S/MIME : chiffrer et signer vos emails

Sommaire

Avec S/MIME, les emails peuvent être chiffrés de manière à ce que seul le destinataire prévu puisse les lire. Pour cela, la clé publique du destinataire est utilisée afin de chiffrer le message. Le déchiffrement s’effectue ensuite avec la clé privée correspondante. Les certificats S/MIME peuvent être importés facilement dans les clients de messagerie.

Qu’est-ce que S/MIME ?

En 1995, la RFC 1847 a défini deux extensions de sécurité pour le standard d’email MIME (Multipurpose Internet Mail Extension) : le format multipart/signed pour la signature des messages et le format multipart/encrypted pour leur chiffrement. Quatre ans plus tard, l’IETF (Internet Engineering Task Force) a publié la norme S/MIME, décrite dans la RFC 2633, qui prend en charge ce format de signature.

Pour le chiffrement, S/MIME utilise en revanche sa propre solution, application/pkcs7-mime. Vous pouvez choisir librement si un email doit être uniquement chiffré, uniquement signé, ou combiner les deux opérations.

Le chiffrement et la signature S/MIME sont compatibles avec les principaux clients de messagerie, comme Microsoft Outlook, Thunderbird ou Apple Mail. Une alternative connue, qui prend en charge à la fois multipart/signed et multipart/encrypted, est OpenPGP, défini en 2007.

Adresse mail sécurisée pour votre vie privée numérique

Protection professionnelle des données et de sécurité
Chiffrement des emails avec SSL/TLS
Protection antivirus avec pare-feu et filtres anti-spam
Sauvegardes quotidiennes, protection quotidienne

Comment fonctionnent le chiffrement et la signature S/MIME ?

S/MIME repose sur un procédé de chiffrement asymétrique et utilise pour cela une paire de clés, composée d’une clé privée (Private Key) et d’une clé publique (Public Key). La clé publique peut être partagée avec tous vos contacts email, tandis que la clé privée reste accessible uniquement à l’utilisateur. Cette dernière est nécessaire d’une part pour envoyer des emails chiffrés en combinaison avec la clé publique du destinataire, et d’autre part pour déchiffrer les messages reçus. Un certificat S/MIME permet au client de messagerie de générer et d’échanger ces clés ; il peut être obtenu auprès de différents fournisseurs.

Pour que le chiffrement des emails fonctionne, chaque message S/MIME contient des en-têtes (headers) spécifiques. Ceux-ci fournissent au client de réception les informations nécessaires pour traiter correctement le contenu, comme le type de contenu (par exemple enveloped-data pour les données chiffrées), le nom de fichier associé (par ex. smime.p7m pour les données signées ou chiffrées) ou encore le type d’encodage. Voici un exemple d’en-tête d’email chiffré :

Content-Type: application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=smime.p7m

La signature S/MIME, qui peut être ajoutée automatiquement lors de la rédaction d’un email, présente plusieurs avantages : elle transmet au destinataire votre clé publique afin qu’il puisse également vous envoyer des messages chiffrés, et elle confirme l’authenticité de l’expéditeur. Contrairement à PGP, l’ajout d’une signature ne génère pas de caractères illisibles dans le corps du message. Si le client de réception détecte une anomalie lors de la vérification de la signature, la légitimité du message n’est pas validée, ce qui alerte l’utilisateur d’une possible manipulation des données.

Note

Si aucune signature numérique n’est utilisée, la clé publique peut être transmise par d’autres moyens, par exemple en la publiant sur un serveur de clés, sur son propre site Web ou en la partageant sous forme de fichier via un support de stockage externe.

Comment obtenir un certificat S/MIME ?

Comme mentionné précédemment, l’utilisation de S/MIME nécessite un certificat (X.509). Il est théoriquement possible d’en créer un soi-même, mais cela suppose de générer au préalable un certificat racine, que vos correspondants devront importer avant tout échange de clés. La solution la plus simple et la plus fiable consiste à acquérir un certificat auprès d’une autorité de certification officielle. Les certificats disponibles sont généralement répartis en trois classes :

Classe 1 : vérifie uniquement l’adresse email.
Classe 2 : garantit l’authenticité de l’adresse email ainsi que du nom associé, et éventuellement de l’entreprise. La vérification des données se fait via des bases tierces ou des copies de documents d’identité.
Classe 3 : requiert une vérification en personne de l’identité du demandeur, en plus des contrôles de la classe 2.

Si vous souhaitez chiffrer vos emails avec S/MIME, gardez à l’esprit que la fonction principale d’un certificat est de sécuriser vos communications en empêchant l’interception et la modification des messages. Le choix d’un fournisseur fiable et digne de confiance est donc primordial.

Un service recommandé est Sectigo (anciennement Comodo), dont les certificats sont reconnus par 99 % des clients de messagerie. Sectigo, surtout connu pour ses certificats SSL de haute qualité, propose également des certificats pour un usage privé (à partir de 23 €/an), permettant de mettre en place un chiffrement email de bout en bout avec S/MIME.

Générateur d’emails IA

Augmentez votre productivité avec l'assistant email par IA

Traitement des emails plus efficace
Facilité d’utilisation et gain de temps
Fonction de traduction incluse

Configurer S/MIME dans votre programme de messagerie

La première étape consiste à obtenir un certificat S/MIME auprès d’un fournisseur sécurisé. Ensuite, il faut créer un certificat personnalisé et l’installer. La procédure exacte varie légèrement selon le prestataire, mais le principe reste similaire. Une fois le certificat installé, vous configurez votre programme de messagerie afin qu’il utilise S/MIME et s’appuie sur ce certificat. Dans la plupart des cas, un redémarrage du client finalise l’installation et active de nouvelles options pour le chiffrement ou la signature, manuels ou automatiques, des messages.

Les sections suivantes proposent des guides détaillés pour la configuration de S/MIME sous Windows, macOS, iOS et Android.

Configurer S/MIME sous Windows

Si vous souhaitez utiliser S/MIME sur un PC Windows sans investir dans Outlook ou Microsoft Office, vous pouvez vous tourner vers Thunderbird, l’alternative gratuite développée par Mozilla, également à l’origine du navigateur Firefox. Si le client n’est pas encore installé et qu’aucun compte n’a été configuré, commencez par le faire. Ensuite, procédez ainsi pour activer le chiffrement et la signature S/MIME sur ce compte :

Après avoir obtenu votre certificat auprès d’un fournisseur, ouvrez Thunderbird et accédez aux Paramètres. Dans le menu « Vie privée et sécurité », cliquez sur « Certificats », puis sur « Gérer les certificats ».

Dans les paramètres « Vie privée et sécurité», cliquez sur « Gérer les certificats » pour accéder à la gestion des certificats.

Vous accédez alors au menu de gestion des certificats. Sélectionnez l’onglet « Propres certificats » et importez le certificat que vous avez obtenu et enregistré auprès de votre fournisseur en cliquant sur « Importer », puis en le sélectionnant. Entrez ensuite le mot de passe fourni par le prestataire afin de finaliser l’opération.

Cliquez sur « Importer » pour sélectionner le certificat S/MIME de l’utilisateur.

Rendez-vous ensuite dans les paramètres du compte email pour lequel vous souhaitez activer le chiffrement. Cliquez sur le menu « Chiffrement de bout en bout ». Dans la section dédiée à S/MIME, vous pouvez sélectionner le certificat importé pour signer et chiffrer vos messages.

Dans les paramètres de votre compte, définissez le certificat S/MIME importé pour le chiffrement et la signature.

Lorsque vous rédigez un email, vous pouvez activer ou désactiver les options via le bouton S/MIME dans la barre d’outils, et choisir si vous souhaitez utiliser S/MIME pour le chiffrement, la signature ou les deux.

Lorsque vous rédigez un email, vous pouvez activer ou désactiver le chiffrement et la signature en cliquant sur « S/MIME ».

Que le chiffrement et la signature soient ajoutés manuellement ou automatiquement dans Thunderbird, notez que l’objet du message n’est jamais chiffré.

Configuration de S/MIME sous macOS et iOS

Les appareils Apple intègrent déjà une solution intégrée avec le client Mail, qui permet de chiffrer et de signer les emails via S/MIME. Si vous utilisez macOS ou l’application iOS Mail, vous pouvez obtenir un certificat auprès de votre fournisseur sans installer de logiciel supplémentaire. La procédure est similaire à celle sous Windows : vous vous rendez sur le site du fournisseur et obtenez un certificat basé sur vos données personnelles.

Sous macOS :

Ouvrez l’email envoyé par votre fournisseur et téléchargez le certificat dans le dossier de votre choix.
Double-cliquez sur le fichier reçu pour l’ajouter directement au Trousseau d’Accès.
Lancez ou redémarrez Apple Mail afin d’intégrer les fonctions de chiffrement et de signature.
Testez S/MIME en vous envoyant un message chiffré et signé. Dans Apple Mail, créez un nouvel email et sélectionnez, dans le champ « De », le compte pour lequel un certificat S/MIME est enregistré dans le Trousseau d’Accès. Deux symboles apparaissent alors dans l’en-tête : une coche pour la signature et un cadenas pour le chiffrement.

Sous iOS :

Envoyez-vous le certificat (souvent au format .p12 ou .cer) par email et ouvrez-le sur votre iPhone ou iPad.
Confirmez son installation dans Réglages -> Profil téléchargé.
Activez-le ensuite dans Réglages -> Mail -> Comptes -> Avancé -> S/MIME.
Vous pouvez désormais activer la signature et le chiffrement directement dans l’application Mail.

Configurer S/MIME sur votre appareil Android

Android, comme Windows, ne dispose pas de client natif pour l’intégration de S/MIME. Il existe cependant plusieurs applications compatibles, disponibles sur le Google Play Store. Parmi les solutions gratuites, on trouve l’application open source FairEmail, proposée en version Pro payante sans publicité. Comme sous Windows et macOS, vous avez d’abord besoin d’un certificat valide, généré comme expliqué précédemment. Les étapes suivantes permettent ensuite l’installation :

Pour importer votre certificat, ouvrez dans les paramètres de l’application le menu « Chiffrement ». Faites défiler jusqu’à l’option « S/MIME » puis appuyez sur « Importer le certificat ».

Avec FairEmail, vous pouvez importer aussi bien des certificats S/MIME que des clés PGP.

Dans le même menu, indiquez quel algorithme de signature et quel algorithme de chiffrement doivent être utilisés. Vous pouvez ensuite définir, dans la section « Général » du menu de chiffrement, à quel moment vos messages doivent être chiffrés (par exemple par défaut, ou uniquement lors d’une réponse à un message déjà chiffré).

Si vous avez importé plusieurs clés de signature, vous pouvez choisir laquelle utiliser.

Lorsque vous rédigez un message, le chiffrement et la signature sont automatiquement appliqués si vous avez activé cette option à l’étape précédente. Sinon, utilisez les boutons en bas de la fenêtre de rédaction pour activer manuellement ces mécanismes de protection.

Email Microsoft Exchange

La solution email la plus populaire au monde
Hébergement sécurisé
Accès mobile permanent via Microsoft Outlook

Cet article vous a-t-il été utile ?

Tout savoir sur l’IA

Inscrivez-vous à notre newsletter pour découvrir les dernières tendances de l’IA et recevoir des conseils pratiques.

Articles Populaires

Nom de domaine mail : qu’est-ce que c’est et comment en créer un

Dans cet article dédié, nous vous présentons comment créer une adresse mail avec son…

Comment acheter un nom de domaine ? Guide étape par étape

Découvrez comment enregistrer un nom de domaine avec le domaine de premier ou deuxième…

Quels types de domaines existe-t-il ?

Quelle est la différence entre un domaine de premier et de deuxième niveau ? Qu’est-ce…

Le Prompt Engineering : explication

Qu’est-ce que le Prompt Engineering ? Comment peut-il améliorer les résultats de ChatGPT…

Aperçu des types de sites Web : les 7 types de sites Internet principaux

Le choix d’un bon type de site Internet est essentiel à la réussite de votre projet. Site…

Plus de sécurité sur le Web : la signature numérique des emails

Le spam est embêtant mais relativement inoffensif. Le phishing, ou hameçonnage, est bien plus problématique et dangereux. En effet, les hackers tentent, grâce à cette technique, de voler des données sensibles. Sans une signature numérique, il est facile de falsifier ou de voler…

Sécurité
Cryptage

jijomathaidesignersshutterstock

Authentification à deux facteurs : voici comment sécuriser vos comptes

Avec l’authentification à deux facteurs, les comptes personnels peuvent être protégés de manière efficace contre les tentatives de hacking ou de phishing. Puisqu’il faut plus qu’un mot de passe pour se connecter, les données volées sur Internet ne suffisent pas aux pirates.…

Sécurité
Cryptage

Protéger l’adresse email de votre site Web : prévenir les spams

Les robots spammeurs, également appelés moissonneurs, cherchent en permanence sur le Net des adresses email pouvant être utilisées pour envoyer de la publicité illicite, des emails de phishing, répandre des virus, des vers ou des chevaux de Troie. S’il est recommandé d’indiquer…

Sécurité
JavaScript
Cryptage

Déceler les tentatives d’hameçonnage

Il arrive fréquemment aux internautes de se retrouver confronté à la réception d’Emails douteux, qui invitent à communiquer des données sensibles telles que les coordonnées bancaires. Ces tentatives de hameçonnage sont un véritable fléau sur le Web, et leurs dommages sont évalués…

SSL
Newsletter
Sécurité

Chiffrement asymétrique

Lorsqu’il est question de protéger des données de manière optimale, il est impossible de faire l’impasse sur le chiffrement des données. Le chiffrement asymétrique joue, par exemple, un rôle important dans le transfert sécurisé des données. Découvrez dans cet article comment…

Sécurité
Cryptage