Lors de ma participation aux journées communautaires de Microsoft en 2004, j’avais présenté « Signer et crypter ses mails
avec Outlook et Outlook Express
« . Cette présentation ayant encore du succès, j’ai décidé de la mettre sur mon blog en la remaniant un peu. Pour l’occasion, crypter et ses déclinaisons, ont été remplacés par chiffrer et d’autres termes plus appropriés. Les copies d’écran n’ayant pas été refaites, cette modification ne s’applique qu’au texte.

Présentation

La confiance et la sécurité dans les tiers sont parmi les problèmes majeurs que pose Internet aujourd’hui. Par exemple, la majorité des consommateurs sont préoccupés par la sûreté de leur carte de crédit et de leurs informations personnelles, mais le Web ne leur inspire pas toujours une grande confiance. De même, transmettre de l’information confidentielle par e-mail pose également le problème de sa possible analyse par des robots ou des tiers.

Au travers de la signature et du chiffrement des e-mails, nous allons donc découvrir une des méthodes pour créer plus de confiance sur Internet.

Authentification
+
Chiffrement
+
Autorité de Certification
=
Confiance

Réduire les risques : authentifier + chiffre

Dans les transactions de personne à personne, la sécurité repose sur des critères physiques comme voir et toucher des produits, évaluer une marque, mais sur Internet, sans ses critères physiques, il est plus difficile de se faire une opinion sur un tiers. Ce manque de critères physiques génère des problèmes récurrents qu’il faut prendre en compte, parmi lesquels nous trouvons l’usurpation d’identité (Spoofing), l’action non autorisée (fonctionnement détourné par un concurrent ou un client mécontent), la divulgation non autorisée (interception par des hackers) ou l’altération de données (intentionnelle ou accidentelle).

L’authentification et le chiffrement constituent des solutions viables.

Ce qu’il faut savoir sur l’authentification

L’établissement d’une identité passe par la mise en oeuvre de processus de vérification de l’existence des personnes physiques et morales, c’est le rôle des tiers de confiance. La gestion de l’accréditation est formalisée par la délivrance d’un certificat de serveur, signé par une autorité de certification (CA). Le fonctionnement de l’authentification repose sur l’exploitation de clés publiques, de certificats numériques et de clés privées.

Un certificat d’authenticité confirme la réalité physique d’un tiers, auquel on peut par exemple se fier pour faire un acte de commerce ou déléguer la transmission d’une information sensible.

Le rôle des autorités de certification (CA)

Lorsqu’un administrateur système fait une demande d’émission de certificat, il reçoit deux clés chiffrées : une privée et une publique.

Pour valider cette signature numérique, l’administrateur système envoie la clé publique à une CA, qui détient une clé de signature cryptographique racine servant à signer les clés publiques délivrées à des tiers, ainsi que la clé publique de la CA elle-même.

On comprend doncpourquoi une clé de signature cryptographique racine est une information cruciale qui doit être protégée par les meilleures technologies de sécurisation.

Quand la CA a validé la demande de signature, elle renvoie la clé publique signée à l’administrateur système qui la stocke sur son ordinateur.

Un couple clé publique / clé privée permet de valider un certificat.

Qu’est ce que le chiffrement ?

Le chiffrement est une technologie de sécurisation qui protège la confidentialité de données transmises, sans garantir l’authenticité. Le chiffrement est important car il augmente la sécurité des transmissions en réduisant les risques d’interception de contenu. Pour chiffrer un e-mail, l’expéditeur doit disposer du certificat de serveur du destinataire car il contient sa clé publique. Le certificat peut être obtenu par extraction d’un e-mail signé et envoyé au préalable par le destinataire.

Pour déchiffrer un e-mail, le destinataire doit disposer de sa clé privée, il convient donc de la sauvegarder par précaution.

Comment vérifier l’authenticité d’un certificat ?

Pour vérifier l’authenticité d’un certificat, vous pouvez tout simplement utiliser le gestionnaire de certificats numériques intégré à Internet Explorer.

Question : Qui sont toutes ces sociétés à qui Microsoft nous demande de faire confiance implicitement en installant automatiquement leurs certificats pendant l’installation de Windows ?

Question : Avez-vous une idée de ce que coûte le titre CA ?

Bénéfice pour les utilisateurs

Les utilisateurs de certificats assurent leurs correspondants de l’origine d’un message lorsqu’il est signé et de sa sûreté lorsqu’il est chiffré, ainsi l’utilisation systématique et généralisé des certificats pour signer les e-mails pourrait être une des mesures visant à éradiquer le SPAM.

Pour ce qui est de la délivrance de certificats, c’est un service qui ne vaut que par la qualité des CA qui les délivrent et comme tout service, il peut avoir un prix variant avec ses fonctionnalités. Nous verrons que même si la fourniture de certificats est majoritairement une activité commerciale, il est possible de se procurer un certificat fiable et gratuit.

À quoi ressemble un certificat personnel ?

Un certificat personnel contient votre adresse e-mail. Cette information est la seule information que la CA (ici thawte) peut vérifier en vous envoyant un e-mail auquel vous devez répondre.

Pour être sur que le certificat est transmis à la bonne personne, vous devez récupérer votre certificat depuis le même ordinateur que celui depuis lequel vous avez fais la demande, en utilisant un ID et un mot de passe générés pendant l’enregistrement.

Quelques acronymes à connaître

X.509
Contenu standard de certificat.

ASN.1 (Abstract Syntax Notation)
Description exacte du certificat, il assure que les données reçues sont identiques aux données envoyées.

Base 64 et DER (Distinguished Encoding Rules)
Codage physique de certificat.

PKCS (Public Key Cryptography Standards) #1 … # 15
* PKCS #7 : Cryptographic Message Syntax Standard
* PKCS #10 : Certification Request Syntax Standard

RSA (Rivest, Shamir, and Adelman ) Data Security, Inc
Principale société qui développe de signature de clés publiques .

MD5 et SHA1
Algorithmes utilisés pour la signature des clés incluses dans les certificats.

DES (Data Encryption Standard)
Algorithme de chiffrement symétrique utilisé dans les certificats. Il repose sur une clé de 56 bits et une méthode de codage de bloc, qui fractionne les textes en blocs de 64 bits pour les chiffrer.

3DES : Triple DES (3DES)
Algorithme de chiffrement itérant 3 fois DES, plus lent mais plus sur.

Secure Multipurpose Internet Mail Extensions

S/MIME est une méthode répandue basée sur le standard MIME. Elle sert à transmettre des données binaires par Internet. Lors de l’envoi, MIME code les données binaires sous forme de texte ASCII. À la réception, MIME décode les données ASCII pour leur redonner leur format initial. S/MIME ajoute les fonctions de signature et de chiffrement des données formatées par MIME. Comme dans le cas de MIME, le format est identifié par un en-tête transmis dans l’e-mail.

Comment obtenir un certificat ?

Suivre les conseils de Microsoft pour choisir une CA, parmi les quelles figure thawte, que nous prendrons comme exemple.

Pour obtenir l’écran ci-dessous, cliquez sur Outils / Options… / Sécurité.

Pour obtenir l’écran ci-dessous, cliquez sur Obtenir une identifications numérique…

Authentifier et sécuriser ses e-mails avec thawte

thawte est une société qui propose des certificats personnels gratuits qui permettent de signer et de chiffrer des e-mails. Les certificats thawte sont acceptés par la majorité des clients de messagerie intégrant le standard S/MIME (Microsoft, Netscape, Novell, IBM, …), format adopté comme standard de sécurité par la plupart des acteurs dans le domaine de la messagerie électronique.

Application à Outlook Express 6


Voyant maintenant comment utiliser des certificats pour signer et chiffrer des e-mails depuis Outlook Express 6.

Choix d’une compte d’e-mail (identité)

Pour obtenir l’écran ci-dessous, cliquez sur Outils / Comptes… / Courrier / Propriétés.

Pour obtenir l’écran ci-dessous, cliquez sur Propriétés.

Sélection d’un certificat (identificateur numérique)

Pour obtenir l’écran ci-dessous, cliquez sur Sécurité.

Pour obtenir l’écran ci-dessous, cliquez sur Sélectionner…


Ensuite, vous pouvez choisir le certificat parmi ceux qui sont affichés, sachant que seuls les certificats contenant l’adresse e-mail de l’identité sélectionnée sont affichés.

Configurer le support S/MIME

Pour obtenir l’écran ci-dessous, cliquez sur Outils / Options… / Sécurité.

Pour obtenir l’écran ci-dessous, cliquez sur Avancé…


Ensuite, vous pouvez choisir les options.

Envoyer un messages signé

Pour envoyer un message signé, il suffit de cocher une option de l’e-mail.

Pour obtenir l’écran ci-dessous, sélectionnez, composez ou ouvrez un e-mail puis cliquez sur Outils / Options…


Le message signé portera ensuite le symbole

Quelques nouveautés

Lorsque vous envoyez l’e-mail, vous devez autoriser l’API cryptographique à accéder à votre magasin de clés privée.

Le destinataire est informé qu’il reçoit un message signé.

Récupérer le certificat d’un correspondant

Lorsque vous recevez un message signé, vous pouvez accéder au certificat en faisant un clic droit sur le symbole

Une fenêtre s’ouvre, dans laquelle un onglet Sécurité permet de visualiser les détails du certificat.

Pour obtenir l’écran ci-dessous, cliquez sur Afficher les certificats…


À partir de la fenêtre de certificats, on peut consulter les différentes informations qu’il contient.

Pour conserver le certificat de l’expéditeur, il suffit de l’enregistrer dans le carnet d’adresse.

Ce certificat pourra ensuite être utilisé pour chiffrer un nouveau message.

Envoyer un message chiffré

Pour envoyer un message signé, il suffit de cocher une option de l’e-mail.

Pour obtenir l’écran ci-dessous, sélectionnez, composez ou ouvrez un e-mail puis cliquez sur Outils / Options…


Le message chiffré portera ensuite le symbole 

Application à Outlook 2003

Voyant maintenant comment utiliser des certificats pour signer et chiffrer des e-mails depuis Outlook 2003.

Configurer S/MIME

À la différence d’Outlook Express, il n’est pas nécessaire de sélectionner un compte de mail pour y associer un certificat car Outlook sait mettre en correspondance un compte d’e-mail utilisé pour envoyer un message avec le certificat contenant approprié.

Pour obtenir l’écran ci-dessous, cliquez sur Outils / Options… / Sécurité.

Pour obtenir l’écran ci-dessous, cliquez sur  Choisir…, en face du champ Certificat de signature.

Une fois que le certificat est choisi, on peut paramétrer S/MIME et par exemple, changer l’algorithme de hachage de la signature, ce qui n’est pas modifiable dans Outlook Express.

Envoyer des messages signés et chiffrés


Dès que l’on à installé un certificat, on signe un message d’un seul clic sur un bouton.

Si on dispose du  certificat d’un tiers, un autre clic suffit pour chiffrer le message.

En bref, les avantages et les inconvénients

+ Les technologies de signature et de chiffrement, bien que complexes, sont très simple à utiliser dans les clients de messagerie de Microsoft.
+ Un certificat permettant de signer et de chiffrer les e-mails peut être obtenu, révoqué et régénéré gratuitement.
+ Internet devient un media sûr pour faire transiter des informations confidentielles, y compris par les particuliers.
– Peu de personnes connaissent et utilisent les certificats, il faut faire la promotion de ces technologies.

Qu’est ce que le thawte Web of Trust (WOT) ?

Le thawte Web of Trust un système de certification communautaire, permettant de valider des identités, c’est une adaptation du modèle PGP (Pretty Good Privacy) Web of Trust dont il diffère par son principe de points.

Initialement, ce sont les employés de thawte ont initié la communauté. Ils attribuaient 100 points aux personnes dont ils établissaient l’identité sur la base d’un document officiel avec photo, en conservant une copie.

Dans le système thawte WOT actuel, lorsqu’une personne dispose de 100 points, elle peut devenir notaire et bénéficier de suffisamment de crédit pour distribuer des points aux personnes qu’elle authentifie.

Comment faire partie du WOT ?

Pour faire partie du thawte WOT, il faut avoir un certificat personnel émis par thawte.

Les porteurs d’un certificat personnel thawte peuvent augmenter leur niveau d’authentification, par le biais de validations à vue.

Un certificat s’obtient par Internet depuis le site de thawte qui ne fait payer aucun frais pour la fourniture d’un certificat personnel.

Comment devenir un notaire thawte ?

Un notaire thawte n’est pas un notaire dans le sens légal du terme.

Pour devenir un notaire thawte il n’est pas nécessaire d’avoir une qualification formelle.

Certificat personnel
+
100 points
=
Notaire thawte

Le système de points du WOT

Selon son expérience, un notaire WOT attribue de 10 à 35 points à une personne lorsqu’il établi son identité, ce processus d’accréditation porte aussi le nom d’assertion.

Nouveau notaire : 10 points
Après 5 assertions : 10 points
Après 10 assertions : 20 points
Après 15 assertions : 25 points
Après 25 assertions : 30 points
Après 35 assertions : 35 points

Si le notaire à moins de 21 ans il ne peut attribuer que 10 points.

Lorsqu’un porteur de certificat personnel de type Freemail a obtenu 50 points, il peut demander un nouveau certificat portant son nom au lieu de la mention « Freemail member ».

Les règles du WOT

Il est important que les notaires thawte et les membres du WOT suivent des règles afin d’assurer un haut niveau de crédibilité aux informations enregistrées dans les certificats.

Les règles sont les suivantes :

  • Voir la personne à laquelle des points sont attribués ;
  • Voir les documents d’identification et leurs copies ;
  • Conserver les copies des documents d’identification ;
  • Signer et conserver les demandes d’attribution de points ;
  • Confidentialité ;
  • Frais d’assertion, qui sont laissés à l’appréciation du notaire WOT ;
  • Responsabilité ;
  • Respect du nombre de points attribuables.

Possibilité d’authentification à distance

Pour 25,00 $, thawte accepte de valider les identités certifiées par deux professionnels : banquier, avocat ou expert comptable.

La procédure est alors la suivante :

  1. Télécharger et imprimer 4 exemplaires du formulaire thawte.
  2. Fournir 2 exemplaires du formulaire et 2 documents officiels avec copies à chaque notable qui doit les remplir en présence du demandeur et les conserver 31 jours.
  3. Le demandeur doit poster les copies des formulaires remplis avec les copies de ses documents officiels à thawte.
  4. thawte vérifiera les documents avant d’attribuer 100 points.

Conclusion

Authentification <=> Origine établie
+
Chiffrement <=> Contenu sécurisé
+
Autorité de Certification <=> Existence certifiée
=
Confiance

Les certificats sont peu utilisés alors que paradoxalement de forts besoins de sécurité et de confidentialité sont exprimés.

Le coût et la technicité n’étant pas à mettre en cause, il faut probablement faire découvrir ces procédés au plus grand nombre.

Ressources

Microsoft Developer Network
http://msdn.microsoft.com/fr-fr/security/default.aspx

RSA Data Security
http://www.rsa.com/

British Telecommunications Group
http://www.btplc.com/

GlobalSign
http://www.globalsign.com/

Thawte
http://www.thawte.com/

VeriSign
http://www.verisign.com/