S/MIME pour la signature et le chiffrement des messages Exchange Online

S/MIME (Secure/Multipurpose Internet Mail Extensions) est un protocole largement accepté pour l’envoi de messages signés numériquement et chiffrés. S/MIME dans Exchange Online fournit les services suivants pour les messages électroniques :

  • Chiffrement: protège le contenu des messages électroniques.
  • Signatures numériques: vérifie l’identité de l’expéditeur d’un message électronique.

Le reste de cet article décrit généralement S/MIME et le fonctionnement de ces services.

Pour configurer S/MIME dans Exchange Online, consultez les rubriques suivantes :

Configurer S/MIME dans Exchange Online

S/MIME pour Outlook pour iOS et Android

Signatures numériques S/MIME

Les signatures numériques sont le service de S/MIME le plus couramment utilisé. Comme son nom l’indique, les signatures numériques sont l’équivalent numérique de la signature légale traditionnelle d’un document papier. Comme pour une signature légale, les signatures numériques offrent les fonctionnalités de sécurité suivantes :

  • Authentification: une signature sert à valider une identité. Il vérifie la réponse à « qui êtes-vous » en fournissant un moyen de différencier cette entité de tous les autres et de prouver son unicité. Étant donné qu’il n’existe aucune authentification dans le courrier SMTP, il n’existe aucun moyen de savoir qui a envoyé un message. L’authentification dans une signature numérique résout ce problème en permettant à un destinataire de savoir qu’un message a été envoyé par la personne ou l’organisation qui prétend avoir envoyé le message.

  • Non-répudiation: l’unicité d’une signature empêche le propriétaire de la signature de ne pas la répudier. Cette fonctionnalité est appelée non-répudiation. Ainsi, l’authentification qu’une signature fournit permet d’appliquer la non-répudiation. Le concept de non-répudiation est plus familier dans le contexte des contrats papier : un contrat signé est un document juridiquement contraignant et il est impossible de désapprouver une signature authentifiée. Les signatures numériques fournissent la même fonction et, de plus en plus dans certains domaines, sont reconnues comme juridiquement contraignantes, comme une signature sur papier. Étant donné que le courrier SMTP ne fournit pas de moyen d’authentification, il ne peut pas fournir de non-répudiation. Il est facile pour un expéditeur de désapprouver la propriété d’un message électronique SMTP.

  • Intégrité des données: un service de sécurité supplémentaire fourni par les signatures numériques est l’intégrité des données. L’intégrité des données est le résultat des opérations spécifiques qui rendent les signatures numériques possibles. Avec les services d’intégrité des données, lorsque le destinataire d’un message électronique signé numériquement valide la signature numérique, le destinataire est assuré que le message électronique reçu est, en fait, le même message qui a été signé et envoyé et qui n’a pas été modifié pendant son transit. Toute modification du message en transit après sa signature invalide la signature. De cette façon, les signatures numériques fournissent l’assurance que les signatures papier ne le peuvent pas, car il est possible de modifier un document papier après sa signature.

Important

Bien que les signatures numériques assurent l’intégrité des données, elles ne fournissent pas de confidentialité. Les messages avec une signature numérique uniquement sont envoyés en texte clair, tels que les messages SMTP et peuvent être lus par d’autres personnes. Dans le cas où le message est signé de façon opaque, un niveau d’obfuscation est atteint, car le message est codé en base 64, mais il reste en texte clair. Pour protéger le contenu des messages électroniques, le chiffrement doit être utilisé.

Chiffrement S/MIME

Le chiffrement de messages fournit une solution pour la divulgation d’informations. La messagerie Internet SMTP ne sécurisation pas les messages. Un message électronique Internet SMTP peut être lu par toute personne qui le voit lorsqu’il se déplace ou le voit à l’endroit où il est stocké. Ces problèmes sont résolus par S/MIME à l’aide du chiffrement. Le chiffrement est un moyen de modifier les informations afin qu’elles ne soient pas lues ou comprises tant qu’elles n’ont pas été resserrables dans un formulaire lisible et compréhensible. Le chiffrement de messages fournit deux services de sécurité spécifiques :

  • Confidentialité : le chiffrement des messages sert à protéger le contenu d’un message électronique. Seul le destinataire prévu peut afficher le contenu, et le contenu reste confidentiel et ne peut être connu d’aucun autre destinataire qui peut recevoir ou afficher le message. Le chiffrement assure la confidentialité pendant que le message est en transit et en stockage.

  • Intégrité des données : comme pour les signatures numériques, le chiffrement des messages fournit des services d’intégrité des données à la suite des opérations spécifiques qui rendent le chiffrement possible.

Important

Bien que le chiffrement des messages assure la confidentialité, il n’authentifiera en aucune façon l’expéditeur du message. Un message chiffré non signé est aussi susceptible d’usurper l’identité de l’expéditeur qu’un message qui n’est pas chiffré. Étant donné que la non-répudiation est un résultat direct de l’authentification, le chiffrement des messages ne fournit pas non plus de non-répudiation. Bien que le chiffrement assure l’intégrité des données, un message chiffré peut uniquement montrer que le message n’a pas été modifié depuis son envoi. Aucune information sur la personne qui a envoyé le message n’est fournie. Pour prouver l’identité de l’expéditeur, le message doit utiliser une signature numérique.

D’autres technologies de chiffrement fonctionnent ensemble pour assurer la protection des messages au repos et en transit. S/MIME peut fonctionner simultanément avec les technologies de la liste suivante, mais n’en dépend pas :

  • TLS (Transport Layer Security) qui remplace SSL (Secure Sockets Layer):
    • Chiffre le tunnel ou l’itinéraire entre les serveurs de messagerie afin d’empêcher l’espion et l’écoute clandestine.
    • Chiffre la connexion entre les clients de messagerie et les serveurs de messagerie.
  • BitLocker: chiffre les données sur les disques durs des ordinateurs et serveurs clients. Si une partie non autorisée obtient l’accès, elle ne peut pas lire les données sur les lecteurs.

chiffrement de messages Office 365 est un concurrent direct de S/MIME et présente les avantages suivants par rapport à S/MIME :

  • Il s’agit d’un service de chiffrement basé sur une stratégie qui est configuré par un administrateur pour chiffrer les messages envoyés à toute personne à l’intérieur ou à l’extérieur de l’organisation. En revanche, les utilisateurs doivent décider d’appliquer ou non S/MIME aux messages qu’ils envoient.
  • Il s’agit d’un service en ligne qui repose sur Azure Rights Management (Azure RMS) et ne repose pas sur une infrastructure à clé publique. En revanche, S/MIME nécessite une infrastructure de publication de certificats et de certificats.
  • chiffrement de messages Office 365 offre des fonctionnalités supplémentaires. Par exemple, vous pouvez personnaliser les messages avec la marque de votre organisation.