Exporter (0) Imprimer
Développer tout

Sécurité des messages électroniques : un paysage changeant

Paru le 02 août 2006

Par Michael Nelte et Mitch Gray

L'essor relativement récent et rapide de la messagerie électronique comme moyen de communication a créé des opportunités en même temps qu'il a apporté des défis aux éditeurs de logiciels et aux entreprises du monde entier. Fondée en 1986, l'Internet Engineering Task Force (IETF)  a été officiellement créée afin de documenter les normes Internet et d'influencer les pratiques recommandées pour utiliser celui-ci. Dans les années 1990, la popularité du World Wide Web a transformé le paysage de l'informatique, des millions d'utilisateurs se lançant à l'assaut de l'Internet pour leurs loisirs ou pour affaires.

Les éditeurs de logiciels ont développé des logiciels clients et serveurs de messagerie électronique, apportant des fonctionnalités toujours plus poussées au travers tant de téléchargements gratuits que d'applications commerciales haut de gamme. Dans la vague d'expansion d'Internet et de la navigation sur le Web, de nombreuses entreprises ont publié des solutions de messagerie basées sur le Web, s'appuyant sur la publicité et souvent gratuites pour l'utilisateur final. Les fournisseurs de logiciels d'entreprise ont continué à innover et à fournir des fonctionnalités enrichies pour aider les services informatiques à gérer leurs systèmes de messagerie plus efficacement et plus sûrement, tout en aidant les professionnels de l'information à faire face aux défis que pose la gestion du volume croissant des messages électroniques. La convergence de la téléphonie et des systèmes de messagerie électronique permet maintenant l'accès à la messagerie vocale et aux fax au travers des clients de messagerie électronique, et les appareils portables prolifèrent, offrant un accès mobile au courrier électronique.

L'importance des technologies de messagerie ne cesse de croître, au point qu'elles sont devenues un avantage concurrentiel pour les entreprises du monde entier. Pour les administrateurs systèmes, le défi consiste aujourd'hui à fournir des fonctions avancées pour maintenir la compétitivité du personnel tout en protégeant les réseaux et le capital intellectuel.

Évolution des menaces sur la messagerie

Ces cinq dernières années ont vu une augmentation de la gravité des risques de sécurité pour les utilisateurs du courrier électronique et pour les entreprises. Virus, vers, courrier indésirable, phishing, spyware et des méthodes de piratage nouvelles et toujours plus sophistiquées ont fait de la communication par courrier électronique et de la gestion de l'infrastructure de messagerie une entreprise bien plus risquée. Nombreux sont les vols d'identité, entraînant la perte de propriété intellectuelle et d'informations personnelles telles que les numéros de carte de crédit ou de sécurité sociale. Ces problèmes, combinés au succès de la communication électronique, ont contribué à la création de nouvelles réglementations en matière de confidentialité, traçabilité et journalisation.

Virus et vers

Le premier grand ver informatique transmis par courrier électronique a été Melissa en mars 1999 ; en mai 2000, c'est le virus ILOVEYOU qui défrayait la chronique et suscitait l'émoi dans le monde de l'Internet. À la suite de ces attaque virales, le filtrage et le blocage des pièces jointes sont devenus des fonctions standard des logiciels de messagerie électronique. De nos jours, certaines pièces jointes sont régulièrementéliminées lors du transport et bloquées par des clients tels qu'Outlook, Outlook Express et Outlook Web Access (OWA). Des solutions antivirus peuvent être exécutées lors de la remise de messages électroniques ou de leur stockage sur le serveur et sur les clients de messagerie. Il est monnaie courante de mettre en œuvre des antivirus à la fois sur les clients et sur les serveurs. En fait, nombre d'entreprises interdisent la connexion à leur serveur si l'utilisateur n'a pas d'antivirus récent actif sur son ordinateur.

Courrier indésirable et phishing

Au début des années 2000, le courrier indésirable commençait à devenir un problème majeur, menaçant d'affecter gravement l'utilité du courrier électronique. En 2002, aux États-Unis, la Federal Trade Commission a entrepris la chasse au courrier électronique indésirable, mais la grande diversité dans la législation des différents pays rend son application légale difficile dans un système transfrontalier tel que l'Internet. Le courrier indésirable n'est pas seulement irritant ; il est aussi fréquemment utilisé dans ce qui est appelé le phishing pour tenter de voler des informations et de l'argent. C'est une méthode très bon marché utilisée pour la publicité (ou pour des attaques) ; même avec un taux de réaction extrêmement faible, elle reste rentable. Le groupe Radicati a estimé que, en 2006, plus de 100 milliards de messages indésirables seront envoyés en moyenne chaque jour, représentant plus des deux tiers de tout le trafic de courrier électronique. Pour télécharger le rapport complet, voir Microsoft Exchange Market Share Statistics, 2005 .

La technologie utilisée pour lutter contre le courrier électronique a commencé par des concepts rudimentaires tels que la suppression des messages contenant des mots spécifiques. Aujourd'hui, elle a évolué vers des technologies de détection et d'élimination multi-critères. Les solutions actuelles continuent à utiliser le blocage par mots, mais elles incluent maintenant des outils de détection sophistiqués tels que la technologie Microsoft SmartScreen™. Une recherche rapide sur l'Internet produira une longue liste de sociétés vendant des technologies antispam, mais aussi de personnes cherchant à aider les autres à contourner les détecteurs antispam. Malheureusement, les méthodes de contournement des détecteurs antispam s'améliorent à mesure que se développent les technologies de détection. Les logiciels antispam, comme les antivirus, doivent donc être mis à jour régulièrement pour rester efficaces.

Piratage et nouveaux défis

Dans les années 1990, l'exploitation de certaines erreurs courantes de codage telles que le dépassement de capacité des mémoires tampons était connue des spécialistes et des étudiants en informatique. Ces faiblesses sont devenues plus faciles à exploiter avec la mise en réseau des ordinateurs. Jusque alors, les virus se transmettaient par disquette ; depuis, la complexité des attaques a progressé en de nombreux aspects. De nombreux types de bugs dans la gestion de la mémoire, notamment dans le dépassement des nombres entiers, sont aujourd'hui intelligemment exploités et ces abus sont très à la mode dans la communauté des pirates. Les scripts inter-sites (CSS) et d'autres techniques d'injection de scripts sont utilisées pour attaquer les applications Web. De plus en plus, les récentes attaques sont motivées par l'argent, alors qu'elles étaient précédemment davantage une affaire de notoriété.

Nous savons que les utilisateurs malveillants utilisent des outils pour automatiser le processus de recherche et d'exploitation des vulnérabilités. Ces outils comprennent notamment ce qu'on appelle les « fuzzers », qui interceptent des entrées valides pour les transformer ou générer des entrées corrompues. Ils sont utilisés pour identifier des bugs de codage qui pourraient être exploités pour exécuter du code. De nombreuses avancées ont été réalisées dans les outils de désossage et d'identification des changements dans un programme. Divers fuzzers et outils d'analyse sont aujourd'hui utilisés dans le développement de produits Microsoft pour identifier ces défauts de codage potentiels afin de les corriger avant qu'un produit soit distribué. Par exemple, l'option d'analyse de Visual Studio® 2005 aide les développeurs à déceler des défauts dans leur code. L'exécution d'une série d'outils d'analyse de code est l'une des modifications introduites par Microsoft dans le cadre de l'initiative Security Development Lifecycle (SDL) .

Sécurisation, protection et conformité avec Exchange Server

Les sections suivantes fournissent des détails sur des améliorations récentes de la sécurité d'Exchange Server.

Microsoft Exchange Server 2003

Microsoft Exchange Server 2003 a été la première version d'Exchange impliquant SDL dans le processus de développement. À la suite de cet effort, nous avons considérablement réduit l'exposition aux risques en désactivant par défaut les services moins utilisés. Le groupe Exchange a désactivé l'authentification anonyme pour le protocole NNTP (Network News Transfer Protocol) et nous avons amélioré la sécurité d'OWA avec une authentification à base de formulaires.

Exchange 2003 a été livré avec des configurations par défaut plus sûres. Par exemple, nous avons verrouillé la hiérarchie supérieure des dossiers publics et recommandé d'activer SSL pour chiffrer le trafic réseau lors de la configuration des serveurs frontaux. Nous avons limité les messages à 10 Mo, supprimé les autorisations de connexion locale des utilisateurs de domaines à des serveurs Exchange, et renforcé l'analyse MIME (Multipurpose Internet Mail Extensions) d'après des rapports de sécurité. Nos efforts se sont inscrits dans le mouvement général d'autres initiatives déployées par Microsoft en vue de sécuriser nos produits, comme Microsoft Baseline Security Analyzer (MBSA)  et l'outil IIS Lockdown .

Après la sortie d'Exchange 2003, nous avons publié une série de directives qu'un administrateur peut utiliser pour continuer à améliorer la sécurité d'Exchange 2003. Ces directives sont disponibles sur le site Web suivant : Guide sur le renforcement de la sécurité d'Exchange Server 2003. Dans Exchange 2003 Service Pack 2 (SP2), nous avons encore amélioré la sécurité, en particulier pour la messagerie mobile, avec le lancement de Mobile Messaging with Microsoft Exchange Server 2003 Service Pack 2 and Windows Mobile 5.0 Messaging and Security Feature Pack .

Étant donné le risque que représente, pour les données d'une entreprise, la perte d'appareils mobiles, nous avons fourni des fonctions d'effacement des données à distance, d'effacement local et de verrouillage de code PIN dans Exchange 2003 SP2 pour contribuer à rendre l'informatique mobile plus sûre. Nous protégeons aussi l'informatique mobile en chiffrant les messages électroniques entre le serveur Exchange et le client mobile. Exchange 2003 SP2 a renforcé la lutte contre le courrier indésirable en incluant les filtres de messages intelligents  les plus récents, qui intègrent les contrôles contre le phishing et le spoofing de domaines.

Processus de développement de Microsoft Exchange Server 2007

Pour Microsoft Exchange Server 2007  , nous avons intégré la toute dernière version de SDL dans notre processus de développement interne. Des exigences de sécurité spécifiques sont définies à chaque stade du cycle de développement. Au stade de la conception, nous avons modélisé les menaces pour le système de messagerie et mis à jour notre conception pour la rendre plus sûre. Tout au long du processus de développement, nous utilisons des outils et des techniques pour identifier les problèmes de sécurité potentiels. Nombre des outils que nous avons employés pour tester Exchange 2007 ressemblent aux outils que les utilisateurs malveillants emploient pour trouver des vulnérabilités. Nous avons développé et adapté des fuzzers et employé ces outils pour générer des millions de messages électroniques corrompus et nous assurer que le serveur pouvait les traiter en toute sécurité.

Pendant le développement d'Exchange 2007, nous avons continué à utiliser des nouvelles façons de penser la sécurité issues tant du secteur des éditeurs informatiques que de l'entreprise. Nous avons loué les services de consultants extérieurs en sécurité pour vérifier notre code et tester d'éventuelles vulnérabilités. À cela s'ajoute le travail effectué par l'Exchange Security Team, qui avait pour unique responsabilité de s'occuper des problèmes de sécurité d'Exchange et d'incorporer la sécurité au plus profond d'Exchange.

Configurations par défaut d'Exchange 2007

Dans Exchange 2007, nous mettons à jour et resserrons nombre de nos réglages par défaut. Par exemple, nous avons réduit la surface exposée en désactivant les protocoles moins courants et en supprimant ou en remplaçant des pans entiers du code le plus ancien par un nouveau code. Pour faciliter le déploiement d'un ensemble de code réduit sur chaque serveur, nous avons conçu Exchange 2007 autour de rôles de serveur.

Exchange 2007 et la mobilité

Exchange 2007 ajoute la possibilité pour les utilisateurs d'OWA et d'Exchange ActiveSync d'accéder aux documents situés sur des serveurs de fichiers UNC (Convention d'appellation) et des serveurs SharePoint, leur permettant ainsi d'accéder facilement à des documents internes lorsqu'ils sont en déplacement. L'administrateur Exchange peut contrôler quels partages de fichiers UNC et sites SharePoint sont disponibles. L'accès OWA aux fichiers distants et aux pièces jointes peut être configuré pour empêcher de laisser des fichiers spécifiques traîner dans le cache du navigateur, pour des fichiers au format connu comme les fichiers Office ou PDF, ce qui améliore la sécurité lors de la lecture de courrier électronique à partir d'un ordinateur partagé. Ceci est réalisé grâce au module WebReady Document Viewing, qui transforme le fichier source au format HTML avant de l’envoyer au client, et ainsi permet à Internet Explorer de gérer le contenu, pour effacer le fichier lorsque la session SSL se ferme. Le chiffrement des données est plus facile à configurer, SSL étant configuré par défaut pour utiliser des certificats auto-signés. L'expérience Exchange ActiveSync a été améliorée dans Exchange 2007 avec l'introduction de stratégies ActiveSync par utilisateur. Exchange 2007 possède une stratégie de mots de passe améliorée avec historique, expiration, mots de passe par blocs, liste rouge, chiffrement des cartes de stockage et récupération de mot de passe.

Protection antivirus d'Exchange Server 2007

Les rôles de serveur Hub Transport et Edge Transport sont conçus comme des analyseurs de messages, avec la capacité de gérer plusieurs logiciels antivirus au travers de fonctions intégrées et de Microsoft Forefront Security for Exchange Server. Microsoft a réalisé des investissements importants dans la prise en charge d'une analyse antivirus efficace et programmable au niveau du transport.

Exchange 2007 introduit le concept d'agents de transport. Les agents sont des composants logiciels qui effectuent une tâche en réponse à un événement applicatif. Exchange 2007 diffuse des informations d'analyse antivirus avec les messages électroniques, afin d’éviter une double analyse. Par exemple, un message analysé lors du transport ne serait pas à nouveau analysé lors du stockage, sauf mise à jour d'une signature sur le serveur de boîte aux lettres. Les développeurs tiers peuvent écrire des agents personnalisés pour profiter du moteur d'analyse MIME sous-jacent d'Exchange et assurer ainsi une détection antivirus robuste au niveau du transport. Le moteur d'analyse MIME d'Exchange 2007 est le résultat de nombreuses années d'évolution dans le traitement des messages MIME et devrait être le moteur MIME le plus fiable et robuste du secteur.

Le filtrage des pièces jointes sur les serveurs Edge et Hub dans votre entreprise peut réduire la propagation de pièces jointes malveillantes entre organisations. Autre nouveauté dans Exchange 2007 : des règles de transport peuvent facilement être créées pour aider les organisations à se protéger contre les attaques virales non encore répertoriées. En créant une règle de transport personnalisée qui met en quarantaine ou bloque les messages ayant les caractéristiques d'un nouveau virus, une organisation se protège contre les virus même avant la diffusion de leur signature. Des règles de transport peuvent être créées pour agir sur de nombreux aspects d'un message entrant ou sortant, tels que l'objet, le contenu ou le domaine.

Protection contre le courrier indésirable et le phishing dans Exchange 2007

Exchange 2007 et Outlook 2007 mettent en œuvre une stratégie multi-critères de protection contre le courrier indésirable et le phishing. De nombreuses améliorations ont été apportées à la détection et au traitement du courrier indésirable. Entre autres améliorations, le filtre de messages intelligent Exchange (IMF) évalue les messages entrants et détermine la probabilité qu'ils soient légitimes. Sur la base du niveau de contrôle SCL déterminé pour chaque message, de nombreuses actions différentes peuvent être configurées, y compris la mise en quarantaine, l'envoi dans un dossier de courrier indésirable ou le rejet du message.

plus est, la consolidation de listes de sécurité Outlook permet de créer une liste d'expéditeurs sûrs individuelle, propre à chaque utilisateur, que le serveur Exchange prend en charge. Cela permet à des messages électroniques légitimes de contourner le filtrage de contenu en frontière de réseau.

Le serveur Edge peut fonctionner sans être joint au domaine, tout en permettant à l'agent de filtrage des destinataires de bloquer les messages envoyés à des utilisateurs inexistants ou à des listes de distribution réservée à un usage interne.

L'agent de réputation des expéditeurs calcule de manière dynamique la fiabilité d'expéditeurs inconnus en collectant des données analytiques à partir de sessions SMTP (Simple Mail Transfer Protocol), du contenu des messages, de la vérification d'identification des expéditeurs et du comportement général des expéditeurs, créant ainsi un historique des caractéristiques des expéditeurs. Cet agent utilise ces informations pour déterminer si un expéditeur doit être temporairement ajouté à la lite des expéditeurs bloqués.

Le ‘Sender ID’ permet de vérifier que chaque message électronique provient bien du domaine Internet dont le message prétend provenir en examinant l'adresse IP de l'expéditeur et en la comparant au ’Sender ID’ stocké sur le serveur DNS (Domain Name System) public de l'expéditeur. Microsoft offre aussi une liste de blocage d'IP en exclusivité aux clients d'Exchange 2007. Les administrateurs peuvent utiliser le Service de réputation d'IP en plus d'autres services de liste de blocage en temps réel.

Chiffrement dans Exchange 2007

Des réglementations telles que la Directive européenne sur la protection des données et les lois américaines HIPAA (Health Insurance Portability and Accountability Act) et Sarbanes-Oxley imposent des exigences supplémentaires de rétention et de chiffrement de données à un nombre croissant d'entreprises. Par défaut, l'échange de courrier électronique au sein de l'entreprise est chiffré entre les serveurs Hub via TLS (Transport Layer Security) avec authentification Kerberos. Les serveurs Client Access et Hub chiffreront aussi leurs communications avec les serveurs Mailbox. Par défaut, Outlook 2007 chiffrera tout message électronique qu'il lit ou envoie à Exchange Server 2007. Pour assurer la conformité légale, ce chiffrement peut être imposé à partir du serveur Exchange 2007 ; c'est un autre exemple de fonctionnalités et d’équipesproduits travaillant ensemble pour créer une messagerie sûre dans l'écosystème de messagerie électronique.

Microsoft Exchange Hosted Services

Outre les modifications apportées au niveau de la défense des messages électroniques sur site, Microsoft Exchange Hosted Services  offre une solution hébergée qui permet de protéger l'environnement de messagerie d'une entreprise tout en répondant aux exigences légales et aux exigences des stratégies internes. EHS contribue à réduire les investissements tout en libérant des ressources informatiques, ce qui permet aux entreprises de se concentrer sur leurs domaines critiques. Fonctionnant sur Internet sous forme d'un service sans aucun matériel ni logiciel à installer sur place, EHS permet aux organisations de se protéger contre les attaques par courrier électronique, de satisfaire aux exigences légales de rétention de données, de chiffrer les données en vue d'en préserver la confidentialité et de préserver l'accès aux messages électroniques pendant et après les situations d'urgence. Les entreprises peuvent décider de mettre en œuvre leurs solutions de sécurité et de conformité chez elles ou à distance. Les services hébergés peuvent éliminer le courrier indésirable et les virus contenus dans les messages adressés à l'entreprise avant même que ces messages aient une chance de pénétrer dans le réseau interne.

Pour plus d'informations

Pour plus d'informations sur la sécurité, voir les ressources suivantes :


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft