Chiffrement et signature de mails

Il faut savoir qu’un courrier transite par plusieurs ordinateurs entre le poste de l’envoyeur et celui du destinataire, chaque fois que le courrier est copié sur des disques. Derrière ces ordinateurs (en fait des serveurs) se cache des entreprises commerciales, des personnes plus ou moins consciencieuses, des administrations … On dit qu’un mail non chiffré c’est comme une carte postale sans enveloppe!

Dans la réalité, le nombre de courriers transitant sur les réseaux informatiques et la conscience professionnelle des techniciens font que le risque d’interception est très faible. Néanmoins, pour des mails dont le contenu est hautement confidentiel, ou dans le cas où le secret professionnel doit être respecté d’un point de vue contractuel, il peut être utile si nécessaire de  chiffrer le contenu . Cette option est intégrée dans la plupart des outils de mails actuels.

Suivez attentivement les autres étapes expliquées ci-dessous et votre poste de travail sera ensuite prêt pour:

  • signer  de manière électronique vos mails,
  • recevoir des mails chiffrés  …
  • et en plus accéder sans avoir à s’authentifier à des portails tels que Gaspar, grâce à votre certificat personnel.

L’adresse mail de l’expéditeur d’un message peut être facilement usurpée. C’est ainsi que se propagent faux messages et virus, ils semblent provenir d’une adresse « de confiance » puisqu’elle a été prise dans un annuaire ou dans votre propre carnet d’adresses. Si le contenu du message demande à ce que l’identité de l’expéditeur soit connue avec certitude, il faut que celui-ci signe électroniquement son message.

Un  certificat personnel  est basé sur une clé publique et une clé privée. Les certificats sont émis par l’  Autorité de certification , à qui on fait confiance. A l’EPFL les certificats émis par l’Autorité de Certification de l’EPFL sont automatiquement stockés dans LDAP et sont donc accessibles par certaines applications (Thunderbird par ex.). La clé privée est stockée sur votre ordinateur personnel, vous en aurez besoin pour signer électroniquement des mails et lire des mails qui ont été chiffrés à l’aide de votre clé publique.

Attention: ne jamais demander de certificat depuis un poste public
… et faire les étapes suivantes sur le poste de travail depuis lequel vous allez accéder à des sites sécurisés ou depuis lequel vous allez envoyer ou recevoir des mails sécurisé.

Avertisement sur la durée de vie des certificats personnels
Comme expliqué plus haut, pour lire un mail chiffré vous avez besoin de votre certificat personnel. L’outil de messagerie ne stocke que la version chiffrée du message, cela peut donc poser problème si vous voulez lire ce message au bout d’un certain temps et qu’entre temps vous ayez changé de certificat personnel (certificat échu, changement de machine …).
Il vous faut donc soit veiller à stocker vos certificats échus, soit copier le contenu du mail déchiffré dans un autre fichier, pour ne pas vous trouver dans cette situation.

Pour signer électroniquement un mail, il vous faut disposer d’un certificat personnel, donc être passé par les 2 étapes décrites plus loin.

Ensuite dans la fenêtre de composition d’un message:

  • Thunderbird: il suffit ensuite de cocher l’option « Digitally sign this message » dans l’onglet Security
  • Outlook: Options/Paramètres de sécurité/Signature
  • Mail (MacOSX): une fois le certificat stocké dans votre trousseau, le bouton « signer » est accessible quand vous composez un nouveau message

Vous recevez un mail signé, vous n’avez rien à faire … simplement, vous pouvez faire confiance à l’identité de l’expéditeur et surtout, votre outil de messagerie va stocker automatiquement le certificat personnel de cette personne, vous pourrez donc ensuite lui envoyer des mails chiffrés!

La solution de cryptage intégrée dans la plupart des outils de mail est S/MIME (Secure Multipurpose Internet Mail Extensions).
Pour chiffrer un mail, le destinataire doit avoir un certificat personnel (Avec Thundebird, l’expéditeur doit aussi avoir un certificat personnel …).

Comment connaître le certificat personnel de votre destinataire?
Celui-ci vous envoie un mail signé (voir le paragraphe précédent) et son certificat sera automatiquement connu par votre lecteur de mails.

Ensuite, comment chiffrer le message dépend de votre outil de mail.

Dans la fenêtre de composition d’un message:

  • Thunderbird: cocher « Encrypt this message » dans l’onglet Security
  • Outlook: Options/Paramètres de sécurité/Crypter
  • Mail (MacOSX): si votre trousseau contient le certificat du destinataire, le bouton « crypter » apparait quand vous composez le message.

Si le mail a été chiffré en utilisant votre certificat personnel, il sera déchiffré automatiquement.

1ère étape: reconnaître l’autorité de certification de l’EPFL

C’est l’autorité de certification de l’EPFL qui émet les certificats (personnels ou de serveurs) pour la communauté EPFL. Il faut donc que les outils que vous utilisez (navigateurs Web ou lecteurs de mails) la reconnaissent comme une autorité « de confiance » afin de reconnaître les certificats qu’elle émet.

En allant sur le lien Autorité de certification EPFL (avec le navigateur avec lequel vous utiliserez ensuite les certificats) et en suivant le lien « Accéder au certificat de l’Autorité de Certification », le chargement dans votre navigateur (IE ou Netscape/Mozilla) du certificat de l’autorité de certification de l’EPFL se fera automatiquement.
Si ce certificat EPFL est déjà connu de vos outils, les tentatives suivantes de chargement vous donneront simplement un message informatif.

Veuillez noter que l’autorité de certification de l’EPFL n’est pas reconnue en dehors de l’EPFL !

2ème étape: obtenir un certificat de sécurité personnel

Avant de faire la demande d’un certificat personnel, vérifiez que vous n’en avez pas déjà un actif, voir plus loin Visualiser ses certificats!

A l’EPFL, la demande de certificat de sécurité personnel se fait à travers le portail tremplin.epfl.ch. Votre certificat (d’une durée d’un an) sera chargé dans votre poste de travail. Il vous permet entre autres:
-de ne plus avoir à vous authentifier sur des portails Web tels que Gaspar,
-de signer électroniquement les mails que vous envoyez
-et de recevoir des mails cryptés selon le standard S/MIME.

Une fois la demande faite, votre certificat sera disponible dans les jours suivant, vous recevrez un email quand il sera prêt à être chargé.

Si vous avez réalisé les étapes précédentes, vous pouvez visualiser les certicats que vous avez chargés:

Firefox: Preferences/Advanced/Encryption/View Certificates
Thunderbird: Edit/Properties/Security/View certificates

Your certificate: c’est le certificat personnel dont il est question à l’étape 2

Authorities: vous voyez l’autorité de certification de l’EPFL parmi les autorités auxquelles vous faites confiance

Other people’s: les noms des personnes dont le certificat est chargé.

Pour chacun des certificats, vous pouvez en visualiser les détails, notamment sa date d’expiration.

On peut vouloir exporter son certificat: pour l’utiliser sur un autre poste de travail ou avec un autre navigateur Web, ou pour en faire une copie de sauvegarde.
Dans la fenêtre de visualisation de son personnel de certificat, cocher l’option sauvegarde ou exportation (Firefox, IE-Outlook). Il est recommandé de protéger le certificat exporté par un mot de passe. Pour le récupérer dans un autre navigateur ou poste de travail c’est l’option « Importer » de la même fenêtre de visualisation des certificats personnels.