S/MIME pour la signature et le chiffrement des messages dans Exchange Online

S/MIME (Secure/Multipurpose Internet Mail Extensions) est un protocole largement accepté pour l’envoi de messages signés numériquement et chiffrés. S/MIME dans Exchange Online fournit les services suivants pour les messages électroniques :

  • Chiffrement : protège le contenu des messages électroniques.
  • Signatures numériques : vérifie l’identité de l’expéditeur d’un e-mail.

Le reste de cet article décrit généralement S/MIME et le fonctionnement de ces services.

Pour configurer S/MIME dans Exchange Online, consultez les rubriques suivantes :

Configurer S/MIME dans Exchange Online

S/MIME pour Outlook pour iOS et Android

Signatures numériques S/MIME

Les signatures numériques sont le service le plus couramment utilisé par S/MIME. Comme son nom l’indique, les signatures numériques sont l’équivalent numérique de la signature légale traditionnelle sur un document papier. Comme avec une signature légale, les signatures numériques fournissent les fonctionnalités de sécurité suivantes :

  • Authentification : une signature sert à valider une identité. Il vérifie la réponse à « qui êtes-vous » en fournissant un moyen de différencier cette entité de toutes les autres et de prouver son unicité. Étant donné qu’il n’existe aucune authentification dans l’e-mail SMTP, il n’existe aucun moyen de savoir qui a envoyé un message. L’authentification dans une signature numérique résout ce problème en permettant à un destinataire de savoir qu’un message a été envoyé par la personne ou l’organisation qui prétend avoir envoyé le message.

  • Non-répudiation : l’unicité d’une signature empêche le propriétaire de la signature de renier la signature. Cette fonctionnalité est appelée non-répudiation. Ainsi, l’authentification fournie par une signature donne les moyens d’appliquer la non-répudiation. Le concept de non-répudiation est le plus familier dans le contexte des contrats papier : un contrat signé est un document juridiquement contraignant et il est impossible de renier une signature authentifiée. Les signatures numériques assurent la même fonction et, de plus en plus dans certains domaines, sont reconnues comme juridiquement contraignantes, comme une signature sur papier. Étant donné que la messagerie SMTP ne fournit pas de moyen d’authentification, elle ne peut pas fournir de non-répudiation. Il est facile pour un expéditeur de refuser la propriété d’un message électronique SMTP.

  • Intégrité des données : l’intégrité des données est un service de sécurité supplémentaire fourni par les signatures numériques. L’intégrité des données est le résultat des opérations spécifiques qui rendent possibles les signatures numériques. Avec les services d’intégrité des données, lorsque le destinataire d’un message électronique signé numériquement valide la signature numérique, le destinataire est assuré que l’e-mail reçu est, en fait, le même message qui a été signé et envoyé et n’a pas été modifié pendant le transit. Toute modification du message en transit après sa signature invalide la signature. De cette façon, les signatures numériques fournissent l’assurance que les signatures sur papier ne peuvent pas, car il est possible de modifier un document papier une fois qu’il a été signé.

Important

Bien que les signatures numériques assurent l’intégrité des données, elles ne fournissent pas de confidentialité. Les messages avec une signature numérique uniquement sont envoyés en texte clair, comme les messages SMTP, et peuvent être lus par d’autres utilisateurs. Dans le cas où le message est signé de manière opaque, un niveau d’obfuscation est atteint, car le message est encodé en base64, mais il est toujours en texte clair. Pour protéger le contenu des messages électroniques, le chiffrement doit être utilisé.

Chiffrement S/MIME

Le chiffrement des messages fournit une solution à la divulgation d’informations. Les e-mails Internet basés sur SMTP ne sécurisent pas les messages. Un e-mail SMTP Internet peut être lu par toute personne qui le voit au fur et à mesure de son déplacement ou l’affiche là où il est stocké. Ces problèmes sont résolus par S/MIME à l’aide du chiffrement. Le chiffrement est un moyen de modifier les informations afin qu’elles ne puissent pas être lues ou comprises tant qu’elles ne sont pas retransmissions sous une forme lisible et compréhensible. Le chiffrement des messages fournit deux services de sécurité spécifiques :

  • Confidentialité : le chiffrement des messages sert à protéger le contenu d’un e-mail. Seul le destinataire prévu peut afficher le contenu, et le contenu reste confidentiel et ne peut être connu par personne d’autre qui peut recevoir ou afficher le message. Le chiffrement assure la confidentialité pendant que le message est en transit et dans le stockage.

  • Intégrité des données : comme pour les signatures numériques, le chiffrement des messages fournit des services d’intégrité des données en raison des opérations spécifiques qui rendent le chiffrement possible.

Important

Bien que le chiffrement des messages assure la confidentialité, il n’authentifie pas l’expéditeur du message d’aucune façon. Un message chiffré non signé est aussi susceptible d’emprunter l’identité de l’expéditeur qu’un message qui n’est pas chiffré. Étant donné que la non-authentification est le résultat direct de l’authentification, le chiffrement des messages ne fournit pas non plus de non-répudiation. Bien que le chiffrement assure l’intégrité des données, un message chiffré peut uniquement indiquer que le message n’a pas été modifié depuis son envoi. Aucune information sur les personnes qui ont envoyé le message n’est fournie. Pour prouver l’identité de l’expéditeur, le message doit utiliser une signature numérique.

D’autres technologies de chiffrement fonctionnent ensemble pour assurer la protection des messages au repos et en transit. S/MIME peut fonctionner simultanément avec les technologies de la liste suivante, mais n’en dépend pas :

  • TLS (Transport Layer Security) qui remplace SSL (Secure Sockets Layer) :
    • Chiffre le tunnel ou l’itinéraire entre les serveurs de messagerie afin d’empêcher l’espionnage et l’écoute clandestine.
    • Chiffre la connexion entre les clients de messagerie et les serveurs de messagerie.
  • BitLocker : chiffre les données sur les disques durs des ordinateurs et serveurs clients. Si une partie non autorisée accède d’une manière ou d’une autre, elle ne peut pas lire les données sur les lecteurs.

Microsoft Purview Message Encryption est un concurrent direct de S/MIME et présente les avantages suivants par rapport à S/MIME :

  • Il s’agit d’un service de chiffrement basé sur une stratégie configuré par un administrateur pour chiffrer les messages envoyés à toute personne interne ou externe à l’organisation. En revanche, les utilisateurs doivent décider s’ils doivent appliquer ou non S/MIME aux messages qu’ils envoient.
  • Il s’agit d’un service en ligne basé sur Azure Rights Management (Azure RMS) et qui ne repose pas sur une infrastructure à clé publique. En revanche, S/MIME nécessite une infrastructure de publication de certificats et de certificats.
  • Microsoft Purview Message Encryption fournit des fonctionnalités supplémentaires. Par exemple, vous pouvez personnaliser les messages avec la marque de votre organisation.