-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hello! Voici la solution complète pour ceux qui veulent, en France, obtenir une réelle sécurisation 128 bits de leur navigateur Microsoft Internet Explorer 5, et également pouvoir utiliser Outlook Express 5 pour crypter/décrypter des messages avec une sécurité de 128 bits. Quelqu'un m'a récemment dit que c'était un miracle ;-))) Voici donc, pas à pas, la solution: 1) Installer Internet Explorer 5.0 et Outlook Express 5.0 ========================================== Si vous ne l'avez pas déjà, et que vous utilisez Windows 98, vous pouvez vous procurer I.E.5 et O.E.5 par téléchargement sur le site "Windows Update" que vous atteindrez facilement en cliquant sur "Démarrer" / "Windows update". Ceci vous emmènera sur le site http://windowsupdate.microsoft.com/default2.htm où vous pourrez télécharger ce dont vous avez besoin. Note 1: Profitez-en pour télécharger les mises-à-jour "an 2000" ! Note 2: *IMPORTANT* Si vous utilisez actuellement PGP 5.x ou 6.x avec O.E.4, et si vous avez installé le plugin PGP pour O.E.4, lisez IMPERATIVEMENT les "NOTES CONCERNANT PGP" à la fin de ce post. La version française d'IE5/OE5 que vous obtiendrez ainsi dispose d'un module cryptographique affaibli à 40 bits (exports U.S.). Si vous faites "Aide / A propos" dans I.E.5, vous verrez qu'il indique un niveau de chiffrement de seulement 40 bits :-( . Vous pouvez également en vérifier la faiblesse sur https://www.fortify.net/sslcheck.html . Il vous faut donc maintenant... 2) Fortifier le niveau de cryptographie d'I.E.5 et O.E.5 ========================================= Téléchargez sur le site ftp://ftp.replay.com le fichier /pub/replay/browsers/128bit/MS-IExplorer-v50/Msie_5.0_win95_98_128.exe Ce fichier est le patch magique qui vous permettra d'obtenir une crypto forte sur votre IE5/OE5. Exécutez ce fichier. L'installation est automatique. Si maintenant vous faites "Aide / A propos" dans I.E.5, vous verrez qu'il indique désormais un chiffrement à 128 bits :-))) . Vous pouvez également en vérifier la force nouvelle sur https://www.fortify.net/sslcheck.html . Vous pouvez donc maintenant avoir des échanges enfin sécurisés sur le Web! A vous le bonheur de laisser enfin votre n° de Carte Bleue sur des sites commerciaux en toute tranquillité, et de dépenser vos sous en toute sécurité -- pour peu que le serveur, à l'autre bout, offre aussi un niveau de sécurité décent, bien sûr. (Ce qui veut dire que nos amis les web-commerçants sont fortement invités à utiliser Apache avec un SSL 128 bits, et d'oublier tout de suite les "solutions" NT-beurk.) Et maintenant, pour crypter vos e-mails? Malheureusement, il reste une "bride" Microsoft qui vous empêchera de crypter vos e-mails avec Outlook Express. En effet, Microsoft interdit tout cryptage d'e-mails au "Français de France" (comme disent nos amis Québecois) :-(((. Sans doute Billou n'est-il pas au courant des décrets du 17 mars 1999 libéralisant l'usage de la cryptographie en France? Mais bon, il paraît justement qu'impossible n'est pas Français, alors il va simplement nous falloir... 3) Mentir un peu à votre système ========================= Allez dans le panneau de configuration de Windows, et dans les "paramètres régionaux", ne dites plus que vous êtes un "Français standard" (je n'ai pas trouvé "Français moyen")... mais un ..."Français du Luxembourg" !!! Il vous faudra rebooter votre machine. Et hop, la limitation a sauté, sans autres conséquences. Vous pouvez maintenant crypter et décrypter vos e-mails dans Outlook Express 5.0, en utilisant S/MIME !!! Mais pour cela, il vous faudra auparavant... 4) Obtenir un "certificat numérique" =========================== Ceux qui connaissent des logiciels de cryptographie à clé publique comme PGP ou GnuPG savent que, pour pouvoir crypter/décrypter, il faut auparavant s'être créé une "paire de clés": Clé publique et clé privée. De plus, les clés publiques peuvent être "certifiées" par la signature de tiers. En langage S/MIME, l'ensemble "clé publique + signatures d'authentification" s'appelle un "certificat numérique", et, à la différence de PGP, vous ne pouvez pas vous le créer tout seul dans votre coin. En effet, dans la maison S/MIME, on ne peut utiliser des clés publiques que si elles sont encapsulées dans un "certificat numérique" qui en garantit l'authenticité.Vous êtes obligé d'en passer par une "autorité de certification", société privée qui vous fournira ce certificat. Adieu la liberté :-( Direction donc la société Thawte, qui a l'avantage d'offrir de tels certificats gratuitement pour un usage privé, dans leur programme "Freemail". Ils sont sympa chez Thawte, hein? Rendez-vous sur http://www.fr.thawte.com/client-freemail.html (Hello Jean-Philippe!), lisez les explications, puis cliquez donc sur "OK, je m'enregistre maintenant!". Vous pourrez ainsi vous créer gratuitement un compte Freemail chez Thawte. Après avoir rempli un formulaire et choisi votre mot de passe (Ne laissez PAS Windows "mémoriser" ce mot de passe si vous voulez conserver une sécurité décente), vous pourrez enfin demander votre premier certificat numérique. Le système vous posera un certain nombre de questions. Si certaines vous semblent obscures, conservez sans crainte les valeurs par défaut. A un moment donné, votre ordinateur créera pour vous une "clé privée". Il vous proposera par défaut une "sécurité moyenne". Je vous engage vivement à remplacer cette valeur par "sécurité élevée", et choisir un mot de passe assez obscur qui protégera l'utilisation de votre Certificat numérique. (J'ai remarqué que le serveur de Thawte est un peu fatigué, parfois, ces jours-ci. Si jamais vous tombez sur une page d'erreur Internet, cliquez simplement sur le bouton "marche arrière" de votre navigateur, puis refaites la même demande. Au bout d'un certain nombre d'essais, ça finit toujours par passer ;-) Une fois que vous aurez fait votre demande de certificat, il faudra laisser à Thawte le temps de traiter cette demande (quelques minutes ou quelques heures). Vous recevrez alors un e-mail vous avertissant que votre certificat est prêt, et vous donnant l'adresse Web ou vous pourrez le télécharger. Procédez comme indiqué, le certificat s'installera automatiquement dans Internet Explorer. Il vous faut maintenant... 5) Installer correctement votre certificat dans Outlook Express =============================================== - - Ouvrez OE5, cliquez sur Outils / Comptes, puis sur l'onglet "Courrier", et faites un double-clic sur votre compte e-mail habituel. - - Cliquez alors sur l'onglet "sécurité", cochez la case "Utiliser une identification numérique..." et cliquez ensuite sur le bouton "Identification numérique". - - Vous devriez voir l'identification "Thawte freemail" que vous venez d'obtenir. Sélectionnez-la, validez, puis refermez toutes les boîtes ouvertes. Fignolez: - - Cliquez sur Outils / Options et choisissez l'onglet "sécurité" - - Cliquez sur le bouton "Avancée" - - Indiquez que: - Vous désirez être averti en cas de cryptage de moins de 128 bits, - Vous préférez un cryptage RC2 128 bits, Et cochez les cases: - Toujours me crypter..... - Envoyer mon ID..... - Ajouter le certificat...... CA Y EST !!! Les souffrances sont terminées! Maintenant, ça devrait "le faire". 6) Comment signer numériquement un message ===================================== Facile! Maintenant, quand vous rédigez un message avec OE, pour le signer numériquement, il suffira de cliquer sur le bouton "Sign S/MIME" de la barre d'outils avant d'envoyer le message. Quand vous recevez un message signé avec S/MIME, il est reconnaissable à son petit cachet rouge dans la boîte de réception. 7) Comment échanger du courrier crypté avec vos correspondants =================================================== Tout d'abord, il faut que votre correspondant dispose lui-aussi d'une version d'OE capable de "le faire", et qu'il ait obtenu son propre certificat numérique. Il faudra donc qu'il en soit passé par les mêmes douleurs que vous! Ensuite, il faudra que vous ayiez échangé une première fois votre clé publique avec votre correspondant. Rien de plus facile: Envoyez-lui simplement un e-mail signé S/MIME, et demandez-lui d'en faire de même. La clé publique est ainsi transportée avec la signature. Dès que vous aurez reçu l'e-mail signé de votre correspondant, vous pourrez lui envoyer des messages cryptés que lui seul pourra lire. Il vous suffira pour cela de cliquer sur le bouton "Encrypt S/MIME" en rédigeant votre e-mail. Quand vous recevez un e-mail crypté avec S/MIME, il est reconnaissable à son petit cachet bleu dans votre boîte de réception. Et voilà! Mais bon, quand on voit par quoi il faut initialement passer pour utiliser S/MIME avec OE... On était quand même bien mieux avec PGP, non? Tiens, justement, à propos de PGP... *** NOTES CONCERNANT PGP *** ============================ A) Si vous avez actuellement PGP 5.x ou PGP 6.x avec le plugin pour O.E.4, N'INSTALLEZ PAS DIRECTEMENT O.E.5, vous auriez de gros problèmes. 2 solutions possibles: a) Désinstallez PGP AVANT d'installer O.E.5. Vous pourrez le réinstaller ensuite, mais SANS installer le plugin O.E. (Le plugin O.E. de PGP 5.x et 6.02 est INCOMPATIBLE avec O.E.5. Si vous désirez une version de PGP dont le plugin soit compatible avec O.E. 5, vous devrez vous procurer PGP 6.5.1 disponible sur http://www.pgpi.org ) - - ou - b) Sans désinstaller PGP, supprimez manuellement le plugin comme suit: - - Allez dans le répertoire "C:\Program Files\Outlook Express" - - Renommez le fichier "msimn.exe" en "Copie de secours du plugin PGP msimn.exe pour OE4" - - Renommez le fichier "pgpmsimn.exe" en "msimn.exe" - - Faites-en une deuxième copie, et appelez-la "msimn.exe Original OE4" Ainsi, vous avez: - - Manuellement désinstallé le plugin PGP pour O.E.4 - - Gardé copie des deux versions de msimn.exe (la version originale d'OE4, et le plugin PGP). APRES AVOIR INSTALLE OE5: - - Retournez dans le répertoire "C:\Program Files\Outlook Express" - - Faites une copie de secours de msimn.exe, et appelez-la "msimn.exe Original OE5". - - Ainsi, vous êtes couvert, vous avez des copies de secours de toutes les versions. Car, si vous désinstalliez PGP 5.x ou 6.02 APRES avoir installé OE5, il y a fort à parier que la désinstallation de PGP supprimerait votre fichier msimn.exe. Avec cette précaution, vous pourrez le restaurer aisément. B) PGP 6.5.1 =========== Comme dit plus haut, PGP 6.5.1 dispose d'un plugin compatible avec O.E.5. Voir http://www.pgpi.org . A installer après OE5, bien sûr. C) NIVEAU DE SECURITE ===================== Je considère personnellement que PGP reste infiniment plus crédible que toute implémentation Microsoft de S/MIME. D'étranges bruits courent sur la perméabilité des produits Microsoft à la NSA. Ne faites jamais confiance à Oulook Express avec S/MIME pour des données hautement sensibles. Préférez toujours PGP pour ce genre d'utilisation, ou mieux, envoyez un messages chiffré avec PGP dans une enveloppe chiffrée avec S/MIME ;-) Le fin du fin... Par contre, si vous souhaitez simplement protéger votre e-mail des indiscrétions de votre petite nièce, d'un cracker du dimanche ou même du lundi, ou de toute organisation privée ne disposant pas des pouvoirs d'organismes gouvernementaux technologiquement musclés, Outlook Express avec S/MIME devrait pouvoir faire votre bonheur... J'espère que ce petit guide vous aura été utile. Cordialement. Miracles Copyright (c) Michel Bouissou 1999. - -- Michel Bouissou DH/DSS ID: 0x80DBBD8F Protégez votre correspondance avec PGP: http://come.to/pgpenfrancais Mes clés PGP sont disponibles sur: http://www.multimania.com/michelb *** E.T. téléphone maison? http://setiathome.ssl.berkeley.edu/ *** -----BEGIN PGP SIGNATURE----- Version: PGPfreeware 6.5.1 for non-commercial use iQA/AwUBN/X4+HhwUkaA272PEQKucQCgvFCtfkKyiY0pV+2UJ89A3RC0lo8AnjKf ju7sFbKFEGBZz+rRQVX8pTsb =ryMr -----END PGP SIGNATURE-----