Guide de sécurisation d'Internet Explorer
Sur le modèle du document original de Michel Bouissou,
voici la solution complète pour ceux qui veulent, en France, obtenir une réelle
sécurisation 128-bit de leur navigateur Internet Explorer et également pouvoir
utiliser les fonctions d'email pour signer/chiffrer/déchiffrer des messages en
128-bit. Il a été écrit avec Outlook Express 5 à l'esprit, mais s'adapte à Outlook 2000.
1 - Installer Internet Explorer et Outlook Express
Si vous utilisez un PC vous avez déjà probablement un Internet
Explorer (si vous êtes sous Mac, utilisez Netscape).
Il vous faut au moins un IE 5.01 avec le service pack 1 ou un IE 5.5.
Pour installer IE 5.5 en français allez ici :
http://www.microsoft.com/windows/ie_intl/fr/download/ie55.htm
Si vous souhaitez rester en IE 5, téléchargez juste le service pack 1 en allant à :
http://www.microsoft.com/Windows/ie/download/ie501sp1.htm
Si vous ne savez pas trop ce que vous avez, allez sur "Windows Update" et
installez la version la plus récente proposée :
http://windowsupdate.microsoft.com/default2.htm avec votre Internet Explorer.
Lancez le programme d'installation et faites une installation standard.
Si vous utilisez Outlook 2000,
il est tout de même nécessaire d'avoir un IE potable. Le minimum recommandé est
le IE 5 service pack 1 (voir au dessus). De plus, il vous faudra le
SR 1a d'Office 2000, la
mise à jour du chiffrement et gérer l'eventuel probleme de
fermeture des applications. Voyez aussi les
correctifs de sécurité propre à Outlook 98 et 2000.
2 - Fortifier le niveau de cryptographie
Si vous venez de suivre les instructions de l'étape 1,
normalement cette section n'est qu'une vérification.
Si vous utilisez Outlook Express Windows, allez dans 'Aide / A propos'
d'Outlook Express ; votre version doit être égale ou supérieure à
5.50.4133.2400. Sinon, allez télécharger le service pack à :
http://www.microsoft.com/Windows/ie/download/ie501sp1.htm.
Ceci fait, allez dans 'Aide / A propos' d'Internet Explorer,
vous pourrez voir le numéro de version du logiciel. Vous verrez une ligne
"Cipher Strength" ou 'puissance de chiffrement' qui indique le niveau de
cryptographie actuelle.
Si ce niveau est 128-bit, tout est ok, passez à la suite
en cliquant ici, sinon continuez la lecture.
Si vous utilisez Outlook 2000, allez dans 'Aide / A propos / Informations
de sécurité' d'Outlook. Vous devez voir 2 fois 'Degré de cryptage 128 bits'.
Si oui, passez à la suite en cliquant ici, sinon,
continuer la lecture.
Si vous avez vu une valeur inférieure à 128-bit, cliquez sur le lien
"Update Information" ou 'Mise à jour' qui se situe sur la même ligne.
Si vous n'avez pas ce lien allez à :
Si vous ne parvenez pas à récupérer le patch de façon automatique
via le navigateur (ce qui est fortement conseillé),
vous pouvez aussi le récupérer manuellement ici :
Une fois le patch installé et l'ordinateur redémarré, retournez dans
'Aide / A propos'. Vous devez maintenant voir "128-bit" comme puissance de chiffrement
(si cela ne marche toujours pas, essayee d'aller dans le panneau de configuration de
Windows, et dans les "paramètres régionaux", ne dites plus que vous êtes un "Français
standard"... mais un "Français du Luxembourg" et rebootez. Ceci est nécessaire que
pour certaines versions de Outlook, notamment Outlook 2000 sous NT).
Vous pouvez de plus indépendament vérifier le niveau de
cryptographie sur
https://www.tbs-x509.com/php/testcrypto.php
Vous pouvez donc maintenant avoir des échanges sécurisés sur le
Web ! A vous le bonheur de laisser enfin votre n° de Carte Bancaire sur
des sites commerciaux en toute tranquillité, et de dépenser vos sous
en toute sécurité -- pour peu que le serveur, à l'autre bout, offre
aussi un niveau de sécurité décent, bien sûr.
(Ce qui veut dire que nos amis les web-commerçants sont fortement
invités à mettre en place un serveur 128-bit, Apache SSL par exemple !).
Nous aussi avons une fiche de conseils
pour consommer en toute sécurité, cela peut servir !
Et maintenant, pour chiffrer vos e-mails ? Il faut...
3 - Obtenir un "certificat numérique"
Ceux qui connaissent des logiciels de cryptographie à clé publique
comme PGP ou GnuPG savent que, pour pouvoir crypter/décrypter, il
faut auparavant s'être créé une "paire de clés" : clé publique et clé
privée. De plus, les clés publiques peuvent être "certifiées" par la
signature de tiers.
En langage S/MIME, l'ensemble "clé publique + signature
d'authentification" s'appelle un "certificat numérique", et, à la
différence de PGP, vous ne pouvez pas vous le créer tout seul dans
votre coin. En effet, avec S/MIME, on ne peut utiliser des
clés publiques que si elles sont encapsulées dans un "certificat
numérique" qui en garantit l'authenticité. Vous êtes obligé de
passer par une "autorité de certification", société privée qui vous
fournira ce certificat. Adieu la liberté :-(
Plusieurs solutions. La plus simple, rapide, et en Français est
l'offre Novice de TBS X509, bien sur gratuite. Vous pouvez faire la demande
ici: http://www.tbs-x509.com/client-cert.html.
C'est direct, vous n'aurez juste qu'à confirmer le bon fonctionnement de votre email.
La solution historique, car proposée depuis 1999, est celle de Thawte.
Elle offre de tels certificats gratuitement pour un usage privé, dans leur programme
"Freemail".
Rendez-vous sur
https://www.tbs-internet.com/thawte/client-freemail.html, lisez
les explications, puis cliquez donc sur "OK, je m'enregistre maintenant !".
Vous pourrez ainsi vous créer gratuitement un compte Freemail chez
Thawte. Après avoir rempli un formulaire et choisi votre mot de passe
(Ne laissez PAS Windows "mémoriser" ce mot de passe si vous voulez
conserver une sécurité décente), vous pourrez enfin demander votre
premier certificat numérique. Le système vous posera un certain nombre de questions.
Si certaines vous semblent obscures, conservez sans crainte les valeurs par défaut.
A un moment donné, votre ordinateur créera pour vous une "clé
privée". Il vous proposera de mettre un mot de passe pour protéger cette clef.
Il est vivement conseillé d'en mettre un pour protéger l'utilisation de votre
certificat numérique.
Une fois que vous aurez fait votre demande de certificat, il faudra
laisser à Thawte le temps de traiter cette demande (de quelques minutes
à quelques heures). Vous recevrez alors un e-mail vous avertissant
que votre certificat est prêt, et vous donnant l'adresse Web ou vous
pourrez le télécharger. Procédez comme indiqué, le certificat
s'installera automatiquement dans Internet Explorer.
4 - Installer votre certificat dans Outlook
Il ne reste plus à dire à Outlook d'utiliser votre certificat. C'est très simple :
- Ouvrez Outlook, cliquez sur Outils / Comptes, puis sur l'onglet
"Courrier", et faites un double-clic sur votre compte e-mail habituel.
- Cliquez alors sur l'onglet "sécurité", cochez la case "Utiliser une
identification numérique..." et cliquez ensuite sur le bouton "Identification numérique".
- Vous devriez voir l'identification numérique que vous venez
d'obtenir. Sélectionnez-la, validez, puis refermez toutes les boîtes
ouvertes. Si vous ne la voyez pas, c'est que l'adresse email du compte outlook ne
correspond pas à l'adresse email du certificat !
- Ensuite cliquez sur Outils / Options et choisissez l'onglet "sécurité"
- Cochez 'Signer tous les messages sortants' ou "Digitally sign all outgoing messages"
- Cliquez sur le bouton 'Avancée'
- Choisissez d'être averti en cas de cryptage de moins de 128-bit
- Assurez-vous que les cases 'Toujours me crypter...', 'Envoyer mon ID...' et 'Ajouter le certificat...' soient cochées.
Si vous utilisez Outlook 2000, il faut de plus aller dans
Outils / Options / Securité et cocher :
- Ajouter une signature numérique au message sortant
- Envoyer un message en texte clair signé lors de l'envoi de messages signés
CA Y EST !!! Les souffrances sont terminées ! Maintenant, voyons voir l'usage.
5 - Comment signer numériquement un message ?
Si vous avez suivi nos conseils à la section précédente,
vos messages seront automatiquement signés. Sinon, maintenant quand vous
rédigez un message avec OE, pour le signer numériquement, il suffira de
cliquer sur le bouton "Sign S/MIME" de la barre d'outils avant d'envoyer le message.
Quand vous recevez un message signé avec S/MIME, il est
reconnaissable à son petit cachet rouge dans la boîte de réception.
Si vous cliquez dessus, les informations détaillées apparaissent.
En particulier cette fenêtre vous dit si le message a été signé ou chiffré,
et par qui il a été signé. Vous pouvez voir le certificat du signataire.
6 - Comment échanger du courrier crypté avec vos correspondants ?
Tout d'abord, il faut que votre correspondant dispose lui-aussi d'une
version de Netscape ou de Outlook capable de "le faire", et qu'il ait
obtenu son propre certificat numérique. Il faudra donc qu'il en soit
passé par les mêmes douleurs que vous !
Ensuite, il faudra que vous ayiez échangé une première fois votre clé
publique avec votre correspondant. Rien de plus facile : Envoyez-lui
simplement un e-mail signé S/MIME, et demandez-lui d'en faire de
même. La clé publique est ainsi transportée avec la signature.
Dès que vous aurez reçu l'e-mail signé de votre correspondant, vous
pourrez lui envoyer des messages cryptés que lui seul pourra lire. Il
vous suffira pour cela de cliquer sur le bouton "Encrypt S/MIME" en
rédigeant votre e-mail.
Quand vous recevez un email chiffré avec S/MIME, vous voyez en haut à droite du
message un cadenas fermé. Eventuellement il est accompagné d'un cachet signifiant
que le message est aussi signé. Il est préférrable de chiffrer et de signer
les messages de façon à avoir la sécurité maximale.
Vous n'avez personne avec qui tester ?
Pas de problème, envoyez un email au robot
tag-smime-demo@TBS-internet.com.
Vous recevrez une confirmation de bonne réception de votre message signé et des
messages chiffrés à votre attention ! Ensuite envoyez vous un email
signé et chiffré à vous même (pas au robot) !
Et voilà, c'est fini ! Bonne route avec S/MIME !
Note 1 : Si vous ne
vous en sortez pas sans photo d'écran, voyez le manuel pour
Outlook Express 4 ou 5 ou pour
Outlook 98 qu'un confrère à réalisé.
Note 2 : Voyez le message original de
Michel Bouissou pour l'utilisation de PGP avec Outlook Express.
Ce manuel est inspiré et dérivé avec autorisation d'un document Copyright (c)
Michel Bouissou 1999.
Note 3 : Un document pour bien exporter des certificats depuis
IE 5 est disponible ici.
Feedback
Un commentaire sur cet article ? Votre avis nous intéresse. Ecrivez à
tag-ssl-feedback@TBS-internet.com
TBS
est une société de conseil spécialisée dans les télécommunications spatiales, le
conseil aux ISPs et la sécurité du commerce électronique. TBS-internet est courtier en certificats depuis 1996.
Sécurisation Outlook Express |
Sécurisation Netscape Communicator |
Sécurisation serveurs SMTP/POP/IMAP |
Autres documents sécurité TBS
|