Flux

PKI

Autorité de certification souveraine pour l'émission et la gestion de certificats d'entreprise & gestion
Horizon

CLM

Gestion du cycle de vie des certificats, découverte, gouvernance & automatisation
Parler à un expert Voir toutes les intégrations

Cas d’utilisation

Certificats TLS serveur

Sécuriser le trafic web à grande échelle

Inventaire des certificats

Découvrez et suivez tous les certificats

Certificats DevOps

Automatiser pour les pipelines CI/CD

Chiffrement des e‑mails

S/MIME pour les courriels d'entreprise
Voir tous les cas d'utilisation

Secteurs

de clients sur le secteur financier

Secteur public

Santé

Énergie & services publics

Aérospatiale & défense
Voir tous les secteurs

Conformité

Directive NIS2

Obligations de cybersécurité de l'UE

DORA

Résilience opérationnelle numérique

eIDAS 2.0

Identification électronique & confiance

RGPD

Protection des données & vie privée

Loi sur la résilience cyber

Réglementation de la sécurité des produits de l'UE
Voir toutes les réglementations
Parler à un expert

Apprendre

Guide

25 articles

Guides et tutoriels PKI approfondis

Glossaire

Plus de 50 termes

Terminologie PKI & cryptographie

Centre d'éducation

Vidéos et ressources d'apprentissage

Livres blancs

Ressources techniques approfondies

Outils & analyses

Décodeur Crypto

Gratuit

Décodez et validez les certificats

Blog & Analyses

Tendances et analyses en cybersécurité

Salle de presse

Actualités et mises à jour de l'entreprise

Événements & Communauté

Webinaires

Sessions dirigées par des experts sur PKI

Événements & Conférences

Rencontrez-nous partout dans le monde

Kit média

Logos et éléments de marque
Contacter les ventes Explorer toutes les ressources
Partie 2 · Types de certificats Lecture de 8 min

S/MIME & Courriel Certificats

Le courriel reste l'un des vecteurs d'attaque les plus ciblés dans l'entreprise. Les certificats S/MIME permettent aux organisations de signer et chiffrer les messages, prouvant l'identité de l'expéditeur et gardant le contenu confidentiel, sans dépendre de plateformes tierces.

Faits rapides

Type
Éducatif
Niveau
Intermédiaire
Sujets
6 sections
Chapitre
6 sur 25
Suivant
Signature de code

Introduction

Malgré la montée des applications de messagerie et des plateformes de collaboration, le courrier électronique reste l'épine dorsale de la communication d'entreprise. C'est ainsi que les contrats sont signés, que les notifications légales sont délivrées, et que les données financières sensibles circulent entre les organisations. Pourtant, le courrier électronique standard (SMTP) a été conçu au début des années 1980 avec aucune sécurité intégréeLes messages circulent en texte clair, les en-têtes peuvent être falsifiés, et il n'existe aucun moyen natif de vérifier qui a réellement envoyé un message.

Cette lacune a fait de l'e-mail le vecteur d'attaque principal pour le phishing, le détournement de courriels d'entreprise (BEC) et l'exfiltration de données. Selon les recherches du secteur, plus de 90 % des cyberattaques commencent par un e-mail malveillant. Les organisations dans la finance, la santé, le gouvernement et les services juridiques subissent une pression particulière parce qu'elles gèrent des données soumises à des réglementations comme GDPR qui exigent la confidentialité et la preuve d'origine.

S/MIME (Secure/Multipurpose Internet Mail Extensions) résout les deux problèmes à la fois. Il utilise certificats numériques et cryptographie à clé publique pour permettre aux utilisateurs de courriel signer numériquement les messages (prouvant l'auteur et l'intégrité) et chiffrer les (garantissant que seul le destinataire prévu peut lire le contenu).

Qu'est-ce que S/MIME

S/MIME est une norme (définie dans la RFC 8551) qui étend le format de courrier électronique MIME avec des services de sécurité cryptographique. Elle est prise en charge nativement par les principaux clients de messagerie (Microsoft Outlook, Apple Mail, Mozilla Thunderbird et la plupart des plateformes de messagerie d'entreprise) depuis plus de deux décennies.

En son cœur, S/MIME repose sur X.509 certificats émis par une autorité de confiance Autorité de certification (CA). Chaque utilisateur ou boîte aux lettres reçoit un certificat qui lie son adresse e-mail à une clé publique. La clé privée correspondante est stockée en toute sécurité sur l'appareil de l'utilisateur ou dans un magasin de clés géré.

Signature numérique

Prouve qui a envoyé le message et qu'il n'a pas été altéré pendant le transport. Le client de messagerie du destinataire vérifie automatiquement la signature en utilisant le certificat public de l'expéditeur.

Chiffrement

Brouille le corps du message et les pièces jointes afin que seul le détenteur de la clé privée du destinataire puisse les déchiffrer. Même l'opérateur du serveur de messagerie ne peut pas lire le contenu.

Non-répudiation

Parce qu'une signature valide ne peut être produite qu'avec la clé privée de l'expéditeur, l'expéditeur ne peut pas plus tard nier avoir envoyé le message, une propriété connue sous le nom de non-répudiation avec une importance juridique dans de nombreuses juridictions.

Interopérabilité

S/MIME est une norme ouverte implémentée sur toutes les plateformes. Un courriel signé envoyé depuis Outlook sous Windows peut être vérifié dans Apple Mail sous macOS, ou dans Thunderbird sous Linux.

Comment la signature S/MIMEFonctionne

Lorsqu'un utilisateur envoie un courriel signé, le processus suivant se déroule en arrière-plan, généralement en une fraction de seconde :

1

Hacher le message

Le client de messagerie calcule un cryptographique hachage (généralement SHA-256) du corps complet du message et des pièces jointes. Ce hachage est une empreinte à longueur fixe qui change même si un seul caractère est modifié.

2

Signer avec la clé privée

L'expéditeur clé privée chiffre le hachage, produisant le signature numérique. La signature et le certificat de l'expéditeur (contenant la clé publique) sont attachés au message.

3

Le destinataire vérifie

Le client de messagerie du destinataire utilise la clé publique de l'expéditeur (du certificat joint) pour déchiffrer la signature, révélant le hachage original. Il calcule ensuite de manière indépendante le hachage du message reçu et compare les deux valeurs. Si elles correspondent, le message est authentique et inchangé.

4

Validation de la chaîne de confiance

Le client de messagerie vérifie également que le certificat de l'expéditeur a été émis par une autorité de certification (CA) de confiance, qu'il n'est pas expiré et qu'il n'a pas été révoqué. Ce n'est que lorsque toutes les vérifications sont réussies que le client affiche un indicateur de signature vérifiée.

La signature ne pas chiffre le message. Le corps reste lisible par quiconque y a accès. La signature garantit uniquement identité et intégrité. Pour la confidentialité, vous avez besoin de chiffrement.

Comment le chiffrement S/MIME fonctionne

Le chiffrement S/MIME utilise une approche hybride qui combine les meilleures propriétés de la cryptographie symétrique et asymétrique. Voici comment le processus fonctionne en pratique :

1

Générer une clé de session

Le client de messagerie de l'expéditeur génère une clé symétrique aléatoire (par exemple, AES-256) pour ce message unique. Le chiffrement symétrique est rapide et efficace pour les données en masse.

2

Chiffrer le message

Le corps du message et toutes les pièces jointes sont chiffrés avec la clé de session. Le résultat est un bloc de texte chiffré illisible sans la clé.

3

Envelopper la clé de session

La clé de session est ensuite chiffrée avec la clé publique de chaque destinataire clé publique (obtenue à partir de leur certificat S/MIME). S'il y a trois destinataires, la clé de session est enveloppée trois fois, une fois par clé publique.

4

Décryptage du destinataire

Chaque destinataire utilise sa clé privée pour déballer la clé de session, puis utilise la clé de session pour déchiffrer le message. Seule personne possédant la clé privée correcte peut compléter ce processus.

En pratique, la plupart des organisations combinent la signature et le chiffrement des messages sensibles. L'e-mail est d'abord signé (prouvant l'expéditeur), puis chiffré (protégeant le contenu). Le destinataire déchiffre d'abord, puis vérifie la signature, le tout géré de manière transparente par le client de messagerie.

Certificat S/MIME Types

Tous les certificats S/MIME ne sont pas créés égaux. Le forum CA/Browser définit plusieurs niveaux de validation, chacun offrant un degré différent d'assurance d'identité :

Boîte aux lettres validée (MV)

Le niveau le plus simple. L'Autorité de certification ne confirme que le demandeur contrôle l'adresse e-mail. Le certificat contient l'adresse e-mail mais aucun nom personnel ou organisationnel vérifié. Convient aux utilisateurs individuels qui ont besoin de signatures et de chiffrement de base.

Validé Individuel (IV)

L'Autorité de certification vérifie le vrai nom de l'individu en plus de l'adresse e-mail. Le champ Sujet du certificat inclut le nom de la personne, offrant aux destinataires une assurance plus forte quant à l'expéditeur du message.

Organisation Validée (OV)

L'Autorité de certification vérifie l'identité juridique de l'organisation et que le domaine email lui appartient. Le certificat affiche le nom de l'organisation, qui est le choix standard pour les entreprises déployant S/MIME à grande échelle.

Sponsor Validé (SV)

Une variante où un sponsor d'entreprise garantit les utilisateurs individuels au sein de l'organisation. Cela combine la confiance organisationnelle avec l'identification par utilisateur, couramment utilisée dans les contextes gouvernementaux et de défense.

La plupart des déploiements d'entreprise utilisent certificats OV émis par une autorité de certification interne ou commerciale. Lorsqu'une interne CA est utilisée, l'organisation conserve le contrôle total sur l'émission et la révocation, et les certificats sont automatiquement approuvés sur tous les appareils joints au domaine.

Déploiement Défis

S/MIME est une technologie mature et bien comprise, pourtant de nombreuses organisations rencontrent des difficultés lors du déploiement. Les défis portent moins sur le protocole lui‑-même que sur la complexité opérationnelle :

Gestion d'entiercement des clés & récupération

Si la clé privée d'un employé est perdue (en raison d'une défaillance d'appareil, d'un départ ou d'une réinitialisation), chaque message chiffré avec cette clé devient définitivement illisible. Les organisations doivent mettre en œuvre la conservation de clés: archivage sécurisé des clés de chiffrement afin que les messages puissent être récupérés si nécessaire. Cela diffère des clés de signature, qui ne doivent jamais être conservées (pour préserver la non‑répudiation).

Adoption des utilisateurs

S/MIME nécessite que chaque participant possède un certificat. Si un utilisateur envoie un message chiffré à un collègue qui ne possède pas de certificat S/MIME, le message ne peut pas être délivré sous forme chiffrée. Déployer des certificats à des milliers d'utilisateurs, et les former sur la signification des e‑mails signés et chiffrés, nécessite une gestion du changement soigneuse et gouvernance des politiques.

Mobile & Multi-Appareil

Les utilisateurs lisent leurs e‑mails sur ordinateurs portables, téléphones et tablettes. La clé privée doit être disponible sur chaque appareil, ce qui introduit une complexité de sécurité et de provisionnement. Certaines organisations utilisent des solutions MDM pour pousser les certificats automatiquement ; d’autres s’appuient sur des fichiers PKCS#12 que les utilisateurs importent manuellement. Les deux approches comportent des compromis.

Cycle de vie des certificats à grande échelle

Les certificats S/MIME expirent, généralement tous les un à trois ans. Une organisation de 10 000 employés doit renouveler 10 000 certificats de façon continue. Sans automatisation, cela devient un fardeau opérationnel constant que les équipes informatiques redoutent, surtout qu’un certificat expiré interrompt silencieusement la signature et le chiffrement.

Publication du répertoire & des certificats

Pour chiffrer un message, l'expéditeur a besoin du certificat public du destinataire. En interne, ceux-ci sont souvent publiés via Active Directory ou LDAP. Pour les destinataires externes, il n'existe pas d'annuaire universel. Certaines organisations utilisent des dépôts de certificats, tandis que d'autres s'appuient sur l'échange initial d'e-mails signés pour mettre en cache les certificats.

Comment nous aidons

Evertrust & Certificats de messagerie

Automatiser l'inscription S/MIME: Evertrust CLM s'intègre à Active Directory et aux fournisseurs d'identité pour délivrer automatiquement des certificats S/MIME lors de l'intégration des utilisateurs, et les révoquer lorsqu'ils quittent l'organisation.

Gestion centralisée des clés: Evertrust archive en toute sécurité les clés de chiffrement afin que les e‑mails chiffrés restent récupérables même après le départ d’un employé ou la perte de son appareil, tout en maintenant les clés de signature non déposées pour l’intégrité juridique.

Problème provenant de votre propre AC: Evertrust PKI vous permet de gérer une Autorité de Certification interne qui délivre des certificats S/MIME fiables sur l’ensemble de votre infrastructure, sans dépendre des tarifs commerciaux des AC par utilisateur.

Surveillance du cycle de vie: Suivez chaque certificat S/MIME à travers l'organisation depuis un tableau de bord unique, avec des alertes de renouvellement automatisées et l'application de politiques pour éviter les interruptions.

Parler à un expert Découvrir CLM
Précédent
Certificats TLS/SSL
Tous les chapitres
Suivant
Certificats de signature de code