les sections suivantes, vous trouverez des instructions détaillées sur la configuration de S/MIME sur les systèmes de bureau Windows et macOS et sur les systèmes mobiles iOs et Android. Le service de certificat gratuit de l’hébergeur Web Actalis est utilisé comme exemple d’autorité de certification.

Configurer S/MIME sous Windows : fonctionnement

Si vous utilisez la technologie S/MIME sur un PC Windows, mais ne voulez pas investir d’argent dans Outlook ou Microsoft Office, vous pouvez utiliser l’alternative gratuite Thunderbird qui, comme le navigateur Firefox, provient de Mozilla. Si vous n’avez pas encore installé le client et créé un compte, vous devriez le faire dans la première étape. Suivez ensuite ces étapes pour activer le chiffrement S/MIME et la signature pour ce compte :

  1. Rendez-vous sur le site Web d’Actalis et ouvrez grâce au lien « Free S/MIME certificates » une requête de certificat S/MIME gratuit.
     
  2. Dans le formulaire qui s’ouvre, entrez l’adresse Email pour laquelle vous souhaitez générer un certificat et cliquez sur « SEND VERIFICATION EMAIL ». Actalis vous enverra ensuite sur cette adresse Email un code d’inscription à usage unique. Collez ce code dans l’encart « verification code » et recopiez les caractères du captcha dans le champ correspondant.
  1. Dans un deuxième temps, confirmez que vous acceptez les conditions générales d’utilisation, ainsi que les conditions spécifiques liées à l’utilisation d’un certificat S/mime en cochant les cases correspondantes. La troisième case confirme que vous avez lu les informations ci-dessus et que vous acceptez l’utilisation des données prévues par Actalis. Vous pouvez toutefois refuser que vos données soient collectées à des fins marketing en cochant la case « I do not consent ». Cliquez ensuite sur « SUBMIT REQUEST » pour confirmer la demande.
  1. Votre navigateur affiche ensuite le mot de passe personnel valide pour utiliser le certificat S/mime (qui sera envoyé à l’adresse Email que vous avez enregistrée). Comme ce mot de passe ne vous sera envoyé nulle part ailleurs, il est recommandé de le noter immédiatement ou d’imprimer la page.
     
  2. Si vous souhaitez l’utiliser dans Thunderbird, vous devez d’abord télécharger le certificat depuis votre boîte de réception et le décompresser dans le dossier de votre choix, car il s’agit d’un fichier ZIP.
     
  3. Démarrez ensuite Thunderbird et ouvrez les paramètres de compte. Dans le menu « Sécurité », le bouton « Gérer les certificats » vous amène au menu correspondant.
  1. Choisissez l’onglet « Vos certificats » et importez le certificat précédemment enregistré en cliquant sur « Importer » et en le sélectionnant. Ensuite, entrez votre mot de passe pour finaliser le processus.
     
  2. Dans le menu de sécurité, vous pouvez maintenant sélectionner le certificat S/MIME pour le cryptage et la signature. En outre, vous avez la possibilité de définir la signature numérique comme valeur par défaut et de rendre le cryptage obligatoire en sélectionnant l’option « Nécessaires » sous « Paramètres de cryptage par défaut lors de l’envoi de messages ». Si vous écrivez un email, vous pouvez également sélectionner ou désélectionner les procédures individuellement en utilisant le bouton S/MIME dans la barre d’outils :

Comment fonctionne l‘installation S/MIME sous macOS et iOS

Avec le client interne « Mail », les appareils Apple ont déjà installé une solution qui, contrairement au programme standard de Microsoft, permet de chiffrer et de signer les emails avec S/MIME dès le début. Si vous avez un compte de messagerie, vous pouvez créer un certificat directement chez Actalis sans avoir à installer un autre programme. La procédure est la même que sous Windows : allez sur le site Web d’Actalis, puis créez le certificat sur la base de vos données personnelles. Ensuite, procédez comme suit pour installer le certificat et configurer le chiffrement S/MIME.

  1. Ouvrez l’Email envoyé par Actalis et téléchargez le certificat dans le dossier de votre choix. Le fichier reçu peut être ouvert directement sous macOS en double-cliquant, puis ajouté à la gestion du porte-clés. Si vous souhaitez également utiliser S/MIME sur iPhone ou iPad, vous devez d’abord convertir le certificat au format .p12 via la gestion du porte-clés. Vous pouvez ensuite l’envoyer à votre appareil mobile par email.
  1. Après l’installation, il vous suffit de démarrer ou redémarrer Apple Mail pour intégrer le processus de chiffrement et signature.
     
  2. Vous pouvez maintenant tester S/MIME en vous envoyant un message chiffré et signé. Pour cela, vous trouverez deux boutons correspondants dans la fenêtre email (serrure pour le chiffrement, roue dentée pour la signature). Les deux icônes peuvent également être trouvées dans une ligne supplémentaire sous l’objet du message de test si le chiffrement et la signature fonctionnent comme souhaité.

Comment configurer S/MIME pour votre appareil Android

Comme Windows, Android ne dispose pas de son propre client pour l‘intégration de S/MIME. Cependant, il existe plusieurs applications qui prennent en charge le processus et peuvent être téléchargées à partir de la boutique Google Play Store. Parmi les solutions gratuites se trouve l’application MailDroid (dans la version Pro, sans publicité contre des frais). Comme c’était déjà le cas lors de la configuration du cryptage S/MIME et de la signature sous Windows et macOS, vous avez d’abord besoin d’un certificat valide, que vous pouvez générer de la manière déjà expliquée. Les prochaines étapes sont les suivantes :

  1. MailDroid dispose déjà de boutons intégrés pour crypter et signer vos emails par défaut. Pour utiliser ces fonctions, vous avez besoin du plugin gratuit FlipdogSolutions Crypto Plugin, que vous devez télécharger dans la première étape.
  1. Vous pouvez utiliser le plugin pour importer votre certificat généré. Pour ce faire, ouvrez le menu « importer le certificat » et sélectionnez le fichier correspondant.

  1. Revenez à MailDroid et ouvrez le menu « Paramètres ». Sous le point de menu « Cryptage plug-in », vous pouvez maintenant spécifier le certificat et la configuration S/MIME souhaitée. Par exemple, cochez la case pour décider si le cryptage et la signature doivent être effectués par défaut ou non pour utiliser le cryptage si l’une des parties n’a pas la clé nécessaire.
  1. Si vous écrivez maintenant des messages, le cryptage et la signature sont ajoutés automatiquement, à condition que vous ayez choisi cette variante à l’étape précédente. Sinon, vous pouvez utiliser les boutons déjà mentionnés à la fin de la fenêtre de message pour activer les mécanismes de protection. Si le codage et la signature ne fonctionnent pas, par exemple parce que le certificat ou une clé est invalide ou a expiré, MailDroid l’affiche clairement.
Email Microsoft Exchange
  • La solution email la plus populaire au monde
  • Hébergement sécurisé
  • Accès mobile permanent via Microsoft Outlook
Cet article vous a-t-il été utile ?
Page top