Il faut savoir qu’un courrier transite par plusieurs ordinateurs entre le poste de l’envoyeur et celui du destinataire, chaque fois que le courrier est copié sur des disques. Derrière ces ordinateurs (en fait des serveurs) se cache des entreprises commerciales, des personnes plus ou moins consciencieuses, des administrations … On dit qu’un mail non chiffré c’est comme une carte postale sans enveloppe!
Dans la réalité, le nombre de courriers transitant sur les réseaux informatiques et la conscience professionnelle des techniciens font que le risque d’interception est très faible. Néanmoins, pour des mails dont le contenu est hautement confidentiel, ou dans le cas où le secret professionnel doit être respecté d’un point de vue contractuel, il peut être utile si nécessaire de chiffrer le contenu . Cette option est intégrée dans la plupart des outils de mails actuels.
Suivez attentivement les autres étapes expliquées ci-dessous et votre poste de travail sera ensuite prêt pour:
- signer de manière électronique vos mails,
- recevoir des mails chiffrés …
L’adresse mail de l’expéditeur d’un message peut être facilement usurpée. C’est ainsi que se propagent faux messages et virus, ils semblent provenir d’une adresse « de confiance » puisqu’elle a été prise dans un annuaire ou dans votre propre carnet d’adresses. Si le contenu du message demande à ce que l’identité de l’expéditeur soit connue avec certitude, il faut que celui-ci signe électroniquement son message.
Un certificat personnel est basé sur une clé publique et une clé privée. Les certificats sont émis par l’Autorité de certification, à qui on fait confiance. La clé privée est stockée sur votre ordinateur personnel, vous en aurez besoin pour signer électroniquement des mails et lire des mails qui ont été chiffrés à l’aide de votre clé publique.
Attention: ne jamais demander de certificat depuis un poste public
… et faire les étapes suivantes sur le poste de travail depuis lequel vous allez accéder à des sites sécurisés ou depuis lequel vous allez envoyer ou recevoir des mails sécurisé.
Avertisement sur la durée de vie des certificats personnels
Comme expliqué plus haut, pour lire un mail chiffré vous avez besoin de votre certificat personnel. L’outil de messagerie ne stocke que la version chiffrée du message, cela peut donc poser problème si vous voulez lire ce message au bout d’un certain temps et qu’entre temps vous ayez changé de certificat personnel (certificat échu, changement de machine …).
Il vous faut donc soit veiller à stocker vos certificats échus, soit copier le contenu du mail déchiffré dans un autre fichier, pour ne pas vous trouver dans cette situation.
Pour signer électroniquement un mail, il vous faut disposer d’un certificat personnel, donc être passé par les 2 étapes décrites plus loin.
Ensuite dans la fenêtre de composition d’un message:
- Thunderbird: il suffit ensuite de cocher l’option « Digitally sign this message » dans l’onglet Security
- Outlook: Options/Paramètres de sécurité/Signature
- Mail (MacOSX): une fois le certificat stocké dans votre trousseau, le bouton « signer » est accessible quand vous composez un nouveau message
Vous recevez un mail signé, vous n’avez rien à faire … simplement, vous pouvez faire confiance à l’identité de l’expéditeur et surtout, votre outil de messagerie va stocker automatiquement le certificat personnel de cette personne, vous pourrez donc ensuite lui envoyer des mails chiffrés!
La solution de cryptage intégrée dans la plupart des outils de mail est S/MIME (Secure Multipurpose Internet Mail Extensions).
Pour chiffrer un mail, le destinataire doit avoir un certificat personnel (Avec Thundebird, l’expéditeur doit aussi avoir un certificat personnel …).
Comment connaître le certificat personnel de votre destinataire?
Celui-ci vous envoie un mail signé (voir le paragraphe précédent) et son certificat sera automatiquement connu par votre lecteur de mails.
Ensuite, comment chiffrer le message dépend de votre outil de mail.
Dans la fenêtre de composition d’un message:
- Thunderbird: cocher « Encrypt this message » dans l’onglet Security
- Outlook: Options/Paramètres de sécurité/Crypter
- Mail (MacOSX): si votre trousseau contient le certificat du destinataire, le bouton « crypter » apparait quand vous composez le message.
Si le mail a été chiffré en utilisant votre certificat personnel, il sera déchiffré automatiquement.
A l’EPFL, les utilisateurs peuvent obtenir un certificat personnel émis par l’autorité de certification QuoVadis selon les instructions données ici :
https://inside.epfl.ch/secure-it/certificat-personnel-quovadis/
Une fois la demande faite, votre certificat sera disponible dans les jours suivant, vous recevrez un email quand il sera prêt à être chargé.
Si vous avez réalisé les étapes précédentes, vous pouvez visualiser les certicats que vous avez chargés:
Firefox: Preferences/Advanced/Encryption/View Certificates
Thunderbird: Edit/Properties/Security/View certificates
Your certificate: c’est le certificat personnel dont il est question à l’étape 2
Authorities: vous voyez l’autorité de certification de l’EPFL parmi les autorités auxquelles vous faites confiance
Other people’s: les noms des personnes dont le certificat est chargé.
Pour chacun des certificats, vous pouvez en visualiser les détails, notamment sa date d’expiration.
On peut vouloir exporter son certificat: pour l’utiliser sur un autre poste de travail ou avec un autre navigateur Web, ou pour en faire une copie de sauvegarde.
Dans la fenêtre de visualisation de son personnel de certificat, cocher l’option sauvegarde ou exportation (Firefox, IE-Outlook). Il est recommandé de protéger le certificat exporté par un mot de passe. Pour le récupérer dans un autre navigateur ou poste de travail c’est l’option « Importer » de la même fenêtre de visualisation des certificats personnels.