Lorsque l'on émet des certificats S/MIME, ceux-ci contiennent généralement une extension de certificat „S/MIME Capabilities“. Cette extension de certificat est spécifiée dans la RFC 4262 et peut être utilisée par les programmes de messagerie compatibles pour spécifier les algorithmes symétriques pris en charge par le destinataire d'un message chiffré. L'expéditeur doit alors choisir l'algorithme le plus puissant pris en charge par le destinataire.
Microsoft Outlook utilise (si elles sont disponibles et nécessaires) les informations contenues dans l'extension „S/MIME Capabilities“ d'un certificat. La manière dont cette utilisation est effectuée et les algorithmes choisis sont décrits ci-dessous.
Comment Outlook se comporte-t-il lorsque l'extension est présente et comment se comporte-t-il dans le cas contraire ?
Outlook se comporte de la manière suivante, selon que l'extension de certificat est présente ou non :
- Si l'extension de certificat S/MIME Capabilities est présente dans le certificat du destinataire (ou si l'information est disponible suite à la réception précédente d'un e-mail signé), l'algorithme le plus fort de la liste est sélectionné et utilisé.
- Si S/MIME Capabilities Extension de certificat dans le certificat du destinataire pas est présent, l'algorithme par défaut est configuré et utilisé
L'algorithme par défaut diffère selon la version d'Outlook utilisée :
- Outlook à partir de 2016 avec hotfix KB4484511 et Outlook 2019 utilise AES-256 comme algorithme par défaut.
- Outlook à partir de 2010 avec Paquet de corrections à chaud du 22.02.2011 jusqu'à Outlook 2016 sans hotfix KB4484511 utilise 3DES comme algorithme standard.
- Outlook jusqu'en 2010 avec Paquet de corrections à chaud du 22.02.2011 utilisent le RC2-40 comme algorithme standard.
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Remplacer le comportement d'Outlook
L'algorithme par défaut peut être adapté via la clé de registre suivante.
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0\outlook\security
Si les deux valeurs de registre mentionnées sont configurées, les „S/MIME Capabilities“ (qu'elles soient reçues via un e-mail signé ou présentes en tant qu'extension de certificat) sont ignorées et les valeurs configurées ici sont utilisées de manière fixe.
| Valeur | Type | Description |
|---|---|---|
| UseAlternateDefaultEncryptionAlg | REG_DWORD | Remplace les paramètres de l'Outlook Trust Center. L'algorithme de cryptage défini dans la valeur DefaultEncryptionAlgOID est utilisé. |
| DefaultEncryptionAlgOID | REG_SZ | Détermine l'algorithme de cryptage à utiliser. Il doit être consigné sous la forme d'un OID (voir tableau). |
Les valeurs possibles sont les suivantes
| OID | Description |
|---|---|
| 1.2.840.113549.3.7 | 3DES en mode CBC avec une longueur de clé de 168 bits |
| 2.16.840.1.101.3.4.1.2 | AES en mode CBC avec une longueur de clé de 128 bits |
| 2.16.840.1.101.3.4.1.22 | AES en mode CBC avec une longueur de clé de 192 bits |
| 2.16.840.1.101.3.4.1.42 | AES en mode CBC avec une longueur de clé de 256 bits |
Liens complémentaires :
Sources externes
- Septembre 1, 2020, mise à jour pour Outlook 2016 (KB4484511) (Microsoft)
- Description du paquet de corrections à chaud d'Outlook 2010 (outlook-x-none.msp) : 22 février 2011 (Microsoft)
- Votre nom d'identification numérique ne peut pas être trouvé Erreur lors du décryptage d'un message à l'aide d'un certificat 3DES (Microsoft)
- Plan pour la cryptographie de la messagerie électronique dans Outlook 2010 (Microsoft)
- Lorsque vous utilisez Fast Smartcard et que vous tentez de décrypter un e-mail crypté à l'aide du cryptage AES256 dans Outlook, vous êtes confronté à l'erreur suivante : „Désolé vous avez eu du mal à ouvrir cet élément...“ (Citrix)
Français 
Deutsch 
English
Les commentaires sont fermés.