S/MIME: pour crypter et signer vos emails

Lorsque vous envoyez un email, vous voulez que le message arrive non modifié auprès du destinataire souhaité et qu’il ne puisse être lu que par ce dernier. Si vous recevez vous-même un message électronique, vous voulez également que le contenu ne soit pas lu ou même manipulé par des tiers. De plus, l’expéditeur spécifié devrait également être l’expéditeur réel du message et ne pas simplement prétendre être l’expéditeur. Cependant, ces souhaits ne peuvent être réalisés qu’avec le cryptage et les signatures électroniques ; sans eux, les cybercriminels ont la voie libre malgré la protection anti-spam et les logiciels antivirus. Une procédure standard, à l’aide de laquelle les deux éléments de sécurité peuvent être utilisés, est le S/MIME défini en 1999.

Qu’est-ce que S/MIME?

Dans la RFC 1847, deux extensions de sécurité ont été spécifiées pour la norme d’email MIME (Multipurpose Internet Mail Extension). Le format multipart/signé pour la signature des messages et le format multipart/crypté pour leur cryptage. 4 ans plus tard, l’IEFT (Internet Engineering Tasking Force) a publié l’extension MIME S/MIME RFC 2633 : une norme qui supporte le premier format de signature.

Pour le cryptage, cependant, la procédure utilise sa propre solution application/pkcs7-mime. Vous pouvez choisir librement si un mail avec S/MIME doit être uniquement crypté, signé ou bien si les deux opérations doivent être appliquées.

Le cryptage S/MIME et la signature est possible sur tous les clients de messagerie courants, comme par exemple Microsoft Outlook, Thunderbird ou Apple Mail. Une alternative bien connue, qui prend en charge aussi bien multipart/signé que multipart/crypté est l’OpenPGP.

Afin de protéger votre vie privée, la vidéo ne se chargera qu'après votre clic.

Comment fonctionne le cryptage et la signature S/MIME ?

S/MIME est basée sur une méthode de chiffrement asymétrique et utilise donc une paire de clés composée d’une clé privée et d’une clé publique. Alors que la clé publique est partagée avec tous les contacts par courriel, la clé privée n’est ouverte qu’à l’utilisateur. Il est utilisé à la fois pour envoyer des messages cryptés en combinaison avec la clé publique du destinataire et pour décrypter les messages reçus. Avec un certificat S/MIME, le client de messagerie peut générer et échanger des clés, un tel certificat peut être obtenu auprès de différents fournisseurs.

Pour que le chiffrement des courriers électroniques fonctionne, chaque message S/MIME est précédé de l’information d’en-tête qui fournit au client destinataire l’information nécessaire pour saisir et traiter le contenu. Entre autres, le type de contenu (par exemple « enveloped-data » pour les données cryptées), le nom de fichier correspondant (par exemple smime.p7m pour les données signées ou cryptées) ou la forme d’encodage sont spécifiés. Un en-tête possible d’un email crypté ressemble à ce qui suit :

Content-Type: application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=smime.p7m

La signature S/MIME, qui peut être automatiquement épinglée à un email, est pratique pour plusieurs raisons : elle envoie la clé publique pour une communication sécurisée au destinataire, qui peut également vous envoyer des messages avec un contenu crypté. La signature prouve également au destinataire que l’email a bien été envoyé par vous. Contrairement à PGP, l’ajout d’une signature n’entraîne pas l’apparition de caractères cryptiques. Si le client de réception détecte des incohérences lors de la vérification de la signature reçue, la légitimité du message n’est pas confirmée, ce qui permet à l’utilisateur de conclure que les données ont été manipulées.

Note

si aucune signature numérique n’est utilisée, la clé publique peut être partagée par d’autres moyens, par exemple en la publiant sur un serveur de clés ou sur votre propre site Web ou en la partageant sous forme de fichier sur un support de stockage externe.

Comment puis-je obtenir un certificat S/MIME pour mon propre trafic d’email ?

Comme nous l’avons déjà mentionné, l’utilisation de S/MIME nécessite un certificat (X.509). En principe, il est possible d’en créer un vous-même, cependant, vous avez d’abord besoin d’un certificat racine, que vous devez également générer dans ce cas. De plus, tous les partenaires de communication doivent d’abord importer ce certificat racine avant que l’échange de clés puisse être initié. La solution la plus simple et la moins compliquée est l’achat d’un certificat auprès d’un organisme de certification officiel, avec des offres payantes et gratuites. La classification des certificats disponibles dans les trois classes suivantes est typique :

  • Classe 1 : le certificat délivré par l’autorité de certification garantit l‘authenticité de l’adresse électronique fournie.
     
  • Classe 2 : le certificat garantit l’authenticité de l’adresse email spécifiée et du nom correspondant. En outre, le cas échéant, la société est également confirmée. Les informations sont vérifiées à l’aide de bases de données de tiers ou de copies de carte d’identité.
     
  • Classe 3 : les certificats de classe 3 diffèrent des certificats de classe 2 en ce que le demandeur doit s’identifier personnellement.

Si vous souhaitez crypter vos mails avec S/MIME et que vous recherchez un certificat, vous ne devez pas perdre de vue sa fonction principale : il est conçu pour sécuriser vos communications électroniques en empêchant l’interception et la manipulation du contenu des messages. C’est pourquoi, lors du choix d’un fournisseur, il est prioritaire de prêter attention à la fiabilité et au sérieux.

Comodo est un service recommandable. L’autorité de certification, particulièrement connue pour les certificats SSL de haute qualité, a proposé un certificat gratuit à usage privé avec « Free Secure Email Certificate » et une solution économique (à partir de 12 euros par an) avec « Secure Email Certificates » pour les entreprises qui mettent en œuvre le cryptage sécurisé de bout en bout avec S/MIME.

Afin de protéger votre vie privée, la vidéo ne se chargera qu'après votre clic.

Comment configurer S/MIME dans votre programme de messagerie électronique

Pour intégrer la procédure de sécurité du courrier électronique dans votre client de messagerie, vous avez logiquement besoin du certificat S/MIME, la recherche de fournisseurs est donc la première étape vers une boîte aux lettres sécurisées. Ensuite, il est nécessaire de créer et d’installer un certificat personnalisé. La procédure exacte varie légèrement, mais elle est fondamentalement similaire pour tous les fournisseurs. Après l’installation, configurez le programme de messagerie électronique respectif de sorte qu’il utilise S/MIME et le certificat intégré à cette fin. Habituellement, le processus d’installation est complété par le redémarrage du client, après quoi des fonctions spécifiques pour le chiffrement manuel ou automatique ou la signature des messages sont activées.

Dans les sections suivantes, vous trouverez des instructions détaillées sur la configuration de S/MIME sur les systèmes de bureau Windows et macOS et sur les systèmes mobiles iOs et Android. Le service Comodo mentionné ci-dessus est utilisé comme exemple d’autorité de certification.

Configurer S/MIME sous Windows : fonctionnement

Si vous utilisez la technologie S/MIME sur un PC Windows, mais ne voulez pas investir d’argent dans Outlook ou Microsoft Office, vous pouvez utiliser l’alternative gratuite Thunderbird qui, comme le navigateur Firefox, provient de Mozilla. Si vous n’avez pas encore installé le client et créé un compte, vous devriez le faire dans la première étape. Suivez ensuite ces étapes pour activer le cryptage S/MIME et la signature pour ce compte :

  1. Visitez le site Web de Comodo-Website et cliquez sur le bouton « Sign Up Now ».
     
  2. Dans le formulaire qui s’ouvre, entrez les informations de contact qui doivent être liées au certificat (nom, adresse e-mail et pays). Vous pouvez également choisir si la clé privée doit être hautement ou moins fortement cryptée. Saisissez ensuite un « Revocation Password » (mot de passe de révocation) sécurisé (nécessaire pour invalider un certificat en cas d’urgence) et confirmez les conditions d’utilisation avant de cliquer sur « Next » pour lancer la création du certificat.
  1. Comodo vous envoie ensuite un message à l’adresse email indiquée, qui contient, entre autres, un bouton afin de télécharger lecertificat (« Click & Install Comodo Email Certificate »). Cliquez sur celui-ci, une page s’ouvre automatiquement ainsi qu’une fenêtre de téléchargement pour le certificat S/MIME. Si vous utilisez Chrome ou Firefox, celui-ci sera téléchargé automatiquement et installé localement dans le navigateur.
     
  2. Pour l’utiliser dans Thunderbird, vous devez d’abord exporter le certificat stocké dans le navigateur (Chrome est utilisé ici). Pour ce faire, ouvrez les paramètres avancés et cliquez sur le bouton « gérer les certificats », que vous trouverez sous la rubrique « Protection et sécurité des données ».
     
  3. Vous trouverez le certificat Comodo dans la fenêtre pop-up, soit sous l’onglet « Propres certificats », soit sous « Autres personnes ». Sélectionnez l’entrée correspondante et cliquez sur « Exporter ». L’assistant d’exportation qui s’ouvre vous guidera tout au long du processus, il est important que vous indiquiez que vous souhaitez également exporter la clé privée.
  1. Maintenant, démarrez Thunderbird et ouvrez les paramètres du compte. Dans le menu « Sécurité », vous trouverez le bouton « gérer les certificats », qui vous amène au menu correspondant.
  1. Choisissez l’onglet « Vos certificats » et importez le certificat précédemment enregistré en cliquant sur « Importer » et en le sélectionnant. Ensuite, entrez votre mot de passe pour finaliser le processus.
     
  2. Dans le menu de sécurité, vous pouvez maintenant sélectionner le certificat S/MIME pour le cryptage et la signature. En outre, vous avez la possibilité de définir la signature numérique comme valeur par défaut et de rendre le cryptage obligatoire en sélectionnant l’option « Nécessaires » sous « Paramètres de cryptage par défaut lors de l’envoi de messages ». Si vous écrivez un email, vous pouvez également sélectionner ou désélectionner les procédures individuellement en utilisant le bouton S/MIME dans la barre d’outils :

Comment fonctionne l‘installation S/MIME sous macOS et iOS

Avec le client interne « Mail », les appareils Apple ont déjà installé une solution qui, contrairement au programme standard de Microsoft, permet de crypter et de signer les emails avec S/MIME dès le début. Si vous avez un compte de messagerie, vous pouvez créer un certificat directement chez Comodo sans avoir à installer un autre programme. La procédure est la même que sous Windows : allez sur le site Web de Comodo, cliquez sur le bouton « S’inscrire maintenant » et créez le certificat sur la base de vos données personnelles. Ensuite, procédez comme suit pour installer le certificat et configurer le cryptage S/MIME.

  1. Ouvrez l’email envoyé par Comodo et téléchargez le certificat dans n’importe quel dossier en utilisant le bouton « Click & Install Comodo Email Certificate ». Le fichier reçu peut être ouvert directement sous macOS en double-cliquant et ajouté à la gestion du porte-clés. Si vous souhaitez également utiliser S/MIME pour votre iPhone ou iPad, vous devez d’abord convertir le certificat au format .p12 via la gestion du porte-clés. Vous pouvez ensuite l’envoyer à votre appareil mobile par email.

Afin de protéger votre vie privée, la vidéo ne se chargera qu'après votre clic.

  1. Après l’installation, il vous suffit de démarrer ou redémarrer Apple Mail pour intégrer le processus de cryptage et signature.
     
  2. Vous pouvez maintenant tester S/MIME en vous envoyant un message crypté et signé. Pour cela, vous trouverez deux boutons correspondants dans la fenêtre e-mail (serrure pour le cryptage, roue dentée pour la signature). Les deux icônes peuvent également être trouvées dans une ligne supplémentaire sous l’objet du message de test si le cryptage et la signature fonctionnent comme souhaité.

Comment configurer S/MIME pour votre appareil Android

Comme Windows, Android ne dispose pas de son propre client pour l‘intégration de S/MIME. Cependant, il existe plusieurs applications qui prennent en charge le processus et peuvent être téléchargées à partir de la boutique Google Play Store. Parmi les solutions gratuites se trouve l’application MailDroid (dans la version Pro, sans publicité contre des frais). Comme c’était déjà le cas lors de la configuration du cryptage S/MIME et de la signature sous Windows et macOS, vous avez d’abord besoin d’un certificat valide, que vous pouvez générer de la manière déjà expliquée. Les prochaines étapes sont les suivantes :

  1. MailDroid dispose déjà de boutons intégrés pour crypter et signer vos emails par défaut. Pour utiliser ces fonctions, vous avez besoin du plugin gratuit FlipdogSolutions Crypto Plugin, que vous devez télécharger dans la première étape.
  1. Vous pouvez utiliser le plugin pour importer votre certificat généré. Pour ce faire, ouvrez le menu « importer le certificat » et sélectionnez le fichier correspondant.

  1. Revenez à MailDroid et ouvrez le menu « Paramètres ». Sous le point de menu « Cryptage plug-in », vous pouvez maintenant spécifier le certificat et la configuration S/MIME souhaitée. Par exemple, cochez la case pour décider si le cryptage et la signature doivent être effectués par défaut ou non pour utiliser le cryptage si l’une des parties n’a pas la clé nécessaire.
  1. Si vous écrivez maintenant des messages, le cryptage et la signature sont ajoutés automatiquement, à condition que vous ayez choisi cette variante à l’étape précédente. Sinon, vous pouvez utiliser les boutons déjà mentionnés à la fin de la fenêtre de message pour activer les mécanismes de protection. Si le codage et la signature ne fonctionnent pas, par exemple parce que le certificat ou une clé est invalide ou a expiré, MailDroid l’affiche clairement.

Attendez ! Nous avons quelque chose pour vous !
Votre messagerie professionnelle

Créez une adresse personnalisée
Affichez votre sérieux sur Internet
Nom de domaine inclus
À partir d' 1 € TTC/mois
Conseiller personnel inclus !