MENU
  1. Accueil
  2. MS Office
  3. Outlook
  4. Erreur « Microsoft Outlook cannot sign or encrypt this message » : S/MIME, certificats manquants et solutions détaillées

Erreur « Microsoft Outlook cannot sign or encrypt this message » : S/MIME, certificats manquants et solutions détaillées

Outlook

Votre envoi échoue dans Outlook avec le message « Microsoft Outlook cannot sign or encrypt this message… » alors qu’il part depuis le téléphone ? Voici comment diagnostiquer et corriger rapidement ce blocage lié à S/MIME et aux certificats.

Sommaire

Vue d’ensemble — pourquoi cette erreur apparaît

Le message d’erreur signifie qu’Outlook essaie d’appliquer S/MIME (signature numérique et/ou chiffrement) mais ne trouve aucun certificat utilisable pour l’adresse d’expéditeur sélectionnée. Sans certificat S/MIME valide et correspondant exactement à l’adresse d’envoi, Outlook refuse d’expédier le message lorsque l’option « Signer » ou « Chiffrer » est cochée par défaut. Sur mobile, ces options ne sont généralement pas activées par défaut, d’où l’envoi qui réussit.

Symptômes typiques

  • À l’envoi, une alerte (souvent en anglais) du type : « Microsoft Outlook cannot sign or encrypt this message because you have no certificate that can be used to send from the email address <adresse>. »
  • Le même destinataire, le même contenu et la même signature HTML s’envoient sans souci depuis le téléphone.
  • Dans la fenêtre de composition sur PC, les boutons Signer et/ou Chiffrer apparaissent activés (enfoncés).
  • Dans Fichier → Options → Centre de gestion de la confidentialité → Paramètres du Centre → Sécurité des e-mails, un certificat est manquant, expiré, ou associé à une autre adresse.

Diagnostic express

  1. Vérifiez les boutons du message : ouvrez un nouveau message → onglet Options → observez Signer et Chiffrer. S’ils sont activés et que vous n’utilisez pas S/MIME, désactivez-les et testez un envoi.
  2. Ouvrez les paramètres S/MIME : Fichier → Options → Centre de gestion de la confidentialité → Paramètres du Centre → Sécurité des e-mails. Regardez si un certificat est sélectionné pour Signature et Chiffrement.
  3. Plusieurs comptes ? Confirmez l’adresse exacte utilisée dans le champ De. Le certificat doit correspondre à cette adresse (pas seulement au compte principal).

Solution rapide selon votre cas

Scénario A — Vous n’utilisez pas S/MIME (le plus courant)

Objectif : empêcher Outlook d’exiger signature/chiffrement à l’envoi.

  1. Désactiver la signature/chiffrement par défaut
    FichierOptionsCentre de gestion de la confidentialitéParamètres du Centre…Sécurité des e-mails :
    • Décochez Encrypt contents and attachments for outgoing messages.
    • Décochez Add digital signatures to outgoing messages.
  2. Pour un message ponctuel
    Dans le ruban du message → Options : désactivez Signer et Chiffrer.
  3. Retirer toute association de certificat
    Même écran Sécurité des e-mails → Paramètres… : videz les champs Signing Certificate et Encryption Certificate.

Résultat attendu : l’envoi redevient possible immédiatement, comme sur le téléphone.

Scénario B — Vous utilisez S/MIME (signature/chiffrement requis)

Objectif : installer et associer correctement un certificat valide.

  1. (Ré)installer le bon certificat
    • Importez votre fichier .pfx (avec clé privée) dans le magasin Windows Utilisateur actuel → Personnel.
    • Vérifiez qu’il n’est pas expiré et que le champ e‑mail (Subject ou SAN) correspond exactement à l’adresse expéditrice.
    • Vérifiez les usages : Key Usage contient « Digital Signature » (et le cas échéant « Key Encipherment »), et Enhanced Key Usage contient « Secure Email (1.3.6.1.5.5.7.3.4) ».
  2. Associer le certificat à Outlook
    FileOptionsTrust CenterTrust Center SettingsEmail SecuritySettings… : sélectionnez ce même certificat pour Signing et Encryption.
  3. Vérifier le compte utilisé
    Si plusieurs comptes existent, assurez-vous que le certificat correspond précisément à l’adresse sélectionnée dans le champ De.
  4. Nettoyer les certificats obsolètes (recommandé)
    Panneau de configuration → Options Internet → Contenu → Certificats → Personnel : supprimez ou ignorez les certificats expirés pour éviter les mauvaises sélections automatiques.

Pourquoi ça marche sur le téléphone mais pas sur le PC ?

Les applications mobiles Outlook et Mail n’activent généralement pas S/MIME par défaut. Votre téléphone envoie donc un message non signé/non chiffré, alors que l’Outlook pour ordinateur tente de signer/chiffrer et se bloque faute de certificat compatible. Autre différence fréquente : sur PC, une stratégie ou un paramètre personnalisé peut imposer la signature par défaut sans que vous vous en rendiez compte.

Étapes détaillées et points d’attention

Importer correctement un certificat utilisateur (.pfx)

  1. Double-cliquez le fichier .pfx → Assistant d’importation de certificats.
  2. Sélectionnez « Utilisateur actuel » (pas « Ordinateur local », sauf scénario géré par l’IT).
  3. Laissez le magasin Personnel (aussi appelé My) être choisi automatiquement, ou forcez-le si nécessaire.
  4. Entrez le mot de passe du PFX et cochez l’option « Marquer cette clé comme exportable » uniquement si votre politique sécurité l’autorise.
  5. Terminez l’assistant, puis rouvrez Outlook.

Vérification : tapez Windows + R, lancez certmgr.mscPersonnel → Certificats. Votre certificat doit afficher votre nom et votre adresse e‑mail, avec une petite icône de clé (indiquant la présence de la clé privée).

Associer le certificat dans Outlook

  1. Fichier → Options → Centre de gestion de la confidentialité → Paramètres du Centre.
  2. Sécurité des e-mails → zone Chiffrement des e‑mailsParamètres….
  3. Choisissez le certificat installé pour Signature et, si nécessaire, un certificat d’Encryption (souvent le même).
  4. Validez et redémarrez Outlook si demandé.

Tableau de correspondance — où cliquer selon votre interface

Interface OutlookChemin des réglages S/MIMERemarques
Outlook pour Windows (classique)Fichier → Options → Centre de gestion → Paramètres → Sécurité des e‑mailsMenus décrits ci‑dessus ; ruban « Options » pour les boutons Signer/Chiffrer.
Outlook pour MacPréférences → Comptes → Avancé → S/MIME (selon version)Les intitulés varient ; assurez-vous d’associer le bon certificat à l’adresse.
Outlook sur le web (OWA)Paramètres → Courrier → S/MIME (si activé par l’organisation)Nécessite le support S/MIME côté organisation ; différent d’OME (chiffrement par droits).

Problèmes fréquents et correctifs

SymptômeCause probableCorrectif
Erreur « cannot sign or encrypt… »Aucun certificat associé à l’adresse expéditrice, ou certificat expiréImporter le .pfx, choisir le certificat dans Sécurité des e‑mails, vérifier la validité
Envoi OK sur mobile, KO sur PCS/MIME désactivé sur mobile, activé sur PCDésactiver Signer/Chiffrer sur PC ou installer le bon certificat
Signature OK, chiffrement KO vers un correspondantVous n’avez pas le certificat du destinataireRecevoir un mail signé de lui, ou importer son certificat public avant de chiffrer
Certificat visible mais non sélectionnableUsage/étendue incompatible (pas de « Secure Email », pas de clé privée)Utiliser un certificat S/MIME valide (avec clé privée) et usages adéquats
Adresse « alias » non reconnueLe certificat contient une autre adresse (UPN principal, alias absent)Demander un certificat avec exactement l’adresse d’envoi, ou utiliser l’adresse incluse
Conflit entre plusieurs certificatsCertificats expirés/dupliqués dans « Personnel »Supprimer les anciens, garder un seul certificat valide et l’associer explicitement

Vérifications complémentaires utiles

  • Règles/stratégies : assurez-vous qu’aucune règle Outlook ou stratégie de sécurité n’impose la signature/le chiffrement par défaut.
  • Mode sans échec : exécutez outlook.exe /safe pour écarter l’influence d’un complément tiers.
  • Mises à jour : maintenez Outlook et Windows à jour.
  • Nouveau profil : Panneau de configuration → Courrier → Afficher les profilsAjouter → configurez le compte, testez.
  • Nettoyage des certificats : Panneau de configuration → Options Internet → Contenu → Certificats → Personnel.

Bien distinguer S/MIME et le chiffrement Microsoft 365 (OME)

Le message d’erreur concerne S/MIME (certificats personnels). Il ne s’agit pas d’OME (Office Message Encryption) basé sur des droits et des politiques Microsoft 365. En pratique :

  • S/MIME : nécessite votre certificat (pour signer) et le certificat du destinataire (pour chiffrer vers lui).
  • OME : ne dépend pas des certificats utilisateurs ; l’option « Chiffrer » du ruban peut parfois cibler OME selon le contexte, mais l’erreur citée ici est typique de S/MIME.

Procédure de test après correction

  1. Composez un nouveau message vers votre propre adresse.
  2. Dans Options, activez d’abord Signer seul. Envoyez. Vérifiez que le message reçu porte une icône/indication de signature valide.
  3. Pour le chiffrement : envoyez un message signé à votre correspondant et demandez-lui d’en faire autant. Une fois son certificat récupéré automatiquement, activez Chiffrer puis envoyez.
  4. Si l’envoi échoue encore, retournez dans Sécurité des e‑mails et confirmez que c’est bien le certificat actif qui est associé.

Cas d’entreprise et messageries partagées

  • Boîtes partagées : un certificat lié à « shared@domaine » est nécessaire pour signer en tant que cette boîte. Un certificat personnel « nom@domaine » ne convient pas pour signer au nom de la boîte partagée.
  • Alias multiples : le certificat doit couvrir l’adresse exacte utilisée dans le champ De. En cas d’alias, demandez un certificat portant précisément cet alias, ou utilisez l’adresse principale du certificat.
  • Distribution de certificats : dans les environnements gérés, l’IT peut déployer les certificats via GPO/MDM. Vérifiez la présence dans Utilisateur actuel → Personnel.
  • Compliance/DLP : certaines politiques peuvent interdire le chiffrement S/MIME vers l’externe. Testez d’abord en interne.

FAQ — les questions qu’on se pose souvent

Faut‑il un certificat pour signer ?
Oui, un certificat personnel avec clé privée est indispensable. Sans lui, la signature est impossible.

Puis‑je chiffrer vers n’importe qui ?
Vous ne pouvez chiffrer vers un destinataire que si vous possédez son certificat public (Outlook l’apprend en recevant un message signé de sa part ou via un annuaire d’entreprise).

Un certificat expiré bloque‑t‑il l’envoi ?
Oui, si l’option Signer ou Chiffrer est active. Remplacez‑le par un certificat valide ou désactivez S/MIME.

Je veux seulement signer, pas chiffrer : est‑ce possible ?
Oui. Associez votre certificat à la Signature et laissez la partie Encryption vide. Décochez « Chiffrer » dans le ruban.

Et si j’utilise le nouvel Outlook pour Windows ?
L’interface et les menus diffèrent. Si vous ne trouvez pas Fichier → Options → Centre de gestion…, basculez vers l’application Outlook classique pour appliquer les étapes décrites ici ou consultez votre équipe IT pour l’emplacement exact des paramètres S/MIME dans votre version.

Mon téléphone envoie signé/chiffré mais pas le PC, pourquoi ?
Le téléphone peut embarquer un profil MDM qui installe et sélectionne automatiquement votre certificat. Sur PC, vous devez souvent importer et associer explicitement le certificat.

Annexes — repères techniques utiles

Où vivent les certificats S/MIME sous Windows ?

  • Utilisateur actuel → Personnel (My) : vos certificats personnels S/MIME (avec clé privée). C’est ici qu’Outlook regarde.
  • Autorités de certification racines/intermédiaires : chaîne de confiance. Normalement déployée par l’IT ou Windows Update.
  • Ordinateur local : réservé aux scénarios gérés. Évitez d’y importer un PFX utilisateur sauf consigne IT.

Terminologie à connaître

  • PFX/P12 : contient votre certificat et votre clé privée (protégé par mot de passe). Indispensable pour signer.
  • CER/DER/PEM : certificat sans clé privée (souvent utilisé pour les destinataires).
  • Signature S/MIME : garantit l’identité de l’expéditeur et l’intégrité du message.
  • Chiffrement S/MIME : protège le contenu en transit et à la réception.
  • Secure Email EKU : indicateur d’usage « Secure Email (1.3.6.1.5.5.7.3.4) » attendu par Outlook.

Check‑list finale

  1. Vous n’utilisez pas S/MIME ? Désactivez « Signer » et « Chiffrer » (ruban et paramètres), supprimez toute association de certificat → test d’envoi.
  2. Vous utilisez S/MIME ? Importez le .pfx (Utilisateur actuel → Personnel), associez‑le dans Sécurité des e‑mails, vérifiez l’adresse exacte → test d’envoi signé, puis chiffré.
  3. Toujours en échec ? Mode sans échec, nouveau profil Outlook, nettoyage des certificats obsolètes, contrôle des stratégies.

À retenir

  • Cette erreur renvoie à S/MIME et aux certificats, pas à OME/Microsoft 365.
  • La clé est la correspondance stricte certificat ↔ adresse d’expéditeur.
  • Si S/MIME est inutile pour vous, désactivez‑le. S’il est requis, installez et associez un certificat valide.

Dépannage approfondi (optionnel)

Si vous aimez aller au bout des choses, voici des vérifications avancées qui aident à résoudre les cas coriaces.

Inspecter le certificat depuis Windows

  1. Ouvrez certmgr.mscPersonnel → Certificats.
  2. Double‑cliquez votre certificat → onglet Détails.
  3. Contrôlez :
    • Période de validité (Not Before/Not After)
    • Subject et/ou Subject Alternative Name (adresse e‑mail exacte)
    • Key Usage : Digital Signature (et Key Encipherment si nécessaire)
    • Enhanced Key Usage : Secure Email

Paramètres de sécurité Outlook à connaître

  • Encrypt contents and attachments for outgoing messages : si coché, tout message sortant doit être chiffré S/MIME → risque d’échec sans certificat du destinataire.
  • Add digital signatures to outgoing messages : si coché, toute sortie est signée → nécessite votre certificat valide.
  • Choose Settings… : c’est là que vous mappez signature et chiffrement au certificat précis.

Plusieurs comptes et sélection de l’adresse « De »

Avec plusieurs boîtes configurées, Outlook peut composer par défaut avec l’adresse A alors que vous vouliez l’adresse B. Or le certificat associé à A ne correspond pas à B, et inversement. Avant d’envoyer, vérifiez le champ De et, si nécessaire, associez un certificat distinct pour chaque adresse concernée.

Rétablir une configuration saine

  1. Désassociez tout dans Sécurité des e‑mailsParamètres….
  2. Nettoyez Utilisateur actuel → Personnel des certificats expirés ou en doublon.
  3. Réimportez le PFX voulu et associez‑le immédiatement dans Outlook.
  4. Testez la signature seule, puis le chiffrement.

Bonnes pratiques au quotidien

  • Conservez une copie sécurisée de votre PFX et de son mot de passe dans un coffre de mots de passe d’entreprise.
  • Renouvelez le certificat avant expiration et mettez à jour l’association dans Outlook.
  • Quand un destinataire change d’adresse, demandez‑lui un nouveau message signé pour mettre à jour son certificat dans votre carnet.

En appliquant ces étapes, vous éliminez la cause n°1 des envois bloqués par « Microsoft Outlook cannot sign or encrypt this message… ». Que vous choisissiez de désactiver S/MIME ou de l’utiliser correctement, l’important est d’aligner votre configuration sur votre besoin réel.

Outlook
outlook Chiffrement S/MIME certificat
Sommaire