La messagerie

Avril 2005 – v0.9
Sécurité de la messagerie Internet
et lutte contre le SPAM
Présenté par :
Michel CERDINI
LoLiTa
Logiciels Libres à Tahiti et ses îles
BP 13678
98717 Punaauia - Tahiti
Rappels Préhistoriques
1972 : La Génèse


En mars 1972 est né... le 1er message électronique
–
Ray Tomlinson qui travaille sur le réseau ARPA a besoin de communiquer
avec les autres développeurs
–
Il associe 2 de ses inventions : SNDMSG qui permet d'envoyer un message à
un autre utilisateur connecté sur le même ordinateur, et CPYNET qui permet
de transférer des fichiers d'un ordinateur à un autre
–
La 1er adresse électronique est née : tomlinson@bbn-tenexa
En juillet 1972 est né.. le 1er “client” de messagerie
–

Lawrence G. Roberts améliore le système précédent en permettant de lister,
lire, archiver, répondre ou renvoyer sélectivement les messages
En 1973... le succès est déjà au rendez-vous !
–
La messagerie représente 75% du trafic réseau d'ARPANET (35 noeuds)
–
Les listes de diffusion font leur apparition quasi immédiatement
–
Celles ayant le volume le plus important est SF-LOVERS, dédiée aux fans de
Science Fiction !
Rappels Historiques
1976-1979 : L'extension



En 1976 est né... UUCP
–
UUCP : Unix to Unix CoPy, à destination des “petits ordinateurs”
–
Un protocole : il permet l'échange de fichiers entre machines
–
Un réseau : il fonctionne sur le réseau téléphonique (et plus tard, sur IP)
–
Sert principalement à l'échange des messages électroniques
–
En 1990, le réseau se compose de plusieurs 10ène de milliers de noeuds
(avec des entreprises commerciales comme UUNet)
En 1977... 1ère utilisation du protocole TCP/IP
En 1979 est né... USENET
–
USENET : Unix User Network, l'ancètre des News d'Internet
–
Premier serveur de News : ANews, écrit en C par Stephen Daniels
–
Le réseau se compose de... 2 machines ! Et il utilise le protocole UUCP
–
Les hiérarchies net.* et dept.* sont créées, le 1er groupe fût net.chess
–
En 1980, 8 machines composent le réseau Usenet
Rappels Historiques
Année 80 : l'aboutissement


En 1980 est né... les prémisses d'Internet !
–
Le réseau ARPANET se scinde en deux : DARPA et Milnet
–
DARPA est le 1er réseau à se convertir petit à petit TCP/IP
–
En 1981 on dénombre 213 ordinateurs sur “DARPA Internet”
En 1982 est né... EUnet
–
EUNet : European Unix Network (X25 puis IP en 88)
–
Principalement mise en oeuvre pour échanger le mail et les news
–
4 pays interconnectés : la Hollande, le Danemark, la Suède, et l'Angleterre

En 1982 est né... SMTP – RFC821

En 1984 est né... POP – RFC918 – et le... DNS !
En 1985 est né... le TLD “.com”

–
Il devient le 1er domaine enregistré
Et Aujourd'hui...

Franchissement du seuil du milliard d'internautes
en 2005

36 milliards de messages échangés chaque jour

La messagerie est
l'application la plus utilisée
(chiffres IDC)
Avec une progression
constante de la vérole !
(Source : Jussieu)
Les différents types
de Véroles



Les véroles exploitant la défaillance humaine
–
Le SCAM
–
Le Phishing
Les véroles exploitant la défaillance technique
–
Le mail-bombing
–
Les virus
–
Le détournement de la messagerie
L'omniprésence du SPAM
Le coût du SPAM a été évalué par
le cabinet d'étude Radicati Group à
20 milliards de $ sur l'année 2003,
avec un coût par boite aux lettres
de 49 $.
$.
Les Véroles
Le “SCAM”
GEORGES TRAORE ABIDJAN, CÔTE D'IVOIRE. AFRIQUE DE L'OUEST.

Bonjour,
Je vous prie de bien vouloir excuser cette intrusion qui peut paraître
surprenante à première vue d'autant qu'il n'existe aucune relation entre
nous. Je voudrais avec votre accord vous présenter ma situation et vous
proposer une affaire qui pourrait vous intéresser.
Je me nomme Georges TRAORE, j'ai 22 ans et le seul fils de mon Père
Honorable RICHARD ANDERSON TRAORE qui était un homme très riche,
négociant de Café/Cacao basé à Abidjan la Capitale Economique de la
Côte d'Ivoire, empoisonné récemment par ses associés. Après la mort de
ma mère le 21 Octobre 2000, mon père m'as pris spécialement avec lui. Le
24 Décembre 2003 est survenu le décès de mon père dans une clinique
privée (LAMADONE) à Abidjan. Avant sa mort, secrêtement, il m'a dit qu'il a
déposé une somme d'un montant de ($8,500,000) Huit Millions Cinq Cent
Mille Dollars Américains dans une valise dans une Compagnie de Sécurité
Financière en mon nom comme héritier. En outre, il m'a dit que c'est par
rapport à cette richesse qu'il a été empoisonné par ses associés.
Il me recommande aussi de chercher un associé étranger qui pourrait
honnêtement me faire bénéficier de son assistance pour sauver ma vie et
assurer mon existence.
- Changement de bénéficaire ;
- Servir de gardien ;
- Fournir un compte pour le transfert de fonds ;
- M'aider à le rejoindre dans son pays ;
- Investir dans un domaine profitable.
SCAM = ruse en anglais
–
Extorquation de fond en faisant
miroiter un gain important (loterie...)
–
Initialement issu du Nigéria (article
419 du code pénal nigérian)
–
Dans le cas d'échanges
uniquement virtuels, envoi initial de
quelques documents “officiels”, puis
versement d'avance de frais pour
les avocats, les douanes, les
banques etc.
–
Dans le cas d'un déplacement
physique, les sommes d'argents
sont beaucoup plus importantes,
voir plus personne ne revoit la
victime
D'ailleurs, je vous donnerai 25 % et 5% serviront aux dépenses éventuelles
qui seront effectuées. Je vous serai reconnaissante de pouvoir bénéficier
de vos conseils utiles .
NB : Je vous recommande de traiter cette affaire avec subtilités et
confidentialité vu la dégradation de la situation sociopolitique dans laquelle
nous vivons présentement. Que Dieu vous bénisse !
GEORGES TRAORE.

Se protéger
–
Education des utilisateurs
Les Véroles
Le “Phishing”



Traduit parfois par “hameçonnage” en Français
–
Vient de “fishing”, la pèche
–
Et de “phreaking”, désignant le piratage de lignes téléphoniques
Usurpation, détournement
–
Etape 1 : expédition de masse d'un mail aux victimes en usurpant l'identité d'une grande
entreprise (banque, site de commerce électronique etc.)
–
Etape 2 : Invitation de mettre à jour une information par lien hypertexte, en prétextant un
incident, une mise à jour du service, une intervention du support
–
Etape 3 : Le site web factice est maquillé, souvent en copie conforme du site original
–
Etape 4 : Le pirate récupère pour son compte l'information saisie par la victime (numéro
client, numéro de compte en banque, mot de passe etc.)
Se protéger
–
Ne pas cliquez sur l'URL d'un email, mais saisissez l'URL du site à la main, et vérifiez
régulièrement l'URL affichée dans le navigateur
–
Méfiez-vous des formulaires demandant des informations sensibles. Dans le doute,
appelez l'établissement !
–
Assurez-vous que les pages Web comportant des formulaires sont sécurisées
Les Véroles
Le “mail bombing”

Traduit parfois par “bombardement d'email”

Objectif de blocage
–



Consiste à envoyer plusieurs milliers de messages afin de saturer le système
A destination d'une boite aux lettres
–
La boite aux lettres devient inutilisable (temps de chargement trop long)
–
Les nouveaux messages ne sont plus acceptés (espace de stockage épuisé)
A destination d'un serveur de messagerie
–
Le serveur devient extrèmement lent pour délivrer les messages (délai d'acheminement
trop long)
–
Le serveur refuse les nouveaux messages (capacité de traitement épuisé)
–
Cependant les techniques de réexpédition corrigent le phénomène
Se protéger
–
Techniques équivalentes au traitement du SPAM
Les Véroles
Le changement de destination du mail : Les virus



Les virus sont contenus dans les documents joints
–
A l'ouverture du document, le virus infecte la machine
–
A l'ouverture du message sur certains outils/options
Objectif des virus
Un PC sans protection connecté à
Internet est infecté en 17 minutes,
et en 1 heure il devient un relai de
messagerie exploitant toutes la
bande passante disponible !
–
Se redistribuer à tous vos correspondants
–
Collecter des adresses emails pour les spammeurs
–
Infecter la machine pour une exploitation ultérieure (attaque par rebond, spam etc.)
–
Détruire des données, ralentir la machine, collecter des données sensibles...
Se protéger
–
Utiliser des antivirus sur les postes clients et sur le serveur de messagerie
–
Ne pas activer les options d'affichage/rédaction HTML des messages
–
Ne pas croire qu'un document attaché envoyé par un correspondant connu est un
document attaché sans virus (au contraire, c'est le vecteur préféré des virus !)
–
Ne jamais ouvrir des documents attachés de type .exe, .com, .bat, .scr ou plus
largement, n'ouvrir que les documents attachés de type documents ou images (et
encore, certains moteur .jpg sont buggés !)
–
Ne jamais exécuter les macros dans les documents Word ou Excel
Les Véroles
Détournement de la messagerie



La majeur partie des mots de passe circulent en
clair sur Internet !
–
Le protocole POP3 est toujours très utilisé (vs IMAP)
–
Peu de fournisseurs d'accès proposent le POP3-S (vs IMAP-S)
Attention au choix du mot de passe
–
Utilisez des mots de passe différents
–
Evitez votre login, votre nom, prénom, ou celui des proches, un mot du
dictionnaire, un mot à l'envers, les préfixes ou suffixes par dates etc.
–
Il vaut mieux un bon mot de passe changé 1 fois par an qu'un mauvais mot de
passe changé toutes les semaines !
Se protéger
–
Utiliser un serveur POP3-S ou IMAP-S
–
Choisir son fournisseur d'accès ou faire appel aux offres ASP sur Internet
Le “SPAM”
C'est quoi ?




Traduit parfois par “pourriel” en Français
–
Le SPAM est une marque de jambonneau
–
Dans un sketche des Monty Python, un client commande le jambonneau et on lui amène
autre chose. A ce moment là tous les autres clients se mettent à chanter en coeur “spam
spam spam spam spam...” si bien que l'on entend plus le pauvre client !
Définition
–
Envoie massif de messages non sollicités
–
Les destinataires sont des adresses électroniques principalement récupérées sur Internet
Qui sont les “spammeurs”
–
De simples particuliers ou des petites entreprises, via un logiciel souvent gratuit et
téléchargé sur Internet, avec un CD acheté qui référence quelques millions d'adresses
–
Des sociétés commerciales spécialisées (situées principalement en Chine)
Pourquoi le SPAM ?
–
Objectif principalement publicitaire
–
Parfois aussi utilisé pour exploiter une arnaque (ingéniérie sociale) ou diffuser un virus
Le “SPAM”
Comment ?



Comment procèdent les “spammeurs”
–
Des “robots” parcourent l'Internet et stoquent dans une base de données les adresses
email figurant sur les forums, les news, les articles où apparaissent les emails etc.
–
Un message publicitaire vous parvient et vous demande de cliquer pour vous
désabonner... en réalité pour vérifier que votre mail est bien actif !
–
Des virus sont propagés pour collecter l'ensemble des adresses email de votre carnet
d'adresse, et l'ensemble des emails de vos correspondants
Le problème majeur du SPAM
–
Le coût est supporté par le destinataire et non l'expéditeur (contrairement à la poste)
–
Représente entre 50 à 80% des messages aujourd'hui
–
Surdimentionnement des capacités réseaux et des espaces de stockage disque
–
Perte de temps occasionné par le lecture, le tri, et la suppression de ces messages
–
Difficulté de consultation des “vrais” messages, et risque de suppression de ces derniers
–
Le caractère violent ou dégradant des textes ou images parfois reçus
Se protéger
–
Il faut se protéger du SPAM en amont
–
Il faut combattre le SPAM en avant
Lutte contre le SPAM
Se protéger en amont


Ne pas divulguer son adresse email
–
Ne relayez pas les blagues ou messages invitant les utilisateurs à transmettre
le mail à un maximum de contacts possibles
–
Masquez les adresses des destinataires (Bcc) dans vos listes de diffusion
–
Indiquez une adresse email erronée sur les forums ou liste de diffusion
Utiliser des adresses illisibles
–

Dans la mesure du possible, utilisez une image pour indiquer une adresse
email sur un site web (illisible par les robots)
Utiliser des adresses traçables et jetables
–
Creez des adresses de messagerie que vous utilisez que pour les formulaires,
forums ou liste de diffusion. Vous aurez tout loisir de la supprimer ou de
l'abandonner une fois qu'elle sera infestée par la vermine
–
Si vous possédez votre propre domaine, indiquez comme adresse email le
nom du site web sur lequel vous êtes (ex. [email protected])
Lutte contre le SPAM
Se protéger en aval


Coté client
–
Avoir impérativement un antivirus sur son poste, même si le serveur élimine
déjà les virus contenus dans les messages
–
Utilisez les outils antispam contextuels proposés par certains logiciels
Coté serveur
–
Installez impérativement un antivirus de messagerie qui élimine tous les
messages infectés avant même sa distribution en boite aux lettres
–
Choisissez les bons outils :

Les RBL (Realtime Blackhole List)

Les whitelist et blacklist

Analyse contextuelle

La greylist

Le callback MX

Le domainkeys
Commençons par
comprendre un peu les acteurs...


Les MTA : Mail Transfert Agent
–
Coté serveur, permet l'échange des messages entre eux
–
Utilisent principalement le protocole SMTP
–
Logiciels : sendmail, postfix, exim, qmail, exchange, domino
Les MUA : Mail User Agent
–
Coté client, permet la collecte des messages stoqués sur un serveur
–
Utilisent principalement le protocole POP (mais aussi IMAP)
–
Logiciels : Thunderbird, Eudora, Outlook, Exchange, Notes...
La problématique des
relais ouverts

Qu'est-ce qu'un relai ouvert ?

Protéger son serveur de messagerie
Lutte contre le SPAM
Les R.B.L.



Principe
–
Référencement des relais SMTP ouverts
–
Référencement des proxys ouverts (apache etc.)
Implémentation
–
Avant l'acceptation d'un message, vérification par requète DNS du
référencement de l'appelant
–
(www.)
–
XBL : référencement des tiers exploités par virus et proxies
–
Et beaucoup d'autres... http://www.spamhaus.org/
ORDB (.org) : référencement des relais SMTP ouverts
Avantages et limites
–
Forte réactivité face aux nouvelles machines infectées
–
La sortie de liste n'est pas très “realtime” !
–
Quelques dérives ont été constatées sur certaines listes...
Lutte contre le SPAM
Les Whitelist et Blacklist


Principe
–
Seuls les expéditeurs autorisés sont acceptés sur le serveur de messagerie
–
Les nouveaux expéditeurs doivent confirmer manuellement leur 1er envois
Implémentation
–
ASK : Active Spam Killer
(http://www.paganini.net/ask/)

Avantages et limites
–
Efficasse à 100% contre le SPAM
–
Messages “faux positifs” possiblent
–
Nécessité de parcourir la liste d'attente pour débloquer manuellement les
utilisateurs peu chevronnés, ou ceux utilisant certains clients de messagerie
Lutte contre le SPAM
L'analyse contextuelle



Principe
–
Détecter les messages illégitimes par analyse de leur contenu
–
Isoler les messages ayant le niveau de risques le plus élevés
Implémentation
–
Technique 1 : filtre par expressions régulières
–
Technique 2 : comparaison avec un corpus préalablement constitué
–
Technique 3 : apprentissage initial par sélection des SPAMs réceptionnés,
puis mise en oeuvre d'un filtre bayésien (calcul de probabilité par occurence)
–
IMF-Smartscreen de Microsoft, Spamassasin, j-chkmail-milter, Bogofilter
Avantages et limites
–
Difficulté d'implantation coté serveur pour les populations hétérogènes (le
viagra n'est pas nécessairement du SPAM pour la recherche médicale !)
–
Messages “faux positifs” (nombreux en phase d'apprentissage)
–
Nécessité de parcourir les messages isolés et/ou signés
Traitement des erreurs
en SMTP

Les erreurs permanentes et temporaires
Lutte contre le SPAM
La Greylist



Principe
–
Augmenter artificiellement le coût de transport des messages
–
Le spam “fire and forget” est systématiquement arrêté
Implémentation (milter-greylist de sendmail)
–
Si le message reçu est déjà “blanchi”, il est distribué immédiatement
–
Sinon le message est refusé au travers d'une erreur temporaire type 451
pendant une certaine durée (par exemple 10mns), même s'il est représenté
–
Au delà de cette durée, si le message est représenté, il est distribué, et le
triplet “expéditeur/destinataire/ip” est blanchi
Avantages et limites
–
Aucun risque de “faux positifs” et totalement transparent pour l'utilisateur
–
Elimite 60% du SPAM (extrait des statistiques de Jussieu)
–
Attention au délai introduit lors des premiers échanges
–
Quelques situations techniques précises où des effets de bords se produisent
Lutte contre le SPAM
Le Callback MX



Principe
–
Vérifier l'existance du domaine de l'expéditeur
–
Tester l'email de l'expéditeur pour vérifier qu'il existe bien
Implémentation
–
Une fois le verbe “FROM” réceptionné, le mécanisme se déclenche
–
Requète DNS sur le domaine
–
S'il répond en MX, connexion en SMTP et début de transaction
–
milter-sender de sendmail
Avantages et limites
–
Aucun risque de “faux positifs” et totalement transparent pour l'utilisateur
–
Très efficasse contre les boites aux lettres détournées
–
Un “coût de traitement” plus important
–
Un délai important de distribution si l'expéditeur utilise... la greylist !
Lutte contre le SPAM
Le Domainkey



Principe
–
Signature électronique des messages
–
Vérification d'intégrité par le destinataire
Implémentation
–
A: le serveur publie sa clef publique dans le DNS
–
B: il signe l'ensemble des messages qu'il expédie
–
C: récupère la clef publique et valide la conformité
–
D: si le message est conforme, il est distribué
–
dk-milter sur sendmail, Sender ID/SF de Microsoft
Avantages et limites
–
Aucun risque de “faux positifs”
–
Responsabilisation des spammeurs
–
Problématique de généralisation du mécanisme
Exemple de solution
100% Logiciels Libres !
Réglementation sur
La correspondance privée



Le mail est soumis au secret de la correspondance
–
Qu'il soit non générique, même s'il s'agit d'une adresse professionnelle
–
Qu'il soit générique s'il ne peut être lu que sur un seul poste, lui même affecté
à une personne déterminé (Cour d'Appel de Bordeau – Arrêt du 4 juillet 2003)
Les droits et devoirs de l'entreprise
–
Elle a le droit de surveiller l'usage qui est fait de ses investissements inform.
–
Elle doit respecter le droit à la communication privée privée de ses employés
Le contrôle demeure donc délicat dans l'entreprise
–
Prévenir les employés par note internes
–
Se faire aider sur le plan juridique, surtout pour les sociétés présentes à
l'international
Des Questions ?
MERCI de votre écoute
LoLiTa
www.lolita.pf