Chiffrement et signature dans la messagerie

La signature électronique des messages permet :

  • l’authentification de l’adresse émettrice
  • de contrôler l’intégrité du contenu du message
  • de garantir la non répudiation

Le chiffrement électronique des messages permet :

  • d’assurer la confidentialité du contenu des messages

Plus d’information sur la signature électronique :

Et sur les principes de cryptologie utilisés :

Mise en oeuvre

Deux solutions sont officiellement supportées par les équipes de la DSI :

  1. chiffrement par certificat X.509
  2. chiffrement via Truecrypt

Ces deux solutions sont très différentes dans leur utilisation.

Le chiffrement par certificat électronique oblige un échange préalable des correspondants afin d'obtenir la clé publique du(des) destinataire(s). Tous les acteurs doivent donc utiliser ce système.

TrueCrypt permet de s'affranchir de cette contrainte.

De plus, l'utilisation de TrueCrypt permet de sécuriser vos données sur votre poste, en les protégeant d'accès illicite, de vol, de virus, ....

Solution 1 : Utilisation de TrueCrypt

Le site officiel se trouve ici : http://www.truecrypt.org/

Truecrypt est un produit certifié pa l'Agence Nationale de la Sécurité des Systèmes d'information  (ANSSI)

Vous trouverez la documentation d'installation sur le site de la DSI du CNRS

Ainsi que la documentation de création d'un conteneur qui vous permettra l'utilisation de données chiffrées de façon simple depuis votre poste de travail.

Utilisation de TrueCrypt dans Thunderbird

Les données contenues dans le conteneur TrueCrypt étant chiffrées / déchiffrées à la volée, il vous suffit d'envoyer les données en attaché d'un mail à vos correspondants en leur indicant pas un moyen sécurisé le mot de passe à utiliser pour le déchiffrement (téléphone par exemple).

NB : Il est préférable de communiquer en même temps que vos envois, le logiciel utilisé afin que vos correspondants puissent faire le nécessaire pour lire vos données transmises.

Solution 2 : Utilisation de certificat X.509

Voici la démarche pour l’utilisation de certificat personnel X509 afin de sécuriser les échanges par messagerie électronique (authentification, intégrité, confidentialité, non répudiation).

La signature électronique d’un message apporte l’authentification, l’intégration, la non répudiation.
Le chiffrement électronique d’un message apporte la confidentialité.

Récupération d’un certificat personnel TCS

Contactez un membre de l'équipe AOC qui vérifiera votre identité (prévoir une pièce d’identité) et ajoutera temporairement un droit d’accès à la plateforme TCS/Renater.

Identifiez vous sur le portail TCS : tcs-personal-portal.terena.org

Suivez le menu, et faites une demande de génération du certificat dans votre navigateur.
Une fois terminée vous devez installer le certificat dans votre magasin et exporter une copie afin que l'informaticien puisse assurer la fonction de recouvrement par sequestre de clé (obligation légale).

Utilisation de ce certificat dans Thunderbird

Première étape : récupérez le certificat

Allez dans le gestionnaire de certificat du navigateur utilisé pour la génération du certificat (Préférences / Avancé / Chiffrement / Afficher les certificats)
Dans l’onglet « Vos certificats », choisissez le certificat délivré par Terena et le sauvegardez dans un fichier (par ex tcs.p12)
Il sera demandé un mot de passe pour éviter une utilisation à votre insu.

Deuxième étape : utilisez ce certificat dans thunderbird

Dans le menu Préférences / Avancé / Certificats , allez dans l’onglet Vos certificats
Importez le fichier sauvegardé précédemment et renseignez le mot de passe
Dans la section Sécurité de la configuration de votre compte Thunderbird, choisissez le certificat nouvellement importé pour chiffrer et/ou signer vos messages
Vous pouvez désormais signer et/ou chiffrer vos messages systématiquement ou ponctuellement par le menu Option de la fenêtre de rédaction de vos messages

ATTENTION : Si pour la signature, il n’y a rien de plus à faire, pour le chiffrement (donc la confidentialité), il faut au préalable récupérer la clé publique du ou des destinataire(s). Par exemple leur demander de vous envoyer un message signé (si la clé ne s’installe pas automatiquement dans votre logiciel de messagerie, il faudra l’installer manuellement). Ensuite, utiliser cette clé publique pour chiffrer vos conversations, que seul le destinataire disposant de la clé privé ad hoc pourra déchiffrer. De fait, n’importe qui disposant de la clé publique d’une personne peut envoyer des messages chiffrés avec cette clé. Pour être sûr de l’émetteur, il faut chiffrer ET signer l’envoi de vos messages.

En cas de perte ou de vol

Afin de révoquer votre certificat et de faire une nouvelle demande, vous devrez contacter un informaticien de l'AOC, qui en utilisant de nouveau le portail TCS : tcs-personal-portal.terena.org , révoquera votre certificat et fera une nouvelle demande afin d'obtenir un nouveau certificat.

Signature non vérifiée

En cas de mauvaise vérification de la signature dans votre logiciel de messagerie, vérifiez que vous disposez dans votre magasin du certificat d’autorité délivré par Addtrust AB :

UTN-USERFirst-Client Authentication and Email

Identity: UTN-USERFirst-Client Authentication and Email

Si ce dernier n’apparait pas dans votre liste, vous pouvez l’installer via le lien « Télécharger CA certificat » de cette page tcs-personal-portal.terena.org//root_cert.php
(télécharger et importer le fichier dans votre logiciel de messagerie)

Plus d’informations sur le service certificat de RENATER/TERENA : services.renater.fr/tcs/personne/index

Demande et installation du certificat : services.renater.fr/tcs/personne/installer

Page Wikipédia sur les certificats : fr.wikipedia.org/wiki/Certificat_électronique