Planification du chiffrement de la messagerie électronique
Mis à jour: avril 2009
S'applique à: Office Resource Kit
Dernière rubrique modifiée : 2009-04-03
Microsoft Office Outlook 2007 prend en charge des fonctions de sécurité permettant aux utilisateurs d'échanger des messages électroniques chiffrés. Ces fonctions incluent la messagerie électronique chiffrée, les étiquettes de sécurité et les accusés de réception signés.
Remarque : |
---|
Pour obtenir toutes les fonctionnalités de sécurité d'Outlook, vous devez l'installer avec des droits d'administrateur local. |
Fonctionnalités de messagerie chiffrée dans Outlook
Outlook prend en charge des fonctionnalités de messagerie chiffrée qui permettent aux utilisateurs d'effectuer les opérations suivantes :
Signer numériquement un message électronique. La signature numérique fournit une non-répudiation et une vérification du contenu (le message contient ce que la personne a envoyé, sans modification).
Chiffrer un message électronique. Le chiffrement permet de garantir la confidentialité du message en le rendant illisible aux yeux de toute personne autre que le destinataire prévu.
Des fonctionnalités supplémentaires peuvent être configurées pour renforcer la sécurité de la messagerie. Si votre organisation prend en charge ces fonctionnalités, les utilisateurs peuvent effectuer les opérations suivantes :
Envoyer un message électronique avec une demande d'accusé de réception. Ceci permet de vérifier que le destinataire valide la signature numérique de l'utilisateur (le certificat que l'utilisateur a appliqué à un message).
Ajouter une étiquette de sécurité à un message électronique. Votre organisation peut créer une stratégie de sécurité S/MIME V3 personnalisée qui ajoute des étiquettes aux messages. Une telle stratégie correspond à du code que vous ajoutez à Outlook. Elle ajoute des informations à l'en-tête du message sur le degré de confidentialité de ce dernier. Voir Étiquettes de sécurité et accusés de réception signés plus loin dans cette rubrique.
Comment Outlook met en œuvre la messagerie chiffrée
Le modèle de chiffrement d'Outlook utilise le chiffrement de clé publique pour échanger des messages électroniques signés et chiffrés. Outlook prend en charge la sécurité S/MIME V3, qui permet aux utilisateurs d'échanger des messages électroniques à sécurité renforcée avec d'autres clients S/MIME à travers Internet ou un intranet. Les messages électroniques chiffrés par la clé publique de l'utilisateur peuvent être déchiffrés uniquement à l'aide de la clé privée associée. Autrement dit, lorsqu'un utilisateur envoie un message électronique chiffré, le certificat du destinataire (clé publique) le chiffre. Lorsqu'un utilisateur lit un message électronique chiffré, la clé privée de l'utilisateur le déchiffre.
Dans Outlook, les utilisateurs doivent impérativement avoir un profil de sécurité pour utiliser les fonctionnalités de chiffrement. Un profil de sécurité est un groupe de paramètres qui décrit les certificats et les algorithmes utilisés lorsqu'un utilisateur envoie des messages utilisant les fonctionnalités de chiffrement. Les profils de sécurité sont configurés automatiquement si le profil n'existe pas déjà quand :
l'utilisateur a des certificats de chiffrement sur son ordinateur ;
l'utilisateur commence à utiliser une fonction de chiffrement.
Vous pouvez personnaliser à l'avance ces paramètres de sécurité pour les utilisateurs. Vous pouvez utiliser des paramètres de Registre ou de stratégie de groupe pour personnaliser Outlook en fonction des stratégies de chiffrement de votre organisation et configurer (et appliquer, avec la stratégie de groupe) les paramètres de votre choix dans les profils de sécurité. Ces paramètres sont décrits dans le tableau de la section Définir des options de chiffrement Outlook 2007 cohérentes pour une organisation.
Identifications numériques : une combinaison de clés publiques/privées et de certificats
Les fonctionnalités S/MIME reposent sur les identifications numériques, qui associent l'identité d'un utilisateur à une paire de clés publique/privée. La combinaison d'un certificat et d'une paire de clés publique/privée est appelée une identification numérique. La clé privée peut être enregistrée dans un magasin à sécurité renforcée, comme le magasin de certificats Microsoft Windows, sur l'ordinateur de l'utilisateur ou sur une carte à puce. Outlook prend pleinement en charge la norme X.509v3, qui requiert que les clés publiques et privées soient créées par une autorité de certification, telle que VeriSign, Inc.
Les utilisateurs peuvent obtenir des identifications numériques par le biais d'autorités de certification en ligne, telles que VeriSign et Microsoft Certificate Server. Pour plus d'informations sur la manière dont les utilisateurs peuvent acquérir une identification numérique, voir la rubrique d'aide d'Outlook Obtenir une identification numérique. En tant qu'administrateur, vous pouvez fournir des identifications numériques à un groupe d'utilisateurs. Par ailleurs, Outlook continue de prendre en charge l'utilisation du serveur gestionnaire de clés Microsoft Exchange pour obtenir ou fournir des identifications numériques.
Lorsque les certificats des identifications numériques expirent, les utilisateurs doivent généralement obtenir des certificats à jour de l'autorité de certification émettrice. Si votre organisation repose sur le serveur gestionnaire de clés Microsoft Exchange pour les certificats, Outlook gère automatiquement la mise à jour des certificats pour les utilisateurs.
Étiquettes de sécurité et accusés de réception signés
Outlook inclut la prise en charge des extensions ESS (Enhanced Security Services) S/MIME V3 relatives aux étiquettes de sécurité et aux accusés de réception signés. Ces extensions vous aident à établir des communications électroniques à sécurité renforcée au sein de votre organisation et à personnaliser la sécurité en fonction de vos besoins.
Si votre organisation développe et fournit des stratégies de sécurité S/MIME V3 pour ajouter des étiquettes de sécurité personnalisées, le code des stratégies de sécurité peut obliger l'utilisateur à joindre une étiquette de sécurité à un message électronique. Voici deux exemples d'étiquettes de sécurité :
Une étiquette Utilisation interne uniquement peut être implémentée en tant qu'étiquette de sécurité à appliquer au courrier qui ne doit être ni envoyé ni transféré en dehors de l'entreprise.
Une étiquette peut spécifier que certains destinataires ne peuvent ni transférer ni imprimer le message, si une stratégie de sécurité est également installée pour le destinataire.
Les utilisateurs peuvent également envoyer des demandes d'accusé de réception à sécurité renforcée avec les messages pour vérifier que les destinataires reconnaissent leur signature numérique. À la réception et à l'enregistrement du message (même s'il n'est pas encore lu) et au moment de la vérification de la signature, un accusé de réception impliquant que le message a été lu est renvoyé à la Boîte de réception de l'utilisateur. Si la signature de l'utilisateur n'est pas vérifiée, aucun accusé de réception n'est envoyé. Lorsque l'accusé de réception est renvoyé, car il est également signé, vous avez la certitude que l'utilisateur a reçu et vérifié le message.
Classes des niveaux de chiffrement
Deux classes de niveau de clé de chiffrement sont disponibles chez Microsoft : haute (128 bits) et basse (40 bits). Microsoft fournit des capacités de chiffrement à 128 bits dans Windows 2000 et Windows XP, les systèmes d'exploitation requis pour Microsoft Office System 2007. Le fait de vérifier que les utilisateurs utilisent des versions de logiciels prenant en charge un niveau de chiffrement élevé aide à renforcer le niveau de sécurité de la messagerie électronique.
Ressources supplémentaires
L'API des étiquettes de sécurité Outlook crée des modules de stratégies d'étiquettes de sécurité qui définissent le degré de confidentialité du contenu des messages circulant au sein de votre organisation. Pour une description détaillée de la création des modules de stratégie et des exemples de code, voir l'article MSDN Création de modules de stratégies d'étiquettes de sécurité .
Le chiffrement par clé publique peut vous aider à renforcer la sécurité des systèmes de messagerie électronique. Pour plus d'informations sur son utilisation dans Outlook, recherchez le livre blanc consacré à la sécurité d'Outlook 98 dans la page de recherche de la Base de connaissances du site Web du support technique de Microsoft.
Le serveur gestionnaire de clés Microsoft Exchange version 5.5 émet des clés uniquement pour la sécurité de Microsoft Exchange Server. Le serveur gestionnaire de clés Microsoft Exchange 5.5 Service Pack 1 prend en charge la sécurité Exchange et la sécurité S/MIME. Pour plus d'informations, voir le Guide des ressources de Microsoft Exchange Server version 5.5 dans le kit de ressources de Microsoft BackOffice, Deuxième édition.
Télécharger ce livre
Cette rubrique est incluse dans les livres téléchargeables suivants pour en faciliter la lecture et l'impression :
Vous trouverez la liste complète des livres disponibles sur Contenu téléchargeable pour le Kit de ressources d’Office 2007.