S/MIME pour la signature et le chiffrement des messages dans Exchange Online

  • Article

S/MIME (Secure/Multipurpose Internet Mail Extensions) est un protocole largement accepté pour l’envoi de messages signés numériquement et chiffrés. S/MIME dans Exchange Online fournit les services suivants pour les messages électroniques :

  • Chiffrement : protège le contenu des messages électroniques.
  • Signatures numériques : vérifie l’identité de l’expéditeur d’un e-mail.

Le reste de cet article décrit généralement S/MIME et le fonctionnement de ces services.

Pour configurer S/MIME dans Exchange Online, consultez les rubriques suivantes :

Configurer S/MIME dans Exchange Online

S/MIME pour Outlook pour iOS et Android

Signatures numériques S/MIME

Les signatures numériques sont le service le plus couramment utilisé de S/MIME. Comme son nom l’indique, les signatures numériques sont l’équivalent numérique de la signature légale traditionnelle sur un document papier. Comme avec une signature légale, les signatures numériques fournissent les fonctionnalités de sécurité suivantes :

  • Authentification : une signature sert à valider une identité. Il vérifie la réponse à « qui êtes-vous » en fournissant un moyen de différencier cette entité de toutes les autres et de prouver son unicité. Étant donné qu’il n’y a pas d’authentification dans la messagerie SMTP, il n’existe aucun moyen de savoir qui a envoyé un message. L’authentification dans une signature numérique résout ce problème en permettant à un destinataire de savoir qu’un message a été envoyé par la personne ou organization qui prétend avoir envoyé le message.

  • Non-répudiation : l’unicité d’une signature empêche le propriétaire de la signature de la désavouer. Cette fonctionnalité est appelée non-répudiation. Ainsi, l’authentification qu’une signature fournit donne les moyens d’appliquer la non-répudiation. Le concept de non-répudiation est plus familier dans le contexte des contrats sur papier : un contrat signé est un document juridiquement contraignant, et il est impossible de renier une signature authentifiée. Les signatures numériques assurent la même fonction et, de plus en plus, dans certains domaines, sont reconnues comme juridiquement contraignantes, à l’instar d’une signature sur papier. Étant donné que l’e-mail SMTP ne fournit pas de moyen d’authentification, il ne peut pas fournir de non-répudiation. Il est facile pour un expéditeur de désavouer la propriété d’un e-mail SMTP.

  • Intégrité des données : un service de sécurité supplémentaire fourni par les signatures numériques est l’intégrité des données. L’intégrité des données est le résultat des opérations spécifiques qui rendent possibles les signatures numériques. Avec les services d’intégrité des données, lorsque le destinataire d’un e-mail signé numériquement valide la signature numérique, le destinataire est assuré que le message électronique reçu est, en fait, le même message que celui qui a été signé et envoyé, et qu’il n’a pas été modifié pendant le transit. Toute modification du message en transit après sa signature invalide la signature. De cette façon, les signatures numériques fournissent l’assurance que les signatures sur papier ne peuvent pas, car il est possible qu’un document papier soit modifié une fois qu’il a été signé.

Importante

Bien que les signatures numériques assurent l’intégrité des données, elles ne fournissent pas de confidentialité. Les messages avec une signature numérique uniquement sont envoyés en texte clair, comme les messages SMTP, et peuvent être lus par d’autres personnes. Dans le cas où le message est signé de façon opaque, un niveau d’obfuscation est atteint, car le message est codé en base64, mais il s’agit toujours d’un texte clair. Pour protéger le contenu des messages électroniques, le chiffrement doit être utilisé.

Chiffrement S/MIME

Le chiffrement des messages fournit une solution à la divulgation d’informations. Le courrier Internet basé sur SMTP ne sécurise pas les messages. Un e-mail Smtp Internet peut être lu par toute personne qui le voit lorsqu’il voyage ou l’affiche à l’endroit où il est stocké. Ces problèmes sont résolus par S/MIME à l’aide du chiffrement. Le chiffrement est un moyen de modifier les informations afin qu’elles ne puissent pas être lues ou comprises tant qu’elles n’ont pas été réajustables à une forme lisible et compréhensible. Le chiffrement des messages fournit deux services de sécurité spécifiques :

  • Confidentialité : le chiffrement des messages sert à protéger le contenu d’un e-mail. Seul le destinataire prévu peut afficher le contenu, et le contenu reste confidentiel et ne peut pas être connu par toute autre personne susceptible de recevoir ou d’afficher le message. Le chiffrement assure la confidentialité pendant que le message est en transit et dans le stockage.

  • Intégrité des données : comme avec les signatures numériques, le chiffrement des messages fournit des services d’intégrité des données à la suite des opérations spécifiques qui rendent le chiffrement possible.

Importante

Bien que le chiffrement des messages assure la confidentialité, il n’authentifie en aucune façon l’expéditeur du message. Un message chiffré non signé est aussi sensible à l’emprunt d’identité de l’expéditeur qu’un message qui n’est pas chiffré. Étant donné que la non-répudiation est un résultat direct de l’authentification, le chiffrement des messages ne fournit pas non plus de répudiation. Bien que le chiffrement assure l’intégrité des données, un message chiffré peut uniquement indiquer que le message n’a pas été modifié depuis son envoi. Aucune information sur la personne qui a envoyé le message n’est fournie. Pour prouver l’identité de l’expéditeur, le message doit utiliser une signature numérique.

D’autres technologies de chiffrement fonctionnent ensemble pour assurer la protection des messages au repos et en transit. S/MIME peut fonctionner simultanément avec les technologies de la liste suivante, mais n’en dépend pas :

  • Tls (Transport Layer Security) qui remplace ssl (Secure Sockets Layer) :
    • Chiffre le tunnel ou la route entre les serveurs de messagerie afin d’empêcher l’espionnage et l’écoute clandestine.
    • Chiffre la connexion entre les clients de messagerie et les serveurs de messagerie.
  • BitLocker : chiffre les données sur les disques durs des ordinateurs clients et des serveurs. Si un tiers non autorisé obtient l’accès, il ne peut pas lire les données sur les lecteurs.

Chiffrement de messages Microsoft Purview est un concurrent direct de S/MIME et présente les avantages suivants par rapport à S/MIME :

  • Il s’agit d’un service de chiffrement basé sur des stratégies configuré par un administrateur pour chiffrer les messages envoyés à toute personne à l’intérieur ou à l’extérieur du organization. En revanche, les utilisateurs doivent décider d’appliquer ou non S/MIME aux messages qu’ils envoient.
  • Il s’agit d’un service en ligne basé sur Azure Rights Management (Azure RMS) et qui ne repose pas sur une infrastructure à clé publique. En revanche, S/MIME nécessite une infrastructure de publication de certificats et de certificats.
  • Chiffrement de messages Microsoft Purview offre des fonctionnalités supplémentaires. Par exemple, vous pouvez personnaliser les messages avec la marque de votre organization.