Guide de sécurisation d'Internet Explorer

Sur le modèle du document original de Michel Bouissou, voici la solution complète pour ceux qui veulent, en France, obtenir une réelle sécurisation 128-bit de leur navigateur Internet Explorer et également pouvoir utiliser les fonctions d'email pour signer/chiffrer/déchiffrer des messages en 128-bit. Il a été écrit avec Outlook Express 5 à l'esprit, mais s'adapte à Outlook 2000.

1 - Installer Internet Explorer et Outlook Express

Si vous utilisez un PC vous avez déjà probablement un Internet Explorer (si vous êtes sous Mac, utilisez Netscape). Il vous faut au moins un IE 5.01 avec le service pack 1 ou un IE 5.5.

Pour installer IE 5.5 en français allez ici :
http://www.microsoft.com/windows/ie_intl/fr/download/ie55.htm

Si vous souhaitez rester en IE 5, téléchargez juste le service pack 1 en allant à :
http://www.microsoft.com/Windows/ie/download/ie501sp1.htm

Si vous ne savez pas trop ce que vous avez, allez sur "Windows Update" et installez la version la plus récente proposée : http://windowsupdate.microsoft.com/default2.htm avec votre Internet Explorer.

Lancez le programme d'installation et faites une installation standard.

Si vous utilisez Outlook 2000, il est tout de même nécessaire d'avoir un IE potable. Le minimum recommandé est le IE 5 service pack 1 (voir au dessus). De plus, il vous faudra le SR 1a d'Office 2000, la mise à jour du chiffrement et gérer l'eventuel probleme de fermeture des applications. Voyez aussi les correctifs de sécurité propre à Outlook 98 et 2000.

2 - Fortifier le niveau de cryptographie

Si vous venez de suivre les instructions de l'étape 1, normalement cette section n'est qu'une vérification.

Si vous utilisez Outlook Express Windows, allez dans 'Aide / A propos' d'Outlook Express ; votre version doit être égale ou supérieure à 5.50.4133.2400. Sinon, allez télécharger le service pack à :
http://www.microsoft.com/Windows/ie/download/ie501sp1.htm.

Ceci fait, allez dans 'Aide / A propos' d'Internet Explorer, vous pourrez voir le numéro de version du logiciel. Vous verrez une ligne "Cipher Strength" ou 'puissance de chiffrement' qui indique le niveau de cryptographie actuelle.

Si ce niveau est 128-bit, tout est ok, passez à la suite en cliquant ici, sinon continuez la lecture.

Si vous utilisez Outlook 2000, allez dans 'Aide / A propos / Informations de sécurité' d'Outlook. Vous devez voir 2 fois 'Degré de cryptage 128 bits'. Si oui, passez à la suite en cliquant ici, sinon, continuer la lecture.

Si vous avez vu une valeur inférieure à 128-bit, cliquez sur le lien "Update Information" ou 'Mise à jour' qui se situe sur la même ligne. Si vous n'avez pas ce lien allez à :

• Windows : http://www.microsoft.com/windows/ie/download/128bit/
  
  

Si vous ne parvenez pas à récupérer le patch de façon automatique via le navigateur (ce qui est fortement conseillé), vous pouvez aussi le récupérer manuellement ici :

• pour Windows 2000 et tous les IE :
  ftp://ftp.zedz.net/pub/crypto/mirror/ftp.microsoft.com/MS-2000/EncryptionPack/
  
  
• Pour Windows 95/98/NT et IE 5 :
  ftp://ftp.zedz.net/pub/crypto/mirror/ftp.microsoft.com/MS-IExplorer-v50/Msie_5.0_win95_98_128.exe
  
  
• Pour Windows 95/98/NT et IE 5.01 :
  ftp://ftp.zedz.net/pub/crypto/mirror/ftp.microsoft.com/MS-IExplorer-v50/ie501msie128.zip
  
  
• Pour Windows 95/98/NT et Outlook 98 :
  ftp://ftp.zedz.net/pub/crypto/mirror/ftp.microsoft.com/MS-OutLook-98/ol98-128.exe
  
  
• Pour Windows 95/98/NT et Outlook 2000 :
  ftp://ftp.zedz.net/pub/crypto/mirror/ftp.microsoft.com/MS-OutLook-2K/MSOutlook2000_128.exe
  
  
• Pour Windows NT il peut etre utile d'installer le service pack 6a US 128-bit :
  ftp://ftp.zedz.net/pub/crypto/mirror/ftp.microsoft.com/MS-NT-v40/SP_6a/nt_40_sp6a_128.exe
  
  

Une fois le patch installé et l'ordinateur redémarré, retournez dans 'Aide / A propos'. Vous devez maintenant voir "128-bit" comme puissance de chiffrement (si cela ne marche toujours pas, essayee d'aller dans le panneau de configuration de Windows, et dans les "paramètres régionaux", ne dites plus que vous êtes un "Français standard"... mais un "Français du Luxembourg" et rebootez. Ceci est nécessaire que pour certaines versions de Outlook, notamment Outlook 2000 sous NT).

Vous pouvez de plus indépendament vérifier le niveau de cryptographie sur https://www.tbs-x509.com/php/testcrypto.php

Vous pouvez donc maintenant avoir des échanges sécurisés sur le Web ! A vous le bonheur de laisser enfin votre n° de Carte Bancaire sur des sites commerciaux en toute tranquillité, et de dépenser vos sous en toute sécurité -- pour peu que le serveur, à l'autre bout, offre aussi un niveau de sécurité décent, bien sûr. (Ce qui veut dire que nos amis les web-commerçants sont fortement invités à mettre en place un serveur 128-bit, Apache SSL par exemple !). Nous aussi avons une fiche de conseils pour consommer en toute sécurité, cela peut servir !

Et maintenant, pour chiffrer vos e-mails ? Il faut...

3 - Obtenir un "certificat numérique"

Ceux qui connaissent des logiciels de cryptographie à clé publique comme PGP ou GnuPG savent que, pour pouvoir crypter/décrypter, il faut auparavant s'être créé une "paire de clés" : clé publique et clé privée. De plus, les clés publiques peuvent être "certifiées" par la signature de tiers.

En langage S/MIME, l'ensemble "clé publique + signature d'authentification" s'appelle un "certificat numérique", et, à la différence de PGP, vous ne pouvez pas vous le créer tout seul dans votre coin. En effet, avec S/MIME, on ne peut utiliser des clés publiques que si elles sont encapsulées dans un "certificat numérique" qui en garantit l'authenticité. Vous êtes obligé de passer par une "autorité de certification", société privée qui vous fournira ce certificat. Adieu la liberté :-(

Plusieurs solutions. La plus simple, rapide, et en Français est l'offre Novice de TBS X509, bien sur gratuite. Vous pouvez faire la demande ici: http://www.tbs-x509.com/client-cert.html. C'est direct, vous n'aurez juste qu'à confirmer le bon fonctionnement de votre email.

La solution historique, car proposée depuis 1999, est celle de Thawte. Elle offre de tels certificats gratuitement pour un usage privé, dans leur programme "Freemail".



Rendez-vous sur https://www.tbs-internet.com/thawte/client-freemail.html, lisez les explications, puis cliquez donc sur "OK, je m'enregistre maintenant !".

Vous pourrez ainsi vous créer gratuitement un compte Freemail chez Thawte. Après avoir rempli un formulaire et choisi votre mot de passe (Ne laissez PAS Windows "mémoriser" ce mot de passe si vous voulez conserver une sécurité décente), vous pourrez enfin demander votre premier certificat numérique. Le système vous posera un certain nombre de questions. Si certaines vous semblent obscures, conservez sans crainte les valeurs par défaut.

A un moment donné, votre ordinateur créera pour vous une "clé privée". Il vous proposera de mettre un mot de passe pour protéger cette clef. Il est vivement conseillé d'en mettre un pour protéger l'utilisation de votre certificat numérique.

Une fois que vous aurez fait votre demande de certificat, il faudra laisser à Thawte le temps de traiter cette demande (de quelques minutes à quelques heures). Vous recevrez alors un e-mail vous avertissant que votre certificat est prêt, et vous donnant l'adresse Web ou vous pourrez le télécharger. Procédez comme indiqué, le certificat s'installera automatiquement dans Internet Explorer.

4 - Installer votre certificat dans Outlook

Il ne reste plus à dire à Outlook d'utiliser votre certificat. C'est très simple :

• Ouvrez Outlook, cliquez sur Outils / Comptes, puis sur l'onglet "Courrier", et faites un double-clic sur votre compte e-mail habituel.
  
  
• Cliquez alors sur l'onglet "sécurité", cochez la case "Utiliser une identification numérique..." et cliquez ensuite sur le bouton "Identification numérique".
  
  
• Vous devriez voir l'identification numérique que vous venez d'obtenir. Sélectionnez-la, validez, puis refermez toutes les boîtes ouvertes. Si vous ne la voyez pas, c'est que l'adresse email du compte outlook ne correspond pas à l'adresse email du certificat !
  
  
• Ensuite cliquez sur Outils / Options et choisissez l'onglet "sécurité"
  
  
• Cochez 'Signer tous les messages sortants' ou "Digitally sign all outgoing messages"
  
  
• Cliquez sur le bouton 'Avancée'
  
  
• Choisissez d'être averti en cas de cryptage de moins de 128-bit
  
  
• Assurez-vous que les cases 'Toujours me crypter...', 'Envoyer mon ID...' et 'Ajouter le certificat...' soient cochées.
  
  

Si vous utilisez Outlook 2000, il faut de plus aller dans Outils / Options / Securité et cocher :

• Ajouter une signature numérique au message sortant
  
  
• Envoyer un message en texte clair signé lors de l'envoi de messages signés
  
  

CA Y EST !!! Les souffrances sont terminées ! Maintenant, voyons voir l'usage.

5 - Comment signer numériquement un message ?

Si vous avez suivi nos conseils à la section précédente, vos messages seront automatiquement signés. Sinon, maintenant quand vous rédigez un message avec OE, pour le signer numériquement, il suffira de cliquer sur le bouton "Sign S/MIME" de la barre d'outils avant d'envoyer le message.

Quand vous recevez un message signé avec S/MIME, il est reconnaissable à son petit cachet rouge dans la boîte de réception. Si vous cliquez dessus, les informations détaillées apparaissent. En particulier cette fenêtre vous dit si le message a été signé ou chiffré, et par qui il a été signé. Vous pouvez voir le certificat du signataire.

6 - Comment échanger du courrier crypté avec vos correspondants ?

Tout d'abord, il faut que votre correspondant dispose lui-aussi d'une version de Netscape ou de Outlook capable de "le faire", et qu'il ait obtenu son propre certificat numérique. Il faudra donc qu'il en soit passé par les mêmes douleurs que vous !

Ensuite, il faudra que vous ayiez échangé une première fois votre clé publique avec votre correspondant. Rien de plus facile : Envoyez-lui simplement un e-mail signé S/MIME, et demandez-lui d'en faire de même. La clé publique est ainsi transportée avec la signature.

Dès que vous aurez reçu l'e-mail signé de votre correspondant, vous pourrez lui envoyer des messages cryptés que lui seul pourra lire. Il vous suffira pour cela de cliquer sur le bouton "Encrypt S/MIME" en rédigeant votre e-mail.

Quand vous recevez un email chiffré avec S/MIME, vous voyez en haut à droite du message un cadenas fermé. Eventuellement il est accompagné d'un cachet signifiant que le message est aussi signé. Il est préférrable de chiffrer et de signer les messages de façon à avoir la sécurité maximale.

Vous n'avez personne avec qui tester ? Pas de problème, envoyez un email au robot tag-smime-demo@TBS-internet.com. Vous recevrez une confirmation de bonne réception de votre message signé et des messages chiffrés à votre attention ! Ensuite envoyez vous un email signé et chiffré à vous même (pas au robot) !

Et voilà, c'est fini ! Bonne route avec S/MIME !

Note 1 : Si vous ne vous en sortez pas sans photo d'écran, voyez le manuel pour Outlook Express 4 ou 5 ou pour Outlook 98 qu'un confrère à réalisé.

Note 2 : Voyez le message original de Michel Bouissou pour l'utilisation de PGP avec Outlook Express. Ce manuel est inspiré et dérivé avec autorisation d'un document Copyright (c) Michel Bouissou 1999.

Note 3 : Un document pour bien exporter des certificats depuis IE 5 est disponible ici.

Feedback

Un commentaire sur cet article ? Votre avis nous intéresse. Ecrivez à tag-ssl-feedback@TBS-internet.com

TBS est une société de conseil spécialisée dans les télécommunications spatiales, le conseil aux ISPs et la sécurité du commerce électronique. TBS-internet est courtier en certificats depuis 1996.

Sécurisation Outlook Express | Sécurisation Netscape Communicator | Sécurisation serveurs SMTP/POP/IMAP |
Autres documents sécurité TBS