[Q] Quels sont les standards de messagerie sécurisée ?
Le
Christian
Bonjour,
Voila mon problème.
Une entrerprise Entreprise A souhaite offrir à ses salariés un moyen de
communiquer de manière sécurisée par email, entre eux, mais surtout avec des
utilisateurs quelconques sur internet.
La solution de messagerie de l'Entreprise A est Lotus Domino V6, avec le
client Web iNotes v6 (le client lourd Notes n'est pas déployé sur les
postes)
Quels sont les standards de messagerie sécurisée ?
Les besoins sont la confidentialité, la signature, et la non-répudiation .
Ces standards peuvent t il être implémenté dans le cas général d'une
messagerie en mode Webmail ? et dasn le cas particulier du client Web de
Lotus : iNotes ?
Quid de l'utilisation de messagerie sécurisée entre deux client iNotes
connecté au serveur Domino de l'EntrepriseA ?
Peux-t il y avoir interopérabilité avec un client de messagerie tout a fait
standard, su internet ? Autrement dit un utilisateur de l'Entreprise1
uttilisant iNotes peut-il communiquer de manière sécurisée avec un
utilisateur ayant un serveur de messagerie SMTP/POP3 et un client quelconque
en utilisant des standards ?
Merci par avance de vos répones,
Christian
Voila mon problème.
Une entrerprise Entreprise A souhaite offrir à ses salariés un moyen de
communiquer de manière sécurisée par email, entre eux, mais surtout avec des
utilisateurs quelconques sur internet.
La solution de messagerie de l'Entreprise A est Lotus Domino V6, avec le
client Web iNotes v6 (le client lourd Notes n'est pas déployé sur les
postes)
Quels sont les standards de messagerie sécurisée ?
Les besoins sont la confidentialité, la signature, et la non-répudiation .
Ces standards peuvent t il être implémenté dans le cas général d'une
messagerie en mode Webmail ? et dasn le cas particulier du client Web de
Lotus : iNotes ?
Quid de l'utilisation de messagerie sécurisée entre deux client iNotes
connecté au serveur Domino de l'EntrepriseA ?
Peux-t il y avoir interopérabilité avec un client de messagerie tout a fait
standard, su internet ? Autrement dit un utilisateur de l'Entreprise1
uttilisant iNotes peut-il communiquer de manière sécurisée avec un
utilisateur ayant un serveur de messagerie SMTP/POP3 et un client quelconque
en utilisant des standards ?
Merci par avance de vos répones,
Christian
Poser une question
GuS
GnuPG devrait répondre à vos besoins, voir ma page dédiée.
--
Michel Nallino aka WinTerMiNator
http://www.chez.com/winterminator
(Internet et sécurité: comment surfer en paix)
http://www.gnupgwin.fr.st
(GnuPG pour Windows)
Adresse e-mail: http://www.cerbermail.com/?vdU5HHs5WG
GnuPGP (successeur de PGP) est en effet LE standard d'echanges
sécurisés... testé depuis des années car connu depuis des années et code
source ouvert (contrairement aux produits comerciaux).
Avec interface graphique depuis des années maintenant aussi.
Et le site de Winterminator est en français et clair...
Il y a grosso-modo deux moyens de faire de la "messagerie sécurisée" :
1. Faire un système à base de pages web, avec consultation via HTTPS
(autrement dit : SSL). C'est sécurisé en ce sens que les courriers sont
transférés entre le serveur central et les machines des utilisateurs
à l'intérieur de tuyaux SSL, avec donc un chiffrement et des contrôle
d'intégrité décents.
Les avantages de cette méthode sont un déploiement simple (rien à
installer sur les postes clients, car on suppose que ces postes ont déjà
un browser web capable de faire du SSL [Internet Explorer, Netscape,
Mozilla...]) et la possibilité d'appliquer certains traitements de masse
(par exemple, appliquer un antivirus sur tous les mails).
En revanche, il y a pas mal de défauts :
-- tout le système est centralisé sur le serveur web, qui ne doit pas
tomber en panne ;
-- le serveur central contient tous les courriers en clair (donc l'admin
peut tout lire -- c'est d'ailleurs pour ça qu'on peut appliquer un
antivirus général) ;
-- le système n'est pas compatible avec le reste du monde, et si des
extérieurs veulent échanger des courriers selon ce système, ils doivent
obtenir un accès au serveur central, et s'y connecter.
On peut fournir un accès "IMAP sur SSL" pour que les clients puissent
utiliser un client mail classique (genre "Outlook Express").
Le fait que le serveur central ait accès à tout et soit seul maître de
la sécurité fait que pour la non-répudiation à valeur juridique, c'est
rapé.
2. Faire un système où la cryptographie (chiffrement, signature...) est
appliquée directement sur les postes clients. Ça suppose un logiciel
client capable de faire ce genre de choses. Il y a deux standards :
-- OpenPGP : dérivé du PGP originel, maintenant une vraie norme puisqu'il
existe une autre implémentation interopérable (GnuPG).
-- S/MIME : la norme de l'ISO, utilisant les certificats X.509. Les
logiciels de mail "standards du marché" (Outlook, Outlook Express,
Netscape Messenger, Lotus Notes 6...) le gèrent nativement.
Dans les deux cas, les courriers sont envoyés ensuite en tant que
courriers tout-à-fait classiques, et si on ne fait que de la signature,
les courriers seront lisibles par des logiciels ne connaissant pas
ces standards (mais, bien sûr, les signatures ne seront alors pas
vérifiées).
Dans le cas de Domino avec le client iNotes, il faudrait voir en détail
si la cryptographie est appliquée par le client, ou déléguée au
serveur.
S/MIME a sur OpenPGP les avantages suivants :
-- Le support est déjà intégré dans les outils de courrier les plus
courants (PGP s'installe facilement, mais rien ne s'installe aussi
facilement que ce qui est déjà installé).
-- Le système de PKI est celui des certificats X.509 : il est
hiérarchique et centralisé, ce qui a tendance à mieux correspondre aux
besoins des entreprises. Le système de PKI d'OpenPGP ne fonctionne bien
qu'avec des communautés restreintes ; chaque utilisateur y gère sa
propre politique de sécurité, indépendamment de la volonté hiérarchique ;
le système n'est vraiment "sûr" que si chaque utilisateur comprend ce
qui se passe du point de vue sécurité (condition complètement irréaliste).
D'un autre côté, X.509 c'est gros, les PKI sont des choses complexes
et OpenPGP semble souvent bien attrayant parce que beaucoup moins
cher. Mais c'est parce qu'il en fournit beaucoup moins : ce qui est
cher dans une PKI hiérarchique, c'est la mise en place des procédures
de certification (identification physique des gens, surtout). Comme
d'habitude, quand on ne paye rien, on en a exactement pour son argent.
--Thomas Pornin
On peut faire du X.509 sans PKI et sans rien payer avec un résultat
équivalent à OpenPGP.
Les instructions pour utiliser openssl pour se tirer sa CA se trouvent
facilement, et si on veut faire simple et/ou sans avertissement à
l'utilisation, on peut aussi aller chercher un certificat email gratuit
reconnu par Outlook ici :
https://secure.comodo.net/products/...ertificate