Avec S/MIME, les emails peuvent être chiffrés de manière à ce que seul le des­ti­na­taire prévu puisse les lire. Pour cela, la clé publique du des­ti­na­taire est utilisée afin de chiffrer le message. Le dé­chif­fre­ment s’effectue ensuite avec la clé privée cor­res­pon­dante. Les cer­ti­fi­cats S/MIME peuvent être importés fa­ci­le­ment dans les clients de mes­sa­ge­rie.

Qu’est-ce que S/MIME ?

En 1995, la RFC 1847 a défini deux ex­ten­sions de sécurité pour le standard d’email MIME (Mul­ti­pur­pose Internet Mail Extension) : le format multipart/signed pour la signature des messages et le format multipart/encrypted pour leur chif­fre­ment. Quatre ans plus tard, l’IETF (Internet En­gi­nee­ring Task Force) a publié la norme S/MIME, décrite dans la RFC 2633, qui prend en charge ce format de signature.

Pour le chif­fre­ment, S/MIME utilise en revanche sa propre solution, application/pkcs7-mime. Vous pouvez choisir librement si un email doit être uni­que­ment chiffré, uni­que­ment signé, ou combiner les deux opé­ra­tions.

Le chif­fre­ment et la signature S/MIME sont com­pa­tibles avec les prin­ci­paux clients de mes­sa­ge­rie, comme Microsoft Outlook, Thun­der­bird ou Apple Mail. Une al­ter­na­tive connue, qui prend en charge à la fois multipart/signed et multipart/encrypted, est OpenPGP, défini en 2007.

Adresse mail sécurisée pour votre vie privée numérique
  • Pro­tec­tion pro­fes­sion­nelle des données et de sécurité
  • Chif­fre­ment des emails avec SSL/TLS
  • Pro­tec­tion antivirus avec pare-feu et filtres anti-spam
  • Sau­ve­gardes quo­ti­diennes, pro­tec­tion quo­ti­dienne

Comment fonc­tion­nent le chif­fre­ment et la signature S/MIME ?

S/MIME repose sur un procédé de chif­fre­ment asy­mé­trique et utilise pour cela une paire de clés, composée d’une clé privée (Private Key) et d’une clé publique (Public Key). La clé publique peut être partagée avec tous vos contacts email, tandis que la clé privée reste ac­ces­sible uni­que­ment à l’uti­li­sa­teur. Cette dernière est né­ces­saire d’une part pour envoyer des emails chiffrés en com­bi­nai­son avec la clé publique du des­ti­na­taire, et d’autre part pour dé­chif­frer les messages reçus. Un cer­ti­fi­cat S/MIME permet au client de mes­sa­ge­rie de générer et d’échanger ces clés ; il peut être obtenu auprès de dif­fé­rents four­nis­seurs.

Pour que le chif­fre­ment des emails fonc­tionne, chaque message S/MIME contient des en-têtes (headers) spé­ci­fiques. Ceux-ci four­nis­sent au client de réception les in­for­ma­tions né­ces­saires pour traiter cor­rec­te­ment le contenu, comme le type de contenu (par exemple enveloped-data pour les données chiffrées), le nom de fichier associé (par ex. smime.p7m pour les données signées ou chiffrées) ou encore le type d’encodage. Voici un exemple d’en-tête d’email chiffré :

Content-Type: application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=smime.p7m

La signature S/MIME, qui peut être ajoutée au­to­ma­ti­que­ment lors de la rédaction d’un email, présente plusieurs avantages : elle transmet au des­ti­na­taire votre clé publique afin qu’il puisse également vous envoyer des messages chiffrés, et elle confirme l’au­then­ti­cité de l’ex­pé­di­teur. Con­trai­re­ment à PGP, l’ajout d’une signature ne génère pas de ca­rac­tères il­li­sibles dans le corps du message. Si le client de réception détecte une anomalie lors de la vé­ri­fi­ca­tion de la signature, la lé­gi­ti­mité du message n’est pas validée, ce qui alerte l’uti­li­sa­teur d’une possible ma­ni­pu­la­tion des données.

Note

Si aucune signature numérique n’est utilisée, la clé publique peut être transmise par d’autres moyens, par exemple en la publiant sur un serveur de clés, sur son propre site Web ou en la par­ta­geant sous forme de fichier via un support de stockage externe.

Comment obtenir un cer­ti­fi­cat S/MIME ?

Comme mentionné pré­cé­dem­ment, l’uti­li­sa­tion de S/MIME nécessite un cer­ti­fi­cat (X.509). Il est théo­ri­que­ment possible d’en créer un soi-même, mais cela suppose de générer au préalable un cer­ti­fi­cat racine, que vos cor­res­pon­dants devront importer avant tout échange de clés. La solution la plus simple et la plus fiable consiste à acquérir un cer­ti­fi­cat auprès d’une autorité de cer­ti­fi­ca­tion of­fi­cielle. Les cer­ti­fi­cats dis­po­nibles sont gé­né­ra­le­ment répartis en trois classes :

  • Classe 1 : vérifie uni­que­ment l’adresse email.
  • Classe 2 : garantit l’au­then­ti­cité de l’adresse email ainsi que du nom associé, et éven­tuel­le­ment de l’en­tre­prise. La vé­ri­fi­ca­tion des données se fait via des bases tierces ou des copies de documents d’identité.
  • Classe 3 : requiert une vé­ri­fi­ca­tion en personne de l’identité du demandeur, en plus des contrôles de la classe 2.

Si vous souhaitez chiffrer vos emails avec S/MIME, gardez à l’esprit que la fonction prin­ci­pale d’un cer­ti­fi­cat est de sécuriser vos com­mu­ni­ca­tions en empêchant l’in­ter­cep­tion et la mo­di­fi­ca­tion des messages. Le choix d’un four­nis­seur fiable et digne de confiance est donc pri­mor­dial.

Un service re­com­mandé est Sectigo (an­cien­ne­ment Comodo), dont les cer­ti­fi­cats sont reconnus par 99 % des clients de mes­sa­ge­rie. Sectigo, surtout connu pour ses cer­ti­fi­cats SSL de haute qualité, propose également des cer­ti­fi­cats pour un usage privé (à partir de 23 €/an), per­met­tant de mettre en place un chif­fre­ment email de bout en bout avec S/MIME.

Gé­né­ra­teur d’emails IA
Augmentez votre pro­duc­ti­vité avec l'as­sis­tant email par IA
  • Trai­te­ment des emails plus efficace
  • Facilité d’uti­li­sa­tion et gain de temps
  • Fonction de tra­duc­tion incluse

Con­fi­gu­rer S/MIME dans votre programme de mes­sa­ge­rie

La première étape consiste à obtenir un cer­ti­fi­cat S/MIME auprès d’un four­nis­seur sécurisé. Ensuite, il faut créer un cer­ti­fi­cat per­son­na­lisé et l’installer. La procédure exacte varie lé­gè­re­ment selon le pres­ta­taire, mais le principe reste similaire. Une fois le cer­ti­fi­cat installé, vous con­fi­gu­rez votre programme de mes­sa­ge­rie afin qu’il utilise S/MIME et s’appuie sur ce cer­ti­fi­cat. Dans la plupart des cas, un re­dé­mar­rage du client finalise l’ins­tal­la­tion et active de nouvelles options pour le chif­fre­ment ou la signature, manuels ou au­to­ma­tiques, des messages.

Les sections suivantes proposent des guides détaillés pour la con­fi­gu­ra­tion de S/MIME sous Windows, macOS, iOS et Android.

Con­fi­gu­rer S/MIME sous Windows

Si vous souhaitez utiliser S/MIME sur un PC Windows sans investir dans Outlook ou Microsoft Office, vous pouvez vous tourner vers Thun­der­bird, l’al­ter­na­tive gratuite dé­ve­lop­pée par Mozilla, également à l’origine du na­vi­ga­teur Firefox. Si le client n’est pas encore installé et qu’aucun compte n’a été configuré, commencez par le faire. Ensuite, procédez ainsi pour activer le chif­fre­ment et la signature S/MIME sur ce compte :

  1. Après avoir obtenu votre cer­ti­fi­cat auprès d’un four­nis­seur, ouvrez Thun­der­bird et accédez aux Pa­ra­mètres. Dans le menu « Vie privée et sécurité », cliquez sur « Cer­ti­fi­cats », puis sur « Gérer les cer­ti­fi­cats ».
Image: Paramètres de confidentialité et de sécurité dans Thunderbird
Dans les pa­ra­mètres « Vie privée et sécurité», cliquez sur « Gérer les cer­ti­fi­cats » pour accéder à la gestion des cer­ti­fi­cats.
  1. Vous accédez alors au menu de gestion des cer­ti­fi­cats. Sé­lec­tion­nez l’onglet « Propres cer­ti­fi­cats » et importez le cer­ti­fi­cat que vous avez obtenu et en­re­gis­tré auprès de votre four­nis­seur en cliquant sur « Importer », puis en le sé­lec­tion­nant. Entrez ensuite le mot de passe fourni par le pres­ta­taire afin de finaliser l’opération.
Image: Importer un certificat dans Thunderbird
Cliquez sur « Importer » pour sé­lec­tion­ner le cer­ti­fi­cat S/MIME de l’uti­li­sa­teur.
  1. Rendez-vous ensuite dans les pa­ra­mètres du compte email pour lequel vous souhaitez activer le chif­fre­ment. Cliquez sur le menu « Chif­fre­ment de bout en bout ». Dans la section dédiée à S/MIME, vous pouvez sé­lec­tion­ner le cer­ti­fi­cat importé pour signer et chiffrer vos messages.
Image: Sélectionner un certificat dans Thunderbird
Dans les pa­ra­mètres de votre compte, dé­fi­nis­sez le cer­ti­fi­cat S/MIME importé pour le chif­fre­ment et la signature.
  1. Lorsque vous rédigez un email, vous pouvez activer ou dé­sac­ti­ver les options via le bouton S/MIME dans la barre d’outils, et choisir si vous souhaitez utiliser S/MIME pour le chif­fre­ment, la signature ou les deux.
Image: Activer le chiffrement dans Thunderbird
Lorsque vous rédigez un email, vous pouvez activer ou dé­sac­ti­ver le chif­fre­ment et la signature en cliquant sur « S/MIME ».

Que le chif­fre­ment et la signature soient ajoutés ma­nuel­le­ment ou au­to­ma­ti­que­ment dans Thun­der­bird, notez que l’objet du message n’est jamais chiffré.

Con­fi­gu­ra­tion de S/MIME sous macOS et iOS

Les appareils Apple intègrent déjà une solution intégrée avec le client Mail, qui permet de chiffrer et de signer les emails via S/MIME. Si vous utilisez macOS ou l’ap­pli­ca­tion iOS Mail, vous pouvez obtenir un cer­ti­fi­cat auprès de votre four­nis­seur sans installer de logiciel sup­plé­men­taire. La procédure est similaire à celle sous Windows : vous vous rendez sur le site du four­nis­seur et obtenez un cer­ti­fi­cat basé sur vos données per­son­nelles.

Sous macOS :

  1. Ouvrez l’email envoyé par votre four­nis­seur et té­lé­char­gez le cer­ti­fi­cat dans le dossier de votre choix.
  2. Double-cliquez sur le fichier reçu pour l’ajouter di­rec­te­ment au Trousseau d’Accès.
  3. Lancez ou re­dé­mar­rez Apple Mail afin d’intégrer les fonctions de chif­fre­ment et de signature.
  4. Testez S/MIME en vous envoyant un message chiffré et signé. Dans Apple Mail, créez un nouvel email et sé­lec­tion­nez, dans le champ « De », le compte pour lequel un cer­ti­fi­cat S/MIME est en­re­gis­tré dans le Trousseau d’Accès. Deux symboles ap­pa­rais­sent alors dans l’en-tête : une coche pour la signature et un cadenas pour le chif­fre­ment.

Sous iOS :

  1. Envoyez-vous le cer­ti­fi­cat (souvent au format .p12 ou .cer) par email et ouvrez-le sur votre iPhone ou iPad.
  2. Confirmez son ins­tal­la­tion dans Réglages -> Profil té­lé­chargé.
  3. Activez-le ensuite dans Réglages -> Mail -> Comptes -> Avancé -> S/MIME.
  4. Vous pouvez désormais activer la signature et le chif­fre­ment di­rec­te­ment dans l’ap­pli­ca­tion Mail.

Con­fi­gu­rer S/MIME sur votre appareil Android

Android, comme Windows, ne dispose pas de client natif pour l’in­té­gra­tion de S/MIME. Il existe cependant plusieurs ap­pli­ca­tions com­pa­tibles, dis­po­nibles sur le Google Play Store. Parmi les solutions gratuites, on trouve l’ap­pli­ca­tion open source FairEmail, proposée en version Pro payante sans publicité. Comme sous Windows et macOS, vous avez d’abord besoin d’un cer­ti­fi­cat valide, généré comme expliqué pré­cé­dem­ment. Les étapes suivantes per­met­tent ensuite l’ins­tal­la­tion :

  1. Pour importer votre cer­ti­fi­cat, ouvrez dans les pa­ra­mètres de l’ap­pli­ca­tion le menu « Chif­fre­ment ». Faites défiler jusqu’à l’option « S/MIME » puis appuyez sur « Importer le cer­ti­fi­cat ».
Image: FairEmail : importer une clé
Avec FairEmail, vous pouvez importer aussi bien des cer­ti­fi­cats S/MIME que des clés PGP.
  1. Dans le même menu, indiquez quel al­go­rithme de signature et quel al­go­rithme de chif­fre­ment doivent être utilisés. Vous pouvez ensuite définir, dans la section « Général » du menu de chif­fre­ment, à quel moment vos messages doivent être chiffrés (par exemple par défaut, ou uni­que­ment lors d’une réponse à un message déjà chiffré).
Image: FairEmail : paramètres de chiffrement
Si vous avez importé plusieurs clés de signature, vous pouvez choisir laquelle utiliser.
  1. Lorsque vous rédigez un message, le chif­fre­ment et la signature sont au­to­ma­ti­que­ment appliqués si vous avez activé cette option à l’étape pré­cé­dente. Sinon, utilisez les boutons en bas de la fenêtre de rédaction pour activer ma­nuel­le­ment ces mé­ca­nismes de pro­tec­tion.
Email Microsoft Exchange
  • La solution email la plus populaire au monde
  • Hé­ber­ge­ment sécurisé
  • Accès mobile permanent via Microsoft Outlook
Aller au menu principal