Accessibilité multi-appareils de S/MIME (Rotation de clés)
Home / Media / News / Accessibilité multi-appareils de S/MIME (Rotation de clés)

Accessibilité multi-appareils de S/MIME (Rotation de clés)
06 Feb ‘25

Accessibilité multi-appareils de S/MIME (Rotation de clés):
Limitations des CA et la solution idéale de KeyTalk

À une époque où les employés passent chaque jour d’un appareil à l’autre – des ordinateurs portables aux smartphones – la sécurité des e-mails devient de plus en plus complexe. S/MIME joue un rôle crucial en chiffrant les e-mails et en vérifiant l’expéditeur (signature numérique). Bien que S/MIME offre une solution de sécurité robuste, il introduit des défis spécifiques en matière d’accessibilité multi-appareils (ou plutôt de rotation de clés). Une limitation majeure est que les Autorités de Certification (CA) ne peuvent en fait pas gérer des clés privées en raison de la nature délicate de leurs activités, ce qui complique la mise en œuvre et l’utilisation de S/MIME sur plusieurs appareils. Dans cet article, nous discuterons de pourquoi cela pose problème, comment cela est souvent résolu de manière maladroite et pourquoi KeyTalk offre la solution idéale.

 

Qu’est-ce que l’accessibilité multi-appareils dans le contexte de S/MIME ?

L’accessibilité multi-appareils (rotation de clés) signifie que les utilisateurs peuvent lire et envoyer des e-mails sécurisés depuis tous leurs appareils, qu’il s’agisse d’un ordinateur de bureau, d’un ordinateur portable, d’un smartphone ou d’une tablette. Pour cela, les certificats S/MIME et exactement les mêmes clés privées doivent être disponibles sur chaque appareil.

En théorie, cela semble simple, mais dans la pratique, c’est un processus complexe. La clé privée, qui est nécessaire pour déchiffrer les e-mails chiffrés, doit être stockée en toute sécurité et accessible sur chaque appareil. C’est ici que nous rencontrons un problème fondamental dans l’écosystème PKI traditionnel.

 

Les limitations des Autorités de Certification (CA)

Les CA jouent un rôle central dans l’émission des certificats S/MIME. Elles vérifient l’identité de l’utilisateur et délivrent un certificat avec la clé publique. Cependant, ce que les CA ne doivent pas faire, c’est gérer les clés privées. C’est une limitation consciente et un principe fondamental de l’Infrastructure à Clé Publique (PKI). La gestion des clés privées par une CA minerait la confiance dans l’infrastructure cryptographique. Les utilisateurs comptent sur le fait que leurs clés privées sont exclusivement accessibles aux personnes autorisées par eux.

Malgré ces limitations, certaines CA, telles que DigiCert, Sectigo ou GlobalSign, prétendent tout de même pouvoir offrir la gestion et l’automatisation des certificats S/MIME. En réalité, cela implique souvent qu’elles n’automatisent que le processus d’émission et de renouvellement des certificats, mais que les utilisateurs restent responsables de la distribution des clés privées vers leurs appareils. Cela ne résout pas le problème d’accessibilité multi-appareils par synchronisation des clés et reste une tâche laborieuse pour les départements informatiques.

 

Comment l’accessibilité multi-appareils est-elle souvent gérée ?

Dans la pratique, les organisations et les utilisateurs essaient de rendre les certificats S/MIME disponibles sur plusieurs appareils de deux manières. Cependant, ces méthodes sont souvent encombrantes et comportent des risques.

 

1. Exportation et importation manuelles
L’approche la plus courante consiste à ce que les utilisateurs exportent leur clé privée et leur certificat d’un appareil et les importent manuellement sur d’autres appareils. Ce processus est cependant assez technique et sujet à erreurs. De plus, les clés privées sont souvent transférées de manière peu sécurisée, augmentant ainsi le risque de compromission.

2. Utilisation de jetons matériels
Certaines organisations utilisent des jetons matériels, tels que des cartes à puce ou des clés USB, pour stocker les clés privées. Ces jetons peuvent être connectés à différents appareils. Le inconvénient de cette méthode est que l’utilisateur doit toujours avoir le jeton sur lui, ce qui est peu pratique dans un environnement de travail mobile. De plus, la perte ou l’endommagement du jeton peut bloquer complètement l’accès aux e-mails chiffrés.

 

 

Pourquoi KeyTalk offre la solution idéale, même avec des certificats d’une CA publique

KeyTalk utilise une approche innovante qui contourne les limitations des méthodes traditionnelles, même lorsqu’il travaille avec des certificats S/MIME émis par des CA publiques. Cela est crucial car les CA publiques sont la norme pour les certificats d’e-mail qui sont de confiance par de grands clients de messagerie tels que Microsoft Outlook, Apple Mail et Gmail.

 

1. Gestion dynamique des certificats avec des CA publiques

KeyTalk s’intègre sans faille aux CA publiques et peut demander et gérer des certificats automatiquement au nom de l’utilisateur. Cela signifie que les utilisateurs ont accès à des certificats qui sont de confiance par tous les clients de messagerie majeurs, tandis que KeyTalk élimine la complexité de la gestion.

2. Transfert de certificats sans compromis
KeyTalk évite la nécessité d’exporter ou de partager manuellement des clés privées. Au lieu de cela, la plateforme s’assure que le certificat est récupéré de manière centrale et que les clés privées sont générées de manière centralisée. Celles-ci sont ensuite distribuées de manière sécurisée à l’appareil ou au logiciel de Gestion des Dispositifs Mobiles (MDM).

3. Configuration automatique des clients de messagerie
Grâce à des intégrations avec des solutions MDM telles que Microsoft Intune et MobileIron, KeyTalk peut configurer automatiquement les clients de messagerie sur les appareils pour S/MIME. Cela signifie que le certificat et les paramètres d’utilisation de S/MIME (comme le chiffrement et les signatures numériques) sont appliqués automatiquement. Les avantages de cette automatisation :

  • Les utilisateurs n’ont pas besoin de passer par des étapes de configuration complexes.
  • Les équipes informatiques gagnent du temps et minimisent le risque d’erreurs de configuration.
  • L’accessibilité multi-appareils des e-mails chiffrés devient transparente et simple pour les utilisateurs finaux comme pour les administrateurs.

4. Accessibilité multi-appareils sécurisée
KeyTalk permet aux utilisateurs d’utiliser facilement des certificats S/MIME sur plusieurs appareils. Chaque appareil que l’utilisateur gère est enregistré et authentifié via KeyTalk. Ensuite, chaque appareil reçoit automatiquement le certificat avec exactement la même clé privée. Les avantages :

  • Les utilisateurs peuvent passer d’un appareil à l’autre sans configuration manuelle.
  • Les administrateurs IT conservent le contrôle sur quels appareils ont accès à quels certificats.

5. Intégration centrale avec des CA publiques
La plateforme offre aux organisations un environnement de gestion central pour demander, renouveler et révoquer des certificats délivrés par des CA publiques. Cela automatise la gestion des certificats sans compromettre la conformité ou la convivialité. Les avantages :

  • Le renouvellement des certificats se fait automatiquement sans interruption de service.
  • Les organisations respectent les exigences de conformité tout en bénéficiant d’un flux de travail simplifié.

 

Conclusion

L’accessibilité multi-appareils (rotation de clés) des certificats S/MIME est essentielle dans un monde où les employés utilisent plusieurs appareils pour les e-mails. Cependant, les limitations des Autorités de Certification rendent difficile la gestion des clés privées de manière sûre et conviviale sur plusieurs appareils. Bien que les CA prétendent automatiser la gestion des certificats S/MIME, elles ne résolvent pas le problème fondamental de la gestion des clés privées. Cela rend souvent leurs solutions incomplètes et laborieuses dans la pratique.

KeyTalk offre une solution innovante et sécurisée en gérant et distribuant dynamiquement les certificats S/MIME des CA publiques. Le certificat et exactement la même clé privée sont générés de manière centrale par la plateforme, puis distribués en toute sécurité aux différents appareils d’un utilisateur. Grâce à des intégrations avec des solutions MDM comme Intune et MobileIron, KeyTalk configure automatiquement les clients de messagerie pour S/MIME, rendant l’accessibilité multi-appareils transparente. Cela permet aux organisations d’améliorer la sécurité de leurs communications par e-mail sans compromettre la convivialité. Avec KeyTalk, le monde complexe des certificats S/MIME devient gérable, même dans les environnements informatiques les plus divers et mobiles.

 

Curieux de savoir ce que l’accessibilité multi-appareils de S/MIME et le KeyTalk CKMS peuvent signifier pour votre organisation ? Contactez-nous en remplissant le formulaire ci-dessous et découvrez comment nous pouvons vous aider à optimiser votre gestion des certificats.

L’équipe KeyTalk