Mon expérience avec les certificats mails
Juin 2019: Fin de parcours! J’ai procédé à la désinstallation de mon certificat mail sur les différents appareils que j’utilise (Téléphone, PC, laptop), ce qui met fin à 2 ans de travail avec ce petit outil que sont les certificats mail.
1. De quoi parle-t-on?
Les certificats mails sont des fichiers informatiques qui permettent de signer et de chiffrer les mails que vous envoyez, et que vous recevez. Tout comme une signature en bas d’un document papier, un certificat authentifie l’auteur d’un mail, et garantit son intégrité (le fait qu’il arrive entier en somme), et peut même en sécuriser son contenu
2. La signature et le chiffrage
Le certificat permet de prouver votre identité. Il sert à indique que c’est bien vous qui avez envoyé le mail, et qu’il ne s’agit pas d’une tentative d’usurpation. De manière générale, il va être installé sur la machine de la personne qui va s’en servir, et n’est utilisé que par elle. Selon la valeur juridique du certificat, on peut se retrouver à devoir justifier son identité (et son appartenance à une société donnée).
L’autre intérêt d’un certificat est de pouvoir rendre illisible à une personne non-autorisée la lecture d’informations
Le fonctionnement est celui de la clef privée et la clef publique. Pour faire simple, la clef publique indique à vos correspondant comment chiffrer (d’où le terme de clef publique, car diffusée), et la clef privée reste sur votre machine (d’où clef privée), et vous sert à déchiffrer le mail.
par exemple, A et B veulent s’envoyer des mails chiffrés. Ils doivent disposer d’un certificat chacun. A va alors envoyer à B un mail signé (pour que l’ordinateur de B enregistre sa clef publique). B va répondre à A, en signant le mail (pour que le poste de A enregistre le certificat de B).
Une fois que A et B auront eu leurs mails respectifs, ils vont pouvoir engager une conversation chiffrée. J’omets quelques étapes pour simplifier le principe, mais dans l’idée:
–> La clef publique de B va donner au logiciel de messagerie de A les instructions pour chiffrer le mail
–> A va alors envoyer son mail avec son contenu chiffré
–> à la réception, la clef privée de B va donner les instructions pour déchiffrer le contenu du mail de A.
ce principe est utilisée pour la navigation HTTPS! Eh oui! Le fichier présenté n’est rien d’autre qu’un certificat qui garantit l’identité du site web que vous consultez (d’où le cadenas vert), et chiffre les données que vous lui envoyez. (A la différence près qu’en HTTPS, le chiffrage est automatique, que dans les mails, il faut l’activer à chaque fois).
3. Pourquoi j’ai du arrêter
La raison est simple. Jusqu’à présent, l’autorité de certification Comodo fournissait gratuitement des certificats mail, valables 1 an. Or depuis son rachat en 2017 par Francisco Partners, Comodo a décidé de revoir ses activité, et a annoncé en Avril 2019, via mail, d’arrêter de fournir des certificats mail gratuits valables 1 an. (Il y a toujours possibilité d’avoir une évaluation de 90 jours)
Il y a toujours possibilité de prendre un certificat payant, mais au vu des prix, de mon usage, et de ce que j’ai pu en voir, j’ai décidé de ne pas passer à la caisse.
4. 3 points positifs et 3 points négatifs
4.I) Les plus
a) La sécurité
Cela peut paraître évident, mais un certificat apporte la sécurité. Chiffrage, authentification, un certificat mail permet de sécuriser un maillon faible que sont les communications externes
b) La rapidité
10 minutes; c’est le temps qu’il m’a fallu pour obtenir le certificat, et le temps qu’il m’a fallut pour l’installer de partout. C’est d’ailleurs le temps annoncé par la plupart des vendeurs (hors vérifications) pour l’obtenir.
c) La simplicité
Un bouton « signer » et un bouton « chiffrer ». Voilà comment la gestion du certificat est faite dans le logiciel de messagerie. En un clic, on rend la discussion privée.
4.II) Les moins
a) La compatibilité
En quoi c’est un problème, si le S/MIME est géré dans le mail? Eh bien, il faut que le logiciel qui va décoder ce protocole puisse accéder au certificat. Et donc, les webmails, ou les apps tiers smartphone n’y arrivent pas
b) Le nombre d’usagers
Qui a un certificat aujourd’hui, hormis les entreprises? Personne. Certes, vous aurez un super beau certificat, mais hormis avoir le macaron rouge attestant de la signature numérique, il ne sert à rien d’autre.
c) le coût
Selon le revendeur et l’émetteur du certificat, il vous faudra débourser de 25 à 100€/an pour obtenir votre sésame. Sans compter qu’il faudra soit envoyer une pièce d’identité où se déplacer.
5. Conclusion
La question qui se pose, c’est « Est-ce que je dois acheter un certificat? Après tout, ce n’est que 25€/an, pour garantir mon identité ».
La réponse va être de savoir quel est le but recherché. Si le but est de garantir son identité, et de chiffrer ses échanges avec d’autres personnes, disposant d’un certificat, alors OUI le certificat mail est pour vous
Cependant, si on veut que garantir son identité par mail, rassurez-vous, le droit français admet que le mail peut être considéré comme une preuve (dans le cas ou la preuve est dite libre).
sources:
https://www.ssl247.fr/entreprise/blog/comodoca-est-desormais-sectigo
https://www.francetvinfo.fr/replay-radio/le-droit-d-info/un-mail-a-t-il-valeur-juridique_1780113.html