Plus de sécurité sur le Web : la signature numérique des emails

Envoyer un email avec une fausse adresse ? C’est aujourd’hui très simple. Il existe peu de barrières pour les fraudeurs et hackers sur le Web. En effet, de nombreuses entreprises ne prennent pas les mesures adéquates pour renforcer leur sécurité lors de l’envoi d’emails, notamment lorsqu’il s’agit de documents sensibles comme par exemple des bons de commandes : cet usage est donc une porte ouverte pour les criminels. Cela augmente fortement le risque d’être victime d’un hameçonnage (phishing), technique redoutable qui se répand de plus en plus sur Internet ces dernières années. En effet, les fraudeurs envoient des emails en usurpant l’identité d’une entreprise, d’un organisme ou d’une personne, dans le but de faire croire à la victime qu’elle s’adresse à un tiers digne de confiance, afin d’obtenir des données confidentielles, notamment des informations bancaires.

La meilleure solution pour sécuriser vos emails est l’utilisation des signatures numériques. En effet les emails signés électroniquement donnent l’assurance au destinateur que l’ensemble du contenu n’a été ni manipulé ni réédité, et que l’expéditeur est bien celui qu’il prétend être.

La signature électronique ne doit pas être confondue avec la signature classique d’un email, soit celle qui est définissable dans les programmes de messagerie électronique. Même si le nom est similaire, la signature classique fait référence à une simple signature textuelle au bas d’un email, qui apparaît sous une forme similaire à une signature manuelle et qui comprend en général les coordonnées de l’expéditeur : le nom, l’adresse, le numéro de téléphone etc. Tout le monde peut copier ce type de signature qui correspond davantage à une formule de politesse qui clôture un email, et n’est donc pas une preuve d’authenticité. Au contraire, une signature numérique est une technique dont le but est de sécuriser l’email ; elle comporte généralement trois algorithmes :

• Un algorithme de génération de clé (responsable de la sélection aléatoire d’une clé privée et d’une clé publique correspondante)
• Un algorithme de signature (génère la signature quand elle est présentée avec le message et la clé privée) 
• Un algorithme de vérification de signature (responsable de la validation ou du rejet des revendications de l’authenticité)

Il faut souligner que la valeur légale de la signature électronique est différente d’un pays à l’autre. Toutefois, il existe désormais une législation européenne qui oblige les membres de l’Union à fournir des listes d’autorités de certification de confiance. De plus, depuis 2016, la signature numérique est reconnue du fait de la mise en application du règlement eiDAS (identification électronique et services de confiance). Ce règlement instaure un cadre européen en matière d’identification électronique. Ainsi, la signature numérique bénéficie désormais du même statut que son équivalent manuscrit. Vous pouvez retrouver les détails et les explications du règlement eiDAS sur le site Internet de l’ANSSI

Si vous souhaitez réaliser une signature numérique d’un email, vous devez d’abord savoir qu’il existe deux normes standards : S/MIME et OpenPGP. Les deux fonctionnent sur le même principe de base, mais elles utilisent des formats de données différents. Seuls quelques logiciels prennent simultanément en charge les deux formats.

Le principe de base pour la création d’une signature électronique est le concept de chiffrement asymétrique. En effet, l’expéditeur reçoit deux clés de l’algorithme de génération de clés : une privée et une publique. Le programme de messagerie de l’expéditeur crée alors automatiquement une somme de contrôle du contenu du courrier, il crypte la somme de contrôle avec la clé privée et l’attache à l’email.

La clé publique est soit envoyée avec l’email en pièce jointe ou alors le destinataire peut l’obtenir via un répertoire public. Le programme de messagerie du destinataire, déchiffre ensuite la somme de contrôle, la recalcule et vérifie les résultats. Si les résultats correspondent, vous pouvez alors être certains que le message a bien été signé avec une clé privée qui correspond à la clé publique. L’authentification est donc validée et l’email n’a pas été manipulé.

Une condition préalable à l’utilisation de signatures numériques est de configurer en conséquence votre client de messagerie. Si c’est déjà le cas, alors les opérations décrites ci-dessus s’exécutent automatiquement en arrière-plan. Pour trouver des informations détaillées sur l’installation et la configuration de votre client de messagerie, vous pouvez consulter par exemple les pages de support de Microsoft Outlook ou de Mozilla Thunderbird.

Comment associer clairement la clé publique à l’expéditeur ?

Cette procédure que nous venons de voir n’est bien évidemment utile que si le destinataire peut clairement identifier l’expéditeur. Une autorité de certification officielle (CA, Certification Authority) ne fournit la clé qu’après identification de l’expéditeur : il est donc nécessaire de recevoir un certificat avant de pouvoir valider la clé. Comme le système du destinataire doit reconnaître la clé pour assurer l’authenticité du certificat, ces informations doivent être téléchargées et installées avec l’autorité de certification. Le programme de messagerie prend ensuite en charge automatiquement l’authentification.

La paire de clés utilisée pour signer numériquement les emails doit être vérifiée par une autorité de certification. Cette autorité vérifie et confirme l’identité du demandeur. Il existe différents niveaux de qualité des certificats. Selon le procédé et la rigueur de la vérification de l’identité, vous recevrez des certificats de niveau 1, 2 ou 3.

• Certificat de niveau 1 : avec le certificat de niveau 1, seule l’adresse email du titulaire est vérifiée. En effet, le demandeur reçoit simplement un email de l’autorité de certification qu’il doit confirmer.

• Certificat de niveau 2 : avec le certificat de classe 2, l’autorité de certification garantit que l’organisation ou la personne existe. En effet, le demandeur doit envoyer une copie d’une carte d’identité ou tout autre document pour prouver son identité.

• Certificat de niveau 3 : avec le certificat de classe 3, l’autorité de certification demande au demandeur de venir en personne, avec une carte d‘identité, le plus souvent dans un bureau de poste. C’est la procédure d’identification la plus stricte.

Les certificats décrits plus haut sont généralement émis pour une adresse électronique, c’est à dire pour un expéditeur. En théorie, il faut un certificat distinct pour chaque personne d’une entreprise.

Cependant il existe des certificats spéciaux, les certificats pour les équipes ou pour une même entreprise. Ce certificat est valable pour toutes les adresses emails d’un même domaine de messagerie (@entreprise.fr). Cependant, bien que l’utilisation de ce type de certificat existe désormais au niveau international, certains clients de messagerie, comme ceux d’Outlook Express, ne peuvent toujours pas les gérer correctement. En effet, Microsoft Outlook invalide le certificat et émet un message d’erreur lors de la réception du certificat.

Une signature électronique doit remplir certaines conditions. La plupart des programmes, dont Outlook, vérifient automatiquement ces conditions lorsqu’un email avec une signature numérique est envoyé ou reçu et notifie l’utilisateur si toutes les conditions ne sont pas remplies, ce qui signifie que l’intégrité de la signature ne peut pas encore être garantie.

La signature numérique est toujours associée à un certificat, il est donc important de s’assurer que le certificat est bien valide et actuel. Le certificat doit aussi provenir d’une autorité de certification approuvée. Certains programmes d’emails offrent leurs propres solutions, et il existe aussi de nombreuses autorités de certifications. Voici ci-dessous une courte liste de liens de CA (autorité de certification) :

• GlobalSign
• CAcert
• StartSSL

Les signatures numériques des emails sont souvent utilisées en combinaison avec le chiffrement d’email, mais les deux fonctionnent indépendamment l’un de l’autre. La signature d’un email au niveau numérique signifie d’apposer un sceau électronique pour garantir l‘authenticité de l’expéditeur, et protège ainsi l’email de la malversation ou de la falsification. Cependant, l’email peut tout de même être lu par un tiers lors de son acheminement. La signature numérique protège le contenu : ce dernier ne peut être édité, supprimé ou falsifié, mais il peut tout de même être lu et interprété.

C’est pourquoi le cryptage d’un email est une étape supplémentaire de protection. Avec ce système, le contenu de l’email est encore mieux protégé et ne peut pas être lu pendant son transport : seule la personne disposant de la clé requise peut entièrement déchiffrer le contenu du message. Cette technique rend bien évidemment la communication par email beaucoup plus sûre et digne de confiance. Pour de plus amples informations sur le cryptage et sur l’utilisation du logiciel PGP (Pretty Good Privacy), vous pouvez lire notre article sur ce sujet dans notre guide digital.