Hauts de France

Sécurisation de votre messagerie email avec s/mime

La sécurisation ( confidentialité ) de votre messagerie peut se révéler particulièrement importante dans certains cas de figure.

Quelques rappels préalables :
Clef publique : Clef permettant de crypter des données. La clef intègre l’algorithme, et… la valeur ( l’équivalent mot de passe ) pour crypter la donnée.
Clef privée : Element critique du certificat, permettant de décrypter une donnée cryptée à partir d’une clef publique. Une clef privée compromise ( probablement récupérée par un hacker ) devra faire l’objet d’une révocation, et de l’émission d’un nouveau certificat, paire de clef publique/privée.
Signature de mail : permet de garantir que l’émetteur du mail ( son adresse email ) est bien la personne physique qui dispose de la clef privée pour le signer et garantir la propriété de celle-ci.

La seul solution disponible, pour garantir la sécurité, nécessite le cryptage.
Or, celui-ci doit être totalement actif, de bout en bout :

  • Le périphérique de saisie doit être sécurisé ( clavier sans fil ? protocole de communication à distance ? RDP = crypté, TeamViewer ? VNC ? )
  • Le stockage local doit être sécurisé ( Le cryptage sous Outlook est natif, toutefois, pensez à travailler sur des disques nativement cryptés comme Bitlocker, ou cryptage de format NTFS, ext4, btrfs, … )
  • L’échange entre le client et le serveur doivent être sécurisés ( exit SMTP, bonjour SMTPS en TLS uniquement )
  • L’échange entre les serveurs doivent être sécurisés, mais vous n’avez plus la main sur cette partie ! 
  • Par miroir, vous devez obtenir la même sécurité de l’autre côté.

A proscrire : Les messagerie de type gmail par exemple, qui contractuellement scannent, et analysent le contenu des messages. Je trouve très moyen que mon cabinet d’avocat utilise directement gmail pour m’envoyer des emails marqués « confidentiel » …. Certes le scan est à but d’apprentissage, mais toutefois personne ne sait ce qui en est fait également…. ! ( Indexation, profilage, espionnage industriel, … )

La solution : Les certificats ! 

Cette solution est certes un peu décourageante à mettre en place, car nécessite certaines connaissances techniques, mais sont aussi dépendantes de la solution de messagerie qui sera utilisée pour implémenter la technologie S/MIME.

Prérequis : obtenir des certificats pour sécurisation de messagerie.

  • La méthode la plus simple consiste a obtenir un certificat auprès d’une autorité reconnue ( Comodo, … ) – Toutefois elle est onéreuse, je suis désolé. Ne comptez pas sur LetsEncrypt.
  • Vous pouvez également bénéficier de votre PKI ( Infrastructure de clefs publiques ). Toutefois cette méthode s’applique difficilement lorsque les parties sont inter domaine ( par exemple vous et votre fournisseur ). Car chaque partie devra faire confiance à la PKI tierce, c’est à dire ajouter dans son magasin de certificats, les certificats de la CA signataire, et CA racine, ce qui n’est pas pratique. Cette méthode est toutefois obligatoire si vous utilisez des adresses farfelues ( moi@mondomaine.local )
  • Bien évidemment, pour attester que vous êtes bien l’auteur de votre email, le certificat doit correspondre à l’adresse email utilisée !

Mise en oeuvre :

  • Obtenez votre certificat de signature de mails auprès de votre autorité de certification
  • Installez votre certificat dans votre logiciel de messagerie
  • envoyez un email signé à l’autre partie. Attention, le mail ne doit pas être crypté. L’autre partie ne dispose pas encore de votre clef publique.
    • L’autre partie doit maintenant effectuer la même chose
  • Chaque partie dispose donc d’un email signé permettant de :
    • Attester que l’émetteur du mail est bien la personne physique qui l’a émis
    • Vous pouvez installer son certificat afin d’obtenir sa clef publique, ce qui vous permettra de crypter les mails que vous souhaitez lui envoyer.
  • Ensuite, bien souvent, la clef publique de chaque contact est stockée dans le contact ( c’est le cas sous outlook ). Vous n’avez alors qu’à envoyer un email vers un contact ( dont vous avez enregistré sa clef publique ), et le signer en cochant l’option.
  • Le destinataire recevra alors l’email crypté, qu’il pourra alors décrypter avec sa clef privée.

Et voilà !

Pour plus de précisions, je vous invite à consulter les tutoriaux seront les logiciels clients, pour installer et utiliser les certificats. Malheureusement, il y a très peu de littérature à ce sujet, et les contraintes font que cette solution soit malheureusement peu employée en final.

Leave a comment