17.9 Envoi de messages sécurisés S/MIME

GroupWise fonctionne avec le logiciel de sécurité que vous avez installé pour pouvoir envoyer des éléments sécurisés.

17.9.1 Configuration requise

Les fonctions de sécurité décrites dans cette section sont disponibles auprès de tous les fournisseurs de services cryptographiques qui utilisent l'API Microsoft Cryptographic et prennent en charge l'algorithme RSA et/ou AES complet.

Ajout de sécurité

Vous pouvez ajouter des fonctionnalités de sécurité aux éléments que vous envoyez en y apposant une signature numérique ou en les codant. Lorsque vous apposez une signature numérique à un élément, le destinataire peut vérifier qu'il n'a pas été modifié en route et que vous en êtes bien l'expéditeur. Le chiffrement d'un élément permet de vous assurer que seul le destinataire concerné peut le lire.

Lorsque vous signez ou codez des éléments à l'aide de GroupWise, les destinataires peuvent les lire à l'aide de n'importe quel autre système de messagerie compatible avec la technologie S/MIME.

Présentation des certificats de sécurité

Un certificat de sécurité est un fichier qui identifie un individu ou une organisation. Pour pouvoir envoyer des éléments sécurisés, vous devez obtenir un certificat de sécurité. Utilisez votre navigateur Web pour obtenir un certificat auprès d'une autorité de certification indépendante. Pour obtenir la liste des autorités de certification, reportez-vous à la page des caractéristiques de GroupWise.

Vous pouvez également utiliser les services Annuaire LDAP pour rechercher un certificat de sécurité.

Votre certificat de sécurité permet d'apposer une signature numérique aux éléments que vous envoyez. Les certificats de sécurité publics d'autres utilisateurs permettent de vérifier les éléments auxquels ils ont apposé une signature numérique et qu'ils vous ont envoyés.

Pour coder un élément et permettre au destinataire de le décoder, vous devez déjà avoir reçu le certificat de sécurité public de ce destinataire. Un élément de ce certificat de sécurité, appelé clé publique, est utilisé pour coder l'élément. Lorsque le destinataire ouvre l'élément codé, ce dernier est décodé à l'aide d'un autre élément du certificat de sécurité, appelé clé privée.

Le certificat de sécurité public d'un utilisateur peut être obtenu de l'une des manières suivantes :

  • L'utilisateur peut vous envoyer un élément auquel il a apposé une signature numérique. Lorsque vous l'ouvrez, vous êtes invité à ajouter le certificat de sécurité et à l'approuver.

  • L'utilisateur peut exporter son certificat public, l'enregistrer sur un disque ou une unité externe, et vous l'envoyer. Vous devez alors importer le certificat public.

Réception d'un élément sécurisé

Les éléments sécurisés sont marqués, dans votre liste d'éléments, à l'aide des icônes suivantes :

Icône

Description

Élément signé

Élément codé

Élément signé et codé

Utilisation de fournisseurs de services de sécurité

Suivant le logiciel de sécurité que vous avez installé, vous pouvez sélectionner différents fournisseurs de services de sécurité pour les éléments que vous envoyez. Par exemple, en raison de la méthode de codage adoptée par votre organisation, il se peut que l'utilisation d'un fournisseur de services de sécurité donné soit requise pour les éléments de travail, alors que vous souhaiteriez recourir à un fournisseur différent pour l'envoi de vos éléments personnels. Les options de sécurité disponibles varient en fonction du fournisseur de services de sécurité que vous sélectionnez.

Pour plus d'informations, reportez-vous à la section Sélection d'un fournisseur de services de sécurité.

Informations avancées

GroupWise est compatible avec la spécification S/MIME version 2 et 3. Les fournisseurs de services de sécurité pris en charge par GroupWise présentent des algorithmes de codage communs, tels que RC2, RC4 et (sous Windows 7 ou version ultérieure) AES. Lorsque vous apposez une signature numérique à un élément, GroupWise hache ce dernier de façon à créer un résumé du message avec l'algorithme SHA-1 standard. Le résumé du message accompagne l'élément envoyé.

Pour plus d'informations, reportez-vous à la section Sélection d'un fournisseur de services de sécurité.

17.9.2 Signature numérique ou chiffrement d'un message

Pour coder un élément et permettre au destinataire de le décoder, vous devez avoir reçu le certificat de sécurité public de ce destinataire.

  1. Vérifiez que vous disposez d'un certificat de sécurité et que vous avez sélectionné le fournisseur de services de sécurité de votre choix.

  2. Ouvrez la vue d'un élément.

  3. Cliquez dans le champ À, saisissez un nom d'utilisateur, puis appuyez sur Entrée. Répétez l'opération pour les utilisateurs supplémentaires.

  4. Cliquez sur pour signer l'élément de façon numérique.

  5. Cliquez sur pour coder l'élément.

  6. Saisissez l'objet et le contenu du message.

  7. Cliquez sur Envoyer dans la barre d'outils.

    Si vous recevez un message indiquant que le certificat du destinataire est introuvable lorsque vous tentez d'envoyer l'élément, envisagez l'une des possibilités suivantes : 1) vous tentez de coder un élément pour un destinataire sans avoir son certificat public ; 2) l'adresse électronique mentionnée dans le certificat public ne correspond pas à celle du destinataire ou 3) il n'y a pas d'adresse électronique dans le certificat public du destinataire et l'adresse électronique de ce dernier ne peut pas être vérifiée.

    Dans le cas 1), vous devez obtenir le certificat de sécurité public du destinataire. Dans le cas 2) ou 3), cliquez sur Trouver le certificat pour localiser le certificat du destinataire.

17.9.3 Signature numérique ou chiffrement de tous les messages

Pour signer ou chiffrer tous les messages :

  1. Cliquez sur Outils > Options.

  2. Double-cliquez sur Sécurité, puis cliquez sur l'onglet Options d'envoi.

  3. Sélectionnez Apposer une signature numérique ou Coder pour les destinataires.

  4. Cliquez sur Options avancées, puis effectuez les sélections requises.

  5. Cliquez sur OK deux fois, puis sur Fermer.

17.9.4 Obtention d'un certificat de sécurité d'une autorité de certification

Pour la majorité des sociétés, l'administrateur GroupWise local émet des certificats de sécurité. Si vous ne savez pas où obtenir un certificat de sécurité, contactez donc votre administrateur GroupWise local.

  1. Cliquez sur Outils > Options.

  2. Double-cliquez sur Certificats.

  3. Cliquez sur Obtenir le certificat.

    Votre navigateur Web démarre et affiche la page Web GroupWise, qui contient la liste des autorités de certification. Il ne s'agit que d'une liste partielle, GroupWise prenant en charge un grand nombre d'autorités de certification.

  4. Sélectionnez l'autorité de certification de votre choix, puis suivez les instructions du site Web.

    Si vous avez utilisé Internet Explorer pour obtenir le certificat, ce dernier est disponible dans GroupWise. Si vous avez utilisé Firefox ou Chrome pour obtenir le certificat, vous devez exporter ou sauvegarder ce dernier à partir du navigateur (pour connaître la marche à suivre, consultez la documentation du navigateur). Pour plus d'informations, reportez-vous à la section Importation ou exportation de certificats de sécurité.

  5. Dans GroupWise, cliquez sur Outils > Options, double-cliquez sur Sécurité, puis cliquez sur l'onglet Options d'envoi.

  6. Sélectionnez Microsoft Base Cryptographic Provider ou Microsoft Enhanced Cryptographic Provider dans la liste déroulante Nom sous Sélectionner un fournisseur de service de sécurité.

    Sélectionnez un fournisseur de service de sécurité adapté au niveau de codage du certificat que vous utilisez. Le niveau de codage d'un certificat dépend du niveau de codage du navigateur utilisé pour l'obtenir. Par exemple, si vous êtes équipé d'un navigateur Internet Explorer avec codage à 128 bits, le niveau de codage est élevé et vous ne pouvez utiliser que Microsoft Enhanced Cryptographic Provider.

  7. Cliquez sur OK.

  8. Double-cliquez sur Certificats et cliquez sur le certificat à utiliser, puis sur Définir comme valeur par défaut.

  9. Cliquez sur OK, puis sur Fermer.

17.9.5 Sélection d'un fournisseur de services de sécurité

  1. Dans la fenêtre principale, cliquez sur Outils > Options.

  2. Double-cliquez sur Sécurité, puis cliquez sur l'onglet Options d'envoi.

  3. Sélectionnez un fournisseur de services de sécurité dans la liste déroulante Nom.

  4. Cliquez sur OK, puis sur Fermer.

Le fournisseur de services de sécurité sélectionné est pris en compte lorsque vous vous y connectez (si la connexion est requise). Les options et les méthodes de codage disponibles varient en fonction du fournisseur de services de sécurité que vous avez sélectionné.

Vous ne pouvez pas sélectionner les options relatives au fournisseur de services de sécurité au niveau d'un élément individuel. En effet, vous devez sélectionner ces options à partir de la fenêtre principale.

17.9.6 Sélection d'un certificat de sécurité pour la signature numérique des éléments

Pour sélectionner un certificat de sécurité afin d'apposer une signature numérique :

  1. Cliquez sur Outils > Options.

  2. Double-cliquez sur Certificats.

  3. Cliquez sur le nom du certificat.

  4. Cliquez sur Définir par défaut.

  5. Cliquez sur OK, puis sur Fermer.

17.9.7 Utilisation du protocole LDAP pour rechercher les certificats de chiffrement du destinataire

Pour pouvoir rechercher des certificats de sécurité à l'aide d'un service Annuaire LDAP, vous devez auparavant ajouter ce service Annuaire à votre carnet d'adresses GroupWise. Pour plus d'informations, reportez-vous à la section Ajout d'un service Annuaire à un carnet d'adresses.

  1. Cliquez sur Outils > Options, puis double-cliquez sur Sécurité.

  2. Cliquez sur l'onglet Options d'envoi.

  3. Cliquez sur Options avancées.

  4. Sélectionnez Rechercher les certificats de codage du destinataire dans l'annuaire LDAP par défaut défini dans le carnet d'adresses LDAP.

  5. Cliquez sur OK deux fois, puis sur Fermer.

17.9.8 Sélection de la méthode utilisée pour coder les éléments

  1. Cliquez sur Outils > Options.

  2. Double-cliquez sur Sécurité, puis cliquez sur l'onglet Options d'envoi.

  3. Cliquez sur Options avancées.

    Utiliser l'algorithme de chiffrement favori du destinataire si disponible : GroupWise tente d'utiliser l'algorithme de codage préféré du destinataire si celui-ci est disponible.

    Recherchez les certificats de codage du destinataire dans l'annuaire LDAP par défaut défini dans le carnet d'adresses LDAP : GroupWise utilise le carnet d'adresses LDAP défini pour tenter de trouver les certificats de codage du destinataire.

    Algorithme de chiffrement par défaut : dans la zone Élément codé, vous pouvez faire défiler les listes déroulantes d'algorithmes de codage qui contiennent tous les algorithmes de codage pris en charge par la version du navigateur Web installé sur le poste de travail sur lequel vous exécutez le client GroupWise. Par exemple, une liste peut répertorier les méthodes de codage suivantes :

    • 3DES (168 bits)

    • DES (56 bits)

    • RC2 (128 bits)

    • RC2 (40 bits)

    • RC2 (56 bits)

    • RC2 (64 bits)

    • RC4 (128 bits)

    • AES (128 bits)

    • AES (256 bits)

    Diffuser mon algorithme de chiffrement préféré dans l'élément signé en tant que : lorsque vous envoyez un élément codé, vous pouvez indiquer l'algorithme de codage préféré à utiliser.

    Envoyer la partie de message au format texte clair (signature en transparent) : envoie le message en texte clair ; sinon, il est envoyé sous la forme d'un message codé PKCS7.

    Inclure les certificats de mon autorité de certification : le certificat de votre autorité de certification est inclus dans le message envoyé.

    Vérifier si l'élément de sécurité entrant/sortant contient des certificats révoqués : compare l'élément de sécurité entrant/sortant à la liste de révocation du certificat.

    Avertir si le serveur de révocation est hors ligne : vous recevez un avertissement si le serveur de révocation est hors ligne lorsque GroupWise effectue la vérification.

    Avertir si les certificats ne contiennent pas d'informations de révocation : vous recevez un avertissement si le certificat ne contient pas d'informations de révocation.

    Ne pas vérifier la conformité des certificats avec S/MIME : la conformité du certificat avec S/MIME n'est pas vérifiée.

    Vérifier la conformité des certificats avec S/MIME version 2 : le système vérifie la conformité du certificat avec la norme S/MIME version 2.

    Vérifier la conformité des certificats avec S/MIME version 3 : le système vérifie la conformité du certificat avec la norme S/MIME version 3.

  4. Effectuez vos sélections dans la zone de groupe Élément codé.

  5. Cliquez sur OK deux fois, puis sur Fermer.

Les méthodes de codage disponibles varient en fonction du fournisseur de services de sécurité que vous avez sélectionné.

17.9.9 Contrôle permettant de savoir si la signature numérique d'un élément a été vérifiée

Pour voir si une signature numérique a été vérifiée :

  1. Ouvrez un élément que vous avez reçu auquel une signature numérique a été apposée.

  2. Cliquez sur Fichier > Propriétés de sécurité.

  3. Cliquez sur les onglets pour afficher des informations sur le certificat de sécurité qui a été utilisé.

La signature numérique est vérifiée lorsque vous ouvrez l'élément. En cas de problème concernant le certificat utilisé pour la signature numérique de l'élément, un avertissement ou un message d'erreur s'affiche immédiatement et la mention « Non approuvé » apparaît dans la barre d'état.

Si la signature numérique n'a pas été vérifiée, il se peut que le certificat de sécurité ne soit pas valide ou que le texte du message ait été modifié depuis que l'élément a été envoyé.

17.9.10 Affichage des certificats de sécurité reçus et modification de l'approbation

Pour afficher les certificats de sécurité reçus ou pour modifier une approbation :

  1. Cliquez sur Contacts dans la liste complète des dossiers.

    Pour accéder à la liste complète des dossiers, cliquez sur la liste déroulante de l'en-tête de la liste des dossiers (située au-dessus de la liste des dossiers ; elle affiche généralement En ligne ou Caching pour indiquer le mode GroupWise utilisé). Cliquez ensuite sur Liste de dossiers complète.

    ou

    Ouvrez le carnet d'adresses.

  2. Double-cliquez sur un contact, puis cliquez sur l'onglet Avancé.

  3. Cliquez sur Gérer les certificats.

  4. Cliquez sur un certificat, puis sur Afficher les détails.

Si vous n'avez pas au départ approuvé le certificat de sécurité d'un destinataire et si vous souhaitez le faire, ouvrez un élément auquel ce destinataire a apposé une signature numérique, cliquez sur le certificat de sécurité, sur Modifier l'approbation, sur une option d'approbation, puis sur OK.

Si vous ne souhaitez plus approuver le certificat de sécurité d'un destinataire, cliquez sur le certificat de sécurité, sur Retirer, puis sur Oui.

Lorsque vous supprimez le certificat de sécurité d'un destinataire de la liste, il est supprimé de votre base de données de certificats. Si par la suite vous recevez un élément qui utilise ce certificat de sécurité, il sera considéré comme inconnu.

17.9.11 Affichage de vos propres certificats de sécurité

Pour afficher vos certificats de sécurité:

  1. Cliquez sur Outils > Options.

  2. Double-cliquez sur Certificats.

  3. Cliquez sur un certificat, puis sur Afficher les détails.

Si vous disposez de plusieurs certificats de sécurité, le certificat par défaut est indiqué par une coche. Pour modifier le certificat par défaut, cliquez sur un certificat, puis sur Définir comme valeur par défaut.

Pour modifier le nom de votre certificat de sécurité, cliquez sur Éditer les propriétés, puis modifiez le texte dans le champ Nom du certificat. La modification de nom est répercutée dans la liste et n'est pas stockée dans le certificat réel.

17.9.12 Importation ou exportation de certificats de sécurité

Lorsque vous exportez votre certificat de sécurité avec la clé privée vers un fichier, un mot de passe est requis pour protéger le fichier. Vous pouvez utiliser le fichier exporté comme copie de sauvegarde ou importer le fichier sur un autre poste de travail. Si un autre utilisateur obtient le fichier ainsi que le mot de passe qui lui est associé, il pourra apposer, en votre nom, une signature numérique aux éléments et lire les éléments codés que vous recevez.

Lorsque vous exportez votre certificat public, vous pouvez l'envoyer à un autre utilisateur. Celui-ci peut alors importer votre certificat public et vous envoyer des éléments codés.

  1. Cliquez sur Outils > Options.

  2. Double-cliquez sur Certificats.

  3. Cliquez sur Importer ou Exporter.

    ou

    Cliquez sur Certificats des autorités de certification, puis sur Importer ou Exporter.

  4. Saisissez un nom de fichier (y compris son chemin d'accès).

    Vous pouvez également cliquer sur Parcourir pour rechercher le fichier de certificat, cliquer sur le nom du fichier, puis sur Enregistrer ou sur Ouvrir.

  5. Si nécessaire, saisissez le mot de passe associé à votre certificat.

  6. Cliquez sur OK.