Planifier le chiffrement de la messagerie électronique dans Outlook 2010
S’applique à : Office 2010
Dernière rubrique modifiée : 2016-11-29
Microsoft Outlook 2010 prend en charge des fonctionnalités de sécurité afin d’aider les utilisateurs à envoyer et recevoir des messages électroniques chiffrés. Parmi ces fonctionnalités figurent la messagerie électronique chiffrée, les étiquettes de sécurité et les accusés de réception signés.
Notes
Pour bénéficier de fonctionnalités de sécurité complètes dans Microsoft Outlook, vous devez installer Outlook 2010 avec des droits d’administrateur local.
Dans cet article :
À propos des fonctionnalités de messagerie chiffrée dans Outlook 2010
Gestion des identifications numériques chiffrées
Étiquettes de sécurité et accusés de réception signés
Configuration des paramètres de chiffrement Outlook 2010
Configuration des paramètres de chiffrement supplémentaires
À propos des fonctionnalités de messagerie chiffrée dans Outlook 2010
Outlook 2010 prend en charge des fonctionnalités de messagerie chiffrée qui permettent aux utilisateurs d’effectuer les opérations suivantes :
Signer numériquement un message électronique. La signature numérique procure une non-répudiation et une vérification du contenu (le message contient ce que la personne a envoyé, sans aucune modification).
Chiffrer un message électronique. Le chiffrement aide à préserver la confidentialité en rendant le message illisible à toute personne autre que le destinataire prévu.
D’autres fonctionnalités peuvent être configurées pour la messagerie à sécurité améliorée. Si votre organisation offre la prise en charge de ces fonctionnalités, la messagerie à sécurité améliorée permet aux utilisateurs d’effectuer les opérations suivantes :
Envoyer un message électronique avec demande d’accusé de réception. Cela aide à s’assurer que le destinataire valide la signature numérique de l’utilisateur (le certificat que l’utilisateur a appliqué à un message).
Ajouter une étiquette de sécurité à un message électronique. Votre organisation peut créer une stratégie de sécurité S/MIME V3 personnalisée qui ajoute des étiquettes aux messages. Une stratégie de sécurité S/MIME V3 est un code que vous ajoutez à Outlook. Elle ajoute des informations à l’en-tête de message concernant le niveau de confidentialité du message. Pour plus d’informations, voir Étiquettes de sécurité et accusés de réception signés plus loin dans cet article.
Implémentation par Outlook 2010 de la messagerie chiffrée
Le modèle de chiffrement Outlook 2010 utilise le chiffrement à clé publique pour envoyer et recevoir des messages électroniques signés et chiffrés. Outlook 2010 prend en charge la sécurité S/MIME V3, qui permet aux utilisateurs d’échanger des messages électroniques à sécurité améliorée avec d’autres clients de messagerie S/MIME par le biais d’Internet ou d’un intranet. Les messages chiffrés par la clé publique de l’utilisateur peuvent être déchiffrés uniquement à l’aide de la clé privée associée. Cela signifie que lorsqu’un utilisateur envoie un message chiffré, le certificat (clé publique) du destinataire le chiffre. Lorsqu’un utilisateur lit un message chiffré, la clé publique de l’utilisateur le déchiffre.
Dans Outlook 2010, les utilisateurs doivent posséder un profil de sécurité pour pouvoir utiliser les fonctionnalités de chiffrement. Un profil de sécurité est un groupe de paramètres qui décrit les certificats et algorithmes utilisés lorsqu’un utilisateur envoie des messages qui ont recours à des fonctionnalités de chiffrement. Les profils de sécurité sont configurés automatiquement si le profil n’est pas déjà présent lorsque :
l’utilisateur dispose de certificats pour le chiffrement sur son ordinateur ;
l’utilisateur commence à utiliser une fonctionnalité de chiffrement.
Vous pouvez personnaliser ces paramètres de sécurité à l’avance pour les utilisateurs. Vous pouvez utiliser des paramètres du Registre ou de la stratégie de groupe pour personnaliser Outlook de façon à répondre aux exigences des stratégies de chiffrement de votre organisation et de façon à configurer (et appliquer à l’aide de la stratégie de groupe) les paramètres souhaités dans les profils de sécurité. Ces paramètres sont décrits dans Configuration des paramètres de chiffrement Outlook 2010 plus loin dans cet article.
Identifications numériques : combinaison de certificats et de clés publiques/privées
Les fonctionnalités S/MIME reposent sur des identifications numériques, que l’on appelle également certificats numériques. Les identifications numériques associent l’identité d’un utilisateur à une paire clé publique/clé privée. La combinaison d’un certificat et d’une paire clé publique/clé privée porte le nom d’identification numérique. La clé privée peut être enregistrée dans un magasin sécurisé, tel que le magasin de certificats Windows, sur l’ordinateur de l’utilisateur ou sur une carte à puce. Outlook 2010 offre une prise en charge totale de la norme X.509v3, qui exige que les clés publiques et privées soient créées par une autorité de certification dans une organisation, telle qu’un ordinateur Windows Server 2008 qui exécute les services de certificats Active Directory (AD CS, Active Directory Certificate Services), ou par une autorité de certification publique telle que VeriSign. Pour plus d’informations sur l’option la plus adaptée à votre organisation, voir Certificat numérique : signé automatiquement ou émis par des autorités de certification dans Planifier les paramètres des signatures numériques pour Office 2010.
Les utilisateurs peuvent obtenir des identifications numériques en faisant appel à des autorités de certification publiques basées sur le Web, telles que VeriSign et Microsoft Certificate Services. Pour plus d’informations sur la façon dont les utilisateurs peuvent obtenir un ID numérique, voir la rubrique d’aide Outlook intitulée Obtenir une identification numérique (https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x40C). En tant qu’administrateur, vous pouvez fournir des identifications numériques à un groupe d’utilisateurs.
Lorsque les certificats des identifications numériques expirent, les utilisateurs doivent généralement obtenir des certificats mis à jour auprès de l’autorité de certification émettrice. Si votre organisation a recours à l’autorité de certification Windows Server 2003 ou aux services AD CS dans Windows Server 2008 pour les certificats, Outlook 2010 gère automatiquement la mise à jour des certificats pour les utilisateurs.
Gestion des identifications numériques chiffrées
Outlook 2010 permet aux utilisateurs de gérer leurs identifications numériques — la combinaison de l’ensemble certificat/clés de chiffrement publique et privée d’un utilisateur. Les identifications numériques aident à sécuriser le courrier électronique des utilisateurs en leur permettant d’échanger des messages chiffrés. La gestion des identifications numériques inclut les opérations suivantes :
Obtention d’une identification numérique. Pour plus d’informations sur la façon dont les utilisateurs peuvent obtenir un ID numérique, voir la rubrique d’aide Outlook intitulée Obtenir une identification numérique (https://go.microsoft.com/fwlink/?linkid=185585\&clcid=0x40C).
Stockage d’une identification numérique afin de pouvoir la déplacer vers un autre ordinateur ou la rendre accessible à d’autres utilisateurs.
Mise à disposition d’une identification numérique pour d’autres utilisateurs.
Exportation d’une identification numérique dans un fichier. Ceci est utile lorsque l’utilisateur crée une sauvegarde ou adopte un nouvel ordinateur.
Importation d’une identification numérique à partir d’un fichier vers Outlook. Un fichier d’identification numérique peut être la copie de sauvegarde d’un utilisateur ou peut contenir l’identification numérique d’un autre utilisateur.
Renouvellement d’une identification numérique ayant expiré.
Un utilisateur qui effectue des tâches de messagerie chiffrée sur plusieurs ordinateurs doit copier son identification numérique sur chaque ordinateur.
Emplacements où stocker les identifications numériques
Les identifications numériques peuvent être stockées à trois emplacements :
Carnet d’adresses global Microsoft Exchange Les certificats générés par une autorité de certification ou par les services AD CS sont publiés automatiquement dans le carnet d’adresses global. Les certificats générés de manière externe peuvent être publiés manuellement dans le carnet d’adresses global. Pour effectuer cette opération dans Outlook 2010, sous l’onglet Fichier, cliquez sur Options, puis sur Centre de gestion de la confidentialité. Sous Centre de gestion de la confidentialité Microsoft Outlook, cliquez sur Paramètres du Centre de gestion de la confidentialité. Sous l’onglet Sécurité de messagerie électronique, sous Identifications numériques (Certificats), cliquez sur le bouton Publier vers la liste d’adresses globale.
Service d’annuaire LDAP (Lightweight Directory Access Protocol) Les services d’annuaire, autorités de certification ou autres fournisseurs de certificats externes peuvent publier les certificats de leurs utilisateurs par le biais d’un service d’annuaire LDAP. Outlook autorise l’accès à ces certificats par le biais d’annuaires LDAP.
Fichier Microsoft Windows Les identifications numériques peuvent être stockées sur les ordinateurs des utilisateurs. Les utilisateurs exportent leur identification numérique d’origine vers un fichier à partir d’Outlook 2010. Pour cela, sous l’onglet Fichier, cliquez sur Options, puis sur Centre de gestion de la confidentialité. Sous Centre de gestion de la confidentialité Microsoft Outlook, cliquez sur Paramètres du Centre de gestion de la confidentialité. Sous l’onglet Sécurité de messagerie électronique, sous Identifications numériques (Certificats), cliquez sur le bouton Importer/Exporter. Les utilisateurs peuvent chiffrer le fichier lors de sa création en spécifiant un mot de passe.
Mise à disposition d’identifications numériques pour d’autres utilisateurs
Si des utilisateurs souhaitent échanger des messages chiffrés, chacun doit posséder la clé publique de l’autre. Les utilisateurs fournissent l’accès à leur clé publique par le biais d’un certificat. Il existe plusieurs manières de fournir une identification numérique à d’autres utilisateurs, notamment les suivantes :
Utiliser un certificat pour signer numériquement un message électronique. Un utilisateur fournit sa clé publique à un autre utilisateur en composant un message électronique et en le signant numériquement à l’aide d’un certificat. Lorsque des utilisateurs Outlook reçoivent le message signé, ils cliquent avec le bouton droit sur le nom de l’utilisateur sur la ligne De, puis ils cliquent sur Ajouter aux contacts. Les informations sur l’adresse et le certificat sont enregistrés dans la liste de contacts de l’utilisateur Outlook.
Fournir un certificat à l’aide d’un service d’annuaire tel que le Carnet d’adresses global Microsoft Exchange. Une alternative consiste pour l’utilisateur à extraire le certificat d’un autre utilisateur à partir d’un annuaire LDAP sur un serveur LDAP standard lorsqu’il envoie un message chiffré. Pour accéder à un certificat de cette manière, les utilisateurs doivent être inscrits pour la sécurité S/MIME avec des identifications numériques pour leurs comptes de messagerie.
Un utilisateur peut obtenir des certificats à partir du carnet d’adresses global.
Importations d’identifications numériques
Les utilisateurs peuvent importer une identification numérique à partir d’un fichier. Ceci est utile par exemple lorsqu’un utilisateur souhaite envoyer des messages chiffrés depuis un nouvel ordinateur. Les certificats de l’utilisateur doivent être installés sur chaque ordinateur depuis lequel il souhaite envoyer des messages chiffrés. Les utilisateurs exportent leur identification numérique d’origine vers un fichier à partir d’Outlook 2010. Pour cela, sous l’onglet Fichier, cliquez sur Options, puis sur Centre de gestion de la confidentialité. Sous Centre de gestion de la confidentialité Microsoft Outlook, cliquez sur Paramètres du Centre de gestion de la confidentialité. Sous l’onglet Sécurité de messagerie électronique, sous Identifications numériques (Certificats), cliquez sur le bouton Importer/Exporter.
Renouvellement de clés et de certificats
Une limite de temps est associée à chaque certificat et clé privée. Lorsque la fin du délai imparti pour les clés fournies par l’autorité de certification ou les services AD CS approche, Outlook affiche un message d’avertissement et propose de renouveler les clés. Outlook propose d’envoyer le message de renouvellement au serveur au nom de chaque utilisateur.
Si les utilisateurs choisissent de ne pas renouveler un certificat avant son expiration ou s’ils utilisent une autre autorité de certification que l’autorité de certification désignée ou les services AD CS, ils doivent contacter l’autorité de certification afin de renouveler le certificat.
Étiquettes de sécurité et accusés de réception signés
Outlook 2010 inclut la prise en charge des extensions ESS (Enhanced Security Services) S/MIME V3 pour les étiquettes de sécurité et les accusés de réception signés. Ces extensions vous aident à fournir des communications de messagerie à sécurité améliorée au sein de votre organisation et à personnaliser la sécurité en fonction de vos exigences.
Si votre organisation développe et fournit des stratégies de sécurité S/MIME V3 pour ajouter des étiquettes de sécurité personnalisées, le code des stratégies de sécurité peut imposer l’attachement d’une étiquette de sécurité à un message électronique. Voici deux exemples d’étiquettes de sécurité :
Une étiquette « Réservé à une utilisation interne » peut être implémentée comme étiquette de sécurité au courrier qui ne doit pas être envoyé ou transféré à l’extérieur de votre société.
Une étiquette peut spécifier que certains destinataires ne sont pas autorisés à transférer ou à imprimer le message, si la stratégie de sécurité est également installé sur l’ordinateur du destinataire.
Les utilisateurs peuvent également envoyer des demandes d’accusé de réception à sécurité améliorée avec des messages afin de vérifier que les destinataires reconnaissent la signature numérique de l’utilisateur. Lorsque le message est reçu et enregistré (même s’il n’est pas encore lu) et que la signature est vérifiée, un accusé de réception signalant que le message a été lu est envoyé dans la Boîte de réception de l’utilisateur. Si la signature de l’utilisateur n’est pas vérifiée, aucun accusé de réception n’est envoyé. Lorsque l’accusé de réception est renvoyé, puisqu’il est également signé, vous avez l’assurance que l’utilisateur a reçu et vérifié le message.
Configuration des paramètres de chiffrement Outlook 2010
Vous pouvez contrôler de nombreux aspects des fonctionnalités de chiffrement Outlook 2010 afin d’aider à configurer une messagerie et un chiffrement des messages plus sécurisés pour votre organisation à l’aide du modèle de stratégie de groupe Outlook 2010 (Outlook14.adm). Par exemple, vous pouvez configurer un paramètre de stratégie de groupe qui requiert une étiquette de sécurité sur tout le courrier sortant ou un paramètre qui désactive la publication vers la liste d’adresses globale. Vous pouvez également utiliser l’Outil de personnalisation Office (OPO) pour configurer les paramètres par défaut, ce qui permet aux utilisateurs de modifier les paramètres. Il existe en outre des options de chiffrement qui peuvent être configurées uniquement au moyen de paramètres de clé de Registre.
Pour plus d’informations sur le téléchargement du modèle d’administration Outlook 2010 et sur les autres modèles d’administration Office 2010, voir Fichiers de modèles d’administration Office 2010 (ADM, ADMX, ADML) et Outil de personnalisation Office. Pour plus d’informations sur la stratégie de groupe, voir Vue d'ensemble de la stratégie de groupe pour Office 2010 et Appliquer des paramètres à l’aide de la stratégie de groupe dans Office 2010.
Pour plus d’informations sur l’OPO, voir Outil de personnalisation Office dans Office System 2010.
Vous pouvez verrouiller les paramètres du tableau suivant afin de personnaliser le chiffrement. Dans l’Outil de personnalisation Office, dans la page Modifier les paramètres utilisateur, ces paramètres se trouvent sous Microsoft Outlook 2010\Sécurité\Chiffrement. Dans la stratégie de groupe, ils se trouvent sous Configuration utilisateur\Modèles d’administration\Microsoft Outlook 2010\Sécurité\Chiffrement.
| Option de chiffrement | Description | ||||||||
|---|---|---|---|---|---|---|---|---|---|
Toujours utiliser la mise en forme TNEF pour les messages S/MIME |
Toujours utiliser le format TNEF (Transport Neutral Encapsulation Format) pour les messages S/MIME, au lieu du format spécifié par l’utilisateur. |
||||||||
Ne pas vérifier l’adresse électronique par rapport à l’adresse des certificats utilisés |
Ne pas vérifier l’adresse électronique de l’utilisateur en utilisant l’adresse des certificats utilisés pour le chiffrement ou la signature. |
||||||||
Ne pas afficher le bouton Publier vers la liste d’adresses globale |
Désactiver le bouton Publier vers la liste d’adresses globale dans la page Sécurité de messagerie électronique du Centre de gestion de la confidentialité. |
||||||||
Ne pas fournir l’option Continuer dans les boîtes de dialogue d’avertissement de chiffrement |
Désactiver le bouton Continuer dans les boîtes de dialogue d’avertissement de paramètres de chiffrement. Les utilisateurs ne pourront pas cliquer surContinuer pour envoyer le message. |
||||||||
Activer les icônes de chiffrement |
Afficher les icônes de chiffrement Outlook dans l’interface utilisateur d’Outlook. |
||||||||
Chiffrer tous les messages électroniques |
Chiffrer les messages électroniques sortants. |
||||||||
S’assurer que tous les messages signés S/MIME disposent d’une étiquette |
Imposer que tous les messages signés S/MIME aient une étiquette de sécurité. Les utilisateurs peuvent attacher des étiquettes aux messages électroniques dans Outlook 2010. Pour cela, sous l’onglet Options, dans le groupe Autres options, sous Sécurité, cliquez sur le bouton Paramètres de sécurité. Dans la boîte de dialoguePropriétés de sécurité, sélectionnez Ajouter une signature numérique au message. Sous Étiquette de sécurité pour Stratégie, sélectionnez une étiquette. |
||||||||
Stratégies de certificat Fortezza |
Entrez une liste de stratégies autorisées dans l’extension de stratégies d’un certificat qui indiquent qu’il s’agit d’un certificat Fortezza. Séparez les stratégies à l’aide de points-virgules. |
||||||||
Formats de message |
Choisissez les formats de messages à prendre en charge : S/MIME (par défaut), Exchange, Fortezza ou une combinaison de ces formats. |
||||||||
Message affiché lorsque Outlook ne trouve pas l’identificateur numérique pour décoder un message |
Entrez un message à afficher aux utilisateurs (maximum 255 caractères). |
||||||||
Paramètres de chiffrement minimum |
Définir la longueur de clé minimale pour un message électronique chiffré. Outlook affiche un message d’avertissement si l’utilisateur tente d’envoyer un message au moyen d’une clé de chiffrement dont la longueur est inférieure à la valeur minimale spécifiée. L’utilisateur peut tout de même choisir d’ignorer l’avertissement et d’envoyer le message à l’aide de la clé de chiffrement sélectionnée initialement. |
||||||||
Les réponses ou transferts portant sur des messages signés/chiffrés sont signés/chiffrés |
Activez cette option pour signer/chiffrer votre message lorsque vous transférez ou répondez à un message signé ou chiffré, même si l’utilisateur n’est pas configuré pour S/MIME. |
||||||||
Demander un accusé S/MIME pour tous les messages signés S/MIME |
Demander un accusé sécurisé pour les messages électroniques signés sortants. |
||||||||
Exiger les algorithmes SuiteB pour les opérations S/MIME |
Utiliser uniquement des algorithmes Suite-B pour les opérations S/MIME. |
||||||||
Autorité de certification obligatoire |
Définir le nom de l’autorité de certification requise. Lorsqu’une valeur est définie, Outlook empêche les utilisateurs de signer le courrier à l’aide d’un certificat émis par une autre autorité de certification. |
||||||||
Exécuter en mode de conformité avec FIPS |
Exiger qu’Outlook s’exécute en mode FIPS 140-1. |
||||||||
Interopérabilité S/MIME avec les clients externes : |
Spécifier le comportement pour la gestion des messages S/MIME : Gérer en interne, Gérer en externe ou Gérer si possible. |
||||||||
Comportement des demandes d’accusé S/MIME |
Spécifier une option de gestion des demandes d’accusés S/MIME :
|
||||||||
Envoyer tous les messages signés comme messages signés en clair |
Envoyer les messages électroniques signés en texte clair. |
||||||||
Signer tous les messages électroniques |
Exiger des signatures numériques sur tous les messages électroniques sortants. |
||||||||
Avertissement de signature |
Spécifier une option d’affichage des avertissements de signature aux utilisateurs :
|
||||||||
URL des certificats S/MIME |
Fournir une URL à laquelle les utilisateurs peuvent obtenir un accusé S/MIME. L’URL peut contenir trois variables (%1, %2 et %3), qui seront remplacées respectivement par le nom, l’adresse de messagerie et la langue de l’utilisateur. Lorsque vous spécifiez une valeur pour URL des certificats S/MIME, utilisez les paramètres suivants pour envoyer des informations concernant l’utilisateur à la page Web d’inscription.
Par exemple, pour envoyer des informations sur l’utilisateur à la page Web d’inscription Microsoft, affectez à l’entrée URL des certificats S/MIME la valeur suivante, y compris les paramètres :
Par exemple, si l’utilisateur se nomme Jeff Smith, que son adresse est someone@example.com et que l’ID de l’interface utilisateur est 1033, les espaces réservés sont résolus comme suit :
|
Les paramètres du tableau suivant se trouvent dans la stratégie de groupe sous Configuration utilisateur\Modèles d’administration\Microsoft Outlook 2010\Sécurité\Chiffrement\Boîte de dialogue État de la signature. Les paramètres de l’outil de personnalisation Office se trouvent aux emplacements correspondants dans la page Modifier les paramètres utilisateur de l’outil OPO.
| Option de chiffrement | Description |
|---|---|
Dossier temporaire sécurisé des pièces jointes |
Spécifier un chemin d’accès de dossier pour le dossier de fichiers temporaires sécurisé. Ce chemin d’accès remplace le chemin par défaut ; cette action est par conséquent déconseillée. Si vous devez utiliser nu dossier spécifique pour les pièces jointes Outlook, nous vous recommandons de procéder comme suit :
|
Listes de révocation de certificats manquantes |
Spécifier la réponse d’Outlook lorsqu’une liste de révocation de certificats est manquante : avertissement (par défaut) ou affichage de l’erreur. Les certificats numériques incluent un attribut affichant l’emplacement de la liste de révocation de certificats correspondante. Les listes de révocation de certificats incluent la liste des certificats numériques révoqués par les autorités de certification de contrôle associées, généralement en raison d’une émission incorrecte ou de la corruption des clés privées correspondantes. Si une liste de révocation de certificats est manquante ou indisponible, Outlook ne peut pas déterminé si un certificat a été révoqué. Un certificat incorrectement émis ou endommagé peut par conséquent servir à accéder aux données. |
Certificats racines manquants |
Spécifier la réponse d’Outlook lorsqu’un certificat racine est manquant : ni erreur ni avertissement (par défaut), avertissement ou affichage de l’erreur. |
Promouvoir les erreurs de niveau 2 comme erreurs, et non pas comme avertissements |
Spécifier la réponse d’Outlook pour les erreurs de niveau 2 : afficher l’erreur ou avertissement (par défaut). Les conditions d’erreur de niveau 2 potentielles sont les suivantes :
|
Récupération de listes de révocation de certificats |
Spécifie le comportement d’Outlook lorsque les listes de révocation de certificats sont récupérées :
|
Configuration des paramètres de chiffrement supplémentaires
La section suivante fournit des informations supplémentaires concernant les options de configuration du chiffrement.
Paramètres de stratégie de sécurité pour le chiffrement général
Le tableau suivant répertorie les paramètres du Registre de Windows supplémentaires que vous pouvez utiliser pour votre configuration personnalisée. Ces paramètres de Registre se trouvent sous HKEY_CURRENT_USER\Software\Microsoft\Cryptography\SMIME\SecurityPolicies\Default. Il n’y a aucune stratégie de groupe correspondante.
| Entrée de Registre | Type | Valeur | Description |
|---|---|---|---|
ShowWithMultiLabels |
DWORD |
0, 1 |
Affecter la valeur 0 pour tenter d’afficher un message lorsque la couche de signature a des jeux d’étiquettes différents dans différentes signatures. Affecter la valeur 1 pour empêcher l’affichage des messages. La valeur par défaut est 0. |
CertErrorWithLabel |
DWORD |
0, 1, 2 |
Affecter la valeur 0 pour traiter un message qui présente une erreur de certificat lorsque le message possède une étiquette. Affecter la valeur 1 pour refuser l’accès à un message qui présente une erreur de certificat. Affecter la valeur 2 pour ignorer l’étiquette de message et accorder l’accès au message. (L’utilisateur voit tout de même l’erreur de certificat.) La valeur par défaut est 0. |