Votre client Outlook refuse soudain d’envoyer vos courriels ? L’erreur « Microsoft Outlook cannot sign or encrypt this message because there are no certificates which can be used to send from the email address… » indique un problème de certificat S/MIME. Suivez ce guide détaillé pour rétablir l’envoi en quelques minutes.
Pourquoi Outlook bloque‑t‑il l’envoi ?
Outlook pour ordinateur de bureau est capable de chiffrer ou signer vos messages grâce au standard S/MIME. Pour cela, il doit trouver un certificat numérique valide correspondant à l’adresse d’expéditeur. Si le certificat est expiré, absent ou ne correspond pas exactement à l’adresse, Outlook stoppe l’envoi pour éviter toute compromission. Les applications mobiles, elles, n’imposent pas S/MIME par défaut : l’envoi y fonctionne encore, ce qui explique la différence de comportement.
Diagnostic express : trois questions clés
- Votre adresse e‑mail est‑elle la même que celle encodée dans le certificat ?
- Le certificat est‑il encore valide et reconnu par Windows ?
- Outlook est‑il configuré pour signer ou chiffrer tous les messages ?
En répondant à ces questions, vous identifiez immédiatement l’origine probable de l’erreur.
Étape 1 : vérifier le certificat S/MIME
Chemin : Fichier › Options › Centre de gestion de la confidentialité › Paramètres du Centre… › Sécurité des courriels › Paramètres
- Contrôlez la date d’expiration et la chaîne d’autorités de certification (AC racine et intermédiaires).
- Assurez‑vous que l’utilisation de la clé comprend Signature numérique et/ou Chiffrement des données.
- Si le certificat est expiré ou révoqué :
- Contactez votre AC interne ou externe pour en recevoir un nouveau.
- Supprimez la référence à l’ancien certificat dans la liste des ID numériques.
Étape 2 : faire correspondre l’adresse e‑mail
Chemin : Fichier › Paramètres du compte › Paramètres du compte…
Outlook vérifie que le champ RFC 822 Name du certificat correspond parfaitement à l’adresse expéditrice. Une simple différence d’alias (prenom@exemple.com vs prenom.nom@exemple.com) suffit à faire échouer la signature. Si nécessaire :
- Modifiez l’adresse du compte Outlook pour qu’elle corresponde à celle du certificat.
- Ou faites réémettre le certificat avec l’adresse correcte.
Étape 3 : désactiver temporairement la signature ou le chiffrement obligatoires
Dans le même panneau Sécurité des courriels :
- Décochez « Chiffrer le contenu et les pièces jointes ».
- Décochez « Ajouter des signatures numériques ».
- Envoyez un message test. Si l’envoi réussit, le problème est bien lié à S/MIME.
Astuce : vous pouvez garder la signature/chiffrement facultatifs, à activer manuellement au besoin, plutôt que systématiques.
Étape 4 : isoler un profil corrompu
Un profil Outlook endommagé peut conserver une référence fantôme au certificat. Créez un nouveau profil :
- Ouvrez Panneau de configuration › Courrier › Afficher les profils.
- Cliquez sur Ajouter, nommez‑le et configurez votre compte.
- Définissez « Demander quel profil utiliser » ou mettez le nouveau en profil par défaut.
- Testez l’envoi. Si cela fonctionne, supprimez l’ancien profil ou conservez‑le comme sauvegarde.
Étape 5 : mettre à jour Windows et Office
Microsoft déploie régulièrement des correctifs de validation de certificats et des mises à jour des chaînes racines. Exécutez Windows Update et Office Update, puis redémarrez. Ce simple geste résout de nombreux échecs de confiance.
Étape 6 : neutraliser les compléments de sécurité
Un add‑in antivirus ou un module S/MIME tiers peut injecter ses propres règles et bloquer l’envoi. Désactivez‑les temporairement dans Fichier › Options › Compléments › Gérer : Compléments COM › Atteindre…. Après chaque désactivation, testez l’envoi pour identifier le coupable.
Tableau récapitulatif : causes fréquentes et correctifs
| Symptôme | Cause probable | Correctif recommandé |
|---|---|---|
| Erreur certif. dès la rédaction | Certificat expiré ou manquant | Importer un certificat valide depuis l’AC |
| Adresse en alias non reconnue | Mauvaise adresse RFC 822 | Émettre un nouveau certificat ou changer l’adresse du compte |
| Envoi OK après décochage S/MIME | Signature/chiffrement forcés | Désactiver l’obligation ou corriger le certificat |
| Nouvel utilisateur impacté | Complément de sécurité global | Désactiver ou mettre à jour l’add‑in |
| Comportement différent entre PC et mobile | S/MIME non activé sur mobile | Configurer S/MIME sur mobile ou assouplir la politique sur PC |
Bonnes pratiques pour éviter la panne
- Surveillez les dates d’expiration : paramétrez une alerte 30 jours avant.
- Choisissez une durée de vie adaptée : 2 ou 3 ans pour limiter les renouvellements sans sacrifier la sécurité.
- Stockez la clé privée en lieu sûr : TPM, carte à puce ou gestionnaire de certificats de l’entreprise.
- Documentez la procédure de renouvellement et formez les utilisateurs.
- Testez la signature/chiffrement sur un poste de validation avant un déploiement massif.
FAQ : questions courantes
« Le certificat figure bien dans Outlook mais l’erreur persiste »
Contrôlez que la clé privée est accessible. Sans la clé privée, Outlook ne peut pas signer. Vérifiez également les autorisations d’accès si vous utilisez un magasin de certificats externe.
« Puis‑je envoyer sans S/MIME et signer seulement certains messages ? »
Oui. Dans le ruban, utilisez Options › Chiffrement › Signer ou Chiffrer pour appliquer S/MIME message par message au lieu de l’imposer globalement.
« L’envoi échoue uniquement vers certains destinataires »
Le chiffrage nécessite la clé publique du destinataire. Si celle‑ci est absente ou obsolète dans votre carnet d’adresses, Outlook ne peut pas chiffrer. Supprimez l’entrée du contact et demandez‑lui de vous renvoyer un message signé.
« Je dispose de plusieurs certificats, lequel sera utilisé ? »
Outlook choisit par défaut celui dont l’adresse correspond et dont la date d’expiration est la plus éloignée. Vous pouvez forcer un certificat précis dans Sécurité des courriels › Paramètres en créant un profil de sécurité distinct.
Script PowerShell pour vérifier la validité d’un certificat utilisateur
# Ouvrir le magasin 'My' de l'utilisateur courant
Get-ChildItem Cert:\CurrentUser\My |
Where-Object { $_.NotAfter -lt (Get-Date).AddDays(30) } |
Select-Object FriendlyName, Subject, NotAfter
Le script liste les certificats S/MIME expirant dans moins de 30 jours. Planifiez‑le pour un rapport automatique.
Roadmap : sécuriser durablement vos envois
- Automatiser le renouvellement : utilisez ACME/Let’s Encrypt interne ou Intune/SCCM pour pousser les nouveaux certificats.
- Centraliser la gestion : Active Directory Certificate Services (AD CS) ou une PKI tierce.
- Intégrer la journalisation : conservez les logs de signature pour la conformité RGPD et ISO 27001.
- Former les utilisateurs finaux : tutoriels interactifs et rappels par e‑mail.
Conclusion
L’erreur de certificat dans Outlook est courante mais rarement insurmontable. En suivant la méthodologie diagnostic → certification → configuration présentée ici, vous restaurerez rapidement l’envoi de vos messages tout en renforçant la confiance numérique de votre organisation. Pensez à pérenniser votre infrastructure S/MIME : un certificat valide, correctement assorti à l’adresse et géré proactivement, évite la panne et garantit la confidentialité des échanges professionnels.