L'objectif sera de comprendre les enjeux de production et de sécurité de la messagerie et de vos mails, leur mode de fonctionnement dans les situations les plus courantes, et également de vous montrer des cas d'utilisation malveillante : des mails, des adresses mail, afin que vous puissiez comprendre et appliquer les bonnes pratiques de la sécurité proposées par l'ANSSI.
Les serveurs publics qui véhiculent les mails sont gérés par les opérateurs qui possèdent des serveurs de messagerie qui sont en « cloud » dans les « data centers » extrêmement bien protégés.
Situations d'usage courant de la messagerie
Le courrier électronique s'est généralisé : on ne fonctionne plus sans mail ; même les services publics se reposent sur ces infrastructures de la messagerie électronique pour informer, diffuser ses informations. En 2006, on comptait déjà plus de 80 milliards de messages échangés en moyenne chaque jour dans le monde ; en 2015, on en comptait plus de 204 milliards.
Le courrier électronique connaît un développement exponentiel sans précédent ; les services de messagerie se sont organisés pour permettre l'envoi et la réception d'un courrier au bout du monde, en un seul clic et quelques secondes, alors qu'il a fallu pour mettre en place la messagerie électronique, plusieurs années, plusieurs milliards de lignes de codes et de clics de configurations !
Fonctionnement de la messagerie mondiale
Le réseau Internet (Arpanet) fut une contribution majeure à l’évolution du courrier électronique ; mais au fond, le courrier électronique n'est pas bien différent du courrier traditionnel postal, en ce sens que ce sont les mêmes concepts et même composants qui y sont présents :
les interlocuteurs : un expéditeur et un destinataire, repérés chacun par une adresse de courrier. Il peut s'agit d'un individu ou d'un groupe d'individus ;
un message : le texte, qui est l'objet du courrier, devant rester connu uniquement de ses interlocuteurs ;
des protocoles d'accès aux infrastructures pour rendre le message compatible avec le moyen de transport ;
le contenant, destiné à préserver de la diffusion non souhaitée, comme une enveloppe ;
une infrastructure de transport continu, pour permettre d'acheminer le courrier de bout en bout, et en capacité de router des paquets quels que soient leur forme, leur contenu... ;
un système d'adressage hiérarchique permettant de marquer le courrier et de repérer les interlocuteurs : n° d'immeuble, rue, ville, pays...
Interlocuteurs
Le 1er point important : quand vous envoyez cette adresse e-mail à votre destinataire, vous allez indiquer le nom de l’utilisateur très précisément avec le nom de domaine de messagerie, et bien sûr vous allez indiquer en source votre nom et votre nom de domaine de messagerie de l’entreprise ; donc on doit toujours avoir un émetteur et un destinataire. Chacun possède une adresse de messagerie, une pour votre PC et une pour votre boîte mail. Cette adresse est composé de 2 parties :
une partie privée pour la livraison de votre courrier : l'adresse identifiant votre interlocuteur de façon unique ; votre adresse est également nécessaire pour garantir la réponse à votre courrier ;
une partie publique pour le routage de votre courrier : votre domaine de messagerie lié à votre opérateur ou entreprise qui porte votre serveur de messagerie.
Les adresses de messagerie utilisent le DNS (Domain Name System) qui est découpé en zones logiques appelées domaines. Un nom de domaine vous permettra principalement d’utiliser ce nom pour nommer vos sites Internet, mais aussi vos serveurs de messagerie et vos adresses de messagerie.
Le domaine DNS google.com permet de fournir des adresses de serveurs de messagerie gmail-smtp-msa.l.google.com et votre adresse email : user11@gmail.com.
Message et protocole d'accès
À partir de là, vous pouvez composer votre message via votre outil de messagerie qui peut être sur votre poste de travail, un cloud ou une page web. Le texte du message électronique doit être rédigé à partir d'un outil informatique afin qu'il puisse être numérisé, et véhiculé par les réseaux informatiques. Les logiciels de messagerie intègrent des traitements de texte de plus en plus évolués ; cela reste encore dépendant des terminaux utilisés (smartphones, tablettes, PC, Mac...).
Du point de vue de la norme, le MUA (Mail User Agent) permet de lire et émettre les messages électroniques à l'aide d'un client de messagerie (exemples : Microsoft Outlook, Mozilla ThunderBird, Apple Mail, IBM Lotus Notes, etc.). Le service de messagerie majoritairement déployé dans les entreprises est celui de Microsoft (environ 64 % en France). La solution logicielle libre, Zimbra, est également de plus en plus déployée dans les entreprises publiques.
Enveloppe
Le message rédigé et renseigné sur les adresses sources et destinations fait l'objet d'un clic pour envoyer. Il est ensuite encapsulé dans une "enveloppe" électronique marquée uniquement de l'adresse de la source et de l'expéditeur, au format compatible avec les infrastructures électroniques de transport.
Cette encapsulation se réalise à l'aide d'un protocole de messagerie comme RFC 822 qui lui confère une structure bien définie :
un en-tête qui peut publier les adresses de routage ;
un corps de message qui doit rester confidentiel.
MIME (Multipurpose Internet Mail Extension) est une manière de représenter de multiples fichiers à l'intérieur d'un message unique.
Infrastructure technique de transport
Ensuite, les messages sont véhiculés par Internet et l’adresse de votre destinataire par le nom de domaine « entreprise1.com », par exemple, va être cherchée par les serveurs DNS et remise aux serveurs STMP de l’entreprise destinatrice.
C’est une infrastructure complexe qui repose sur une partie publique Internet puis privée, le RLE. Cette infrastructure repose sur le système d'adressage DNS, où chaque serveur de messagerie est nommé par son adresse DNS. Si l’infrastructure technique de votre entreprise comporte un service de messagerie, un logiciel de messagerie "serveur" sera installé (Microsoft Exchange) et gérera les transferts de messages. Il assurera 3 fonctions :
Enlever le courrier.
Router le courrier.
Livrer le courrier.
Enlever le courrier
Cette partie est généralement assurée par le serveur de votre opérateur ; le protocole de communication utilisé est SMTP, on appelle ce serveur également le serveur "sortant". Ce serveur de messagerie peut également être celui de votre entreprise ; comme l'indique le schéma ci-dessous, le serveur de messagerie sera hébergé sur la ferme de serveur "réseau privé de l'entreprise 1".
Routage
Votre serveur de messagerie contactera le serveur destinataire. Nous l'avons vu, chaque courrier est marqué par la partie publique de l'adresse de destination, le routeur de messagerie a pour rôles :
De lire l'adresse destination de messagerie.
De contacter le serveur de livraison du domaine du destinataire.
Du point de vue de la norme, le MTA (Mail Transfert Agent) est le serveur de transmission qui envoie les mails entre les serveurs. Le serveur peut contacter tous les serveurs de messagerie Internet pour transmettre votre message ; donc, tous ces serveurs doivent être accessibles par tous, puisqu'ils constituent un ensemble de relais pour acheminer votre courrier de bout en bout.
Même si cette infrastructure est confiée à des organisations à but communautaire (semi-publiques) ou à des opérateurs Internet, ces messageries restent peu sûres et vos courriers exposés. C'est pourquoi il est conseillé de chiffrer vos messages.
Donc, on voit qu’on a une complexité dans le protocole de la messagerie, qui repose sur la complexité du protocole de résolution de noms de domaine (ça, c’est un 1er point) ; c'est-à-dire qu’une entreprise qui s’appelle « entreprise1.com » va avoir son nom de domaine de messagerie « entreprise1.com » géré par les serveurs SMTP (« Simple Mail Transfer Protocol »), mais également par les serveurs DNS publics ; donc on peut imaginer que ces adresses-là peuvent être piratées si les serveurs DNS publics sont piratés.
Livrer le courrier
Ce serveur de messagerie peut également être celui de votre entreprise. Comme l'indique le schéma ci-dessous, le serveur de messagerie sera hébergé sur la ferme de serveurs "réseau privé de l'entreprise 2". Du point de vue de la norme, le serveur de distribution du courrier électronique s'appelle un MDA (Mail Delivery Agent) ; il représente la dernière étape de la chaîne d’envoi d’un mail. Il est généralement associé aux protocoles POP et IMAP qui sont les protocoles de messagerie qui définissent le moyen de réception d’un mail ; vous pouvez le réceptionner sur votre ordinateur grâce au protocole POP ou au protocole IMAP.
Quand vous recevez un message, vous voyez que vous avez une adresse source et une adresse de destination. L’adresse de destination repose sur les DNS (Domains Name System) ; ce sont des serveurs qui vont résoudre les adresses IP en nom de domaine. Les noms de domaine sont gérés encore une fois par les serveurs publics.
La menace
Plusieurs facteurs contribuent à la fragilité de la messagerie.
La première chose qu’il faut connaître, c'est que si l’infrastructure de messagerie est gérée par l’entreprise pour les configurations et les mises à jour, elle devra disposer de moyens pour cela ; dans le cas de moyens extrêmement réduits, alors ses serveurs de messagerie seront naturellement moins bien protégés.
La seconde chose, c’est que le protocole (SMTP) qui va permettre aux serveurs publics et privés de router les adresses de messagerie ne peuvent être chiffrés : par essence, les relais de messagerie de l'Internet ont besoin de lire les adresses de messagerie pour effectuer leur routage, ils sont par ailleurs nombreux et dispersés. Pour chiffrer, comme vous le savez maintenant, il faudrait déployer des clés/certificats sur tous les serveurs, y compris ceux qui ne se connaissent pas ou que l'on ne connaît pas, ce qui n’est pas déployable au niveau mondial !
Enfin, la messagerie est un vecteur d'échange fabuleux et extrêmement efficace, pour le meilleur mais également pour le pire. Le meilleur, c'est votre productivité par exemple ; le pire, ce sera la vitesse de propagation des codes malveillants grandement accélérée si votre messagerie est mal sécurisée ; alors, faites-le pour vous et pour les autres ! Ils feront de même....
Vulnérabilités
À partir de ce moment-là, il y a un certain nombre de vulnérabilités ; certaines sont maintenant éradiquées parce que les serveurs sont maintenus par les opérateurs, d'autres sont encore très dangereuses :
baisse de la productivité de votre entreprise : les serveurs et les boîtes de messagerie peuvent être saturés par des messages de Spam ;
divulgation ou vol d'informations sensibles comme les mots de passe, etc. La messagerie est un vecteur dangereux d'attaques ; comme tout logiciel ouvert, elle constitue en cela un vecteur d'infiltration de programmes malveillants ;
divulgation ou vol de données permettant la tromperie, l’espionnage et l'escroquerie en exploitant :
des URL malveillantes via des Spams ou/et du phishing,
des vulnérabilités logicielles présentes dans les applications largement déployées auprès des usagers comme Internet Explorer, Adobe Acrobat, Adobe Reader et Flash Player.
Les petites entreprises doivent être conscientes que les cybercriminels recherchent les serveurs des entreprises les moins bien administrées.
Attaques : un exemple de phishing
Les attaques les plus courantes sont bien sûr : le phishing, le hameçonnage, le ransomware, etc., au travers d'appels à cliquer sur des liens pour vous inciter : "jouez, cliquez et gagnez", "cliquez sinon vous serez en défaut" ; c’est évidemment l’usurpation d'un expéditeur que vous craignez qui vous fera cliquer sans méfiance : votre patron, votre banquier, votre propriétaire, votre famille, vos proches...
Un attaquant forge un mail, et toute l’ingéniosité de cet attaquant va être de vous faire cliquer sur le lien URL qu’il y a joint pour que vous puissiez être piégé ; et si possible, il va faire cela de façon massive en espérant que sur l’ensemble des destinataires, il y en aura bien un qui va cliquer et lui apporter des informations qu’il souhaite.
On voit donc la dangerosité extrême de cliquer sur un mail piégé.
Les bonnes pratiques
Vérifier les identités des destinateurs
Lire son adresse mail en détail, ne pas se fier à ce que l’outil de messagerie vous facilite la reconnaissance de vos interlocuteurs. Et si quelque chose vous paraît anormal, il ne faut pas hésiter à contacter directement l’émetteur du mail.
Chiffrez vos emails
Donc les en-têtes de vos messages ne pourront pas être chiffrés, pour permettre aux serveurs de lire les adresses. Une fois qu’on sait cela, on comprend qu’il est également important que le corps de votre message soit protégé. Donc on va pouvoir chiffrer le corps du message pour qu’il soit gardé privé ; par contre l’en-tête, qui permet de véhiculer les messages, va rester non chiffrée.
Mesurez vos volumes de mails quotidiens, hebdomadaires...
Le volume considérable d'emails peut affecter vos ressources informatiques ; utilisez les protections antivirus, antispam et antiphishing pour vos emails entrants : 90 % des mails entrants sont constitués de spams, supprimez les messages indésirables avant qu'ils ne se propagent sur votre réseau et libérez des ressources informatiques.
Filtrez vos Spams
Adoptez des politiques via des règles, rappelez à vos employés de nettoyer leurs boîtes de messagerie.
D’autre part, les serveurs publics qui véhiculent les mails sont gérés par les opérateurs qui possèdent des serveurs de messagerie qui sont en « cloud » dans les « data centers » extrêmement bien protégés.
Soyez attentifs à vos pièces jointes
Nous avons vu que nous ne pouvions pas chiffrer les en-têtes mais seulement le contenu du message, on ne peut donc pas lire l’intérieur du message avec des outils automatiques.
Pour cela, vous devez absolument faire attention aux pièces jointes qui sont dans le corps du message, et à ne pas cliquer sur les liens URL, ce qui est très dangereux.
Enfin, il faut désactiver l’ouverture automatique des documents en pièce jointe qui peuvent être téléchargés à travers une pièce jointe.
Ne répondez jamais à une demande de codes confidentiels
Nul n’est en droit d’exiger de vous une telle information, cela ne pourra jamais être une demande qui viendrait d’une institution ou, en interne, de votre administrateur.
Les objets connectés
Des objets connectés sont des objets extrêmement dangereux en termes de messagerie, et en particulier les téléphones portables puisque la messagerie est une activité corrélée à l’activité même du téléphone ; donc on communique par la voix mais aussi par le message. C’est très souvent que l’on peut vous envoyer des URL ou espions qui vont venir polluer, voire mettre en danger ou carrément rendre victime de ransomware votre téléphone portable et le contaminer. Cela se fera bien entendu via les objets connectés, puisqu’ils seront en communication avec tout le parc informatique de votre entreprise, avec une vitesse très intéressante pour l’attaquant. Ce qui peut conduire à des attaques massives à grande échelle.