1. Déploiement sur les postes
Déployer une solution de chiffrement de messagerie ne s’arrête pas à l’installation. Il est nécessaire d’activer le logiciel en lui fournissant les clés personnelles des utilisateurs. C’est cette étape cruciale qui différencie les solutions testées par notre laboratoire. MailSecure de Baltimore se révèle le plus complet et le plus simple dans ce domaine. Il permet d’autocertifier ses clés et de démarrer immédiatement, sans plate-forme de PKI centralisée. Il peut, si une telle infrastructure existe, générer une requête de certification et la suivre jusqu’à son aboutissement. Security BOX Mail de MSI, second pour ce critère, se contente, pour sa part, d’effectuer la demande, sans se soucier de savoir si elle aboutira. Ce manquement lui coûte la première place. Les autres logiciels, en ne proposant pas d’autocertification, sont dévalorisés pour cette évaluation.
| Les résultats | ||||
| Produit | Commentaires | Note | ||
| Baltimore MailSecure 3.1.1 | Gère totalement les demandes de certification lors de l’installation et autorise l’autocertification. | 8,4 | ||
| MSI Security BOX Mail 2.2 | Complet, mais n’assure pas le suivi des demandes de certification à l’installation. Permet l’autocertification. | 7,8 | ||
| RSA Keon Desktop 5.5.1 | Ne gère pas la première demande de certification à l’installation, et ne propose pas d’autocertification. | 6,8 | ||
| Utimaco SafeGuard Sign&Crypt; 3.0 | Très sécurisé lors de l’installation, mais nécessite l’intervention d’un administrateur. Pas d’autocertification. | 6,7 | ||
2. Gestion du changement de clé
Changer de poste de travail ou installer un nouveau profil utilisateur nécessite parfois de changer les clés et les certificats installés avec l’application. Leur exportation au format PKCS#12 apparaît alors comme la solution idéale. Les logiciels de Baltimore et de MSI sont en tête en exportant un profil à ce format standard dans un annuaire LDAP ou un lecteur partagé. MailSecure de Baltimore se révèle toutefois plus complet pour la gestion des listes de révocation que Security BOX Mail. Les deux autres logiciels n’offrent pas une telle souplesse de migration. Si Keon Desktop s’en sort relativement bien en proposant un format propriétaire de carte à puce virtuelle, l’outil d’Utimaco nécessite, quant à lui, la copie de plusieurs répertoires ou fichiers. Il se rattrape en étant livré avec un lecteur de cartes à puce facilitant le transfert.
| Les résultats | ||||
| Produit | Commentaires | Note | ||
| Baltimore MailSecure 3.1.1 | Très souple. Stockage des profils sur le réseau et importation automatique au format PKCS#12. | 8,7 | ||
| MSI Security BOX Mail 2.2 | Import et export du certificat au format PKCS#12 sur le réseau ou sur disquette. Possible par annuaire. | 8,4 | ||
| Utimaco SafeGuard Sign&Crypt; 3.0 | Nécessite un transfert en copiant un répertoire personnel local sur le nouveau poste. Offre toutefois un lecteur de cartes avec chaque licence. | 6,8 | ||
| RSA Keon Desktop 5.5.1 | Nécessite un transfert par fichier au format propriétaire contenant le certificat et la clé privée. Possible par annuaire. | 6,5 | ||
3. Intégration avec Outlook
Pour que le chiffrement ne soit pas une contrainte, il est nécessaire que l’outil s’intègre étroitement au client de messagerie. L’opération devient alors transparente : il suffit d’un clic pour signer ou chiffrer/déchiffrer. La différence se fait au niveau de la richesse des options (stockage et gestion des certificats, gestion d’un annuaire LDAP, etc.) et de leur accessibilité. Security BOX Mail domine en offrant une intégration exemplaire à Outlook, immédiatement accessible. MailSecure aurait pu prétendre à la première place s’il ne faisait pas l’impasse sur le chiffrement automatique pour certains destinataires par une association au carnet d’adresses. Keon Desktop souffre, pour sa part, de menus peu clairs et difficiles à localiser, tandis que l’outil d’Utimaco, préconfiguré par l’administrateur, ne laisse aucune liberté à l’utilisateur.
| Les résultats | ||||
| Produit | Commentaires | Note | ||
| MSI Security BOX Mail 2.2 | Intégration cohérente et intuitive aux menus d’Outlook. Possibilité de chiffrer selon les destinataires du carnet d’adresses. | 9,3 | ||
| Baltimore MailSecure 3.1.1 | Intégration cohérente et intuitive aux menus d’Outlook. Possibilité de chiffrer selon les destinataires du carnet d’adresses mais nécessite d’ouvrir la session Outlook depuis MailSecure. | 8 | ||
| RSA Keon Desktop 5.5.1 | Intégration peu visible et menus spécifiques peu accessibles. | 7,1 | ||
| Utimaco SafeGuard Sign&Crypt; 3.0 | Peu d’options paramétrables pour l’intégration à Outlook. Elles sont cependant facilement accessibles. | 6,9 | ||
4. Gestion de comptes associés
La délégation du chiffrement est une fonction essentielle sur laquelle tous les produits de ce comparatif, à l’exception de celui de MSI, font l’impasse. La raison invoquée par les éditeurs est qu’il est dangereux d’autoriser quiconque à déchiffrer ses mails en son absence. Mais pour qui y est contraint, il est nécessaire de pouvoir le faire de façon fiable. Seul Security BOX Mail 2.2 de MSI permet d’ajouter temporairement et simplement à son porte-clés virtuel la clé de déchiffrement d’un tiers. Les solutions proposées par les éditeurs concurrents sont en effet le plus souvent artisanales : prêt de la carte à puce, changement du mot de passe au retour de vacances, etc. À noter que Baltimore possède des ” certificats d’attributs ” dans sa PKI (infrastructure à clé publique), qui permettent d’offrir des droits temporaires. Cette technologie sera disponible dans la prochaine version de MailSecure.
| Les résultats | ||||
| Produit | Commentaires | Note | ||
| MSI Security BOX Mail 2.2 | Délégation du déchiffrement ou de la signature très simple et intuitive. | 8 | ||
| Baltimore MailSecure 3.1.1 | Ne permet pas encore de gérer les certificats d’attributs de la PKI de Baltimore. La délégation en devient laborieuse. | 5 | ||
| Utimaco SafeGuard Sign&Crypt; 3.0 | Le prêt de sa carte à puce ou l’accès au poste de travail est la seule solution pour déléguer le chiffrement. | 4,8 | ||
| RSA Keon Desktop 5.5.1 | La délégation n’est pas possible, à moins de donner son mot de passe et le changer ultérieurement. | 4 | ||
5. Gestion des messages archivés
Autre grand facteur différenciateur de ce comparatif avec la délégation du chiffrement, la gestion des courriers archivés. Cette dernière peut tourner au casse-tête si rien n’a été expressément prévu par l’éditeur. À chaque changement de clé, tous les courriers chiffrés deviennent illisibles. Seuls Security BOX Mail 2.2 de MSI et MailSecure 3.1.1 de Baltimore ont prévu d’archiver les anciennes clés afin que l’utilisateur puisse toujours accéder à ses courriers. Keon Desktop 5.5.1 de RSA propose de son côté une solution artisanale qui consiste à ouvrir une nouvelle session en utilisant l’ancienne carte virtuelle (si le fichier a été conservé). L’opération doit être répétée pour chaque e-mail chiffré avec une clé périmée. Utimaco, enfin, n’a tout simplement rien prévu. Seule solution : la conservation des anciennes cartes. Cela demande alors de jongler avec chacune et d’ouvrir à chaque fois une nouvelle session.
| Les résultats | ||||
| Produit | Commentaires | Note | ||
| MSI Security BOX Mail 2.2 | Le porte-clés virtuel de Security BOX rend très aisée la cohabitation entre toutes les clés. | 8,8 | ||
| Baltimore MailSecure 3.1.1 | Les clés actuelles cohabitent avec les anciennes. Cela fonctionne, mais retrouver une clé spécifique peut s’avérer délicat. | 8,7 | ||
| RSA Keon Desktop 5.5.1 | Pas d’option de cohabitation. Obligation de réinstaller les anciennes clés. | 5,4 | ||
| Utimaco SafeGuard Sign&Crypt; 3.0 | Pas d’option de cohabitation. Obligation de réinstaller les anciennes clés. | 5,3 | ||
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
