“Secure Multipurpose Internet Mail Extension est un standard techniquement fiable et largement adopté par les éditeurs de messagerie”, constate Paul Hoffman, directeur de l’Internet Mail Consortium (IMC). Développé à l’origine par RSA Data Security, S/Mime définit ?” tout comme Moss (Mime Object Security Services) ?” de nouveaux types Mime, adaptés au transfert de messages chiffrés et signés. Point important : S/Mime apporte des éléments de base pour la gestion des clés.Afin de répondre aux attentes de sécurité du département de la Défense américaine, un groupe de travail a été créé par l’IMC. Objectif : créer un standard à la fois commercial et militaire dans le domaine du courrier électronique. S/Mime v3, standard de l’IETF, est né, lui, en juillet 1999 (RFC 2630 à 2633).
Un protocole fidèle aux principes de l’ICP
Parallèlement, l’IETF a ?”uvré à la définition d’un second standard de messagerie sécurisé, fondé sur le produit PGP (Pretty Good Privacy) OpenPGP, encore peu utilisé. Le logiciel libre GNUPG (GNU Privacy Guard), financé par l’administration allemande, est une implémentation des spécifications d’OpenPGP. Malheureusement, les deux concurrents S/Mime et OpenPGP sont, selon Eric Pfeiffer, consultant sécurité chez CF6-Telindus, incompatibles. Et ils le resteront probablement. Les spécifications de S/Mime ont devancé les travaux de l’IETF sur les standards PKIX. Pour l’échange des données chiffrées et des clés, il repose sur la syntaxe CMS (Cryptographic Message Syntax), une amélioration réalisée par l’IETF de PKCS #7 v1.5. “Le standard CMS est dans le domaine public. Les développeurs sont libres de s’en servir pour créer des agents S/Mime”, rappelle Paul Hoffman. En matière de gestion de clés, S/Mime est agnostique. Il recommande, entre autres, CMP et CMC.S/Mime est fidèle aux principes de l’ICP. Renaud Bidou, directeur des opérations pour Intexxia, détaille son fonctionnement : “Le corps du message est découpé en parties identifiées par le protocole Mime. Chaque partie est chiffrée par une clé symétrique de session ; les informations correspondantes sont ajoutées au “tag” d’identification de chaque partie. L’information transmise dans le “tag” est la clé de session, qui est chiffrée à l’aide de la clé publique du destinataire. La signature, elle, l’est avec la clé privée de l’émetteur.”
Deux freins possibles au déploiement
En dépit de son avance technologique, S/Mime connaît un vrai fiasco en termes de déploiement. Pour Fabrice Frade, directeur technique d’Intranode, “l’essor de S/Mime en entreprise est bloqué en raison de son usage des ICP (elles-mêmes tardant à décoller ?” NDLR) et des ressources techniques considérables qu’il mobilise”. D’autres, à l’instar de Paul Hoffman, nuancent ce propos : “Très peu d’utilisateurs comprennent l’enjeu de confiance et de délégation. Ils ne s’initient pas à la sécurité. Même s’ils n’ont, en réalité, pas d’autre choix s’ils veulent que celle-ci ait un sens.”
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
