Afin de sécuriser vos échanges confidentiels par messagerie électronique, vous avez la possibilité d’utiliser des certificats électroniques personnels. Un certificat correspond à une clef privée + une clef publique.
On distingue deux niveaux d’utilisation:
- la signature, qui permet d’assurer l’identification de l’expéditeur d’un message ;
- le chiffrement, qui permet d’assurer la confidentialité complète du message.
Pour la signature, le message est signé à l’aide de votre clef privée et votre destinataire peut directement le vérifier grâce à la clef publique jointe au message.
Pour le chiffrement, le message est totalement chiffré à l’aide de la clef publique du destinataire, il est alors totalement illisible, sauf par votre destinataire qui peut le déchiffrer à l’aide de sa clef privée. Dans ce cas, un échange de clef publique est nécessaire au préalable.
Après avoir obtenu un certificat personnel, vous devez impérativement mettre en lieu sûr votre certificat (les clefs privée et publique). Si vous perdez votre clef privée, vous n'aurez plus accès aux messages chiffrés et la DSIN ne pourra pas y remédier.
Obtenir un certificat personnel
Dans le cadre de RENATER, l’université utilise pour la gestion des certificats le service TCS dont l’actuel titulaire est l’autorité de certification Harica. Ce service peut être amené à évoluer en fonction du titulaire, voire à être supprimé si le prochain titulaire ne le reconduit pas.
Ce service permet à chaque personnel de l’université d’obtenir en toute autonomie un certificat propre.
Pour cela, il faut se rendre sur le portail:
Cliquez sur « Academic Login »
Faire une recherche avec le domaine (umontpellier.fr) ou le nom (Université de Montpellier) :
Puis sélectionner le choix proposé « Montpellier University ».
Vous allez être redirigé vers une page de connexion.
Vérifiez que l’adresse de votre navigateur commence bien par https://cas.umontpellier.fr/ puis saisissez vos identifiants UM.
Après authentification, cliquez sur l’onglet « Email » dans le menu latéral gauche.
- Sélectionnez le type de certificat « Email-only » en cliquant sur « Select ».
- Cliquez sur « Next » en bas de la page.
- Validez le mode de validation de l’adresse e-mail (par e-mail) en cliquant sur « Next ».
- Acceptez les conditions d’utilisation.
- Cliquez sur « Submit » pour finaliser votre demande.
Un e-mail de confirmation vous a été envoyé. Consultez le puis cliquez sur « Confirm » pour valider votre demande.
NB : Vérifiez bien vos spams si l’e-mail n’apparaît pas dans votre boîte de réception.
Attention : le lien est valide uniquement pendant 24 heures. Passé ce délai, il sera nécessaire de demander un nouvel e-mail de confirmation.
Le cas échéant, voici la démarche à suivre :
- Les demandes en cours s’affichent sur la page d’accueil de l’interface (« Pending Certificates »).
- Cliquez sur les « … » à droite de la demande en cours, puis cliquez sur « Resend email ».
Il est maintenant possible de générer votre certificat.
- Retournez sur la page d’accueil de l’interface, votre demande de certificat s’affiche.
- Cliquez sur « Enroll your Certificate ».
Complétez le formulaire de génération en suivant les indications :
- Choisissez « Generate Certificate ». (valeur par défaut)
- Algorithm : RSA (valeur par défaut)
- Key size : 4096
- Set a passphrase : un mot de passe complexe de protection de votre certificat. Nous recommandons d’utiliser au minimum 2 mots avec utilisation de majuscules et chiffres.
- Cochez la case confirmant que vous conservez le mot de passe choisi, puis cliquez sur « Enroll Certificate ».
Le certificat a été généré.
Cliquez sur « Download » pour le télécharger.
C’est ce fichier qu’il convient de sauvegarder dans un lieu sûr et dont il ne faut pas oublier le mot de passe de protection !
Utiliser un certificat personnel dans Zimbra
Une fois que vous êtes en possession d’un certificat personnel, vous pouvez l’utiliser avec un logiciel de messagerie compatible et notamment Zimbra.
L'utilisation d'un certificat personnel dans Zimbra implique que si vous transmettez vos identifiants de connexion, une personne pourra non seulement utiliser votre boîte de messagerie Zimbra mais également, signer des messages avec votre certificat !
Il est donc impératif de ne jamais donner ses identifiants de connexion.
Cliquez sur les images pour les agrandir.
En préambule, il est nécessaire d’activer la zimlet « Messagerie sécurisée ».
Retournez dans les Préférences et cliquez sur le nouveau menu « Messagerie sécurisée ».
Vous pouvez alors utiliser la partie « Glissez-déposez » ou « Rechercher le certificat » afin de spécifier le fichier de certificat personnel obtenu à l’étape précédente.
Saisir le mot de passe du certificat :
Si la procédure se déroule bien, Zimbra validera alors le certificat :
Vous pouvez choisir si vous souhaitez signez et/ou chiffrer (crypter) manuellement pour chaque mail (« Ne pas signer ni crypter ») ou bien si vous souhaitez signer, ou signer et crypter de manière systématique.
Ne pas oublier d’enregistrer les préférences après modification.
Signer un message
Lors de la rédaction d’un nouveau message, il est désormais possible de signer et/ou de chiffrer un email.
Afin de signer un message, il suffit de sélectionner « Signer » :
Si la messagerie de votre correspondant permet la vérification des certificats, votre message apparaîtra alors comme signé (authentifié).
Exemple dans Zimbra :
Chiffrer un message
Il est également possible de chiffrer totalement un message en sélectionnant « Signer et crypter ».
Vous devez posséder la clef publique du certificat de votre destinataire pour pouvoir chiffrer un message qui lui est destiné. Pour cela, deux alternatives:
- le destinataire utilise Zimbra avec la messagerie sécurisée activée, il vous a déjà envoyé un message signé comportant sa clef publique qui a alors été automatiquement ajoutée dans votre messagerie ;
- il vous transmet manuellement sa clef publique avant votre échange et vous l’intégrez dans votre carnet d’adresses.
Lorsque votre mail sera reçu, il apparaîtra comme signé ET chiffré. Exemple dans Zimbra :
