Vous êtes sur la page 1sur 73

Dossier technique

SECURITE DE LA MESSAGERIE
---





Septembre 2005






Groupe Scurit de la messagerie




CLUB DE LA SECURITE DES SYSTEMES DINFORMATION
FRANAIS
30, rue Pierre Smard, 75009 PARIS
Tl. : +33 153 25 08 80 Fax : +33 1 53 25 08 88 e-mail : clusif@clusif.asso.fr
Web : http://www.clusif.asso.fr

Table des matires
Le CLUSIF............................................................................................................................. III
Remerciements .........................................................................................................................V
1 - Introduction......................................................................................................................... 2
2 - Primtre............................................................................................................................. 3
3 - Architectures / protocoles ................................................................................................... 6
3.1. Les bases du courrier lectronique........................................................................... 6
3.1.1 Illustration de lacheminement dun e-mail entre deux correspondants
appartenant la mme entreprise (Intranet)..................................................................... 6
3.1.2 Illustration de lacheminement dun e-mail entre deux correspondants
appartenant des entreprises diffrentes (Internet ou extranet) ...................................... 8
3.1.3 Illustration de laccs un serveur de messagerie partir dun navigateur
(Webmail) pour le retrait dun e-mail ............................................................................ 10
3.1.4 Constitution de larchitecture de la messagerie ............................................. 11
3.2. Structure et format de le-mail ............................................................................... 13
3.3. Dfinition des protocoles ....................................................................................... 17
3.3.1 Le protocole SMTP (Simple Mail Transfer Protocol) ................................... 18
3.3.2 Le protocole ESMTP (Extended Simple Mail Transfer Protocol)................. 18
3.3.3 Le protocole POP3 (Post Office Protocol)..................................................... 19
3.3.4 Le protocole IMAP (Internet Message Access Protocol) .............................. 20
4 - Menaces et Risques........................................................................................................... 21
4.1. Les atteintes aux flux identifis par lentreprise comme lgitimes/autoriss .. 21
4.1.1 Perte dun e-mail ............................................................................................ 21
4.1.2 Perte de confidentialit................................................................................... 21
4.1.3 Perte dintgrit.............................................................................................. 22
4.1.4 Usurpation de lidentit de lmetteur............................................................ 22
4.1.5 Rpudiation .................................................................................................... 22
4.2. Les atteintes linfrastructure et au SI................................................................... 23
4.2.1 Programmes malveillants ............................................................................... 23
4.2.2 Spam............................................................................................................... 23
4.2.3 La perte de pices justificatives ..................................................................... 23
4.2.4 Linterruption de service................................................................................ 24
4.2.5 Utilisation abusive d open relay ............................................................... 24
4.3. Les atteintes lorganisation.................................................................................. 25
4.3.1 Les contenus illicites ou offensants................................................................ 25
4.3.2 Lutilisation abusive....................................................................................... 25
4.3.3 Accomplissement dactes frauduleux par la messagerie................................ 25
4.3.4 Le phishing..................................................................................................... 25
5 - Solutions de scurit ......................................................................................................... 26
5.1. Scurisation des flux lgitimes............................................................................... 26
5.1.1 Chiffrement et signature lectronique des messages ..................................... 26
5.1.2 La scurisation des protocoles ....................................................................... 29
5.1.3 Traabilit des changes ................................................................................ 34
5.2. Scurisation des Infrastructures ............................................................................. 37
5.2.1 Architecture gnrale ..................................................................................... 37
5.2.2 Filtrage et analyse de contenu........................................................................ 38
5.2.3 Tableau danalyse des options dimplmentation.......................................... 42
5.3. Solutions Organisationnelles.................................................................................. 46
5.3.1 Politique de scurit et charte dutilisation.................................................... 46
Scurit de la messagerie CLUSIF 2005
I
5.3.2 Les bonnes pratiques de lutilisateur.............................................................. 46
5.3.3 Les bonnes pratiques de ladministrateur....................................................... 47
5.4. Critres de choix dune solution ............................................................................ 48
6 - Rglementation ................................................................................................................. 51
6.1. Quels sont les risques de la non fiabilit dun systme de messagerie ? ............... 51
6.2. Quelles sont les composantes dun systme de messagerie lectronique fiable ? . 52
6.3. Lenvironnement lgal ........................................................................................... 53
6.3.1 Le cadre lgislatif global ................................................................................ 53
6.3.2 Le cadre lgislatif de la cybersurveillance des salaris................................ 54
7 - Annexes............................................................................................................................. 58
7.1. Glossaire................................................................................................................. 58
7.2. Protocoles : rfrences RFC................................................................................... 61
7.3. Codes retour SMTP................................................................................................ 62
7.4. Exemples de-mails ................................................................................................ 64
7.4.1 E-mail sign.................................................................................................... 64
7.4.2 E-mail chiffr ................................................................................................. 65
7.5. Exemple de charte .................................................................................................. 66

Scurit de la messagerie CLUSIF 2005
II
LE CLUSIF
Le CLUSIF offre, depuis 1984, un espace dchange dans lequel les acteurs de la scurit des
systmes d'information peuvent se rencontrer, travailler et progresser ensemble. A ce jour, le
CLUSIF rassemble plus de 600 membres, appartenant 300 organismes ou socits. Sa
particularit est daccueillir les utilisateurs comme les offreurs. De cette complmentarit nat
une synergie.
Sa mission
Echanger
La vocation du Clusif est de favoriser le partage des expriences.
Les utilisateurs sont ainsi tenus au courant des nouveauts en matire de scurit et les
offreurs ont accs une meilleure connaissance des besoins et du march.
Concevoir
La ralisation de travaux sur la scurit couvre des domaines trs tendus, tels que :
ltat de lart sur des solutions existantes, des mthodes danalyse de risques, de
conception et de dveloppement scuriss de projets, dvaluation de la scurit des
systmes d'information ;
des prises de position sur des sujets d'actualit ;
des enqutes, des statistiques ;
des guides et des recommandations caractre didactique.
Promouvoir
Il entre dans les finalits du CLUSIF de sensibiliser et d'influencer un certain nombre
d'acteurs de la vie conomique et politique, avec le double objectif de promouvoir la scurit
et de faire valoir les besoins et contraintes des utilisateurs auprs des instances dirigeantes. Le
CLUSIF sadresse aux dcideurs, utilisateurs, parlementaires, pouvoirs publics, mdias, ainsi
qu dautres associations.
Eduquer
Le CLUSIF s'implique activement dans le processus dducation et de sensibilisation, en
matire de scurit, auprs de ses membres, des professionnels de la scurit, des enseignants
et des tudiants. Il intervient dans les programmes de formation afin que la scurit des
systmes dinformation soit incorpore dans les programmes pdagogiques.
Son fonctionnement
Le fonctionnement du CLUSIF repose principalement sur les commissions et les groupes de
travail.
Les commissions, caractre prenne, sont au cur de lactivit.
Les groupes de travail, vocation temporaire, sont crs pour apporter une rponse des
sujets dactualit ou aux proccupations dutilisateurs et doffreurs. La contribution peut
prendre la forme dun document, dune recommandation ou dune prise de position sur un
thme donn.
Scurit de la messagerie CLUSIF 2005
III

Commissions :
Espace RSSI Micro-informatique
Evaluation Menaces
Mthodes Techniques de Scurit Logique
Rseaux et Systmes Ouverts Techniques de Scurit Physique
Qualit et Scurit
Son rseau relationnel
Rgional
Le CLUSIF dispose de relais dans les rgions : les Clubs de la Scurit des Systmes
d'Information Rgionaux (CLUSIR). Ces associations indpendantes sont agres par le
CLUSIF et s'engagent respecter le rglement intrieur et le code dthique du CLUSIF. Il
existe ce jour six CLUSIR : Est, LanguedocRoussillon, MidiPyrnes, NordPas de
CalaisPicardie, ProvenceAlpesCte dAzur, RhneAlpes.
International
Le CLUSIF entretient des contacts avec des organismes et des associations en Allemagne,
Argentine, Belgique, Canada, Italie, Luxembourg, Maroc, Suisse, Tunisie.
Associatif
Le CLUSIF entretient des relations avec des organismes qui partagent la mme sensibilit sur
des thmes de la Scurit Informatique. Les principaux sont :
AFAI (Association Franaise dAudit et du conseil en informatique)
AMRAE (Association pour le Management des Risques et des Assurances de lEntreprise)
CIGREF (Club Informatique des Grandes Entreprises Franaises)
Institutionnel
Des liens trs troits sont dvelopps avec les pouvoirs publics afin de promouvoir la scurit
des systmes dinformation. Le CLUSIF participe ainsi des groupes de travail
internationaux sur la cybercriminalit.
Contact
Secrtariat du CLUSIF
30 rue Pierre Smard
75009 PARIS
Tel : 01 53 25 08 80 - Fax : 01 53 25 08 88
Courrier lectronique : clusif@clusif.asso.fr
Web : http://www.clusif.asso.fr

Scurit de la messagerie CLUSIF 2005
IV
REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de
ce document, tout particulirement :

Robert BERGERON CAPGEMINI
Michel BERTIN
Stphane BOUCHE SECUSERVE
Annie BUTEL BNP PARIBAS
Eliette CHAMON
Jean-Franois GONEL AFP
Olivier GUERIN CLUSIF
Pierre HAUTEFEUILLE CAISSE CENTRALE DE REASSURANCE
Guy JOVER CNAMTS
Guy KHOUBERMAN ACOSS CNIR-SUD
Stphane MOLERE AMACOM
Laurent TREILLARD AGERIS CONSULTING

Scurit de la messagerie CLUSIF 2005
V
Scurit de la messagerie - 1 - CLUSIF 2005
1 - Introduction

Aujourdhui, en 2005, environ 70% des e-mails
1
seraient des spams et 95% des infections par
virus ou vers sont vhiculs par la messagerie lectronique. Cependant, le courrier
lectronique est le plus populaire des services dInternet. Au niveau de lutilisateur, il
prsente toutes les caractristiques du courrier classique : envoi par dpt la poste, centre de
tri, acheminement, distribution, botes aux lettres.

En entreprise, la messagerie lectronique est de plus en plus utilise et est devenue une
application Internet indispensable. Parce que la messagerie est un vecteur de communication,
de productivit et de production, sa scurit et sa disponibilit sont des proccupations
lgitimes des entreprises.
Toutefois, le protocole SMTP (Simple Mail Transfer Protocol), lors de sa conception, na pas
intgr les proccupations de scurit actuelles. Cest ce qui explique la prolifration des
menaces techniques qui psent aujourdhui sur la messagerie : virus, hoax , spam, attaque
en dni de service, usurpation dadresse, ...
De plus, parce que cest un outil simple, rapide et expansif, des drives comportementales et
lgales peuvent en rsulter et doivent tre contrles dans le monde de lentreprise : fuite
dinformation, confidentialit, contenus illicites et saturation des ressources informatiques.

Dans ce document, un Directeur Informatique ou un chef dentreprise trouvera les aspects
essentiels prendre en compte dans le cadre de la scurisation de la messagerie lectronique.
Les caractristiques techniques et les grands principes de fonctionnement de la messagerie
lectronique connus ce jour : principes de fonctionnement, structure dun e-mail, protocoles
les plus utiliss seront prsents.
Ensuite sera prsent un inventaire non exhaustif des risques et menaces qui psent sur la
messagerie lectronique dentreprise : menaces sur les flux autoriss, menaces sur les
infrastructures et risques encourus par lentreprise.
Puis seront vues les solutions techniques et organisationnelles qui peuvent tre utilises par
lentreprise pour se prmunir des risques propres la messagerie.
Enfin, nous tracerons le cadre lgal actuel dans lequel doit sinscrire une politique de
scurisation de la messagerie.

Comme nous lavons indiqu ci-dessus, les menaces (et donc les contre-mesures) sont en
perptuelle volution (cf. progression et volutivit du spam et des techniques de spamming).
Aussi, le prsent document reflte une situation actuelle, tant sur le mode de fonctionnement
de la messagerie que sur les menaces et les contre-mesures.

Enfin, si la messagerie est effectivement lapplication la plus utilise en entreprise et donc
doit tre au cur des proccupations de lentreprise, une politique de scurisation de la
messagerie ne peut se concevoir, si elle nest pas cohrente et intgre dans la dmarche
globale de scurisation du systme dinformation de lentreprise.


1
Le terme e-mail utilis dans ce document est dun usage courant, il est quivalent courriel, mail, ml, courrier
lectronique.
Scurit de la messagerie - 2 - CLUSIF 2005
2 - Primtre

Internet permet de vhiculer des informations sous diffrentes formes (voix, donnes,
images) : le-mail, le tlphone, le Web (World Wide Web), la vidoconfrence, le travail
coopratif. Ces services sont plus ou moins intgrs au systme dinformation, plus ou moins
instantans. (Schma ci-dessous)



Le document concernera essentiellement le-mail, constituant actuellement le moyen le plus
utilis pour changer sur Internet.

Les risques associs la messagerie dpendent de son contexte dutilisation. Le schma
suivant prsente les utilisations courantes de le-mail, personnelles ou professionnelles, libres
ou rpondant des rgles dchange.
Dans une entreprise, plus les changes sont libres, plus les risques dattaque du systme
dinformation sont importants.
Dans un contexte dchanges professionnels, les risques sont ceux lis la disponibilit, la
confidentialit, lintgrit et la preuve du message ainsi que les risques dengagement de
responsabilit de lentreprise et de lmetteur.
Dans un contexte dutilisation titre personnel, les principaux risques sont les atteintes la
vie prive, le dtournement dinformations personnelles ou lengagement de sa responsabilit.
Nous attirons lattention sur le fait que la distinction entre lusage professionnel et
lutilisation personnelle des moyens de communication tend disparatre, notamment avec la
multiplication des quipements portables attribus par les entreprises leurs salaris et par le
Scurit de la messagerie - 3 - CLUSIF 2005
tltravail. Il est recommand de prciser la frontire entre la sphre prive et la sphre
professionnelle.




On peut distinguer sur ce schma plusieurs types dutilisation :

La messagerie qui concerne lchange de donnes interpersonnelles, titre priv ou
professionnel. Le format est libre. Lchange est direct entre des personnes qui ne sont
pas disponibles au mme moment.
La messagerie qui concerne les changes commerciaux ou administratifs et engagent
la responsabilit de lentreprise ou de lindividu. Le format est en gnral libre mais la
traabilit est importante.
Ex : dclarations fiscales, commandes
La messagerie intgre aux processus mtiers. Ces changes sont trs formaliss et
conditionnent le bon droulement des processus. Cest par exemple lchange de
donnes commerciales : les commandes, les avis dexpdition, les factures entre les
agents conomiques. Ce sont des changes normaliss et en principe scuriss.

Scurit de la messagerie - 4 - CLUSIF 2005
Exemples de risques dutilisation de la messagerie

Utilisation de la messagerie Menaces Consquences potentielles
Echanges commerciaux et
administratifs
Menace juridique, fuite
dinformation
Falsification de document,
atteinte linformation de
lorganisation
Echanges privs informels Menace de dtournement
dinformations personnelles
Atteinte la vie prive
Processus mtier Menace de fuite
dinformations, de sabotage
de donnes
Atteinte linformation de
lorganisation
Engagement contractuel Menace de fuite
dinformations, de sabotage
de donnes
Atteinte linformation de
lorganisation / falsification
de document
Echanges professionnels
informels
Menace virale, dintgrit Atteinte au systme
dinformation

Les risques lis la messagerie sont prsents plus en dtail dans le chapitre 4.


Scurit de la messagerie - 5 - CLUSIF 2005
3 - Architectures / protocoles

On peut distinguer trois cas dutilisation de la messagerie dans une entreprise :

une utilisation purement interne, via le rseau priv de lentreprise (Intranet),
une utilisation tendue des fournisseurs ou partenaires (Extranet),
une utilisation ouverte vers lextrieur via des rseaux publics (Internet)

Pour lutilisateur, les mmes outils rpondent ces trois cas dutilisation.

3.1. Les bases du courrier lectronique


3.1.1 Illustration de lacheminement dun e-mail entre deux
correspondants appartenant la mme entreprise (Intranet)
Exemple :
Entreprise : Dupont 1 serveur de messagerie
Expditeur : Jean Adresse e-mail : jean@dupont.fr
Destinataire : Paul Adresse e-mail : paul@dupont.fr


Client e-mail Client e-mail
Expditeur : Jean Destinataire : Paul
Rseau Intranet
Dupont
Serveur de messagerie de lentreprise Dupont
SMTP
port 25/tcp
POP
port 110/tcp
adresse e-mail
interne ?
oui
BAL
1
2
3
4
5


1. Jean expdie un e-mail, avec comme adresse de destination celle de Paul. Il utilise un
client de messagerie configur pour dialoguer avec le serveur de messagerie de son
entreprise Dupont .
Scurit de la messagerie - 6 - CLUSIF 2005
2. Le serveur de messagerie analyse ladresse de destination de cet e-mail, il reconnat
que celle-ci correspond une adresse interne lentreprise (xx@dupont.fr).
3. Le-mail est donc dpos dans la bote aux lettres (BAL) assigne Paul.
4. Paul destinataire de cet e-mail, doit priodiquement interroger le serveur de
messagerie (manuellement ou automatiquement), afin de savoir sil a du courrier en
attente.
5. Dans le cas positif, les e-mails en attente sur le serveur de messagerie peuvent tre
rapatris sur le poste de travail du destinataire (Paul).
Scurit de la messagerie - 7 - CLUSIF 2005
3.1.2 Illustration de lacheminement dun e-mail entre deux
correspondants appartenant des entreprises diffrentes (Internet ou
extranet)
Exemple :
Entreprises : Dupont, Durand
Expditeur : Jean Adresse e-mail : jean@dupont.fr
Destinataire : Paul Adresse e-mail : paul@durand.fr

Client e-mail
Client e-mail
Expditeur : Jean
Destinataire : Paul
Rseau Intranet
Dupont
Serveur de
messagerie de
lentreprise
Dupont
SMTP
port 25/tcp
POP
port 110/tcp
adresse e-mail
interne ?
non
BAL (s)
1
2
3
5

Internet
Serveur de
messagerie de
lentreprise
Durand
adresse e-mail
interne ?
oui
BAL (s)
4
Rseau Intranet
Durand

Scurit de la messagerie - 8 - CLUSIF 2005
1. Jean expdie un e-mail, avec comme adresse de destination celle de Paul lextrieur
de lentreprise. Il utilise un client de messagerie configur pour dialoguer avec le
serveur de messagerie de son entreprise Dupont .
2. Le serveur de messagerie analyse ladresse de destination.
3. Compte tenu que ladresse de destination ne correspond pas une adresse interne, le
serveur de la messagerie Dupont oriente le message via Internet vers le serveur de
messagerie de la socit Durand . Une recherche de ladresse IP du serveur de
messagerie de lentreprise destinataire est alors ncessaire, il sagit dune interrogation
du DNS (Domain Name Server). La rsolution DNS sobtient partir du nom de
domaine situ la droite du signe @ de ladresse de lexpditeur (xx@durand.fr).
Eventuellement, le-mail peut transiter par plusieurs serveurs de messagerie
intermdiaires.
4. Le serveur de messagerie de la socit Durand analyse ladresse de destination de
le-mail, il constate que cette adresse correspond une des adresses internes et
rfrences, il place donc le-mail dans la bote aux lettres du destinataire.
5. Paul destinataire de cet e-mail, doit priodiquement interroger le serveur de
messagerie (manuellement ou automatiquement), afin de savoir sil a du courrier en
attente.
6. Dans le cas positif, les e-mails en attente sur le serveur de messagerie peuvent tre
rapatris sur le poste de travail du destinataire (Paul).
Scurit de la messagerie - 9 - CLUSIF 2005
3.1.3 Illustration de laccs un serveur de messagerie partir dun
navigateur (Webmail) pour le retrait dun e-mail
Exemple :
Entreprise : Dupont
Utilisateur : Jean Adresse e-mail : jean@dupont.fr


Navigateur
utilisateur : Jean
Internet ou
Rseau Intranet Dupont
Serveur de
messagerie
de
lentreprise
Dupont
utilisateur
connu ?
oui
BAL (s)
1
3
4
2
5
6
Serveur
Web de
lentreprise
Dupont
http


1. Lutilisateur Jean se connecte au serveur Web de son entreprise laide de son
navigateur. Il accde une page http permettant de solliciter le service webmail
daccs sa messagerie. Un dialogue initial permet didentifier et dauthentifier
lutilisateur.
2. Le serveur web labore une requte destine au serveur de messagerie.
3. La requte est transmise au serveur de messagerie de la socit Dupont
4. Le serveur de messagerie de la socit Dupont authentifie le propritaire de la
bote aux lettres.
5. Tous les messages reus sont transmis au serveur Web qui les reformate dans une page
Web.
6. Le rsultat est transmis en retour au navigateur de Jean qui peut alors consulter le
contenu de ses e-mails.
Scurit de la messagerie - 10 - CLUSIF 2005
3.1.4 Constitution de larchitecture de la messagerie
Larchitecture de la Messagerie repose sur un ensemble de constituants logiciels distincts qui
travaillent ensemble pour assurer le transfert dun message dun utilisateur vers dautres
utilisateurs. On peut distinguer trois types de constituants : le MUA, le MTA et le MDA.


MUA (user)
Rseau priv ou Intranet
Serveur de messagerie de lentreprise
S
M
T
P

BAL
Rseau public (Internet)
Relais de messagerie
Rseau public (Internet)
Serveur de destination
MDA (Delivery)
MTA (transfert)
MTA (transfert)
MTA (transfert)
Poste de travail de lexpditeur de le-mail
S
M
T
P

S
M
T
P



MUA (Mail User Agent ou Agent Utilisateur de Message)
Scurit de la messagerie - 11 - CLUSIF 2005

Ce logiciel est situ sur le poste de travail de lutilisateur qui met le message et sur les postes
de travail des utilisateurs qui reoivent ce message (exemples : Outlook, Eudora, Netscape,
Notes, Thunderbird, ...) . Il fournit linterface entre lutilisateur et la messagerie. Il permet
lutilisateur la prparation des messages et leur envoi.


MTA (Mail Transfer Agent ou Agent de Transfert de Message)

Ce logiciel est situ sur chaque serveur de messagerie. Le MUA du poste de lutilisateur est
configur pour travailler avec un MTA bien dfini. Les messages mis par un utilisateur sont
envoys via le MTA pour lequel son poste est configur. Les messages reus par un
utilisateur sont rcuprs via le MTA pour lequel son poste est configur.

Le transfert des messages entre utilisateurs est assur par une chane de MTA selon la
situation des utilisateurs sur le rseau. Cette chane peut tre constitue dun MTA ou de
plusieurs MTA. A titre dexemple, pour une socit quipe dun seul serveur de messagerie
pour des changes de messages en interne, la chane est rduite un seul MTA. Quand la
chane comprend plusieurs MTA, les messages sont relays de MTA en MTA, du MTA
dmission au MTA de rception . Le MTA est souvent appel relais SMTP .


MDA (Mail Delivery Agent ou Agent de Distribution de Message)

Ce logiciel est situ sur les serveurs de messagerie. Le MTA du serveur de destination
transmet au MDA les messages qui sont destins ses utilisateurs. Le MDA les stocke dans
les Botes Lettres (BAL) associes aux destinataires concerns. Ceux-ci viendront les y
chercher en utilisant le MUA de leur poste de travail.
Scurit de la messagerie - 12 - CLUSIF 2005
3.2. Structure et format de le-mail


Un e-mail a une structure similaire celle dun courrier classique. Il est compos dune
enveloppe (aussi appele en-tte ), comportant les donnes relatives aux adresses des
metteurs et rcepteurs, ainsi que le sujet du message, la date, etc... A la suite de len-tte
sajoute videmment le contenu de le-mail (appel corps du message ), comprenant
ventuellement des pices jointes.

En-tte dun e-mail

Len-tte contient donc les informations suivantes :
Une adresse e-mail dauteur du message
Ladresse e-mail du (ou des) destinataires
Une adresse utiliser en cas de rponse
Le chemin suivi par le message
Le type dencodage du message
Des informations subsidiaires (champs X...) comme par exemple le type de
logiciel qui a gnr le message.

Lors de la lecture dun e-mail, le MUA indique :
Lexpditeur
Lobjet
Le texte (ou corps) du message

Mais cet e-mail contient toute une partie cache qui permet de connatre le chemin suivi
par cet e-mail avant darriver dans la bote aux lettres de destination.

Scurit de la messagerie - 13 - CLUSIF 2005

Dtail de len-tte dun e-mail

Ce message est adress par Jean de lentreprise Dupont Paul de lentreprise Durand. Il comprend 3 parties :
le message lui-mme,
une pice jointe le fichier ModeEmpl.txt au format .txt
une pice jointe le fichier Tableau.doc au format .doc



Exemple


Explication


Return-Path: <j ean@dupont . f r >
Received: f r ommwi nf 1108. dur and. f r ( mwi nf 1108. dur and. f r )
by mwi nb0703 ( SMTP Ser ver ) wi t h LMTP; Fr i , 18 Feb 2005
11: 06: 11 +0100
Received: f r omme- dur and. net ( l ocal host [ 127. 0. 0. 1] )
by mwi nf 1108. dur and. f r ( SMTP Ser ver ) wi t h ESMTP i d
563751C0009E;
Fr i , 18 Feb 2005 11: 06: 11 +0100 ( CET)
Received: f r om[ 127. 0. 0. 1] ( pc0001. dupont . f r [ 192. 168. 6. 24] )
by mwi nf 1108. dupont . f r ( SMTP Ser ver ) wi t h ESMTP i d
715011C000C2;
Fr i , 18 Feb 2005 11: 06: 09 +0100 ( CET)
X-Sieve: Ser ver Si eve 2. 2
X-ME-UUID: 20050218100609464. 715011C000C@mwi nf 1108. dupont . f r
Message-ID: <4215BEC8. 2090503@dupont . f r >
Date: Fr i , 18 Feb 2005 11: 09: 12 +0100
From: =J ean= <j ean@dupont . f r >
User-Agent: Mozi l l a/ 5. 0 ( Wi ndows; U; Wi ndows NT 5. 0; en- US;
r v: 1. 7. 5) Gecko/ 20041217
X-Accept-Language: en- us, en
MIME-Version: 1. 0
To: paul @dur and. f r
Subject: St r uct ur e des messages
Content-Type: mul t i par t / mi xed;

Return-Path : Adresse qui sera utilise :
o soit pour la rponse
o soit pour renvoi du message sil ne peut arriver son destinataire

Received : Chaque MTA qui reoit le message y inscrit le nom du MTA
qui le lui a envoy, ainsi que le sien. On obtient la route complte suivie
par le message, de lexpditeur jusquau destinataire, en utilisant les zones
Received de bas en haut.
Ces indications ont linconvnient de rvler une partie de larchitecture de
la messagerie.


X-. : Champs non officiels - Extensions spcifiques aux diffrents
composants de la messagerie (MUA, MTA, serveur POP, ...).
Message-ID : Identifiant unique de message. Il est attribu par le premier
MTA qui reoit le message.
Date : Date dmission donne par le MUA de lexpditeur
From : Adresse de lexpditeur. Cette information peut tre facilement
usurpe.
MIME-Version : Version du mode de codage des donnes
To : Adresse du ou des destinataire(s)
Subject : Objet du message
Content-Type: le message comprend plusieurs parties.
Scurit de la messagerie - 14 - CLUSIF 2005


Exemple


Explication

boundary=" - - - - - - - - - - - - 080902030604050701030301"

Thi s i s a mul t i - par t message i n MI ME f or mat .
- - - - - - - - - - - - - - 080902030604050701030301
Content-Type: t ext / pl ai n; charset=I SO- 8859- 1; f or mat =f l owed


Content-Transfer-Encoding: 8bi t

Ce message compor t e 2 pi ces j oi nt es : une au f or mat " . t xt " et
une au f or mat " . doc"
Cor di al ement , J ean
- - - - - - - - - - - - - - 080902030604050701030301
Content-Type: t ext / pl ai n;
name=" t ext e. t xt "
Cont ent - Tr ansf er - Encodi ng: 8bi t
Cont ent - Di sposi t i on: i nl i ne;
f i l ename=" ModeEmpl . t xt "

Mode empl oi du t abl eau . .

- - - - - - - - - - - - - - 080902030604050701030301
Cont ent - Type: appl i cat i on/ mswor d;
name=" wor d. doc"
Cont ent - Tr ansf er - Encodi ng: base64
Cont ent - Di sposi t i on: i nl i ne;
f i l ename=" Tabl eau. doc"

La pi ce j oi nt e en f or mat . doc est i ci , mai s el l e n est pas
f i gur e, car el l e est pr sent e dans un codage i nt er pr t abl e
mai s en pr at i que i l l i si bl e pour nous

- - - - - - - - - - - - - - 080902030604050701030301- -

boundary= sparateurs de parties du message

ce message contient plusieurs parties
------= : sparateur, partie message
Content-Type : Type de contenu
charset: jeu de caractres utilis

Content-Transfer-Encoding: Codage (ici sur 8 bits)

(le texte du message)

------= : sparateur, pice jointe format .txt






La pice jointe en format .txt lisible

------= : sparateur, pice jointe format .doc




La pice jointe en format .doc illisible (base64)


------= : sparateur, fin du fichier message



Scurit de la messagerie - 15 - CLUSIF 2005

Le format MIME (Multi-purpose Internet Mail Extensions)

A lorigine, le courrier lectronique tait prvu pour ne transporter que des caractres du jeu
us-ascii, sans aucun accent, ni enrichissement, cods sur 7 bits.
MIME est une spcification dcrivant les formats de messages sur lInternet et permet en
particulier pour la messagerie :
Lchange de textes crits dans des jeux de caractres tendus ou diffrents
Lchange de messages multimdia comprenant par exemple des images, des sons, des
squences vidos, des fichiers binaires et mme du logiciel excutable.
Scurit de la messagerie - 16 - CLUSIF 2005


3.3. Dfinition des protocoles


Chaque internaute possde une bote aux lettres (BAL) identifie par une adresse
lectronique du type adresse_perso@[sous_domaine].domaine .
Lacheminement de le-mail se fait en plusieurs tapes. Tout dabord, le courrier est envoy
un serveur de mail qui va se charger de lacheminer bon port.
Il va donc transmettre le message au serveur destinataire qui le stocke en attendant que
linternaute destinataire le rcupre partir de sa bote aux lettres personnelle.
Contrairement au courrier postal, lacheminement dun message lectronique est beaucoup
plus rapide, et il peut tre distribu automatiquement plusieurs destinataires la fois.
Diffrents protocoles applicatifs sont utiliss au-dessus des couches rseaux et transport
(TCP/IP) dInternet (SMTP, POP, IMAP) :

- Le protocole SMTP permet de transmettre les messages envoys par les postes
clients.
- Les protocoles POP3 ou IMAP permettent de dialoguer partir de postes clients afin
dassurer linterrogation des botes aux lettres et le rapatriement des messages du
serveur sur le poste de travail.







Scurit de la messagerie - 17 - CLUSIF 2005
3.3.1 Le protocole SMTP (Simple Mail Transfer Protocol)
Le protocole SMTP (Simple Mail Transfer Protocol) est le protocole standard permettant de
transfrer le courrier soit dun client un serveur, soit dun serveur un autre en connexion
point point.
Ce protocole fonctionne en mode commut, encapsul dans des trames TCP/IP, grce des
commandes textuelles (chane de caractres ASCII termine par les caractres CR/LF).
Dans un dialogue, par exemple entre un client et un serveur de messagerie, chaque commande
envoye du client est suivie dune rponse du serveur SMTP. Une rponse est compose dun
numro et dun message afin de signaler si la commande est prise ou non en compte par le
serveur.


RECAPITULATIF DES PRINCIPALES COMMANDES SMTP

Commande Description

HELO adresse IP : ou nom de domaine de lordinateur expditeur
MAIL FROM : adresse de lexpditeur
RCPT TO : adresse du destinataire
DATA : partie de len-tte et corps du mail
HELP : permet de rcuprer la liste des commandes supportes par le
serveur SMTP
EXPN : la fonction dexpansion renvoi les adresses de la liste de
diffusion passe en paramtre.

QUIT : permet de quitter la connexion sur le serveur SMTP.




3.3.2 Le protocole ESMTP (Extended Simple Mail Transfer Protocol)
Ce protocole est une amlioration du protocole SMTP avec lequel il est compatible. Il permet
de passer davantage de commandes.
La commande douverture HELO est remplace par EHLO (Extended HELO). Le
destinataire ne rpond plus seulement OK , mais donne aussi la liste des mots-clefs quil
est capable de traiter. Dans le cas o le destinataire ne supporte pas le protocole ESMTP, il
retourne un message derreur et la communication continue dans un mode SMTP.

EXEMPLES DE COMMANDES ESMTP :

Commande Description

8BITMIME : permet au client denvoyer des messages comportant des
caractres 8 bits.
DSN : Delivery Status Notification : permet denvoyer lexpditeur
un accus de dlivrance au destinataire.
SIZE : indique, avant lenvoi par le client, la taille maximale de
message admissible par le serveur.
Scurit de la messagerie - 18 - CLUSIF 2005

3.3.3 Le protocole POP3 (Post Office Protocol)

Ce protocole permet de rcuprer son courrier sur un serveur de mail, et ne fonctionne quen
mode connect.
Tout comme dans le cas du protocole SMTP, le protocole POP3 fonctionne grce des
commandes textuelles envoyes au serveur POP3. Chacune des commandes envoyes par le
client est compose dun mot-cl, ventuellement accompagn dun ou plusieurs arguments.
A chaque commande, le serveur POP3 envoie une rponse (soit +OK ou ERR).


RECAPITULATIF DES PRINCIPALES COMMANDES POP3

Commande Description

USER <identifiant> : Cette commande permet de sidentifier. Elle doit tre suivie du
nom de lutilisateur, cest dire une chane de caractres identifiant
lutilisateur sur le serveur. La commande USER doit prcder la
commande PASS.

PASS <mot_de_passe>: La commande PASS, permet dindiquer le mot de passe de
lutilisateur dont le nom a t spcifi lors dune commande USER
pralable. Combin lidentifiant, il permet dauthentifier
lutilisateur.

STAT : Information sur les messages contenus sur le serveur

RETR <nmsg> : Numro du message rcuprer

DELE <nmsg> : Numro du message supprimer

LIST [<nmsg>] : Numro du message afficher

NOOP : Permet de garder les connexions ouvertes en cas dinactivit

TOP <nmsg> <n> : Commande affichant n lignes du message, dont le numro est
donn en argument. En cas de rponse positive du serveur, celui-ci
renvoie les en-ttes du message, puis une ligne vierge et enfin les n
lignes du message.

UIDL [<nmsg>] : Demande au serveur de renvoyer une ligne contenant des
informations sur le message ventuellement donn en argument.
Cette ligne contient une chane de caractres, appele listing
didentificateur unique, permettant didentifier de faon unique le
message sur le serveur, indpendamment de la session. Largument
optionnel est un numro correspondant un message existant sur le
serveur POP, cest dire un message non effac.

Scurit de la messagerie - 19 - CLUSIF 2005
QUIT : La commande QUIT demande la sortie du serveur POP3. Elle
entrane la suppression de tous les messages marqus comme
effacs et renvoie ltat de cette action.


3.3.4 Le protocole IMAP (Internet Message Access Protocol)
Ce protocole prsente des avantages par rapport POP3 :
Possibilit de stocker des messages sur le serveur de manire structure
Gestion de plusieurs botes aux lettres
Permet laccs direct des parties de messages
Supporte des accs concurrents et des botes aux lettres partages
Les utilisateurs peuvent accder leur courrier partir de plusieurs machines
distantes.

Un service IMAP est un systme de fichiers, dont les rpertoires sont des classeurs. Chaque
classeur contient des messages et ventuellement dautres classeurs.
A chaque message sont associes des informations (en plus du corps et de len-tte des
messages) telles que :
Un numro unique
Un numro de squence dans son classeur
Une srie de drapeaux (message lu, rponse envoye, message effacer, brouillon, ...)
Une date de rception du message.
Pour les serveurs qui supportent la RFC 2086 (cf. annexe) , une ACL (Access Control List)
est associe au classeur. Cette ACL permet dattribuer des droits un utilisateur ou un
groupe dutilisateurs.

Quelques commandes du protocole IMAP :

Commande Description

LOGIN Connexion au serveur IMAP
LIST Liste des dossiers
SELECT Slection dun dossier
SEARCH Recherche de messages dans un dossier en fonction de critres
FETCH Rcupration dun message
STORE Association de drapeaux un message
LOGOUT Dconnexion du serveur IMAP

Le protocole IMAP permet de grer plusieurs accs simultans. Les commandes envoyes par
le client sont prcdes dun identificateur (une chane de caractres quelconque mais unique
pour une session). Les rponses du serveur sont galement prcdes par lidentificateur
correspondant la commande qui les a dclenches.

Scurit de la messagerie - 20 - CLUSIF 2005
4 - Menaces et Risques

Nous avons choisi de segmenter les menaces et risques potentiels touchant au systme de
messagerie autour de 3 problmatiques :
- La scurisation des messages autoriss au sein de lentreprise
- La scurisation de linfrastructure sur laquelle repose le systme dchange
- La dfinition des rgles dutilisation du systme de messagerie de lentreprise


4.1. Les atteintes aux flux identifis par
lentreprise comme lgitimes/autoriss

4.1.1 Perte dun e-mail
Deux cas sont considrer :
- la perte dun e-mail au cours de sa transmission, par exemple suite un problme
sur un serveur de messagerie ncessitant sa restauration (les derniers messages
reus peuvent tre perdus), ou par exemple supprim tort par un logiciel anti-
spam. Le destinataire na, dans ce cas, jamais connaissance de ce courrier.
- La disparition dun message reu, voire de lensemble des messages reus. Ce
risque est particulirement important lorsque lutilisateur stocke ses e-mails sur
son propre ordinateur, car dans ce cas, les sauvegardes locales ne sont pas toujours
ralises.

4.1.2 Perte de confidentialit
La messagerie reprsente un facteur important de perte de confidentialit dans une entreprise.
Cette perte de confidentialit peut tre provoque par diffrents vnements :
- une divulgation accidentelle : le message a t envoy trop rapidement, avant mme
que lexpditeur nait eu le rflexe de vrifier la liste des destinataires. Dans le cas
dutilisation de listes denvoi, il devient difficile de vrifier que tous les membres de
la liste sont bien habilits connatre le contenu du message ;
- une divulgation par ngligence ou par mconnaissance des rgles : lorsquun tiers
demande une information, on lui rpond immdiatement, ventuellement avec des
pices jointes, pour lui rendre service et sans se proccuper de la nature des
informations transmises ;
- une divulgation volontaire : par exemple lenvoi dun fichier client un concurrent ;
- un espionnage des messages lors de la transmission sur le rseau local : laide dun
logiciel spcialis (sniffer), il est souvent ais de se connecter un rseau local et de
recueillir les changes de messagerie. On peut ainsi prendre connaissance sans
difficult des mots de passe de messagerie et du contenu des messages reus ou
transmis.
Lespionnage peut galement tre ralis sur un rseau public.


Scurit de la messagerie - 21 - CLUSIF 2005
4.1.3 Perte dintgrit
Un message peut tre altr, accidentellement (dysfonctionnement dquipement,
modification de format entranant une perte dinformation, etc ...) ou par malveillance
pendant sa transmission ou son stockage, sur un serveur de messagerie ou sur le poste
destinataire.
La perte dintgrit peut galement provenir de modifications ou ajouts volontaires effectus
au niveau du serveur de messagerie.


4.1.4 Usurpation de lidentit de lmetteur
Dans un systme de messagerie, ladresse e-mail est un lment vulnrable. Ladresse e-mail
de par sa fonction est diffuse tous les destinataires et est stocke sur des centaines voire des
milliers de carnets dadresses. Des individus ou organisations malveillants exploitent des
failles de scurit via des vers ou des virus pour rcuprer des adresses e-mail en accdant
aux donnes personnelles de lutilisateur ou son carnet dadresses. Cette rcupration peut-
tre ralise lors de navigation sur le Web ou lors dune rception de messages malveillants.
Lorsquune adresse e-mail est connue, elle peut aisment tre utilise par nimporte qui dans
lintention de nuire. Comme il nexiste pas de mcanisme dauthentification dans le protocole
SMTP, on peut par exemple vous envoyer un message au nom de votre responsable
hirarchique, pour vous demander dexcuter certaines tches ou de transmettre des
documents sensibles.


4.1.5 Rpudiation
La rpudiation est le risque de reniement de lenvoi ou de la rception dun message.
En labsence de dispositif de scurit spcifique, il est difficile de garantir le fait quun
message ait t mis ou reu.
Scurit de la messagerie - 22 - CLUSIF 2005


4.2. Les atteintes linfrastructure et au SI


4.2.1 Programmes malveillants
La messagerie permettant dintroduire des fichiers dans un ordinateur, elle constitue un
vecteur important de diffusion de programmes malveillants (virus, chevaux de Troie,
spywares, etc.). On peut considrer trois types dattaques :
- lintroduction dun virus par le biais dune pice jointe. De nombreux types de fichiers
sont susceptibles de contenir des instructions excutables. Il sagit naturellement des
programmes (extensions .exe, .dll, .bat, .vbs, ...), mais galement de toutes sortes de
fichiers de donnes volus (extensions .doc, .xls, .pdf, .pps, ...) qui contiennent
des macro-instructions excutes louverture ou lors dactivation de certaines
fonctions.
- lintroduction dun code malicieux dans le corps mme du message, lorsque celui-ci
est dans un format de page web incluant des scripts. La fonction prvisualisation de
certains clients de messagerie est capable de dclencher de tels scripts.
- enfin, on peut classer dans cette catgorie les faux virus (hoax), qui propagent de
fausses informations ou qui font perdre beaucoup de temps de lecture aux
destinataires. Ces faux virus peuvent tre dangereux. Certains dentre eux
recommandent de supprimer des fichiers supposs tre des virus alors quil sagit de
fichiers indispensables au fonctionnement du systme dexploitation.



4.2.2 Spam
Le spam est lopration qui consiste inonder les botes aux lettres de courriers indsirables
et non sollicits. Ils exploitent des listes de-mail souvent obtenues linsu de leurs
propritaires. Leur but est soit la publicit pour des sites marchands plus ou moins
recommandables, soit simplement de nuire aux systmes de messagerie par saturation des
rseaux et des botes aux lettres ( mail bombing ).
Le spam est galement utilis pour diffuser en masse de faux virus (hoax).




4.2.3 La perte de pices justificatives
Les messages reus/envoys sont archivs soit sur un serveur, soit sur le poste de lutilisateur.
Dans ce dernier cas, ces messages ne sont en gnral pas sauvegards. En cas de perte du
disque, la perte de ces archives peut tre prjudiciable (perte de trace dun envoi ou de
lhistorique des changes, perte de pices jointes).



Scurit de la messagerie - 23 - CLUSIF 2005
4.2.4 Linterruption de service
La messagerie fait de plus en plus partie intgrante de processus de lentreprise.
Lindisponibilit de la messagerie doit tre prise en compte au mme titre que les applications
mtiers, car elle peut conduire une forte dgradation, voire une interruption de service.
Linterruption de service peut tre accidentelle (panne, destruction de locaux) ou malveillante
(attaques de type dni de service du serveur de messagerie, dune attaque virale ou de
lenvoi de spam).
Linterruption de service peut galement provenir dune inscription en black-list , suite
des attaques opres partir des serveurs de lentreprise, ventuellement en rebond ou suite
relai ouvert sur le serveur.



4.2.5 Utilisation abusive d open relay
Il sagit de lutilisation du serveur de messagerie dune entreprise tierce pour envoyer les
messages hostiles ou des spams. Le risque pour cette entreprise est dtre inscrite en black-
list chez les fournisseurs daccs Internet (son adresse IP publique devient inutilisable tant
que le relai reste ouvert).
Scurit de la messagerie - 24 - CLUSIF 2005

4.3. Les atteintes lorganisation


4.3.1 Les contenus illicites ou offensants
La loi interdit la diffusion de certains contenus (racistes, pdophiles, trafics divers...). Les
auteurs mais galement les entreprises qui offrent les services de messagerie peuvent tre
svrement condamns.
Un autre risque de la messagerie est la diffusion de messages offensants, anonymes
(utilisation dune adresse dmetteur factice), ou au nom dune autre personne (cf. plus haut).

4.3.2 Lutilisation abusive
La messagerie dentreprise est mise disposition des employs pour les besoins du service.
La jurisprudence reconnat cependant un droit son utilisation des fins prives (Cf. chapitre
6). Si elle reste marginale, cette pratique est supportable par lentreprise.

Une utilisation abusive peut cependant tre la source de nuisances : encombrement des
espaces disques par des fichiers volumineux (musique, vido), encombrement de la bande
passante, sans compter la perte du temps consacr ces activits.

4.3.3 Accomplissement dactes frauduleux par la messagerie
Utilisation de la messagerie des fins dextorsion, de racket ou de chantage entranant des
prjudices pour lentreprise (pertes financires, atteinte limage, divulgation dinformations
confidentielles, etc.).

4.3.4 Le phishing
Le phishing a pour but le vol de mots de passe, de carte bancaire notamment. La messagerie
est utilise pour transmettre un e-mail avec par exemple le logo de la banque de la victime.
Dans le message, un prtexte quelconque incite le destinataire cliquer sur un lien pour se
rendre sur le site de sa banque. La page web reue est une rplique de la page daccueil du
site bancaire, sur laquelle on demande la saisie par exemple des rfrences du compte et du
mot de passe associ. En ralit, ces informations sont transmises un site web pirate.
Scurit de la messagerie - 25 - CLUSIF 2005
5 - Solutions de scurit

Les solutions permettant de contrer les menaces prsentes dans le chapitre prcdent sont
nombreuses, complmentaires et parfois contradictoires. Nous les prsentons tout dabord ci-
dessous selon la segmentation dj prsente :
- la scurisation des flux lgitimes
- la scurisation de linfrastructure et, dune manire plus gnrale, du Systme
dInformation
- les solutions organisationnelles
La fin de ce chapitre aborde les problmes de compatibilit de ces solutions et propose des
solutions globales concernant larchitecture du systme de messagerie.

5.1. Scurisation des flux lgitimes


5.1.1 Chiffrement et signature lectronique des messages
La cryptologie permet dapporter des rponses efficaces aux problmatiques de scurisation
des flux lgitimes. Elle permet dassurer :

- la confidentialit des messages,
- lauthentification de lmetteur,
- lintgrit des messages

Elle permet galement de garantir la non-rpudiation des changes.

5.1.1.1 Principes et outils de cryptologie

Les algorithmes de chiffrement peuvent tre classs en deux catgories :

Les algorithmes symtriques (AES, DES, triple DES, IDEA, )
Les algorithmes asymtriques (RSA, courbes elliptiques, )

Le point commun ces algorithmes est quils utilisent un paramtre, la cl de chiffrement (ou
de dchiffrement). La robustesse dun algorithme tient la difficult, voire limpossibilit
avec les moyens actuels, de retrouver la cl ayant permis de chiffrer un message.
Les algorithmes symtriques utilisent la mme cl pour chiffrer puis dchiffrer un message.
Cette cl doit donc tre partage par lmetteur et le destinataire.
Les algorithmes asymtriques utilisent au contraire deux cls associes (bi-cl). Ces deux cls
sont lies par des relations mathmatiques complexes et sont telles que tout message chiffr
laide de lune quelconque de ces deux cls ne peut tre dchiffr quavec lautre. La
robustesse dun algorithme asymtrique tient galement la difficult, voire limpossibilit
avec les moyens actuels, de trouver lune des deux cls, connaissant lautre.

Les algorithmes asymtriques sont puissants mais plus gourmands en ressource que les
algorithmes symtriques. Ils permettent dviter quun secret soit partag par plusieurs
Scurit de la messagerie - 26 - CLUSIF 2005
personnes et sont la base des outils de chiffrement et de signature des systmes de
messagerie.

En ralit, le processus technique utilis pour chiffrer un mail est un peu plus complexe. Les
deux types de cryptographie (symtrique et asymtrique) sont mis en uvre conjointement
afin dassocier les avantages de lun (rapidit dexcution des algorithmes) et de lautre
(facilit de gestion des cls). Seul lchange dune cl de chiffrement (appele habituellement
cl de session) symtrique est ralis en utilisant la bi-cl (cl prive et cl publique) du
destinataire.


5.1.1.2 Le chiffrement des messages

Le schma suivant illustre le principe de chiffrement des messages sappuyant sur des
systmes cl publique et cl prive.
Emetteur
A
Destinataire
B
MESSAGE
SECRET
HTRDFCXU
JYYGDP
HTRDFCXU
JYYGDP
Chif.
Cl prive : S
B
Cl publique : P
B
Cl publique de B : P
B
MESSAGE
SECRET
Chif.
Cl publique
De B
P
B
Cl prive
De B
S
B
B est la seule personne capable de lire en clair
un message chiffr avec sa propre cl publique


Le chiffrement est ralis par lmetteur en utilisant la cl publique du destinataire.
En ralit le chiffrement du message est ralis par un algorithme symtrique, beaucoup plus
rapide. La cl publique du destinataire est utilise pour chiffrer la cl secrte de chiffrement
du message. Dans ce cas, seul le destinataire peut rcuprer la cl secrte, mais celle-ci est
connue de l'metteur du message.

Scurit de la messagerie - 27 - CLUSIF 2005
5.1.1.3 La signature lectronique des messages

La signature lectronique est un dispositif qui permet de garantir lauthenticit de lmetteur
et lintgrit du message. Le schma suivant illustre les mcanismes de la signature
lectronique :
MESSAGE
Emetteur
A
Destinataire
B
MESSAGE
gsiehdgv
Chif.
Cl prive
De A
S
A
Cl publique de A : P
A
Cl prive : S
A
Cl publique : P
A
Le condens na pu tre chiffr quavec la cl secrte de A
=> Le message vient de A et est intgre.
MESSAGE
gsiehdgv
Condens
Condens
Cl publique
De A
P
A
Condens
Chif.

Contrairement la technique de chiffrement dcrite dans le paragraphe prcdent, cest ici
lmetteur qui doit disposer dune bi-cl (cl prive et cl publique associe)

Lmetteur calcule un condens du message transmettre. Ce condens , labor
laide dun algorithme de hachage comme SHA-1 ou MD5, possde la proprit dtre
sensible la moindre modification du message dorigine.

Le condens est ensuite chiffr par lmetteur en utilisant sa propre cl prive. Lensemble
message + condens chiffr est transmis au destinataire.

Le destinataire, ds rception du message recalcule le condens par deux mthodes
diffrentes, en utilisant le mme algorithme de hachage sur le message reu et en tentant de
dchiffrer laide de la cl publique de lmetteur ce qui est suppos tre le rsultat chiffr du
condens calcul au dpart.

Lgalit des deux rsultats nest possible que si :
- le condens de dpart a effectivement t chiffr par le bon metteur (celui quil
prtend tre),
- le message na pas t modifi pendant le transfert (mme condens au dpart et
larrive).

Scurit de la messagerie - 28 - CLUSIF 2005
5.1.1.4 Certificats et tiers de confiance

Les mcanismes de chiffrement cl publique, nous lavons vu, sont trs sduisants car ils
permettent de chiffrer des messages ou de raliser des signatures lectroniques de messages
sans quil soit ncessaire de partager un secret entre lmetteur et le destinataire.
Il subsiste cependant une difficult lie la diffusion de la cl publique. En effet, en cas de
transmission dune cl publique sur un rseau ou de rcupration de cette cl publique dans
un annuaire, rien ne prouve quil sagit de la cl publique du bon interlocuteur.

La solution pour remdier ce problme consiste avoir recours un tiers de confiance
reconnu la fois par lmetteur et le destinataire. Le tiers de confiance vrifie lidentit du
propritaire de la cl publique (autorit denregistrement), puis scelle la cl publique, les
informations didentification associes ainsi que des informations de gestion lies
lutilisation de la cl publique, laide de sa cl prive (autorit de certification). Le rsultat
est un certificat . Cette organisation et les techniques associes constituent une
infrastructure de gestion de cl publique (PKI : Public Key Infrastructure).

Toute personne faisant confiance cet organisme tiers et stant procur de manire sre la
cl publique de celui-ci peut alors vrifier lauthenticit des certificats et donc des cls
publiques diffuses.

Pour tre efficace, ce dispositif doit en outre permettre de vrifier, par consultation de listes
de rvocation, que le certificat est toujours valide.

La gestion des certificats est en gnral intgre aux clients de messagerie et inclut en
standard une liste dautorits de confiance prdfinie. On veillera limiter cette liste aux
autorits de confiance effectivement reconnues par lentreprise.

5.1.2 La scurisation des protocoles
La scurisation des protocoles permet de scuriser les communications entre les MTA et entre
le serveur et le client de messagerie.

5.1.2.1 Protocole SSL/TLS

On dsigne par Protocole SSL/TLS deux protocoles distincts, trs proches lun de lautre :

SSL (Secure Socket Layer) a t dvelopp par Netscape. La version actuellement
utilise est la V3.
TLS (Transport Layer Security protocol), reprise et normalisation du prcdent
protocole par lIETF est dcrit dans la RFC 2246. La version actuellement utilise est
la V1.

Le protocole SSL/TLS permet dassurer lauthentification, la confidentialit et lintgrit des
donnes changes.

Il sintercale entre le protocole de transport (TCP) et les protocoles applicatifs tels que ceux
utiliss dans lapplication de la messagerie (SMTP, POP, IMAP, HTTP).

Scurit de la messagerie - 29 - CLUSIF 2005
Il utilise un sous-protocole ngociation (on parle du handshake SSL) et un moyen de
cryptographie reconnu : lalgorithme cl publique RSA (du nom de ses concepteurs : Rivest
Shamir Adleman) qui est le rsultat doprations entre nombres premiers.

La scurisation des connexions laide du protocole SSL/TLS assure :
La confidentialit des donnes transmises
Lintgrite des donnes transmises
Lauthenticit des correspondants
La fiabilit de la connexion.

Le protocole SSL/TLS est constitu des sous-protocoles suivants :
Le sous-protocole SSL/TLShandshake
Le sous-protocole SSL/TLSChange Cipher Spec
Le sous-protocole SSL/TLSAlert
Le sous-protocole SSL/TLSRecord

1. Le sous protocole SSL/TLShandshake
Ce sous-protocole permet au client et au serveur de sauthentifier mutuellement, de ngocier
les algorithmes de chiffrement, de ngocier les algorithmes de MAC (Message
Authentification Code) et enfin de ngocier les cls symtriques qui vont servir au
chiffrement.

2. Le sous protocole SSL/TLSChange Sipher Spec
Ce sous-protocole permet dindiquer au sous-protocole Record la mise en place des
algorithmes de chiffrement qui viennent dtre ngocis par le sous-protocole handshake .

3. Le sous protocole SSL/TLSAlert
Ce sous-protocole spcifie les messages derreur que peuvent senvoyer clients et serveurs. Si
le niveau est fatal , la connexion est abandonne.

4. Le sous protocole SSL/TLSRecord
Ce sous-protocole permet de garantir :

La confidentialit des donnes transmises (cest le Handshake qui permet de ngocier
une cl symtrique partage).
Lintgrit des donnes transmises (cest encore le Handshake qui ngocie une cl
partage qui sert faire des MAC sur les donnes).

Les algorithmes de chiffrement possibles sont :
3-DES 168 ; IDEA 128 ; RC4 128 ; Fortezza 80 ; DES 56 ; DES-40 ; RC4-40 ; RC2-40
SSL/TLS ne dpend pas des applications utilises lors des transactions et sapplique aux
protocoles HTTP, FTP, SMTP, POP, IMAP, etc
Clients et serveurs commencent par sauthentifier mutuellement, puis ngocient une cl
symtrique de session qui servira assurer la confidentialit des transactions.
Lintgrit de ces dernires est assure par lapplication de HMAC (Hashed Message
Authentication Code).
Les cls asymtriques utilises lors des transactions SSL sont encapsules dans des certificats
(X.509) gnrs par une autorit de certification ou par une PKI (Public Key Infrastructure)
interne.
Scurit de la messagerie - 30 - CLUSIF 2005
On distingue deux phases lors du droulement du handshake SSL : authentification du serveur
et authentification optionnelle du client.

1. Premire phase :
Suite la requte dun client, le serveur envoie au client son certificat et lui liste les
algorithmes quil souhaite utiliser. Le client vrifie la validit du certificat laide de la cl
publique du CA (autorit de certification) contenue dans son navigateur, des dates de validit
et, ventuellement, en consultant une signature, puis, si le certificat est valide, gnre une cl
matre (symtrique), la chiffre laide de la cl publique du serveur et la lui envoie. Les
donnes changes par la suite entre le client et le serveur sont chiffres et authentifies
laide de cls drives de la cl matre.

2. Deuxime phase, optionnelle (et souvent non utilise) :
Le serveur envoie au client un challenge (une petite srie de bits) que le client doit signer,
laide de sa cl prive correspondant son certificat, puis renvoyer au serveur pour
sauthentifier. Il lui envoie de mme son certificat, que le serveur vrifiera avant de poursuive
les transactions.

5.1.2.2 SSL Authentification Client

Il sagit de la deuxime phase optionnelle de la couche de ngociation handshake protocol
du protocole SSL.
1. Le serveur envoie un challenge , une petite srie de
bits.

2. Le client signe laide de sa cl prive
ce challenge et le renvoie au serveur
avec le certificat de sa cl publique

3. Le serveur dchiffre le challenge reu du client.
4. Si challenge retourn du client = challenge initial alors
lauthentification du client est positive et le serveur
peut poursuivre les transactions SSL.

Scurit de la messagerie - 31 - CLUSIF 2005

5.1.2.3 Solution WEBMAIL scurise par https

Le WebMail est un moyen daccs un systme de messagerie bas sur une interface WEB. Il
sagit dassocier un serveur https un serveur de messagerie, (par exemple par lintermdiaire
dun client IMAP).

Cette architecture permet aux utilisateurs daccder leur courrier partir de nimporte quel
poste client, sans ncessiter une configuration personnelle.





















Le WebMail est un logiciel qui fonctionne en relation avec un serveur Web scuris par
utilisation du protocole https, cest dire le traditionnel protocole http utilisant la couche de
chiffrement SSL.
Cette solution vite de transmettre en clair son mot de passe dutilisateur entre le poste client
et le Webmail. Il permet en plus denvoyer des mails et de consulter sa messagerie partir de
nimporte quel poste client reli lInternet.

Serveur Mail
Intranet
SMTP
IMAP
Serveur WEB
Client HTTP
SMTP
Internet
5.1.2.4 Solution Imaps

Imaps est une version scurise du protocole Imap (Internet Message Access Protocol), elle
permet lauthentification et le chiffrement via SSL.
En particulier, la transmission du mot de passe se fait au travers dun tunnel chiffr SSL.
Cette solution ncessite lutilisation de certificats pour assurer lauthentification du serveur, et
ventuellement pour une authentification rciproque.


Scurit de la messagerie - 32 - CLUSIF 2005
5.1.2.5 Intgration du protocole TLS au protocole SMTP

Le protocole TLS (Transport Layer Security) est dans ce cas compltement intgr dans
SMTP grce une extension des commandes : STARTTLS.
Cette extension permet :
Lauthentification des serveurs SMTP,
Lauthentification du client, mme dans le cas de lutilisation dune machine nomade,
Le chiffrement des sessions SMTP entre serveurs et entre client et serveur.
Lauthentification forte des serveurs et du client est ralise grce lutilisation de certificat
X.509.
Lors de la phase de ngociation de dpart (EHLO), le serveur indique quil supporte le mode
scuris STARTTLS, le client peut alors utiliser ce mode TLS qui permet de scuriser
lchange des informations.

Scurit de la messagerie - 33 - CLUSIF 2005
5.1.3 Traabilit des changes
La problmatique de traabilit a pour objectif dtablir et de conserver la preuve des
changes. Elle permet de rendre non rpudiables les changes. En matire de-mail, la preuve
se construit principalement autour des notions didentification et dauthentification des
metteurs et destinataires, du contrle de lintgrit des changes, de confidentialit,
dhorodatage, darchivage.

Chacune des tapes de la chane de traabilit est dcrite plus en dtail dans ce document.

La chane de traabilit repose sur les principes de signature lectronique qui permettent :

LIdentification et lauthentification des metteurs :
Le-mail et/ou sa pice jointe sont signs ce qui permet dattester :
- de lidentit du signataire du document mis,
- de la volont de lmetteur de diffuser linformation
Par ailleurs, elle fige le contenu des changes dans le but den prserver lintgrit.
Elle rend non rpudiable lenvoi des documents

Le destinataire doit vrifier :
- que la signature est garantie par un certificat mis par une autorit de certification
laquelle le destinataire doit accorder sa confiance et
- que le dit certificat ntait pas rvoqu au moment de la signature.
Il doit enregistrer le fait quil a procd ces vrifications.

Accus rception :
Laccus rception doit attester de faon formelle louverture dun e-mail par son destinataire
(et pas seulement de sa distribution) :
Laccus rception dun message chiffr permet en outre dattester lauthenticit de son
destinataire (si le message a t ouvert cest bien que le destinataire possde la cl prive
permettant de prendre connaissance du message)
La fonction daccus rception est en fait une fonction rciproque de la fonction denvoi du
mail :
Cest un mail de rponse qui doit tre automatique manant du poste de travail du destinataire
du message et qui offre les mmes garanties de scurit que celles offertes par le mail quil a
reu.

Log et Archivage :
Lorsque les mails passent par un serveur de mail, on va enregistrer certains paramtres :
- Emetteur(s)
- Destinataire(s)
- Taille du message
- Date et heure
Les mails dont on veut garantir la traabilit devront aussi tre archivs et indexs de sorte
quils puissent tre retrouvs et restitus en cas de besoin.
Il convient alors de garantir lintgrit des logs et du systme darchive, ce qui peut conduire
des difficults en cas de chiffrement.



Scurit de la messagerie - 34 - CLUSIF 2005

Horodatage :
Lhorodatage consiste attacher un temps certain un vnement (cration, signature, envoi,
rception).
Lhorodatage sera fourni par une autorit de confiance conjointement choisie par les
metteurs et destinataires.


N.B : Chiffrement et Archivage sont a priori deux fonctions incompatibles :
En effet, lintrt lgal dun archivage de mails chiffrs est trs limit puisque seul le
destinataire initial du mail pourra rouvrir ce mail.
Il conviendra de trouver une solution pour archiver le mail avant son chiffrement dfinitif.
Pour cette raison notamment, nous prconisons de confier le chiffrement des mails un
serveur et non pas au poste metteur.





Serveurs de
messagerie
Administration
2
3
Serveurs
LDAP ou
base SQL
3- Mails sortants 1- Mails entrants
1- Pour viter que les mails entrants circulent en clair, ils peuvent tre chiffrs depuis
le poste de lmetteur jusquaux serveurs de messagerie
2- Les serveurs appliquent ces mails toutes les rgles de gestion dfinies dans la
politique de scurit (antivirus, anti spam, log, archivage)
3- Les mails sortants sont chiffrs avec les cls publiques des destinataires auxquelles
les serveurs de messagerie ont accs.

N.B : On prfrera signer la pice jointe plutt que le mail pour les raisons suivantes :
1- Les informations importantes sont souvent vhicules par la pice jointe et cest
gnralement elle quon archive
Scurit de la messagerie - 35 - CLUSIF 2005
2- Si le mail est altr pendant son transport (ajout dun disclaimer , marquage par un
antivirus), la signature appose sur le mail devient invalide. Celle appose sur la
pice jointe reste valide

Scurit de la messagerie - 36 - CLUSIF 2005


5.2. Scurisation des Infrastructures

5.2.1 Architecture gnrale

O positionner
les fonctions de scurit du
contenu des emails ?
DMZ
HEBERGEUR
MESSAGERIE
Rseau local
INTERNET
SERVEUR DE MESSAGERIE
Relais SMTP
POSTE DE TRAVAIL
FW Serveur Messagerie
Mutualis
Firewall
ISP
MSSP
Serveur Messagerie
Ddi
Relais SMTP
site client
ICI ?
ICI ?
ICI ?
ICI ?
ICI ?
ICI ?
ICI ? ICI ?




Scurit de la messagerie - 37 - CLUSIF 2005
5.2.2 Filtrage et analyse de contenu

5.2.2.1 Protection contre les virus.

La majorit des virus se propagent aujourdhui via la messagerie lectronique.
(cf. document du CLUSIF Les virus informatiques )
Les virus sont plus en plus imbriqus dans la structure des e-mails. Par exemple, certains
virus forment des e-mails non standard aux RFC SMTP. Ils sont reconnus par le client de
messagerie, mais les antivirus SMTP ne peuvent pas les analyser. Dautres, se mettent dans
une pice jointe chiffre par mot de passe et par consquent non dtectables par lantivirus.

Un antivirus tout seul ne suffit plus. De part la diversit gographique dapparition des virus,
il est souhaitable dutiliser plusieurs antivirus complmentaires.

Avec le mail, la problmatique virale principale est la rduction de la fentre dexposition aux
nouveaux virus. Si par le pass, les virus de boot (sur disquette) se propageaient dun PC
lautre en quelques jours, avec les mails, les virus se propagent plusieurs milliers de PCs en
quelques minutes (grce des moteurs SMTP embarqus ils sont capables de se propager
en utilisant lensemble dun carnet dadresses linsu de lutilisateur).
La protection doit tre permanente. Si les utilisateurs nomades peuvent dsactiver lantivirus
lorsquils sont chez eux, ils risquent dinfecter lensemble du rseau lors de leur premire
connexion le lundi matin !

Une protection efficace contre les virus doit vrifier les points suivants :
Filtrage de le-mail deux niveaux, ds leur entre sur le rseau de lentreprise et
idalement sur chaque poste de travail.
Utilisation de plusieurs dispositifs antivirus complmentaires
Maintien jour en permanence des antivirus (automatique plusieurs fois par jour au
niveau central et au moins chaque connexion pour les postes de travail)
Procdure dalerte, dinspection et de nettoyage du parc dordinateurs aprs dtection
dune infection
Procdure dalerte paramtrable, permettant de limiter les effets collatraux du
spamming viral (gnration dalertes en masse)
Maintien niveau des outils de messagerie (application rapide des nouveaux patchs)

5.2.2.2 Protection contre les codes malicieux (macros, chevaux
de troie)

Un code malicieux peut tre introduit dans une pice jointe ou dans le corps du message.

Certains types de fichiers joints sont en effet susceptibles de contenir du code excutable. Ils
sont reconnaissables par leur extension (lorsque celle-ci nest pas masque) ou, pour certains
dentre eux, par leur empreinte ou signature .

Il faut savoir dfinir quel type de fichier on accepte ou pas en entre (ou en sortie) du rseau.
Lanalyse de lextension du nom du fichier est insuffisante car elle peut tre modifie. Une
analyse efficace devra identifier les types de fichiers par leurs empreintes.

Scurit de la messagerie - 38 - CLUSIF 2005
Quelques exemples de structures de fichiers dtectables :



Une premire solution consiste interdire certains de ces types de fichier, en fonction de la
population concerne. Une solution plus sophistique consiste identifier certains types de
macros dangereuses sur le rseau (code mobile excutable dans un document non sign par
une source accepte).

Dans le cas des codes malicieux cachs dans le corps du message (ActiveX, applets Java), il
faut sassurer quune dtection a t mise en place la rception du message ou sur le relais
SMTP.

5.2.2.3 Protection contre le spam.

Si les USA ont des taux de spam avoisinant les 80% (10 mails sur 12), nous constatons ce
jour en France des taux voisins de ou suprieurs 50%.
Le spam soulve diffrents problmes :
- Saturation des ressources informatiques et rseau de lentreprise ;
- Perte de productivit ;
- Confort des utilisateurs.
Il ny a pas de solution miracle et garantie. Nous constatons une lutte permanente entre les
diteurs dantispam et les spammeurs (qui font voluer leurs mthodes en fonction des
techniques de dtection). Une technique antispam perd au moins 50% de son efficacit tous
les ans !

En terme de protection, les techniques actuelles principales sont :
- lanalyse lexicale : recherche de mots cls associe un systme de pondrations
(bayesien) ;
- la mise en place de listes noires (Black Lists) et listes blanches (White Lists) : listes
dadresses ou de domaines interdits ou autoriss ;
- la technique de la liste grise (greylisting) qui consiste refuser un triplet compos de
ladresse IP du serveur dorigine du message et des adresses de lmetteur et du
Scurit de la messagerie - 39 - CLUSIF 2005
destinataire lors de sa premire rception. Cette technique est trs efficace car en
gnral les spammeurs ne renvoient pas les messages en erreur ;
- lutilisation de RBLs (Realtime Blackhole List) : listes dadresses ou de relais SMTP
identifis comme spammeurs ou relais ouverts ;
- lanalyse de signatures : consiste comparer lempreinte du message des empreintes
de messages de spam connus.

Le choix dune solution antispam sefforcera de sappuyer sur la technicit de la solution mais
galement sur son administrabilit.
En effet, une politique globale pour lentreprise nest pas satisfaisante : la perception du spam
est diffrente entre les individus, les services et les socits. Faut-il bloquer les mails
contenant le mot VIAGRA pour un laboratoire pharmaceutique ? Faut-il bloquer les
newsletters pour le service Presse & Communication ?

Actions entreprendre en prsence dun spam :
- Mettre en quarantaine. Il faut ensuite informer ladministrateur ET/OU lutilisateur du
contenu de la quarantaine afin de lui permettre de la grer. Plusieurs aspects sont
considrer : taille et dure de vie de la quarantaine, notamment en priode de congs,
rapports de quarantaine pr qualifis, ...
- Dtruire. Attention aux pertes de messages dans le cadre des faux-positifs.
- Marquer ou Tagguer (au niveau de lobjet ou de len-tte). Le fait de tagguer
les mails permet de saffranchir du problme de pertes de messages. Ces derniers
parviennent dans la BAL utilisateur quoi quil arrive. Il est possible avec les derniers
clients de messagerie de crer des rgles qui classeront automatiquement. Cette
solution ne rpond pas au confort des utilisateurs et la saturation des ressources
informatiques.

Une bonne solution antispam doit allier :
- des techniques de dtection mises jour et volutives ;
- une administration la fois centralise et individualisable (gestion des quarantaines de
spam).
- Une rduction des faux positifs pouvant entraner des pertes dinformation.

Paralllement au spam (envoi massif de mails non-sollicits), il sera intressant de prvoir des
parades contre le spamming viral : message derreur ou dinformation virale, en
provenance de serveur antivirus qui reoivent des messages dont le nom de lexpditeur a t
usurp. Le spamming viral reprsente 15% des flux mails lheure o nous crivons ces
lignes.



5.2.2.4 Dfinition des rgles de communication

Est-il normal que les commerciaux dune entreprise envoient des e-mails vers nos
concurrents ?
Quels sont les domaines amis (clients, fournisseurs, prospects, partenaires) et non souhaits
(spammeurs, concurrents, ) ?
Une solution de scurisation des e-mails peut permettre de dfinir ces rgles de
communication.
Scurit de la messagerie - 40 - CLUSIF 2005

5.2.2.5 Contrle du contenu des messages Analyse Lexicale

Est-il admissible que des contenus non professionnels, voire dlictuels (termes offensants
pornographiques, sexistes, racistes) circulent dans les messages entrants (protection des
employs) ou sortants (prservation de limage de marque de lentreprise) ?
Lanalyse lexicale permettra galement de rpondre au spamming viral par lutilisation de
listes de mots cls ( delivery failure , alerte virus , ).

5.2.2.6 Contrle des attachements dans les messages

Est-il souhaitable pour lentreprise que le CV du Directeur Technique ou que le fichier client
soit envoy vers un concurrent ?
Est-il admissible de saturer les ressources informatiques avec des programmes excutables,
des jeux ou animation folklorique dune taille trop importante ?
Lanalyse des pices attaches en fonction de leur metteur, destinataires, taille et type, doit
permettre de rsoudre ces problmatiques et daccrotre la scurit du SI ainsi que la
disponibilit des ressources informatiques.

5.2.2.7 Contrle des mails chiffrs

Nous lavons prcdemment soulign, le chiffrement des mails ou des attachements limite les
capacits de protection contre les virus.
Cependant, il sera souhaitable de limiter ces rgles et ces contrles en fonction des
utilisateurs. Ainsi, ce nest pas remettre en cause la scurit que de laisser la DG de
lentreprise envoyer des mails chiffrs destination de ses actionnaires.

5.2.2.8 Contrle de la conformit au protocole SMTP

La non conformit au protocole SMTP peut parfois tre utilise pour contourner des
protections mises en place. Ce type de message doit est filtr car il resterait activable par le
client de messagerie.

5.2.2.9 Gestion et ajout des mentions lgales

Lutilisation du mail et la scurisation de la messagerie doit tre en adquation avec la charte
dutilisation de la messagerie et les spcificits lgales du pays dmission ou de destination.
A cet effet, lajout automatique ou conditionnel (pas dajout si sujet = personnel ) de
mention lgale (Legal Disclaimer) en haut ou bas de mail, permettra lentreprise de se
dcharger de sa responsabilit juridique.

Scurit de la messagerie - 41 - CLUSIF 2005
5.2.3 Tableau danalyse des options dimplmentation
Le tableau ci-dessous propose des solutions dimplmentation pour diffrentes fonctions de scurit de la messagerie en dclinant les avantages
et inconvnients de chacune.

Solutions Installe en Interne
Fonctions
Poste de travail Serveur Mess. Int. Relais SMTP DMZ Firewall
Avantages
Protection des flux mail et autres (http,
CDROM, flux rseau)
Blocage des virus inter-poste.
Gestion centralise des mises jour
Blocage des virus inter-BALs
Blocage des virus lentre et la
sortie
Gestion centralise des mises jour
Blocage de virus lentre et la sortie
Tout en un
Simple
Blocage de virus lentre et la
sortie
Traite flux SMTP, http, FTP
Antivirus (AV)
Inconvnients
Mise jour desactivable
Pas de contrle centralis
Occupation CPU et disque
La menace atteint le poste avant dtre
bloque
Ne supporte pas plusieurs AV
La menace atteint le serveur avant
dtre bloque
Occupation CPU et disque
Attaque en dni de service /
Indisponibilit
Supporte difficilement plusieurs AV.
La menace atteint le rseau avant dtre
bloque ;
Occupation CPU et disque
Attaque en dni de service /
Indisponibilit
Tout en un et scurit ne font pas bon
mnage
Vrifier frquence et modalits de mise
jour
Occupation CPU et disque (sil existe)
Attaque en dni de service /
Indisponibilit
Supporte difficilement plusieurs AV.
Avantages
Gestion personnalise du filtre et des
listes
Gestion centralise de la politique de
spam
Gestion Centralise
Blocage du spam avant entre sur
rseau.
Tout en un
Simple
Blocage des spam lentre et la
sortie
Anti-spam
Inconvnients
La menace atteint le poste avant dtre
bloque
Occupation disque et bande passante
Temps de gestion et MAJ important par
user.
La menace atteint le serveur avant
dtre bloque
Occupation disque et bande passante
Attaque en dni de service /
Indisponibilit
Vrifier la gestion personnalise des
rgles de spam
La menace atteint le rseau avant dtre
bloque
Occupation CPU, disque et bande
passante
Attaque en dni de service /
Indisponibilit
Tout en un et scurit ne font pas bon
mnage
Vrifier la pertinence des technologies
embarques
Occupation CPU et disque (sil existe)
Attaque en dni de service /
Indisponibilit
Vrifier la gestion personnalise des
rgles de spam
Avantages Idem Anti-spam Gestion centralise des rgles danalyse Gestion Centralise
Tout en un
Simple
Analyse lexicale
Inconvnients Idem Anti-spam
Vrifier la capacit relle de la solution
remplir cette tche
Attaque en dni de service /
Indisponibilit
La menace atteint le rseau avant dtre
bloque ;
Occupation CPU, disque et bande
passante
Attaque en dni de Service /
Indisponibilit
Vrifier la capacit de la solution
remplir cette tche
Vrifier la pertinence des technologies
embarques
Occupation CPU et disque (sil existe)
Conformit aux
RFC SMTP
Avantages N/A N/A
Blocage des Indtermins avant entre
sur rseau.
N/A
Scurit de la messagerie - 42 - CLUSIF 2005
Solutions Installe en Interne
Fonctions
Poste de travail Serveur Mess. Int. Relais SMTP DMZ Firewall

Inconvnients N/A N/A
Vrifier la capacit relle de la solution
remplir cette tche
N/A
Avantages N/A Gestion centralise Gestion Centralise N/A
Ajout mentions
lgales Inconvnients N/A
Vrifier la capacit relle de la solution
remplir cette tche
Vrifier la capacit relle de la solution
remplir cette tche
N/A
Avantages N/A Gestion centralise Gestion centralise
Tout en un
Simple
Rgles de
communication
Inconvnients N/A
Vrifier la capacit relle de la solution
remplir cette tche
La menace atteint le serveur avant
dtre bloque
Occupation disque et bande passante
Vrifier la capacit relle de la solution
remplir cette tche
La menace atteint le rseau avant dtre
bloque
Occupation CPU, disque et bande
passante
Vrifier la capacit de la solution
remplir cette tche
Vrifier la pertinence des technologies
embarques
Occupation CPU et disque (sil existe)
Avantages N/A Gestion centralise Gestion centralise
Tout en un
Simple
Contrle
attachements
Inconvnients N/A
Vrifier la capacit relle de la solution
remplir cette tche (finesse des rgles)
La menace atteint le serveur avant
dtre bloque
Occupation disque et bande passante
Attaque en dni de service
Vrifier la capacit relle de la solution
remplir cette tche (finesse des rgles)
La menace atteint le rseau avant dtre
bloque
Occupation CPU, disque et bande
passante
Vrifier la capacit de la solution
remplir cette tche
Vrifier la pertinence des technologies
embarques
Occupation CPU et disque (sil existe)
Avantages N/A N/A Gestion centralise N/A
Mails chiffrs
Inconvnients N/A N/A
Vrifier la capacit relle de la solution
remplir cette tche (finesse des rgles)
Occupation CPU, disque et bande
passante
N/A
Avantages
Protection des flux mail et autres (http,
CDROM, flux rseau)
Blocage des codes inter-poste.
Gestion centralise Gestion centralise N/A
Dtection de
codes malicieux
Inconvnients
Mise jour desactivable
Pas de contrle centralis
Occupation CPU et disque
La menace atteint le poste avant dtre
bloque
Vrifier la capacit relle de la solution
remplir cette tche (finesse des rgles)
La menace atteint le serveur avant
dtre bloque
Occupation disque et bande passante
Attaque en dni de service
Vrifier la capacit relle de la solution
remplir cette tche (finesse des rgles)
Occupation CPU, disque et bande
passante
N/A

Scurit de la messagerie - 43 - CLUSIF 2005

Solutions Externes / Externalise
Fonctions ISP/Fournisseur dAccs Internet MSSP (Fournisseur de Service de Scurit
Gre)
Hosting Ext. (Hbergeur de Messagerie)
Avantages Virus bloqu ou dtruit avant datteindre le rseau
Virus bloqu ou dtruit avant datteindre le rseau
Gnralement Garanties de rsultats

Antivirus
Inconvnients
Vrifier administrabilit par client / domaine
Combien dAV sont utiliss
Vrifier lengagement de rsultat et indemnits
contractuelles
Combien dAV sont utiliss
Vrifier lengagement de rsultat et indemnits
contractuelles
Vrifier administrabilit par client / domaine
Combien dAV sont utiliss
Vrifier lengagement de rsultat et indemnits
contractuelles
Avantages
Economie de bande passante Le spam est bloqu
avant quil natteigne le rseau
Economie de bande passante et ressources rseau
Le spam est bloqu avant quil natteigne le rseau
Administration possible par client / domaine /
utilisateur
Dfinition de Liste Blanche / Noire par client et/ou
domaine
Administration possible par client / domaine /
utilisateur
Anti-spam
Inconvnients
Vrifier Administrabilit par client / domaine /
utilisateur
Attention la destruction des spams (Traabilit ?)
Combien de technologies anti-spam sont utilises
Si marquage des spams, intrt faible
Combien de technologies anti-spam sont utilises
Si marquage des spams, intrt faible
Risques datteinte la confidentialit et lintgrit
des messages
Attention la disponibilit de Service en cas de
saturation de BAL ou attaque en dni de service
Combien de technologies anti-spam sont utilises
Si marquage des spams, intrt faible
Avantages N/A
Bloquer les e-mails douteux ou illicites avant quils
nentrent dans lentreprise
N/A
Analyse Lexicale
Inconvnients N/A
Vrifier administrabilit par client / domaine /
utilisateur
N/A
Avantages N/A Bloquer les sources potentielles de menaces sans AV N/A Conformit aux
RFC SMTP Inconvnients N/A Vrifier la disponibilit de cette fonction N/A
Avantages N/A
Ajout automatique sans interfrence avec des
personnels internes
N/A
Ajout mentions
lgales
Inconvnients N/A
Vrifier la possibilit de paramtrage de cette
fonction (en entre, en sortie).
N/A
Avantages N/A Economie de bande passante N/A
Rgles de
communication Inconvnients N/A
Vrifier la possibilit de paramtrage de cette
fonction (en entre, en sortie), par domaine, par
groupe dutilisateurs
N/A
Avantages N/A Economie de bande passante et protection lgale N/A
Contrle
attachements Inconvnients N/A
Vrifier la possibilit de paramtrage de cette
fonction (en entre, en sortie), par domaine, par
groupe dutilisateurs
N/A
Avantages N/A Economie de bande passante et confidentialit N/A
Mails chiffrs
Inconvnients N/A
Vrifier la possibilit de paramtrage de cette
fonction (en entre, en sortie), par domaine, par
groupe dutilisateurs
N/A
Dtection de codes Avantages N/A Economie de bande passante et scurit N/A
Scurit de la messagerie - 44 - CLUSIF 2005
Solutions Externes / Externalise
Fonctions ISP/Fournisseur dAccs Internet MSSP (Fournisseur de Service de Scurit
Gre)
Hosting Ext. (Hbergeur de Messagerie)
malicieux
Inconvnients N/A
Vrifier la possibilit de paramtrage de cette
fonction (en entre, en sortie), par domaine, par
groupe dutilisateurs
N/A



Scurit de la messagerie - 45 - CLUSIF 2005

5.3. Solutions Organisationnelles

5.3.1 Politique de scurit et charte dutilisation
Comme dans tout autre domaine de la scurit, les mesures retenues pour la messagerie
lectronique doivent, pour tre efficaces, sinscrire dans un cadre global cohrent la
politique de scurit. Lefficacit des dispositifs techniques de scurit dpend galement en
grande partie du comportement des utilisateurs. Celui-ci devra tre encadr dans une charte
dutilisation.

La messagerie et la politique de scurit.
La politique de scurit de lentreprise nonce des principes et des rgles dont certains sont
directement applicables la messagerie lectronique :
- les principes de classification des informations et les rgles de conservation, de
transmission et de destruction de ces informations selon leur nature (utilisation de
moyens de chiffrement, rgles darchivage, ...).
- Les rgles de protection antivirale (interdiction de certaines pices jointes, formats de
message admis, ...)
- Les rgles visant lefficacit du systme (taille des fichiers transmis, utilisation des
listes de diffusion, ...)
- Les principes de filtrage et de contrle dutilisation de la messagerie (filtres
antispamming, quarantaine, ...)
- ...

La charte dutilisation
Les rgles dutilisation de la messagerie seront consignes dans une charte dutilisation de la
messagerie, ou incluses dans une charte plus globale dutilisation des moyens informatiques.
Ce document, sign par chaque utilisateur, informe galement le destinataire des diffrents
types de contrle susceptibles dtre effectus, dans les limites fixes par la rglementation.
La charte dutilisation est un document qui doit tre prsent aux instances reprsentatives du
personnel avant diffusion.

La diffusion de ces documents pourra sintgrer dans un plan de sensibilisation des
utilisateurs (runions, quiz, booklet, vido, ou tout autre support).

5.3.2 Les bonnes pratiques de lutilisateur
Ce paragraphe ne reprend pas les obligations de lutilisateur consignes dans une charte de
bonne utilisation, mais propose quelques conseils pour une bonne utilisation de sa messagerie.

Dans la protection de son matriel, en absence dune fonction dadministrateur :
Sassurer que son antivirus est bien jour.
Utiliser les fonctionnalits de pare-feu et d anti-spam lorsquelles sont
disponibles.

Dans lutilisation gnrale de la messagerie :
- Eviter de dlguer lutilisation de sa messagerie.
- Protger sa bote aux lettres par un mot de passe.
Scurit de la messagerie - 46 - CLUSIF 2005
- Limiter lutilisation prive de son adresse professionnelle.
- Ne pas laisser son adresse e-mail professionnelle sur nimporte quel site Web,
sur des forum, des inconnus, .
- Ne pas rpondre au SPAM
- Dsactiver les options denvoi systmatique dinformation sur les sites Web.

Dans la gestion de sa messagerie :
- Eviter lenvoi de messages de taille importante ou prfrer le mode diffr
(Priorit basse)
- Classer larrive ses messages dans des dossiers prdfinis.
- Veiller ce que les messages importants soient rgulirement sauvegards.
- Faire un archivage priodique de ses messages.
- Supprimer les messages inutiles ou obsoltes.
- Activer les fonctionnalits de scurit offertes par le client de messagerie
(exemples : Chiffrement des donnes locales et de la liaison avec le serveur)

Dans la rception des messages :
- Ne pas ouvrir de messages ou de pices attaches venant de personnes ou de
socits non identifies.
- Se mfier de messages dont lobjet est en langue trangre.
- Ne pas porter crdit des messages de type Hoax .

Dans lenvoi des messages :
- Ne pas renvoyer de messages qui demandent de relayer un message vers un
grand nombre de personnes. (Comme ceux de chanes en tous genres)
- Pour lenvoi des messages plusieurs personnes et pour viter la divulgation
des adresses, utiliser la facilit copie cache .
- Lors dune rponse avec historique, ne pas retransmettre les pices jointes
inutiles.

Dans la gestion de son carnet dadresse :
- Crypter son carnet dadresse si le client de messagerie le permet.
- Rajouter une fausse adresse en tte de son carnet dadresse pour tre averti en
cas denvoi en masse partir de son carnet dadresse .

5.3.3 Les bonnes pratiques de ladministrateur

Le systme de messagerie de lentreprise doit tre plac sous la responsabilit dun
propritaire qui en validera les rgles dutilisation. Ladministrateur a en charge le
maintien oprationnel de la messagerie conformment aux rgles dutilisation dcides.

Ladministrateur est un acteur cl de la scurit de la messagerie. Parmi les bonnes pratiques
appliquer, ladministrateur veillera particulirement :

Limiter lusage des listes de diffusion. Labus des listes de diffusion gnre un
encombrement des botes aux lettres avec des messages mal cibls. Un autre danger
est lenvoi dinformations sensibles des destinataires non dsirs car la liste des
membres dune liste de diffusion nest pas toujours matrise par lutilisateur.
Scurit de la messagerie - 47 - CLUSIF 2005
Bloquer le reply to all . Le reply to all (rponse lmetteur du message et
lensemble des destinataires) est galement une cause dencombrement des botes aux
lettres, particulirement lorsque lchange de messages correspond une srie
dchanges striles entre quelques destinataires du message initial.
Supprimer les certificats dautorits non utilises. Les clients de messagerie intgrent
automatiquement lors de leur installation des certificats dautorits de certification
ayant une certaine notorit au niveau mondial. Il est souhaitable de ne conserver que
les certificats dautorits qui ont t retenus dans la politique de scurit de
lentreprise.
Raliser une veille technologique afin de mettre en place rapidement les correctifs
danomalies susceptibles de constituer des trous de scurit ou constituant dj des
trous de scurit exploits.
Mettre en place un systme de trace et de surveillance en conformit avec les
exigences lgales en termes de protection des donnes caractre personnel. Les logs
doivent tre rgulirement exploits, permettre lidentification de comportements
anormaux et rpondre aux besoins darchivage lgal.
Mettre en place des points de contrle continu de lefficacit des dispositifs techniques
mis en uvre.



5.4. Critres de choix dune solution

Richesse
Fonctionnelle
Traabilit
& Rapport Administrabilit
Garanties
& SLA
Disponibilit
24x7
Rduction Cots
Gestion & Personnels
Rduction Cots
Matriel &Logiciels
Simplicit
Pour chaque solution envisage, il appartiendra de contrler les lments ci-aprs qui
permettront dapprcier ladquation de la solution avec les besoins et lorganisation de
lentreprise.


Scurit de la messagerie - 48 - CLUSIF 2005

Traabilit et Reporting :
La richesse des rapports permettra ladministrateur dvaluer le niveau de scurit actuel et
denvisager des mises jour et renforcement de la politique de scurit. La traabilit doit
permettre de retrouver le cheminement dun e-mail et de sassurer de sa bonne livraison.

Richesse fonctionnelle :
Elle sapprcie en fonction de la solution souhaite au moment de la mise en uvre et sa
capacit dvolution dans le temps. Nous listerons plus bas les fonctions de scurit du
contenu possibles et leur intrt.

Administrabilit :
La scurit est une fonction vivante, et la solution de scurit doit pouvoir voluer avec les
menaces. De plus, dans le cadre dorganisations importantes, il sera souhaitable de dlguer et
de rpartir tout ou partie des fonctions dadministration entre des personnels techniques et
non techniques.
Exemple dorganisation :
- Dfinition de la politique de scurit du systme de messagerie par le RSSI
- Dfinition de la politique dutilisation de la messagerie par le responsable des
Ressources Humaines ;
- Supervision et visualisation des rapports par le responsable gographique de la
messagerie (cest le resp. informatique de la zone Asie qui gre la scurit du nom de
domaine japonais @company.jp) ;
- Exploitation et gestion des zones de quarantaines par le prestataire informatique ou le
technicien local.



Garantie et Contrat de service (SLA - Service Level Agreement) :
Il sera opportun pour chaque solution dvaluer les engagements en terme de disponibilit des
machines et des process, ainsi que les temps de rtablissement (GTR) cible. De mme, il
faudra sassurer des garanties de dtection antivirale par exemple, voire des frquences et des
modes de mises jour des antivirus.

Rduction des cots de gestion et de personnels :
Comme nous lavons soulign plus haut, la scurit est une fonction vivante et en perptuelle
volution. Il sera important dtudier les charges de travail programmables et exceptionnelles
dcoulant de linstallation, la formation, la gestion et la mise jour de la solution.

Simplicit :
Une solution trop complexe pourra engendrer une rduction du niveau de scurit due une
inadquation avec les comptences internes. Voir Administrabilit.

Rduction des cots de licence, matriels et maintenance :
Lvaluation budgtaire de la solution se fera de prfrence sur la base de 3 annes, en
prvoyant les volutions techniques venir (doublement des machines lors dune monte en
puissance, acquisition dun 2
me
ou 3
me
antivirus, ou dune solution antispam
complmentaire). Pour comparer les solutions, il sera judicieux de calculer un cot par
utilisateur par mois ou par an.

Scurit de la messagerie - 49 - CLUSIF 2005
Disponibilit :
La messagerie est une application sensible.
Dans le cadre dune organisation internationale, il est vident que les fonctions de scurit des
e-mails doivent tre disponible 24h/24, 7j/7.
Dans le cadre dune organisation nationale, une indisponibilit de plus de 3 jours (Week-End
prolong, congs) dun serveur de traitement des mails (ou du personnel comptent) peut tre
fort dommageable en terme dimage (renvoi lexpditeur).
Scurit de la messagerie - 50 - CLUSIF 2005
6 - Rglementation


6.1. Quels sont les risques de la non fiabilit dun
systme de messagerie ?

Lactif de la plupart des entreprises rside presque intgralement sur son systme
dinformation dont le systme de messagerie est un maillon fragile.

Une fragilit du systme dinformation peut rsulter dune faille dans le systme de
messagerie et peut conduire la mise en cause de la responsabilit civile et/ou pnale de
lentreprise ou de son dirigeant. Cette responsabilit peut aussi tre mise en cause en cas
dutilisation illicite du systme de messagerie.



En cas de dtrioration grave de lactif, et si cette dtrioration avait pu tre vite par une
gestion en bon pre de famille des actifs ;
- la responsabilit civile ou pnale du chef dentreprise peut tre engage
- la responsabilit du DSI peut tre engage, soit pnalement si celui-ci dispose dune
dlgation de pouvoir, soit au titre dune sanction disciplinaire.

Il en est de mme pour un certain nombre dinfractions lies :
- La divulgation de donnes personnelles (salaris ou clients)
- La contrefaon (licences pirates par lentreprise ou ses salaris)
- Le non respect des dispositions de la Loi sur la Scurit Quotidienne (LSQ) et la Loi
sur lEconomie Numrique (LEN) sur la conservation des donnes de connexion et de
chiffrement.
- La divulgation de savoir faire par un salari de lentreprise

Lutilisation de la messagerie des fins illicites engage galement la responsabilit de
lutilisateur.
Scurit de la messagerie - 51 - CLUSIF 2005

6.2. Quelles sont les composantes dun systme de
messagerie lectronique fiable ?


La confiance dans le monde numrique repose sur cinq piliers :
La garantie de confidentialit des changes, (chiffrement),
La garantie de lidentit de lmetteur du document, (Identification /
Authentification),
La garantie que le document na pas pu tre altr pendant sa cration, son transport,
sa restitution ou son archivage (Contrle de lintgrit),
La fiabilit de la traabilit des changes numriques (conservation, horodatage. ),
Notion de non rpudiation denvoi (garantie par la signature du message).





















Signature
Accus rception
e-mail

Identification de
lmetteur
Authentification
de lmetteur

Contrle de
lintgrit

Scurit de la messagerie - 52 - CLUSIF 2005



6.3. Lenvironnement lgal



Nous disposons en France dun cadre juridique complet qui permet la mise en place dun
systme dchange par e-mail remplissant ces contraintes.

6.3.1 Le cadre lgislatif global

Directive europenne 1999/93/CE du 13 dcembre 1999,
Loi n 2000-230 du 13 mars 2000,
Dcret n 2001-272 du 30 mars 2001,
Dcret n 2002 -535 du 18 avril 2002,
Arrt du 31 mai 2002,
Loi n 2003-239 du 18 mars 2003 dite loi pour la scurit intrieure
Loi n 2004-575 du 21 juin 2004 pour la confiance dans lconomie numrique,
Loi n 2004-669 du 9 juillet 2004 relative aux communications lectroniques et aux
services de communication audiovisuelle,
Loi n 2004-801 du 6 aot 2004 relative la protection des personnes physiques
lgard des traitements de donnes caractre personnel,
Plus un certain nombre de points de jurisprudence.

Avec la loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de
linformation et relative la signature lectronique , la France a choisi doprer une
modification en profondeur du droit de la preuve.

Cette loi ne rentre dans aucune considration technique. Elle pose le principe de
lquivalence de lcrit numrique et de lcrit papier sous rserve du respect de certaines
conditions, explicites dans des textes rglementaires techniques.

La loi franaise dfinit la signature par ses fonctions : identifier le signataire et attester de son
consentement.

Elle dfinit les conditions qui permettent daccorder la mme valeur probatoire lcrit
numrique et lcrit papier en posant deux conditions :
Lutilisation dun procd fiable didentification du signataire qui garantit notamment
de faon fiable le lien de la signature lectronique avec lacte sign.
La garantie dintgrit de lcrit numrique dans le temps.

Les dcrets et la directive europenne sont des textes techniques qui prconisent les
technologies utiliser.

Scurit de la messagerie - 53 - CLUSIF 2005

6.3.2 Le cadre lgislatif de la cybersurveillance des salaris


Comment adapter un tel systme aux obligations lies au respect de la vie prive ?


Les principes de droit qui dcoulent
des conclusions du rapport de la CNIL du 5 fvrier 2002
de la position des tribunaux (arrt Nikon)


A- 3 textes de loi :

Code du Travail, article L120-2 : Nul ne peut apporter aux droits des personnes
et aux liberts individuelles et collectives des restrictions qui ne seraient pas
justifies par la nature de la tche accomplir ni proportionnes au but
recherch - PRINCIPE DE PROPORTIONNALITE

Code du Travail, article L432-2 : prvoit la consultation du Comit dEntreprise
lors de lintroduction de Nouvelles Technologies - PRINCIPE DE DISCUSSION
COLLECTIVE

Code du Travail, article L121-8 : prvoit linformation pralable des salaris sur tout
dispositif et collecte de donnes les concernant personnellement PRINCIPE DE
TRANSPARENCE

B- Le rapport de la CNIL du 5 fvrier 2002 : la cybersurveillance sur les lieux de
travail.

Conclusions du rapport :

Le contrle des connexions internet : une interdiction gnrale et absolue de toute
utilisation dinternet des fins autre que professionnelles nest pas raliste, mais
aucune disposition lgale ninterdit lemployeur den fixer les conditions et les
limites.
La CNIL prconise que ces informations ne puissent tre conserves plus de six mois par
lemployeur.

Le contrle de lusage de la messagerie : pour la CNIL, un message est personnel si
sa nature personnelle est indique de faon manifeste dans lobjet du message ou le
nom du rpertoire o il est archiv ; il est alors protg par le secret des
correspondances.

Le rle des administrateurs de rseau : Ils ne peuvent procder aucune
exploitation des informations dont ils ont connaissance des fins autres que le bon
fonctionnement et la scurit du systme dinformation, de leur propre initiative ou sur
ordre hirarchique (sic!) En particulier, ils ne peuvent divulguer des informations
relevant du secret des correspondances ou relevant de la vie prive des utilisateurs si
Scurit de la messagerie - 54 - CLUSIF 2005
celles-ci ne mettent en cause ni le bon fonctionnement du systme, ni sa scurit, ni
les intrts de lentreprise (Cf. arrt CA Paris dcembre 2001, infra)

La dsignation dun correspondant la protection des donnes caractre
personnel : il est plus particulirement charg au sein de lentreprise des questions
relevant des mesures de scurit, du droit daccs et de la protection des donnes
personnelles sur le lieu de travail. (Cf. loi du 6 aot 2004 et dcrets dapplication).

C- Larrt Nikon de la Cour de Cassation, 2 octobre 2001

Le salari a droit, mme au temps et au lieu de travail, au respect de lintimit de sa vie
prive. Celle-ci implique en particulier le secret des correspondances

Lemployeur ne peut ds lors, sans violation de cette libert fondamentale prendre
connaissance des messages personnels mis par le salari et reus par lui grce un outil
informatique mis sa disposition pour son travail et ceci mme au cas o lemployeur aurait
interdit une utilisation non professionnelle de lordinateur

Cet arrt NE DOIT PAS TRE CONSIDERE COMME UN ARRT DE PRINCIPE, mais
plutt comme la PREMIRE PIERRE dun difice jurisprudentiel construire

Il CONDAMNE EN EFFET LES INTERDICTIONS PURES ET SIMPLES de toute
utilisation dinternet des fins prives par le salari, mais nempche en aucune faon
dencadrer celle-ci

D- Larrt de la Cour dAppel de Paris du 17 dcembre 2001


La proccupation de la scurit du rseau justifie que les administrateurs systmes fassent
usage de leur position et des possibilits techniques dont ils disposent pour mener les
investigations et prendre les mesures que cette scurit impose

Par contre, la divulgation du contenu des messages ne relve pas de ces objectifs
Scurit de la messagerie - 55 - CLUSIF 2005

Analyse de ces textes :

6.3.2.1 Ce qui est acquis :

A- LEXISTENCE DUNE SPHRE RSIDUELLE DINTIMIT SUR LE LIEU DE
TRAVAIL ET PENDANT LE TEMPS DE TRAVAIL

En ralit, LA FRONTIRE ENTRE VIE PRIVE ET VIE PROFESSIONNELLE
TEND DE PLUS EN PLUS SE BROUILLER : dans beaucoup dentreprises, les
salaris peuvent consulter et utiliser leur messagerie professionnelle aussi bien sur leur
lieu de travail quailleurs (chez eux, en week-end, pendant leurs vacances ...)

Depuis le dbut de lanne 2001, les employeurs peuvent mme donner leur salari
du matriel informatique neuf pour leur usage personnel, ce don ntant pas soumis
cotisation sociale (art 4. Loi de finance pour 2001)


B- LA LGITIMIT DE LEXISTENCE DUN CONTRLE PAR LEMPLOYEUR, ds
lors quil est justifi par :

La matrise des cots de connexion ;
Le bon fonctionnement technique du rseau (surcharges frquentes dues lenvoi en
masse de fichiers trs volumineux dimages ou de sons) ;
La protection contre les virus ;
La matrise de la responsabilit de lentreprise en cas de comportements dlictueux de
ses prposs (accs des sites illicites, laboration de contenus illicites depuis son
poste de travail, etc.) ;
La scurit de lentreprise, compte tenu de son secteur dactivit ;
Le cas chant, la surveillance dune ventuelle activit professionnelle concurrente

6.3.2.2 Ce qui est discut :

A- LA QUALIFICATION DE CERTAINS E-MAILS DE CORRESPONDANCE
PRIVE , ce qui entrane du mme coup :
Lapplication du principe du secret des correspondances (rappel en matire de
tlcommunications par la loi du 10 juillet 1991)
Lirrecevabilit de la preuve correspondante pour fonder une mesure disciplinaire, et
notamment un licenciement disciplinaire

Suffit-il quun e-mail porte la mention personnel , ou soit rpertori dans une librairie
personnel pour tre automatiquement qualifi de correspondance prive et non
consultable par lemployeur, ds lors quil respecte des contraintes techniques prtablies (pas
de fichiers attachs, ou vido ou son par exemple) ?
Ou un message est-il personnel ds lors que son contenu concerne des faits relevant de la vie
prive du salari ?
Scurit de la messagerie - 56 - CLUSIF 2005


B- LE ROLE ET LA RESPONSABILITE DES ADMINISTRATEURS RESEAUX

Etant acquis que lentreprise exerce un contrle, par lintermdiaire de ses administrateurs
systmes, et que ceux-ci sont ncessairement amens connatre des informations relevant de
la vie prive des salaris, jusquo et dans quelle mesure peuvent et doivent ils en faire
part aux dirigeants de lentreprise ?

Cet aspect, encore ignor par la plupart des entreprises, devra rapidement faire lobjet
dune organisation adquate car elle a un impact srieux sur la responsabilit
professionnelle des Directeurs de Systme dInformation (ou administrateurs systmes), et le
cas chant sur leur responsabilit pnale.


6.3.2.3 Ce qui est envisageable :


A- Sur le fond :

Une interdiction pure et simple de lutilisation dinternet des fins personnelles
au lieu ou au temps du travail parat difficile, cest du moins la position de la CNIL
et de la Cour de cassation (Ce qui nest pas anodin, si lon considre quenviron 80%
des chartes actuelles interdisent au salari lusage du mail des fins personnelles)

Les deux aspects essentiels vont maintenant concerner :

La dtermination du caractre priv dun message envoy ou reu au lieu et au
temps du travail, avec des moyens mis disposition par lemployeur

Lencadrement de lusage de ces moyens des fins prives par le salari

B- Sur la forme :

Une charte : document tabli de faon unilatrale par lemployeur, valeur juridique
faible (sauf si elle sintgre au rglement intrieur)

Des ngociations collectives : ont la prfrence de la CNIL, valeur juridique forte

Un accord individuel avec les salaris
Rappel : un rglement intrieur, donc plus forte raison une charte , doit tre
conforme aux lois et rglements (art L122-35 Code du Travail).

Par ailleurs, cest le juge qui en cas de conflit exercera le contrle de
proportionnalit au regard du respect de la vie prive consacr par larticle 9 du
Code Civil, risquant ainsi dinvalider certains comportements de lemployeur
alors mme quils auraient t individuellement accepts par lemploy.

Scurit de la messagerie - 57 - CLUSIF 2005
7 - Annexes
7.1. Glossaire

Adresse IP Nombre binaire de 32 bits permettant didentifier et daccder de manire
unique un ordinateur connect un rseau IP. Ce nombre est lui-mme
compos de 4 nombres compris entre 0 et 255 spars par des points, par
exemple : 10.0.0.123.

ACL Access Control List ou Liste de Contrle daccs.
Liste donnant pour lutilisateur ses droits daccs aux ressources.

Authentifier Assurer lorigine dun message et/ou lidentit de son metteur.

BAL Bote Aux Lettres.
Fichier o sont stocks les messages dun destinataire mesure quils arrivent
sur le serveur de messagerie.

Black-list Liste dadresses de serveurs suspects dont on refuse les messages.

Client Cest un logiciel qui demande un service un logiciel Serveur via un
protocole.

Condens Chane de caractres associs un message spcifique par un algorithme de
hachage.

Confidentialit Caractristique dune information que lon considre comme nayant pas tre
consulte par dautres personnes que celles qui ont la connatre.

Cryptographie Chiffrement et dchiffrement des messages.

Dni de service Engorgement volontaire dun rseau pour lempcher de fonctionner.
Synonyme : DOS (Denial of Service).

E-mail Cest le terme anglo-saxon pour dsigner un message lectronique ou
courriel en franais. Cest le terme en usage dans le monde de la messagerie.

ESMTP Le protocole ESMTP (Extended Simple Mail Transfer Protocol) est une
amlioration du protocole SMTP avec lequel il est compatible.

Extranet Intranet entre une entreprise, tout ou partie de ses clients et ses fournisseurs.

Hachage Algorithme qui, un message donn, associe une chane spcifique de
caractres au texte dun message. Lalgorithme garantit une trs faible
probabilit pour que deux messages diffrents conduisent la mme chane de
caractres.

Hoax Messages alarmants, incitant leur lecteur le router vers leurs contacts de
messagerie pour les avertir, provoquant ainsi un engorgement des rseaux.
Il incite parfois supprimer certains fichiers indispensables au fonctionnement
du poste de travail.
Synonyme : Canular.
Scurit de la messagerie - 58 - CLUSIF 2005

HTTP Hyper Text Tranfer Protocol
HTTPS Hyper Text Tranfer Protocol over SSL
IMAP Le protocole IMAP (Internet Message Access Protocol ) est une amlioration du
protocole POP3

Intgrit Caractristique dune information que lon considre comme nayant pas t
modifie accidentellement ou par une tierce personne.

Internet Ensemble des rseaux utilisant les protocole TCP/IP et tous interconnects entre
eux travers le monde.

Intranet Rseau priv dentreprise qui utilise les technologies de l'Internet.

IP Internet Protocol , protocole du monde internet. Il assure le routage des
paquets IP.

MDA Mail Delivery Agent ou Agent de Distribution de Message.
Ce logiciel situ sur les serveurs de messagerie distribue les messages dans les
Botes Lettres (BAL) des destinataires concerns.

MTA Mail Transfer Agent ou Agent de Transfert de Message.
Application TCP/IP qui achemine les messages lectroniques entre les serveurs.

MUA Mail User Agent, Logiciel Client, il fournit linterface entre lutilisateur et la
messagerie.

POP3 Le protocole POP3 (Post Office Protocol) permet un Client de messagerie de
rcuprer ses messages dans sa bote lettres.

Port Numro associ un service (tcp ou udp) utilis par un Client pour obtenir ce
service dun Serveur ; On dit que le serveur coute sur le port . (25 est le port
tcp pour le service SMTP).

Protocole Cest un ensemble de rgles qui dfinissent les formats des messages et le
dialogue entre deux entits qui changent ces messages.

Relayage de mail Assure le routage des messages du MTA de lexpditeur aux MTA des
destinataires travers un ou plusieurs MTA intermdiaires.

Rpudiation Refuser de reconnatre avoir reu ou mis un message dtermin.

Serveur Cest un logiciel qui fournit un service un logiciel Client via un protocole.
Cest aussi un ordinateur qui hberge un logiciel Client.

SMTP Le protocole SMTP (Simple Mail Transfer Protocol) est le protocole standard
permettant de transfrer le courrier soit dun client un serveur, soit dun
serveur un autre en connexion point point.

Sniffer Logiciel qui permet danalyser le trafic sur une ligne de communication. Il
permet entre autre de lire les identifiants et les mots de passe de lutilisateur
lorsque ceux-ci circulent en clair sur le rseau.

spam Inondation de messages publicitaires sur le poste dun utilisateur (pourriel).
Scurit de la messagerie - 59 - CLUSIF 2005

TCP Transmission Control Protocol, protocole de la suite TCP/IP qui assure le
transport des paquets IP.

TCP/IP Transmission Control Protocol / Internet Protocol, suite de protocoles rseau qui
rglent les changes entre Clients et Serveurs sur lInternet.

Scurit de la messagerie - 60 - CLUSIF 2005

7.2. Protocoles : rfrences RFC

Le tableau suivant donne les rfrences des normes IETF (Internet Engineering Task Force)
qui dfinissent les protocoles cits dans cet ouvrage.

Protocoles Norme IETF
Simple Mail Transfer Protocol (SMTP) RFC 821
Format of mail messages RFC 822
Domain Name System (DNS) RFC 974
Message formats conversion with x. 400 mail RFC 1327
Electronic mail vocabulary RFC 1711
Security Multiparts for MIME RFC 1847
SMTP services extensions RFC 1869
SMTP Service Extension for Delivery Status
Notifications
RFC 1891
POP Office Protocol (POP3) RFC 1939
SMTP Service Extension for Returning Enhanced Error
Codes
RFC 2034
MIME Part 1 : Format of Internet Message Bodies RFC 2045
MIME Part 2 : Media Types RFC 2046
Internet Message Access Protocol (IMAP) RFC 2060
IMAP4 ACL Extension RFC 2086
RFC 2246
Intgration du protocole TLS au protocole SMTP RFC 2407

Scurit de la messagerie - 61 - CLUSIF 2005

7.3. Codes retour SMTP

SMTP est le protocole utilis pour envoyer les messages. Si vous obtenez une erreur SMTP,
cela signifie que votre message n'a probablement pas t envoy. Il est utile de comprendre
pourquoi ce message n'a pas t pris en compte, afin de rgler le problme.

codes Erreurs les plus rpandues
421 Service non disponible, ce code peut apparatre n'importe quel moment, avant coupure du service
432 Mot de passe de transition ncessaire.
450 Requte non prise en compte, bote inaccessible ou occupe
451 Requte avorte, erreur de traitement local
452 Requte non prise en compte, espace mmoire insuffisant
454 TLS temporairement indisponible. Chiffrement requis par le mcanisme d'authentification interrog
458 Impossible de mettre en file d'attente les messages pour le noeud
459 Le noeud "noeud" non autoris : raison
500 Erreur de syntaxe, commande non reconnue, ligne de commande trop longue
501 Erreur de syntaxe, paramtres ou arguments errons
502 Commande non supporte
503 Squence des commandes incorrecte
504 Paramtre non support
521 Cette machine n'accepte pas de courrier.
530
Authentification requise. OU Doit tre prcd d'une commande STARTTLS. Chiffrement requis par le
mcanisme d'authentification interrog
534 Mcanisme d'authentification trop faible
538 Chiffrement requis par le mcanisme d'authentification interrog
550 Action non prise en compte, bote invalide ou inaccessible
551 Utilisateur non dclar localement
552 Action avorte, insuffisance de place disque
553 Action avorte, nom de la bote invalide
554 Transaction avorte
codes Messages de service
211 Etat du systme
214 Message d'information
220 Service prt
221 Fermeture du canal de transmission
250 Action excute
251 Utilisateur non local, message transfr
354 dbut de saisie du message, fin avec un . (point)


Composition des codes
Tous les codes SMTP comprennent 3 chiffres par exemple : 550, 221, 354, etc. Tous ne sont
pas des codes d'erreurs, vous trouverez ci-dessous la signification de chaque chiffre. Si le
premier chiffre est un 4 ou un 5, c'est un message d'erreur.

Scurit de la messagerie - 62 - CLUSIF 2005

Premier chiffre Message
1 Commande accepte
2 Commande excute
3 Commande comprise, mais informations complmentaires requises
4 Commande avorte, erreur temporaire, la demande peut tre rpte
5 Commande avorte, erreur grave

Scurit de la messagerie - 63 - CLUSIF 2005


7.4. Exemples de-mails

7.4.1 E-mail sign
Ret ur n- Pat h: <cl aude. r obi n@f agguel . com>
Recei ved: f r omst r t r obi n ( [ 255. xx. xxx. xx] )
by al ox. f agguel . com( 8. 12. 9/ 8. 12. 9) wi t h ESMTP i d hACAd1Yb006717
f or <J ean- Fr ancoi s. Beaucel @f agguel . com>; Wed, 12 Nov 2003 11: 39: 01
+0100 ( MET)
Fr om: " Cl aude ROBI N" <cl aude. r obi n@f agguel . com>
To: =?i so- 8859- 1?Q?J ean- Fr an=E7oi s_BEAUCEL?= <J ean-
Fr ancoi s. Beaucel @f agguel . com>
Subj ect : essai
Dat e: Wed, 12 Nov 2003 11: 39: 08 +0100
MI ME- Ver si on: 1. 0
Message- I D: <004901c3a909$34327e30$479c329e@st r t r obi n>
Cont ent - Type: mul t i par t / si gned;
pr ot ocol =" appl i cat i on/ x- pkcs7- si gnat ur e" ;
mi cal g=SHA1;
boundar y=" - - - - =_Next Par t _000_0042_01C3A911. 929C97A0"
X- Pr i or i t y: 3 ( Nor mal )
X- MSMai l - Pr i or i t y: Nor mal
X- Mai l er : Mi cr osof t Out l ook, Bui l d 10. 0. 3416
I mpor t ance: Nor mal
X- Mi meOLE: Pr oduced By Mi cr osof t Mi meOLE V6. 00. 2600. 0000
X- Mai l Scanner : Found t o be cl ean
X- UI DL: I ^W! ! ) `V! ! 50W! ! hpl " !

Thi s i s a mul t i - par t message i n MI ME f or mat .

- - - - - - =_Next Par t _000_0042_01C3A911. 929C97A0
Cont ent - Type: mul t i par t / al t er nat i ve;
boundar y=" - - - - =_Next Par t _001_0043_01C3A911. 929C97A0"


- - - - - - =_Next Par t _001_0043_01C3A911. 929C97A0
Cont ent - Type: t ext / pl ai n;
char set =" i so- 8859- 1"
Cont ent - Tr ansf er - Encodi ng: quot ed- pr i nt abl e

essai _message- si gn=E9

- - - - - - =_Next Par t _001_0043_01C3A911. 929C97A0
Cont ent - Type: t ext / ht ml ;
char set =" i so- 8859- 1"
Cont ent - Tr ansf er - Encodi ng: quot ed- pr i nt abl e

<! DOCTYPE HTML PUBLI C " - / / W3C/ / DTD HTML 4. 0 Tr ansi t i onal / / EN" >
<HTML><HEAD>
<META HTTP- EQUI V=3D" Cont ent - Type" CONTENT=3D" t ext / ht ml ; =
char set =3Di so- 8859- 1" >
<TI TLE>Message</ TI TLE>

<META cont ent =3D" MSHTML 6. 00. 2722. 900" name=3DGENERATOR></ HEAD>
<BODY>
<DI V><FONT f ace=3DAr i al si ze=3D2><SPAN=20
cl ass=3D296463710- 12112003>essai _message- si gn=E9</ SPAN></ FONT></ DI V></ BOD=
Y></ HTML>

- - - - - - =_Next Par t _001_0043_01C3A911. 929C97A0- -
Scurit de la messagerie - 64 - CLUSIF 2005

- - - - - - =_Next Par t _000_0042_01C3A911. 929C97A0
Cont ent - Type: appl i cat i on/ x- pkcs7- si gnat ur e;
name=" smi me. p7s"
Cont ent - Tr ansf er - Encodi ng: base64
Cont ent - Di sposi t i on: at t achment ;
f i l ename=" smi me. p7s"


MI AGCSqGSI b3DQEHAqCAMI ACAQECzAJ BgUr DgMCGgUAMI AGCSqGSI b3DQEHAQAAoI I M8zCCA0kw
ggI xoAMCAQI CBDr yj 7YwDQYJ KoZhvcNAQEFBQAwXDETMBEGCgmSJ omT8i xkARkTA2NvbTETMBEG
CgmSJ omT8i xkARkTA2FmcDEVMBMA1UECxMMQXBwbGl j YXRpb25zMQwwCgYDVQQLEwNQS0kxCzAJ
BgNVBAMTAkNBMB. . . . . . . . .

. . . . . . . . STELMAkGA1UEAxMCQ0ECBD31/ FkwDQYJ
KoZI hvcNAQEBBQAEgYBLn5DqgQX+l / 3OpDaLJ Vg3Gr wXHf Q2har 4+wwZI Es+wAQa+sr bI T2wRKJ
qpwBCJ ogTn861BUOzQUTT2l WSZyPL/ oK267+1b4O4nM0o0I +MdZASZLCEFPDSf Dhbf A43Anx0hJ
hb5pUqTj t sOi dCI Oj l J aRpW++2bhXnAZur T1gAAAAAAAA==

- - - - - - =_Next Par t _000_0042_01C3A911. 929C97A0


7.4.2 E-mail chiffr

Ret ur n- Pat h: <cl aude. r obi n@f agguel . com>
Recei ved: f r omst r t r obi n ( [ 255. xx. xxx. xx] )
by al ox. f agguel . com( 8. 12. 9/ 8. 12. 9) wi t h SMTP i d hACCVvYb023351
f or <J ean- Fr ancoi s. Beaucel @f agguel . com>; Wed, 12 Nov 2003 13: 31: 57
+0100 ( MET)
Message- I D: <024801c3a919$68d4d100$2a9e329e@st r t r obi n>
Fr om: =?i so- 8859- 1?Q?J ean- f r an=E7oi s_BEAUCEL?= <J ean-
Fr ancoi s. Beaucel @f agguel . com>
To: " Cl aude ROBI N" <cl aude. r obi n@f agguel . com>
Subj ect : =?i so- 8859- 1?Q?essai _message_chi f f r =E9?=
Dat e: Wed, 12 Nov 2003 13: 34: 59 +0100
MI ME- Ver si on: 1. 0
Cont ent - Type: appl i cat i on/ x- pkcs7- mi me;
smi me- t ype=envel oped- dat a;
boundar y=" - - - - =_Next Par t _000_0245_01C3A921. C79BB070" ;
name=" smi me. p7m"
Cont ent - Tr ansf er - Encodi ng: base64
Cont ent - Di sposi t i on: at t achment ;
f i l ename=" smi me. p7m"
X- Pr i or i t y: 3
X- MSMai l - Pr i or i t y: Nor mal
X- Mai l er : Mi cr osof t Out l ook Expr ess 5. 50. 4807. 1700
X- Mi meOLE: Pr oduced By Mi cr osof t Mi meOLE V5. 50. 4910. 0300
X- Mai l Scanner : Found t o be cl ean
X- UI DL: , I B" ! >d] ! ! 3J 0! ! amo" !


Scurit de la messagerie - 65 - CLUSIF 2005
7.5. Exemple de charte

MESSAGERIE INTERNE ET SECURITE

La messagerie lectronique est un outil trs pratique dont lutilisation requiert le respect d'un
certain nombre de rgles. Son utilisation peut tre dangereuse. En consquence :

Evitez dencombrer la messagerie
La propagation de canulars ou autres chanes de provenance externe est une cause
dencombrement de la messagerie. Lauteur malveillant joue sur le catastrophisme ou la
sensibilit. Il se prvaut souvent dautorits incontestes et se fait passer pour une socit ou
une marque de renomet demande une trs large propagation du message. Le cas le plus
classique est lannonce darrive de virus.

Que faire dans ce cas ?
Surtout ne jamais ouvrir la pice jointe et ne jamais la propager. Avertir votre service
informatique et dtruire le message.
Dans ce domaine, nexcuter que les directives manant du service informatique qui est le
seul interlocuteur privilgi.
Attention aux envois trop volumineux qui encombrent et parfois bloquent la messagerie. Les
botes aux lettres ne sont pas extensibles, il faut les purger rgulirement.
Eviter galement les envois un grand nombre de destinataires en mme temps.

Prservez la confidentialit
Ce mdia facile dutilisation nest pas sr. La confidentialit ne peut tre assure.
Ce moyen est amplificateur de certaines fuites dinformation et derreurs de communication :
listes de diffusion non jour
homonymie de destinataires
Enfin, lors du transfert dun message sassurer que les correspondants choisis sont habilits
lire ces informations.

Dlguez l'accs votre bote de rception bon escient
Ce mdia permet d'offrir des collgues ou des collaborateurs l'accs votre bote de
rception. Cette facult est indispensable votre secrtaire. Noubliez pas quil est
absolument proscrit de communiquer son mot de passe. Faites attention la proprit des
messages.
Tous les messages que vous recevez sur votre poste ou que vous mettez appartiennent
lentreprise Si besoin est, votre hirarchie peut, dans le respect dune dontologie, demander
l'intervention des services techniques pour accder votre messagerie. Veillez verrouiller
votre station lorsque vous quittez votre poste de travail afin d'viter l'utilisation de votre
messagerie votre insu.

EN CONCLUSION, NUTILISEZ LA MESSAGERIE QUE POUR LES BESOINS PROFESSIONNELS,
RESPECTEZ STRICTEMENT LES REGLES DES DIRECTIVES TECHNIQUES, LES
RECOMMANDATIONS DU CODE DE DEONTOLOGIE ET ADRESSEZ-VOUS AU SERVICE
INFORMATIQUE EN CAS DE DIFFICULTE.
Scurit de la messagerie - 66 - CLUSIF 2005