La messagerie
Transcription
La messagerie
Avril 2005 – v0.9 Sécurité de la messagerie Internet et lutte contre le SPAM Présenté par : Michel CERDINI LoLiTa Logiciels Libres à Tahiti et ses îles BP 13678 98717 Punaauia - Tahiti Rappels Préhistoriques 1972 : La Génèse En mars 1972 est né... le 1er message électronique – Ray Tomlinson qui travaille sur le réseau ARPA a besoin de communiquer avec les autres développeurs – Il associe 2 de ses inventions : SNDMSG qui permet d'envoyer un message à un autre utilisateur connecté sur le même ordinateur, et CPYNET qui permet de transférer des fichiers d'un ordinateur à un autre – La 1er adresse électronique est née : tomlinson@bbn-tenexa En juillet 1972 est né.. le 1er “client” de messagerie – Lawrence G. Roberts améliore le système précédent en permettant de lister, lire, archiver, répondre ou renvoyer sélectivement les messages En 1973... le succès est déjà au rendez-vous ! – La messagerie représente 75% du trafic réseau d'ARPANET (35 noeuds) – Les listes de diffusion font leur apparition quasi immédiatement – Celles ayant le volume le plus important est SF-LOVERS, dédiée aux fans de Science Fiction ! Rappels Historiques 1976-1979 : L'extension En 1976 est né... UUCP – UUCP : Unix to Unix CoPy, à destination des “petits ordinateurs” – Un protocole : il permet l'échange de fichiers entre machines – Un réseau : il fonctionne sur le réseau téléphonique (et plus tard, sur IP) – Sert principalement à l'échange des messages électroniques – En 1990, le réseau se compose de plusieurs 10ène de milliers de noeuds (avec des entreprises commerciales comme UUNet) En 1977... 1ère utilisation du protocole TCP/IP En 1979 est né... USENET – USENET : Unix User Network, l'ancètre des News d'Internet – Premier serveur de News : ANews, écrit en C par Stephen Daniels – Le réseau se compose de... 2 machines ! Et il utilise le protocole UUCP – Les hiérarchies net.* et dept.* sont créées, le 1er groupe fût net.chess – En 1980, 8 machines composent le réseau Usenet Rappels Historiques Année 80 : l'aboutissement En 1980 est né... les prémisses d'Internet ! – Le réseau ARPANET se scinde en deux : DARPA et Milnet – DARPA est le 1er réseau à se convertir petit à petit TCP/IP – En 1981 on dénombre 213 ordinateurs sur “DARPA Internet” En 1982 est né... EUnet – EUNet : European Unix Network (X25 puis IP en 88) – Principalement mise en oeuvre pour échanger le mail et les news – 4 pays interconnectés : la Hollande, le Danemark, la Suède, et l'Angleterre En 1982 est né... SMTP – RFC821 En 1984 est né... POP – RFC918 – et le... DNS ! En 1985 est né... le TLD “.com” – Il devient le 1er domaine enregistré Et Aujourd'hui... Franchissement du seuil du milliard d'internautes en 2005 36 milliards de messages échangés chaque jour La messagerie est l'application la plus utilisée (chiffres IDC) Avec une progression constante de la vérole ! (Source : Jussieu) Les différents types de Véroles Les véroles exploitant la défaillance humaine – Le SCAM – Le Phishing Les véroles exploitant la défaillance technique – Le mail-bombing – Les virus – Le détournement de la messagerie L'omniprésence du SPAM Le coût du SPAM a été évalué par le cabinet d'étude Radicati Group à 20 milliards de $ sur l'année 2003, avec un coût par boite aux lettres de 49 $. $. Les Véroles Le “SCAM” GEORGES TRAORE ABIDJAN, CÔTE D'IVOIRE. AFRIQUE DE L'OUEST. Bonjour, Je vous prie de bien vouloir excuser cette intrusion qui peut paraître surprenante à première vue d'autant qu'il n'existe aucune relation entre nous. Je voudrais avec votre accord vous présenter ma situation et vous proposer une affaire qui pourrait vous intéresser. Je me nomme Georges TRAORE, j'ai 22 ans et le seul fils de mon Père Honorable RICHARD ANDERSON TRAORE qui était un homme très riche, négociant de Café/Cacao basé à Abidjan la Capitale Economique de la Côte d'Ivoire, empoisonné récemment par ses associés. Après la mort de ma mère le 21 Octobre 2000, mon père m'as pris spécialement avec lui. Le 24 Décembre 2003 est survenu le décès de mon père dans une clinique privée (LAMADONE) à Abidjan. Avant sa mort, secrêtement, il m'a dit qu'il a déposé une somme d'un montant de ($8,500,000) Huit Millions Cinq Cent Mille Dollars Américains dans une valise dans une Compagnie de Sécurité Financière en mon nom comme héritier. En outre, il m'a dit que c'est par rapport à cette richesse qu'il a été empoisonné par ses associés. Il me recommande aussi de chercher un associé étranger qui pourrait honnêtement me faire bénéficier de son assistance pour sauver ma vie et assurer mon existence. - Changement de bénéficaire ; - Servir de gardien ; - Fournir un compte pour le transfert de fonds ; - M'aider à le rejoindre dans son pays ; - Investir dans un domaine profitable. SCAM = ruse en anglais – Extorquation de fond en faisant miroiter un gain important (loterie...) – Initialement issu du Nigéria (article 419 du code pénal nigérian) – Dans le cas d'échanges uniquement virtuels, envoi initial de quelques documents “officiels”, puis versement d'avance de frais pour les avocats, les douanes, les banques etc. – Dans le cas d'un déplacement physique, les sommes d'argents sont beaucoup plus importantes, voir plus personne ne revoit la victime D'ailleurs, je vous donnerai 25 % et 5% serviront aux dépenses éventuelles qui seront effectuées. Je vous serai reconnaissante de pouvoir bénéficier de vos conseils utiles . NB : Je vous recommande de traiter cette affaire avec subtilités et confidentialité vu la dégradation de la situation sociopolitique dans laquelle nous vivons présentement. Que Dieu vous bénisse ! GEORGES TRAORE. Se protéger – Education des utilisateurs Les Véroles Le “Phishing” Traduit parfois par “hameçonnage” en Français – Vient de “fishing”, la pèche – Et de “phreaking”, désignant le piratage de lignes téléphoniques Usurpation, détournement – Etape 1 : expédition de masse d'un mail aux victimes en usurpant l'identité d'une grande entreprise (banque, site de commerce électronique etc.) – Etape 2 : Invitation de mettre à jour une information par lien hypertexte, en prétextant un incident, une mise à jour du service, une intervention du support – Etape 3 : Le site web factice est maquillé, souvent en copie conforme du site original – Etape 4 : Le pirate récupère pour son compte l'information saisie par la victime (numéro client, numéro de compte en banque, mot de passe etc.) Se protéger – Ne pas cliquez sur l'URL d'un email, mais saisissez l'URL du site à la main, et vérifiez régulièrement l'URL affichée dans le navigateur – Méfiez-vous des formulaires demandant des informations sensibles. Dans le doute, appelez l'établissement ! – Assurez-vous que les pages Web comportant des formulaires sont sécurisées Les Véroles Le “mail bombing” Traduit parfois par “bombardement d'email” Objectif de blocage – Consiste à envoyer plusieurs milliers de messages afin de saturer le système A destination d'une boite aux lettres – La boite aux lettres devient inutilisable (temps de chargement trop long) – Les nouveaux messages ne sont plus acceptés (espace de stockage épuisé) A destination d'un serveur de messagerie – Le serveur devient extrèmement lent pour délivrer les messages (délai d'acheminement trop long) – Le serveur refuse les nouveaux messages (capacité de traitement épuisé) – Cependant les techniques de réexpédition corrigent le phénomène Se protéger – Techniques équivalentes au traitement du SPAM Les Véroles Le changement de destination du mail : Les virus Les virus sont contenus dans les documents joints – A l'ouverture du document, le virus infecte la machine – A l'ouverture du message sur certains outils/options Objectif des virus Un PC sans protection connecté à Internet est infecté en 17 minutes, et en 1 heure il devient un relai de messagerie exploitant toutes la bande passante disponible ! – Se redistribuer à tous vos correspondants – Collecter des adresses emails pour les spammeurs – Infecter la machine pour une exploitation ultérieure (attaque par rebond, spam etc.) – Détruire des données, ralentir la machine, collecter des données sensibles... Se protéger – Utiliser des antivirus sur les postes clients et sur le serveur de messagerie – Ne pas activer les options d'affichage/rédaction HTML des messages – Ne pas croire qu'un document attaché envoyé par un correspondant connu est un document attaché sans virus (au contraire, c'est le vecteur préféré des virus !) – Ne jamais ouvrir des documents attachés de type .exe, .com, .bat, .scr ou plus largement, n'ouvrir que les documents attachés de type documents ou images (et encore, certains moteur .jpg sont buggés !) – Ne jamais exécuter les macros dans les documents Word ou Excel Les Véroles Détournement de la messagerie La majeur partie des mots de passe circulent en clair sur Internet ! – Le protocole POP3 est toujours très utilisé (vs IMAP) – Peu de fournisseurs d'accès proposent le POP3-S (vs IMAP-S) Attention au choix du mot de passe – Utilisez des mots de passe différents – Evitez votre login, votre nom, prénom, ou celui des proches, un mot du dictionnaire, un mot à l'envers, les préfixes ou suffixes par dates etc. – Il vaut mieux un bon mot de passe changé 1 fois par an qu'un mauvais mot de passe changé toutes les semaines ! Se protéger – Utiliser un serveur POP3-S ou IMAP-S – Choisir son fournisseur d'accès ou faire appel aux offres ASP sur Internet Le “SPAM” C'est quoi ? Traduit parfois par “pourriel” en Français – Le SPAM est une marque de jambonneau – Dans un sketche des Monty Python, un client commande le jambonneau et on lui amène autre chose. A ce moment là tous les autres clients se mettent à chanter en coeur “spam spam spam spam spam...” si bien que l'on entend plus le pauvre client ! Définition – Envoie massif de messages non sollicités – Les destinataires sont des adresses électroniques principalement récupérées sur Internet Qui sont les “spammeurs” – De simples particuliers ou des petites entreprises, via un logiciel souvent gratuit et téléchargé sur Internet, avec un CD acheté qui référence quelques millions d'adresses – Des sociétés commerciales spécialisées (situées principalement en Chine) Pourquoi le SPAM ? – Objectif principalement publicitaire – Parfois aussi utilisé pour exploiter une arnaque (ingéniérie sociale) ou diffuser un virus Le “SPAM” Comment ? Comment procèdent les “spammeurs” – Des “robots” parcourent l'Internet et stoquent dans une base de données les adresses email figurant sur les forums, les news, les articles où apparaissent les emails etc. – Un message publicitaire vous parvient et vous demande de cliquer pour vous désabonner... en réalité pour vérifier que votre mail est bien actif ! – Des virus sont propagés pour collecter l'ensemble des adresses email de votre carnet d'adresse, et l'ensemble des emails de vos correspondants Le problème majeur du SPAM – Le coût est supporté par le destinataire et non l'expéditeur (contrairement à la poste) – Représente entre 50 à 80% des messages aujourd'hui – Surdimentionnement des capacités réseaux et des espaces de stockage disque – Perte de temps occasionné par le lecture, le tri, et la suppression de ces messages – Difficulté de consultation des “vrais” messages, et risque de suppression de ces derniers – Le caractère violent ou dégradant des textes ou images parfois reçus Se protéger – Il faut se protéger du SPAM en amont – Il faut combattre le SPAM en avant Lutte contre le SPAM Se protéger en amont Ne pas divulguer son adresse email – Ne relayez pas les blagues ou messages invitant les utilisateurs à transmettre le mail à un maximum de contacts possibles – Masquez les adresses des destinataires (Bcc) dans vos listes de diffusion – Indiquez une adresse email erronée sur les forums ou liste de diffusion Utiliser des adresses illisibles – Dans la mesure du possible, utilisez une image pour indiquer une adresse email sur un site web (illisible par les robots) Utiliser des adresses traçables et jetables – Creez des adresses de messagerie que vous utilisez que pour les formulaires, forums ou liste de diffusion. Vous aurez tout loisir de la supprimer ou de l'abandonner une fois qu'elle sera infestée par la vermine – Si vous possédez votre propre domaine, indiquez comme adresse email le nom du site web sur lequel vous êtes (ex. [email protected]) Lutte contre le SPAM Se protéger en aval Coté client – Avoir impérativement un antivirus sur son poste, même si le serveur élimine déjà les virus contenus dans les messages – Utilisez les outils antispam contextuels proposés par certains logiciels Coté serveur – Installez impérativement un antivirus de messagerie qui élimine tous les messages infectés avant même sa distribution en boite aux lettres – Choisissez les bons outils : Les RBL (Realtime Blackhole List) Les whitelist et blacklist Analyse contextuelle La greylist Le callback MX Le domainkeys Commençons par comprendre un peu les acteurs... Les MTA : Mail Transfert Agent – Coté serveur, permet l'échange des messages entre eux – Utilisent principalement le protocole SMTP – Logiciels : sendmail, postfix, exim, qmail, exchange, domino Les MUA : Mail User Agent – Coté client, permet la collecte des messages stoqués sur un serveur – Utilisent principalement le protocole POP (mais aussi IMAP) – Logiciels : Thunderbird, Eudora, Outlook, Exchange, Notes... La problématique des relais ouverts Qu'est-ce qu'un relai ouvert ? Protéger son serveur de messagerie Lutte contre le SPAM Les R.B.L. Principe – Référencement des relais SMTP ouverts – Référencement des proxys ouverts (apache etc.) Implémentation – Avant l'acceptation d'un message, vérification par requète DNS du référencement de l'appelant – (www.) – XBL : référencement des tiers exploités par virus et proxies – Et beaucoup d'autres... http://www.spamhaus.org/ ORDB (.org) : référencement des relais SMTP ouverts Avantages et limites – Forte réactivité face aux nouvelles machines infectées – La sortie de liste n'est pas très “realtime” ! – Quelques dérives ont été constatées sur certaines listes... Lutte contre le SPAM Les Whitelist et Blacklist Principe – Seuls les expéditeurs autorisés sont acceptés sur le serveur de messagerie – Les nouveaux expéditeurs doivent confirmer manuellement leur 1er envois Implémentation – ASK : Active Spam Killer (http://www.paganini.net/ask/) Avantages et limites – Efficasse à 100% contre le SPAM – Messages “faux positifs” possiblent – Nécessité de parcourir la liste d'attente pour débloquer manuellement les utilisateurs peu chevronnés, ou ceux utilisant certains clients de messagerie Lutte contre le SPAM L'analyse contextuelle Principe – Détecter les messages illégitimes par analyse de leur contenu – Isoler les messages ayant le niveau de risques le plus élevés Implémentation – Technique 1 : filtre par expressions régulières – Technique 2 : comparaison avec un corpus préalablement constitué – Technique 3 : apprentissage initial par sélection des SPAMs réceptionnés, puis mise en oeuvre d'un filtre bayésien (calcul de probabilité par occurence) – IMF-Smartscreen de Microsoft, Spamassasin, j-chkmail-milter, Bogofilter Avantages et limites – Difficulté d'implantation coté serveur pour les populations hétérogènes (le viagra n'est pas nécessairement du SPAM pour la recherche médicale !) – Messages “faux positifs” (nombreux en phase d'apprentissage) – Nécessité de parcourir les messages isolés et/ou signés Traitement des erreurs en SMTP Les erreurs permanentes et temporaires Lutte contre le SPAM La Greylist Principe – Augmenter artificiellement le coût de transport des messages – Le spam “fire and forget” est systématiquement arrêté Implémentation (milter-greylist de sendmail) – Si le message reçu est déjà “blanchi”, il est distribué immédiatement – Sinon le message est refusé au travers d'une erreur temporaire type 451 pendant une certaine durée (par exemple 10mns), même s'il est représenté – Au delà de cette durée, si le message est représenté, il est distribué, et le triplet “expéditeur/destinataire/ip” est blanchi Avantages et limites – Aucun risque de “faux positifs” et totalement transparent pour l'utilisateur – Elimite 60% du SPAM (extrait des statistiques de Jussieu) – Attention au délai introduit lors des premiers échanges – Quelques situations techniques précises où des effets de bords se produisent Lutte contre le SPAM Le Callback MX Principe – Vérifier l'existance du domaine de l'expéditeur – Tester l'email de l'expéditeur pour vérifier qu'il existe bien Implémentation – Une fois le verbe “FROM” réceptionné, le mécanisme se déclenche – Requète DNS sur le domaine – S'il répond en MX, connexion en SMTP et début de transaction – milter-sender de sendmail Avantages et limites – Aucun risque de “faux positifs” et totalement transparent pour l'utilisateur – Très efficasse contre les boites aux lettres détournées – Un “coût de traitement” plus important – Un délai important de distribution si l'expéditeur utilise... la greylist ! Lutte contre le SPAM Le Domainkey Principe – Signature électronique des messages – Vérification d'intégrité par le destinataire Implémentation – A: le serveur publie sa clef publique dans le DNS – B: il signe l'ensemble des messages qu'il expédie – C: récupère la clef publique et valide la conformité – D: si le message est conforme, il est distribué – dk-milter sur sendmail, Sender ID/SF de Microsoft Avantages et limites – Aucun risque de “faux positifs” – Responsabilisation des spammeurs – Problématique de généralisation du mécanisme Exemple de solution 100% Logiciels Libres ! Réglementation sur La correspondance privée Le mail est soumis au secret de la correspondance – Qu'il soit non générique, même s'il s'agit d'une adresse professionnelle – Qu'il soit générique s'il ne peut être lu que sur un seul poste, lui même affecté à une personne déterminé (Cour d'Appel de Bordeau – Arrêt du 4 juillet 2003) Les droits et devoirs de l'entreprise – Elle a le droit de surveiller l'usage qui est fait de ses investissements inform. – Elle doit respecter le droit à la communication privée privée de ses employés Le contrôle demeure donc délicat dans l'entreprise – Prévenir les employés par note internes – Se faire aider sur le plan juridique, surtout pour les sociétés présentes à l'international Des Questions ? MERCI de votre écoute LoLiTa www.lolita.pf