S/MIME permet de signer un e-mail, et/ou d’encrypter (le mot correct est: chiffrer) à des destinataires connus. Ceci se fait avec des certificats, clés privées tout comme pour les sites web https ou signer du logiciel.
Le mail signé apporte une preuve d’authenticité, de non-falsification et de non-répudiation
– authentique: le certificat de la personne ou entité qui a signé est attaché au mail signé. Une autorité (par exemple Comodo) a délivré ce certificat à une personne, une société… en vérifiant l’identité et l’adresse e-mail de cette personne. La signature possède aussi la date et l’heure de l’ordinateur utilisé.
– non-falsification: un hash (check-sum) est calculé sur l’entièreté du mail, et c’est le hash qui est signé. Si on n’enlève ne fût-ce qu’une virgule, la signature est invalidée.
– non-répudiation(*): Sur base de cette signature on peut attester qui a signé et quand, et la personne qui a signé ne peut pas se rétracter.
(*) selon le certificat qu’on a acquis
Pour l’encryptage, pourquoi destinataires connus ? Parce qu’envoyer un message encrypté à un destinataire inconnu n’a simplement pas de sens.
S/Mime agit au niveau des clients mails (logiciels de mail) et non au niveau des serveurs. On parle de sécurisation de bout en bout.
Au niveau des serveurs, un message signé et/ou encrypté est juste un message comme un autre, pouvant contenir des sections relatives à S/Mime.
Il y a une quinzaine d’années, il y a eu Thawte (sud-Africain) qui a proposé des certificats gratuits pour faire du mail. Ils ont arrêté cette offre.
Il y a une dizaine d’années StartCom StartSSL a fait quelque chose de similaire, puis StartSSL s’est fait racheter par des Chinois, sans rien annoncer au public. Les Chinois ont merdé avec des pratiques inacceptables (production de certificats anti-datés, etc, donc faux en écriture) et ils se sont fait bannir, plus personne n’a reconnu les certificats qu’ils émettaient. Ils ont mis la clé sous le paillasson début 2018.
Il y a aussi eu notoirement Comodo, mais là c’est fini aussi.
Depuis, pour trouver un certificat gratuit émanant d’une autorité de certification il faut se gratter.
La carte d’identité belge permet de signer numériquement des documents, par exemple via Adobe Reader, mais ne permet pas de signer un e-mail. En effet la Belgique atteste de votre identité, mais absolument pas que votre adresse e-mail correspond à votre personne.
Lecture: http://kb.mozillazine.org/Getting_an_SMIME_certificate
Alternative, faire son propre CA et générer ses certificats soi-même,
Comme l’échange encrypté ne s’improvise pas, on peut envoyer ses certificats à ses correspondants par un autre moyen que le mail et on se fait confiance réciproquement. Ca fonctionne.
Signer avec un certificat qu’on a fabriqué soi-même n’apporte de la valeur ajoutée qu’auprès des correspondants réguliers qui peuvent enregistrer le certificat dans leur registre d’émetteurs de confiance.
Alternative: regarder du côté de gpg, système anarchique (sans autorité centrale) et qui fonctionne via un réseau de confiance.
Noter qu’aucun webmail ne peut valablement sécuriser vos e-mails car l’admin du webmail peut être le maillon faible.