Plus de sécurité sur le Web : la signature numérique des emails

Envoyer un email avec une fausse adresse ? C’est aujourd’hui très simple. Il existe peu de barrières pour les fraudeurs et hackers sur le Web. En effet, de nom­breuses en­tre­prises ne prennent pas les mesures adéquates pour renforcer leur sécurité lors de l’envoi d’emails, notamment lorsqu’il s’agit de documents sensibles comme par exemple des bons de commandes : cet usage est donc une porte ouverte pour les criminels. Cela augmente fortement le risque d’être victime d’un ha­me­çon­nage (phishing), technique re­dou­table qui se répand de plus en plus sur Internet ces dernières années. En effet, les fraudeurs envoient des emails en usurpant l’identité d’une en­tre­prise, d’un organisme ou d’une personne, dans le but de faire croire à la victime qu’elle s’adresse à un tiers digne de confiance, afin d’obtenir des données con­fi­den­tielles, notamment des in­for­ma­tions bancaires.

La meilleure solution pour sécuriser vos emails est l’uti­li­sa­tion des sig­na­tures nu­mé­riques. En effet les emails signés élec­tro­ni­que­ment donnent l’assurance au des­ti­na­teur que l’ensemble du contenu n’a été ni manipulé ni réédité, et que l’ex­pé­di­teur est bien celui qu’il prétend être.

La signature élec­tro­nique ne doit pas être confondue avec la signature classique d’un email, soit celle qui est dé­fi­nis­sable dans les pro­grammes de mes­sa­ge­rie élec­tro­nique. Même si le nom est similaire, la signature classique fait référence à une simple signature textuelle au bas d’un email, qui apparaît sous une forme similaire à une signature manuelle et qui comprend en général les coor­don­nées de l’ex­pé­di­teur : le nom, l’adresse, le numéro de téléphone etc. Tout le monde peut copier ce type de signature qui cor­res­pond davantage à une formule de politesse qui clôture un email, et n’est donc pas une preuve d’au­then­ti­cité. Au contraire, une signature numérique est une technique dont le but est de sécuriser l’email ; elle comporte gé­né­ra­le­ment trois al­go­rithmes :

• Un al­go­rithme de gé­né­ra­tion de clé (res­pon­sable de la sélection aléatoire d’une clé privée et d’une clé publique cor­res­pon­dante)
• Un al­go­rithme de signature (génère la signature quand elle est présentée avec le message et la clé privée) 
• Un al­go­rithme de vé­ri­fi­ca­tion de signature (res­pon­sable de la va­li­da­tion ou du rejet des re­ven­di­ca­tions de l’au­then­ti­cité)

Il faut souligner que la valeur légale de la signature élec­tro­nique est dif­fé­rente d’un pays à l’autre. Toutefois, il existe désormais une lé­gis­la­tion eu­ro­péenne qui oblige les membres de l’Union à fournir des listes d’autorités de cer­ti­fi­ca­tion de confiance. De plus, depuis 2016, la signature numérique est reconnue du fait de la mise en ap­pli­ca­tion du règlement eiDAS (iden­ti­fi­ca­tion élec­tro­nique et services de confiance). Ce règlement instaure un cadre européen en matière d’iden­ti­fi­ca­tion élec­tro­nique. Ainsi, la signature numérique bénéficie désormais du même statut que son équi­valent manuscrit. Vous pouvez retrouver les détails et les ex­pli­ca­tions du règlement eiDAS sur le site Internet de l’ANSSI

Si vous souhaitez réaliser une signature numérique d’un email, vous devez d’abord savoir qu’il existe deux normes standards : S/MIME et OpenPGP. Les deux fonc­tion­nent sur le même principe de base, mais elles utilisent des formats de données dif­fé­rents. Seuls quelques logiciels prennent si­mul­ta­né­ment en charge les deux formats.

Le principe de base pour la création d’une signature élec­tro­nique est le concept de chif­fre­ment asy­mé­trique. En effet, l’ex­pé­di­teur reçoit deux clés de l’al­go­rithme de gé­né­ra­tion de clés : une privée et une publique. Le programme de mes­sa­ge­rie de l’ex­pé­di­teur crée alors au­to­ma­ti­que­ment une somme de contrôle du contenu du courrier, il crypte la somme de contrôle avec la clé privée et l’attache à l’email.

La clé publique est soit envoyée avec l’email en pièce jointe ou alors le des­ti­na­taire peut l’obtenir via un ré­per­toire public. Le programme de mes­sa­ge­rie du des­ti­na­taire, déchiffre ensuite la somme de contrôle, la recalcule et vérifie les résultats. Si les résultats cor­res­pon­dent, vous pouvez alors être certains que le message a bien été signé avec une clé privée qui cor­res­pond à la clé publique. L’au­then­ti­fi­ca­tion est donc validée et l’email n’a pas été manipulé.

Une condition préalable à l’uti­li­sa­tion de sig­na­tures nu­mé­riques est de con­fi­gu­rer en con­sé­quence votre client de mes­sa­ge­rie. Si c’est déjà le cas, alors les opé­ra­tions décrites ci-dessus s’exécutent au­to­ma­ti­que­ment en arrière-plan. Pour trouver des in­for­ma­tions dé­tail­lées sur l’ins­tal­la­tion et la con­fi­gu­ra­tion de votre client de mes­sa­ge­rie, vous pouvez consulter par exemple les pages de support de Microsoft Outlook ou de Mozilla Thun­der­bird.

Comment associer clai­re­ment la clé publique à l’ex­pé­di­teur ?

Cette procédure que nous venons de voir n’est bien évi­dem­ment utile que si le des­ti­na­taire peut clai­re­ment iden­ti­fier l’ex­pé­di­teur. Une autorité de cer­ti­fi­ca­tion of­fi­cielle (CA, Cer­ti­fi­ca­tion Authority) ne fournit la clé qu’après iden­ti­fi­ca­tion de l’ex­pé­di­teur : il est donc né­ces­saire de recevoir un cer­ti­fi­cat avant de pouvoir valider la clé. Comme le système du des­ti­na­taire doit re­con­naître la clé pour assurer l’au­then­ti­cité du cer­ti­fi­cat, ces in­for­ma­tions doivent être té­lé­char­gées et ins­tal­lées avec l’autorité de cer­ti­fi­ca­tion. Le programme de mes­sa­ge­rie prend ensuite en charge au­to­ma­ti­que­ment l’au­then­ti­fi­ca­tion.

La paire de clés utilisée pour signer nu­mé­ri­que­ment les emails doit être vérifiée par une autorité de cer­ti­fi­ca­tion. Cette autorité vérifie et confirme l’identité du demandeur. Il existe dif­fé­rents niveaux de qualité des cer­ti­fi­cats. Selon le procédé et la rigueur de la vé­ri­fi­ca­tion de l’identité, vous recevrez des cer­ti­fi­cats de niveau 1, 2 ou 3.

• Cer­ti­fi­cat de niveau 1 : avec le cer­ti­fi­cat de niveau 1, seule l’adresse email du titulaire est vérifiée. En effet, le demandeur reçoit sim­ple­ment un email de l’autorité de cer­ti­fi­ca­tion qu’il doit confirmer.

• Cer­ti­fi­cat de niveau 2 : avec le cer­ti­fi­cat de classe 2, l’autorité de cer­ti­fi­ca­tion garantit que l’or­ga­ni­sa­tion ou la personne existe. En effet, le demandeur doit envoyer une copie d’une carte d’identité ou tout autre document pour prouver son identité.

• Cer­ti­fi­cat de niveau 3 : avec le cer­ti­fi­cat de classe 3, l’autorité de cer­ti­fi­ca­tion demande au demandeur de venir en personne, avec une carte d‘identité, le plus souvent dans un bureau de poste. C’est la procédure d’iden­ti­fi­ca­tion la plus stricte.

Les cer­ti­fi­cats décrits plus haut sont gé­né­ra­le­ment émis pour une adresse élec­tro­nique, c’est à dire pour un ex­pé­di­teur. En théorie, il faut un cer­ti­fi­cat distinct pour chaque personne d’une en­tre­prise.

Cependant il existe des cer­ti­fi­cats spéciaux, les cer­ti­fi­cats pour les équipes ou pour une même en­tre­prise. Ce cer­ti­fi­cat est valable pour toutes les adresses emails d’un même domaine de mes­sa­ge­rie (@en­tre­prise.fr). Cependant, bien que l’uti­li­sa­tion de ce type de cer­ti­fi­cat existe désormais au niveau in­ter­na­tio­nal, certains clients de mes­sa­ge­rie, comme ceux d’Outlook Express, ne peuvent toujours pas les gérer cor­rec­te­ment. En effet, Microsoft Outlook invalide le cer­ti­fi­cat et émet un message d’erreur lors de la réception du cer­ti­fi­cat.

Une signature élec­tro­nique doit remplir certaines con­di­tions. La plupart des pro­grammes, dont Outlook, vérifient au­to­ma­ti­que­ment ces con­di­tions lorsqu’un email avec une signature numérique est envoyé ou reçu et notifie l’uti­li­sa­teur si toutes les con­di­tions ne sont pas remplies, ce qui signifie que l’intégrité de la signature ne peut pas encore être garantie. La signature numérique est toujours associée à un cer­ti­fi­cat, il est donc important de s’assurer que le cer­ti­fi­cat est bien valide et actuel. Le cer­ti­fi­cat doit aussi provenir d’une autorité de cer­ti­fi­ca­tion approuvée. Certains pro­grammes d’emails offrent leurs propres solutions, et il existe aussi de nom­breuses autorités de cer­ti­fi­ca­tions. Voici ci-dessous une courte liste de liens de CA (autorité de cer­ti­fi­ca­tion) :

• Glo­bal­Sign
• CAcert
• StartSSL

Les sig­na­tures nu­mé­riques des emails sont souvent utilisées en com­bi­nai­son avec le chif­fre­ment d’email, mais les deux fonc­tion­nent in­dé­pen­dam­ment l’un de l’autre. La signature d’un email au niveau numérique signifie d’apposer un sceau élec­tro­nique pour garantir l‘au­then­ti­cité de l’ex­pé­di­teur, et protège ainsi l’email de la mal­ver­sa­tion ou de la fal­si­fi­ca­tion. Cependant, l’email peut tout de même être lu par un tiers lors de son ache­mi­ne­ment. La signature numérique protège le contenu : ce dernier ne peut être édité, supprimé ou falsifié, mais il peut tout de même être lu et in­ter­prété.

C’est pourquoi le cryptage d’un email est une étape sup­plé­men­taire de pro­tec­tion. Avec ce système, le contenu de l’email est encore mieux protégé et ne peut pas être lu pendant son transport : seule la personne disposant de la clé requise peut en­tiè­re­ment dé­chif­frer le contenu du message. Cette technique rend bien évi­dem­ment la com­mu­ni­ca­tion par email beaucoup plus sûre et digne de confiance. Pour de plus amples in­for­ma­tions sur le cryptage et sur l’uti­li­sa­tion du logiciel PGP (Pretty Good Privacy), vous pouvez lire notre article sur ce sujet dans notre guide digital.