Objet: rappel des règles d`utilisation de la messagerie interne et de l

DIRECTION DE LA DEFENSE ET DE LA SECURITE CIVILES
HAUT-FONCTIONNAIRE DE DEFENSE
DIRECTION DES TRANSMISSIONS ET DE L'INFORMATIQUE
Paris, le
20 JUILLET 2000
Le Ministre de l’Intérieur
à
AFFAIRE SUIVIE PAR :
AU TITRE DU HFD : Pierre CHASSAGNE
TEL. 01.56.04.72.42 TELECOPIE 01.56.04.73.60
MÉL [email protected]
Mesdames et Messieurs les Préfets
AU TITRE DE LA DTI : Marc YOLIN
TEL. 01.40.57.95.94 TELECOPIE 01.40.57.57.17
MÉL [email protected]
Mesdames et Messieurs les Directeurs Généraux, Directeurs
et Chefs de Service de l’Administration Centrale
NO
R
Monsieur le Préfet de Police de Paris
I N T G 0 0 0 0 1 5 9 C
Objet : rappel des règles d’utilisation de la messagerie interne et de l’interconnexion avec Internet
Références : (1) notes DTI/SDIEE/BEERTD/99-134 et 99-135 du 27 septembre 1999 (concernant
respectivement l’administration centrale et l’administration territoriale)
(2) note HFD/FSD/FSSI - 2/3 - N°3294 du 25 novembre 1999
(3) site intranet http://messagerie.dti.mi
Pièce-jointe : une annexe technique de quatre pages
Depuis bientôt un an, le MINOTAURE assure de manière sécurisée l’interconnexion des
messageries internes de bureautique du ministère de l’intérieur avec Internet. Conformément aux
dispositions des notes citées en référence (1), l’ouverture effective des boîtes aux lettres est réalisée par
la DTI après réception d’un formulaire de demande spécifique, validé par la voie hiérarchique. Cette
demande a essentiellement pour objet de certifier l’adhésion, par les personnels concernés, aux
consignes de sécurité et d’utilisation édictées par le Haut-fonctionnaire de défense dans le cadre de
l’instruction citée en référence (2). Afin d’obtenir la plus large diffusion, ces consignes élémentaires, qui
constituent la « Nétiquette » du ministère, sont systématiquement envoyées par mél au responsable
désigné dans le feuillet de demande (à charge pour lui de répercuter ces consignes aux personnels
concernés par la demande), et elles sont par ailleurs affichées sur l’intranet, à l’adresse fournie en
référence (3), où elles sont régulièrement complétées de diverses recommandations.
Or, s’il semble que la majorité des utilisateurs aient bien intégré ces principes, certains incidents
récents tendent à prouver qu’un rappel de ces consignes s’avère aujourd’hui indispensable. Les points
sur lesquels il me semble particulièrement important d’insister sont les suivants
Les vers, virus et exécutables suspects
2. Les chaînes de messagerie et canulars
3. Les cartes de vœux
4. La faillibilité des échanges
1.
Ces éléments sont détaillés pour mémoire dans l’annexe technique jointe à la présente note. Je vous
remercie de bien vouloir donner la plus large diffusion possible à ces consignes, notamment par le biais
de vos responsables de la sécurité des systèmes d’information (RSSI), des correspondants locaux de
sécurité (CLS) et de vos administrateurs locaux de messagerie, en rappelant que la Nétiquette est
également applicable en tout point pour les communications internes.
Tout incident observé lors des échanges avec Internet doit être signalé à la DTI dans les plus brefs
délais, à l’adresse [email protected] , ainsi qu’au RSSI.
Pour le ministre et par délégation
Le directeur de la défense et de la sécurité
civiles
Haut fonctionnaire de défense
Pour le ministre et par délégation
Le directeur des transmissions et de
l’informatique
Michel SAPPIN
Raphaël BARTOLT
Annexe Technique
1)
Les vers, virus et exécutables suspects
La propagation massive du ver « ILOVEYOU » sur le réseau interne du ministère la semaine du 4 mai 2000 traduit
un manque manifeste de circonspection et d’esprit critique de la part de certains utilisateurs de la messagerie. Les
mécanismes mis en œuvre par ce ver et par ses multiples variantes, montrent clairement qu’un message infecté peut
parfaitement provenir d’une source pourtant a priori fiable, prendre une forme parfaitement anodine, et voire même
muter à chaque étape. A fortiori, lorsque le message est d’apparence suspecte, les précautions devraient s’en trouver
renforcées. En cas de doute, il ne faut pas hésiter à demander à l’expéditeur de confirmer l’envoi effectif du message
suspect. De manière générale, les utilisateurs doivent désactiver au niveau de leur logiciel client de messagerie les
options qui permettent l’ouverture automatique des pièces-jointes, et apprendre à se méfier particulièrement (mais
non exclusivement) :
?? des programmes exécutables ou « batch » (.EXE, .BAT…)
?? des scripts (.VBS, .SHS…)
?? des documents Office (.DOC, .XLS…, notamment si l’option permettant l’utilisation des macro-instructions
est activée), auxquels on préférera autant que possible les formats .RTF ou .PDF
?? des hyperliens de forme texte ou image, car ceux-ci peuvent pointer vers des sites Internet dangereux
Les utilisateurs doivent impérativement intégrer la menace virale comme une réalité : le Minotaure a détecté plus
de 1300 virus (entrée et sortie confondues) en moins d’une année de fonctionnement, dont plus du quart sur le seul
mois de mai 2000. Ils doivent également comprendre qu’en cas de contamination, le risque n’est pas limité à leur seul
poste de travail, mais qu’il peut s’étendre en quelques instants à tout le réseau du ministère, en se propageant par
messagerie, par disquette, etc…
Mais surtout, le Minotaure ne scrute que le flux d’échanges avec Internet : il est donc très important que les
postes de travail de chaque utilisateur et les serveurs locaux soient aussi dotés d’un antivirus, très régulièrement
remis à jour, surtout dans le cas d’échanges chiffrés. Et il est non moins important que l’utilisateur comprenne
parfaitement les limitations de cette parade : l’antivirus est par définition une mesure réactive, et un nouveau virus
peut donc frapper à tout moment. Bien qu’indispensable, la présence d’un antivirus, même à jour, n’est donc pas à
considérer comme une garantie absolue et infaillible, qui autoriserait à prendre le risque d’ouvrir n’importe quel fichier
sans autre précaution. En d’autres termes, ce n’est pas parce que l’antivirus n’a rien détecté qu’il n’y a aucun
risque : l’antivirus ne détecte que les virus qu’il connaît, et les éditeurs mettent en moyenne quatre heures pour
fournir une parade à un virus, qui met, lui, environ une heure pour se propager à l’échelle planétaire.
A cet égard, la diffusion très importante sur le réseau interne de divers exécutables à caractère « ludique » est
assez préoccupante. Il est certes vrai que ces exécutables (qui représentent près du quart du nombre total
d’interceptions du Minotaure et la grande majorité des interceptions sortantes), ne sont généralement, pas en soi,
nocifs pour les systèmes informatiques, et relèvent davantage de la farce que de la malveillance, raison pour laquelle
la plupart des antivirus classiques ne les détectent pas : on trouve ainsi des programmes qui ouvrent
intempestivement le lecteur de cédérom, qui bouleversent l’ordre des icônes du poste de travail, réduisent la taille des
caractères affichés à l’écran, font trembler les fenêtres de Windows, déroulent un petit film (« Message Mates »),
etc… Mais même si rien n’est en général irréversible avec ces programmes, il est important de souligner trois points,
qui expliquent pourquoi la DTI a choisi d’éliminer ces pièces-jointes lorsqu’elles sont détectées par le Minotaure :
?? il est aujourd’hui très simple pour un pirate, même néophyte, de greffer n’importe quel code dangereux (virus,
cheval de Troie…) à n’importe quel exécutable en quelques clics de souris. Ces programmes ludiques très
répandus et dont peu de gens se méfient, constituent naturellement un véhicule de choix pour qui cherche à
lancer discrètement un nouveau virus. Ainsi, un économiseur d’écran humoristique très populaire
représentant un mouton, a déjà servi de tel camouflage par le passé.
?? ces programmes banalisent le risque, en incitant l’utilisateur non averti à lancer un exécutable inconnu, et
donc en émoussant ainsi sa méfiance par des « fausses alertes » répétées.
?? ces exécutables sont une perte de temps pour les utilisateurs, et il serait fort dommageable en termes d’image
de marque qu’un tel programme soit détecté par l’administrateur d’une entité tierce, comme provenant du
ministère de l’intérieur.
Mais si ces programmes sont éliminés au passage sur le Minotaure, ils transitent souvent librement sur le réseau
interne. Il est donc très important que les utilisateurs perdent l’habitude d’ouvrir de tels fichiers, que ceux-ci
proviennent d’Internet ou d’une source interne quelconque (messagerie, forum, disquette, cédérom…), et qu’ils
évitent surtout de les retransmettre, tant en interne que vers l’extérieur : même si ces programmes paraissent
inoffensifs à première vue, ils constituent un risque réel.
Une telle réaction aurait très certainement évité la propagation de « ILOVEYOU ».
2)
Les chaînes de messagerie et canulars
Le principe d’une chaîne de messagerie est très simple, d’apparence totalement inoffensive, et pourtant très
efficace pour mettre à mal un réseau. Le scénario est toujours identique : l’utilisateur reçoit un mél, dont le texte
l’incite explicitement à le faire suivre à plusieurs utilisateurs, en général une dizaine. Le texte du message peut aborder
tous les sujets, mais les modèles les plus courants cherchent à utiliser les leviers émotionnels les plus divers :
??
??
??
??
??
??
??
la peur : « si vous ne renvoyez pas ce message, vous serez piraté / infecté par un virus, etc… »
la générosité : « une somme d’argent sera versée à telle ou telle œuvre par exemplaire du message »
la compassion : « cette chaîne vient d’une personne très malade, souhaitant faire passer un message »
l’appât du gain : « un cadeau vous sera offert si vous renvoyez ce message »
le mysticisme : « si vous renvoyez ce message, votre vie s’améliorera / vos vœux seront exaucés, etc. »
le civisme : « il y a un nouveau virus en circulation, prévenez un maximum d’utilisateurs »
etc…
Qualifiés de «hoaxes » (canular, en anglais) par les professionnels, ces dispositifs fort rudimentaires sont
apparentés aux vers, en ce sens que ces messages sont exclusivement destinés à surcharger inutilement les systèmes
de messagerie par une réplication exponentielle. La seule différence avec les véritables vers (comme ILOVEYOU ou
Melissa), est que l’utilisateur final a une participation active et volontaire dans la propagation. Ainsi, si l’on
considère que chaque utilisateur renvoie en moyenne le message à 3 autres adresses seulement (certains renvoyant à
beaucoup, d’autres à aucun), dès la dixième étape, le message est répliqué à près de 60.000 exemplaires. Certaines
entreprises ont ainsi vu leur système s’écrouler sous le poids de ces messages parasites, et aucun Internaute n’a
naturellement jamais vu trace des prétendus « cadeaux » et autres « bienfaits » promis par certains messages. De
même, les messages relatifs aux maladies, même d’apparence réaliste, sont généralement sans aucun fondement réel.
Les utilisateurs doivent comprendre le danger intrinsèque que représente la participation à une chaîne de
messagerie : non seulement ils risquent de saturer le système de messagerie interne du ministère en agissant ainsi
inconsidérément, mais en plus, ils peuvent offenser certains destinataires en aval de la chaîne : sur Internet, la
participation aux chaînes est très mal considérée, et certains utilisateurs réagissent violemment à la réception de ce
type de chaîne, en envoyant des virus ou du spam à tous ceux qui l’ont propagée.
Dans le cadre des règles propres au Ministère de l’Intérieur, la participation aux chaînes de toute nature est
clairement et explicitement interdite, et tout particulièrement, l’envoi de tels messages vers des adresses du réseau de
commandement RESCOM relève de la faute professionnelle. Quatre exe mples de chaînes ont été décelés au sein du
ministère après une vaste propagation en administration centrale et en province : transfusion de sang B- (juin 2000),
le « Totem Mantra » (mai 2000), les préceptes du Dalaï Lama (avril 2000), et un jeu de devinettes (janvier 2000).
Chaque utilisateur recevant une chaîne, d’Internet ou d’une adresse interne, se doit de rappeler les règles d’usage
à l’expéditeur, et doit signaler le problème à son administrateur local. En aucun cas, il ne doit continuer la propagation
de la chaîne. Si, exceptionnellement, le sujet lui paraît digne d’intérêt à titre personnel, il est autorisé à retransmettre le
message, sous réserve bien sûr qu’il supprime du message toute mention demandant aux destinataires de
retransmettre à leur tour le message, l’essentiel étant de rompre la chaîne.
Il est à noter qu’une catégorie de chaîne mérite un traitement particulier : comme indiqué ci-dessus, de très
nombreuses chaînes utilisent le prétexte de prévenir les gens de l’existence d’un nouveau virus, dans le but que ceuxci répercutent l’information à tous leurs correspondants. La très longue liste des fausses alertes est quotidiennement
mise à jour sur le site de l’éditeur Datafellows : http://www.datafellows.com/virus-info/hoax/, et sur le site Français
« Hoaxbuster » (http://www.hoaxbuster.com/ ).
Pratiquement toutes ces fausses alertes commencent par une phrase du type : « Telle société éminente (ex :
Microsoft, IBM, AOL, Netscape, Symantec, Intel, F-Secure, MacAffee…) a annoncé / confirmé récemment l’existence
d’un nouveau virus particulièrement destructeur, qu’aucun antivirus à ce jour ne sait éradiquer, donc si vous recevez
un message ayant pour objet « xxxxxxxx », ne l’ouvrez pas, son contenu est très dangereux ». Le plus souvent, le faux
message d’alerte ayant lui-même pour objet le fameux « xxxxxxxx » dont il convient de se méfier, l’utilisateur reçoit tôt
ou tard un message ayant cet objet, propagé par un autre utilisateur croyant bien faire, ce qui le conforte dans l’idée
que le virus existe bien et l’incite à prévenir encore plus de monde, etc.
Néanmoins, dans la mesure où, exceptionnellement, certaines alertes virales de ce type pourraient s’avérer
fondées, tout utilisateur recevant une telle alerte est instamment prié, selon les procédures en vigueur, de faire
remonter le message d’alerte à la CAGS (Cellule d’Administration et de Gestion de la Sécurité) dans les plus brefs
délais, par le biais de son RSSI. Sauf instruction expresse de ces instances, l’utilisateur final ne doit en aucun cas
diffuser lui-même de tels messages d’alertes, même provenant d’une source réputée fiable. Si l’alerte est fondée, la
CAGS avertira l’ensemble du réseau des RSSI.
3)
Les cartes de vœux
Certains sites Internet, en particulier le site de Yahoo France (http://www.yahoo.fr ), permettent aux
utilisateurs d’accéder à un service dit de « cartes de vœux ». L’internaute y choisit une carte humoristique avec un
message personnalisé, à l’attention d’un autre internaute de sa connaissance, et le serveur envoie ensuite par
messagerie au destinataire un hyperlien lui permettant de visualiser cette carte de vœux. L’expéditeur est mis en copie
du message.
Cela serait parfaitement inoffensif si le système de Yahoo ne connaissait pas depuis plusieurs mois un grave
dysfonctionnement : leur automate envoie de multiples fois le même message aux mêmes destinataires (celui qui a
choisi la carte et celui à qui elle est destinée), ce qui représente environ un message toutes les 5 minutes pendant près
de 24 heures. Ainsi certains abonnés du ministère ont-ils reçu près de 300 occurrences en une seule journée,
paralysant complètement leur poste de travail pendant plusieurs heures, le temps de vider leur boîte.
Le premier signalement de cette anomalie a eu lieu le jeudi 6 avril, et la DTI a naturellement prévenu immédiatement
l’administration de Yahoo. Le problème avait semblé être réglé le jour-même, mais plusieurs rechutes ont depuis été
observées. Selon Yahoo, le problème n’est pas systématique, mais dépend de la carte concernée. Il n’est donc pas
possible, décemment, de filtrer purement et simplement ces messages, l’utilisation de ce service n’étant pas, en soi,
répréhensible.
Les utilisateurs doivent donc être sensibilisés à ce problème afin d’éviter d’utiliser le service de cartes de voeux
Yahoo! pour envoyer des messages à leurs collègues et amis, tous risquant d’être victimes de cette inondation. Pour
ceux qui seraient victimes d’un « harcèlement Yahoo! », la marche à suivre est la suivante :
1) Le signaler à votre administrateur de messagerie afin que soit appliqué le filtre nécessaire sur votre boîte aux
lettres pour bloquer les méls au niveau du serveur.
2) Envoyer un message à Yahoo ([email protected] ) pour signaler le dysfonctionnement, et se
plaindre à l’URL http://add.yahoo.com/fast/help/fr/greet/cgi_feedback avec l’objet « rapport de
harcèlement ».
3) Prévenir la personne vous ayant envoyé une telle carte en lui demandant ne plus le faire.
4) Nous faire suivre à l’adresse [email protected] l’un des messages que vous avez
ainsi reçu, de préférence sous forme encapsulée (c’est-à-dire inséré en tant que pièce-jointe au message de
signalement, plutôt qu’en faisant simplement « faire suivre »).
5) Informer le RSSI, relais local des services du Haut-fonctionnaire de défense.
MAIS SURTOUT IL NE FAUT JAMAIS METTRE EN
AUTOMATIQUEMENT LES MESSAGES VERS L’EXPEDITEUR.
PLACE
UNE
REGLE
RENVOYANT
4)
La faillibilité des échanges
Les utilisateurs doivent comprendre que les messages échangés avec Internet ne peuvent en aucun cas être
considérés comme sûrs.
Dans le sens de l’émission
La confidentialité des messages ne peut pas être garantie. Il ne faut donc, en aucune circonstance, envoyer vers
Internet des informations sensibles, ou qui pourraient s’avérer dommageables aux intérêts du ministère si elles
devenaient publiques, par exemple si elles étaient publiées dans un journal ou affichées dans la rue.
Rien ne permet de garantir non plus que le contenu du message ne sera pas tronqué ou altéré en route, et de
manière générale, que l’intégrité du message sera préservée. Le mél peut aussi arriver à un autre destinataire que
prévu, par erreur ou par malveillance. L’adjonction systématique de quelques lignes d’avertissement à la fin du
message, bien que n’ayant en soi aucune valeur juridique (en France, du moins) peut néanmoins avoir une utilité
dans certaines circonstances, par exemple : « Ce message et toutes les pièces-jointes sont confidentiels et établis à
l’intention exclusive de ses destinataires. Il ne constitue pas un document officiel du ministère de l’intérieur. Toute
utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d’altération. Le
ministère de l’intérieur et les services rattachés déclinent toute responsabilité au titre de ce message s’il a été
altéré, déformé ou falsifié. »
Sur Internet, aucun mécanisme ne permet actuellement de garantir le temps d’acheminement du message, ni même
qu’un avis de non-remise sera retourné à l’expéditeur si le message ne peut finalement être remis au(x) destinataire(s).
Le plus simple est de demander au destinataire d’accuser réception des messages importants, éventuellement en
incluant le message d’origine dans la réponse afin que l’expéditeur puisse en vérifier l’intégrité.
Dans le sens de la réception
Il faut toujours garder à l’esprit que le message a pu être consulté ou modifié par un tiers à l’insu de l’expéditeur,
et que l’adresse expéditrice peut même être complètement fausse (volée à un tiers, ou simplement inexistante). Il ne
faut donc jamais accepter de répondre à des demandes inhabituelles reçues par ce biais ou par téléphone (login, mot
de passe, numéro de téléphone d’un modem, détail d’une procédure de sécurité…), et cela quelle que soit l’autorité
dont se réclame le demandeur (service technique du ministère ou d’un fournisseur…).
Si l’aspect du message (objet, texte, nature des pièces-jointes, liens, autres destinataires en copie…) ne semble
pas cadrer avec les habitudes de l’expéditeur, ou ce qu’il serait légitime d’en attendre, il ne faut pas hésiter à
interroger ce dernier, éventuellement par un autre biais que la messagerie (téléphone…), car l’adresse pourrait être
truquée, ou le message pourrait être un ver se propageant à l’insu des hôtes, comme ILOVEYOU ou Melissa (cf.
supra, le paragraphe relatif aux virus). En cas de doute, ne pas ouvrir les pièces jointes.
Cas particulier de la redirection
En cas de vacances ou de déplacement, il peut être commode de mettre une adresse de redirection sur le compte
de messagerie interne, afin de retransmettre tous les messages arrivés vers une autre boîte aux lettres. Mais si cette
redirection est effectuée, non pas en interne vers un collègue, mais vers une boîte aux lettres personnelle située sur
Internet, deux éléments essentiels doivent être conservés à l’esprit :
?? la confidentialité des informations : l’expéditeur ne sait pas que la boîte est redirigée vers Internet, et pourrait
inclure dans ses messages des éléments (contenu, adresses…) qu’il ne souhaiterait pourtant pas voir diffusés
à l’extérieur du ministère. De manière générale, si le poste reçoit, même occasionnellement, des informations
dont la diffusion devrait être restreinte, ne pas faire de redirection.
?? lorsque le message est réacheminé, il reprend les caractéristiques du message initial, en particulier l’adresse du
champ expéditeur est bien celle de l’expéditeur réel et non celle du compte redirigé. Donc, si le message
d’origine vient d’Internet, le message redirigé semble émaner d’un serveur interne mais avec un expéditeur
externe : le système bloquera donc ces messages en sortie.