Guide de sécurisation de Netscape
Sur le modèle du document de Michel Bouissou, voici la solution complète
pour ceux qui veulent, en France, obtenir une réelle
sécurisation 128-bit de leur navigateur
Netscape 4 et également pouvoir utiliser les fonctions d'email
pour signer/chiffrer/déchiffrer des messages en 128-bit.
1 - Installer Netscape Communicator
Sauf si vous avez déja un netscape 4.7 ou supérieur
(dans ce cas voir SmartUpdate), il va falloir installer une nouvelle version
(entre 10 et 20 Mo). Ceci parce que la version que vous avez est probablement
bridée et ne supporte pas S/MIME et il faut la remplacer par une version
fortifiable ou nativement 128-bit.
Vous avez 2 solutions : soit installer la version française 128-bit pour
Windows, soit installer une version anglaise 128-bit disponible pour Windows,
Mac et Unix.
- Téléchargez la version française 128-bit (Windows uniquement) :
http://www.netscape.com/fr/download/index.html ou depuis un CDROM
(Netsurf #48 Mars 2000 ou PC Magazine #142 Mars 2000)
- Téléchargez la version anglaise 128-bit (Mac, Unix ou Windows) :
ftp://ftp.netscape.com/pub/communicator/english/4.77/ ou
ftp://ftp.zedz.net/pub/crypto/mirror/ftp.netscape.com/CommunicatorUS-v472/
- Utilisez SmartUpdate pour ne récupérer que le strict nécessaire (dernière version 128-bit)
http://cgi.netscape.com/cgi-bin/su/intro.cgi
Ensuite laissez faire le programme d'installation et si besoin rebootez.
Ensuite, si vous faites "Aide / A propos" dans Netscape, vous pourrez voir le numéro
de version du logiciel. Si vous avez une version 128-bit vous verrez à coté du logo RSA "This version supports U.S. security". Vous pouvez également vérifier le niveau de cryptographie sur
https://www.tbs-x509.com/php/testcrypto.php
2 - Fortifier le niveau de cryptographie
Normalement c'est déjà fait, vous avez téléchargé une version 128-bit !
Vous pouvez donc maintenant avoir des échanges enfin sécurisés sur le
Web ! A vous le bonheur de laisser enfin votre n° de Carte Bleue sur
des sites commerciaux en toute tranquillité, et de dépenser vos sous
en toute sécurité -- pour peu que le serveur, à l'autre bout, offre
aussi un niveau de sécurité décent, bien sûr.
(Ce qui veut dire que nos amis les cyber-commerçants sont fortement
invités à mettre en place un serveur 128-bit, Apache SSL par exemple !).
Nous avons aussi une
fiche de conseils pour consommer en toute sécurité,
cela peut servir !
Et maintenant, pour chiffrer vos e-mails ? Il faut...
3 - Obtenir un "certificat numérique"
Ceux qui connaissent des logiciels de cryptographie à clé publique
comme PGP ou GnuPG savent que, pour pouvoir crypter/décrypter, il
faut auparavant s'être créé une "paire de clés" : clé publique et clé
privée. De plus, les clés publiques peuvent être "certifiées" par la
signature de tiers.
En langage S/MIME, l'ensemble "clé publique + signature
d'authentification" s'appelle un "certificat numérique", et, à la
différence de PGP, vous ne pouvez pas vous le créer tout seul dans
votre coin. En effet, avec S/MIME, on ne peut utiliser des
clés publiques que si elles sont encapsulées dans un "certificat
numérique" qui en garantit l'authenticité. Vous êtes obligé de
passer par une "autorité de certification", société privée qui vous
fournira ce certificat. Adieu la liberté :-(
Plusieurs solutions. La plus simple, rapide, et en Français est
l'offre Novice de TBS X509, bien sur gratuite. Vous pouvez faire la demande
ici: http://www.tbs-x509.com/client-cert.html.
C'est direct, vous n'aurez juste qu'à confirmer le bon fonctionnement de votre email.
La solution historique, car proposée depuis 1999, est celle de Thawte.
Elle offre de tels certificats gratuitement pour un usage privé, dans leur programme
"Freemail".
Rendez-vous sur
https://www.tbs-internet.com/thawte/client-freemail.html, lisez
les explications, puis cliquez donc sur "OK, je m'enregistre maintenant !".
Vous pourrez ainsi vous créer gratuitement un compte Freemail chez
Thawte. Après avoir rempli un formulaire et choisi votre mot de passe
(Ne laissez PAS Windows "mémoriser" ce mot de passe si vous voulez
conserver une sécurité décente), vous pourrez enfin demander votre
premier certificat numérique. Le système vous posera un certain nombre de questions.
Si certaines vous semblent obscures, conservez sans crainte les valeurs par défaut.
A un moment donné, votre ordinateur créera pour vous une "clé
privée". Il vous proposera de mettre un mot de passe pour protéger cette clef.
Il est vivement conseillé d'en mettre un pour protéger l'utilisation de votre
certificat numérique.
Une fois que vous aurez fait votre demande de certificat, il faudra
laisser à Thawte le temps de traiter cette demande (de quelques minutes
à quelques heures). Vous recevrez alors un e-mail vous avertissant
que votre certificat est prêt, et vous donnant l'adresse Web ou vous
pourrez le télécharger. Procédez comme indiqué, le certificat
s'installera automatiquement dans Netscape.
4 - Installer votre certificat dans Netscape Messenger
Il ne reste plus à dire à Netscape Messenger (la partie email de Netscape)
d'utiliser votre certificat. C'est très simple :
- dans la barre du navigateur de Netscape cliquez sur l'icone cadenas
(qui se trouve à droite de l'icone imprimante)
- les réglages de sécurité apparaissent. Cliquez sur "Messenger" ou 'Messagerie'.
La partie droite de la fenêtre change.
- dans la boite défilante "Certificate for your Signed and Encrypted Messages"
ou 'certificat pour signer et chiffrer vos messages' choisissez votre certificat
(normalement vous n'en avez qu'un) !
- cochez la case "Sign mail messages, when it is possible" ou
'Signer les courriers électronique quand c'est possible'.
Ce reglage activera la signature automatique de vos emails.
- si vous désirer crypter vos emails à chaque fois que c'est possible,
cocher aussi la case "Encrypt mail messages, when it is possible" ou
'Chiffrer vos messages quand c'est possible'. Ce choix fera afficher
une boite de confirmation à chaque fois qu'il n'est pas possible de chiffrer
en message.
- si vous ne voulez pas utiliser de chiffrement faible, cliquez sur
"Select S/MIME Ciphers" ou 'selectionner les algorithmes' et
décochez la case "RC2 encryption with a 40-bit key" et validez.
(nous vous le conseillons)
- validez le tout en cliquant sur OK
CA Y EST !!! Les souffrances sont terminées !
Maintenant, ça devrait "le faire".
5 - Comment signer numériquement un message ?
Si vous avez suivi nos conseils à la section précédente, vos messages seront
automatiquement signés. Pour le vérifier cliquez sur le 3ème petit onglet à gauche de
la zone de saisie des destinataires dans la fenêtre de composition d'un nouveau message.
Ces onglets sont entre la barre d'icones et le champ sujet. L'onglet à sélectionner est
illustré avec des mini cases à cocher. Pour signer un message, la case "Signed" ou
'Signature' doit être cochée.
Quand vous recevez un message signé, un encadré apparait en haut à droite du message.
Il est accompagné du mot "Signed" ou 'Signé' quand le message est signé. Si vous cliquez
dessus, les informations détaillées apparaissent. En particulier cette fenêtre vous dit
si le message a été signé ou chiffré, et par qui il a été signé. Vous pouvez voir le
certificat du signataire. Ce certificat est automatiquement ajouté à votre liste de
porteurs de certificats.
6 - Comment échanger du courrier crypté avec vos correspondants ?
Tout d'abord, il faut que votre correspondant dispose
lui-aussi d'une version de Netscape ou de Outlook Express capable de
"le faire", et qu'il ait obtenu son propre certificat numérique.
Il faudra donc qu'il en soit passé par les mêmes douleurs que vous !
Ensuite, il faudra que vous ayiez échangé une première fois votre clé
publique avec votre correspondant. Rien de plus facile : envoyez-lui
simplement un e-mail signé S/MIME, et demandez-lui d'en faire de
même. La clé publique est ainsi transportée avec la signature.
Dès que vous aurez reçu l'e-mail signé de votre correspondant, vous
pourrez lui envoyer des messages cryptés que lui seul pourra lire. Il
vous suffira pour cela de cocher la case "Encrypted" ou 'Chiffré' de
l'onglet des cases à cocher, entre la barre d'outils et le champ sujet.
Quand vous recevez un email chiffré avec S/MIME, vous voyez en haut
à droite du message un encadré qui contient un cadenas fermé et doré.
Vous voyez en dessous le mot "Encrypted" ou 'Chiffré' et eventuellement le mot
"Signed" ou 'Signé'. Effectivement il est préférrable de chiffrer et de
signer les messages de façon à avoir la sécurité maximale.
Vous n'avez personne avec qui tester ?
Pas de problème, envoyez un email à
tag-smime-demo@TBS-internet.com.
Vous recevrez une confirmation de bonne reception de votre message signé
et des messages chiffrés pour vous !
Et voilà, c'est fini ! Bonne route avec S/MIME !
Si vous ne vous en sortez pas avec Messenger, voyez
un manuel
avec photos d'écrans qu'un confrère à réalisé.
Feedback
Un commentaire sur cet article ? Votre avis nous interesse. Ecrivez à
tag-ssl-feedback@TBS-internet.com
TBS
est une société de conseil spécialisée dans les télécommunications spatiales, le
conseil aux ISPs et la sécurité du commerce électronique. TBS-internet est courtier en certificats depuis 1996.
Sécurisation Outlook Express |
Sécurisation Netscape Communicator |
Sécurisation serveurs SMTP/POP/IMAP |
Autres documents sécurité TBS
|