7.2. Menaces sur le service mail

Comme tous les services disponibles sur Internet, le mail est vulnérable à tout un ensemble d’attaques malveillantes. Apparu à une époque où la sécurité n’était pas une préoccupation dans l’Internet, il n’a pas été conçu avec une gestion native de la sécurité. Il a donc fallu, les années passant et les menaces apparaissant, lui adjoindre tout un ensemble de contre-mesures permettant de mitiger ces menaces et contrebalancer ses vulnérabilités. 

Comme dans tout système à protéger, la sécurisation du mail peut commencer par une analyse basée sur les objectifs “CIA” : ConfidentialitéIntégritéDisponibilité (Availablility) des données et des services

7.2.1. Menaces sur la confidentialité

Les messages mail contiennent des informations potentiellement sensibles (secret professionnel, vie privée, …) qui ne doivent pas être divulguées aux personnes non autorisées. Cet objectif devra être réalisé tout au long du parcours d’un message : 

  • Au niveau des postes client de l’émetteur et du destinataire
  • Au niveau de la (ou les) boîtes aux lettres (mailbox) stockant les messages
  • Au niveau des serveurs intermédiaires (MSA, MTA, MDA, MRA, …). 

La contre-mesure adéquate contre les menaces pesant sur la confidentialité est le chiffrement des communications et/ou des emails.   Le chiffrement des communications protocolaires (SMTP, IMAP, POP), via TLS, permet de s’assurer qu’un message ne sera pas lu lors du transfert entre deux agents.  Par contre, les communications étant déchiffrées à chaque étape de la transmission, ce chiffrement ne garantit pas la confidentialité du message au niveau du serveur.  

Pour garantir cela, une seconde couche de chiffrement peut être utilisée, au niveau des postes clients.  Il s’agit cette fois d’un chiffrement de bout en bout : l’émetteur chiffre le contenu de l’email, qui est donc indéchiffrable lors du transfert d’agent en agent.  Le destinataire effectue alors le déchiffrement et peut prendre connaissance du message.  Les mécanismes S-MIME et PGP sont deux solutions permettant de réaliser ce chiffrement de bout en bout.  

Enfin, pour une sécurisation en profondeur, il sera également important de s’assurer que le contenu des boîtes aux lettres de l’entreprise ne sont pas accessibles aux personnes non autorisées.  Il faut donc s’assurer que le serveur qui les stocke est convenablement sécurisé (hardening) et que les fichiers de mailbox sont protégés par des droits d’accès adéquats.  

7.2.2. Menaces sur l’intégrité

L’intégrité s’analyse au niveau des données et des services.  

Pour les données, il s’agit de s’assurer que les données (messages mail) ne sont pas modifiées lors d’une transmission, ou lors d’un stockage sur un serveur.  Un autre cas de figure serait l’usurpation d’identité (spoofing), à l’envoi ou durant le transit : un email envoyé en utilisant une adresse source usurpée par exemple, permettant de faire du spam ou du phishing (voir plus loin).   

Le chiffrement, déjà mentionné plus haut, permet de garantir l’intégrité des données.  Des signatures numériques peuvent également être utilisées pour cela (via S-MIME et PGP).  Des certificats permettront également de garantir l’authenticité de la source des messages.  

L’intégrité des services, quant à elle, consiste à se prémunir contre des intrusions sur les serveurs et des compromissions des configurations et des fichiers.  Pour préserver l’intégrité, il faut une sécurisation en profondeur des serveurs : gestion des accès distants, hardening, validation des configurations, implémentation d’une DMZ, etc. 

Ces intrusions peuvent donner lieu à la compromission des données (mailboxes) ou à des changements de configuration.  Néanmoins, parfois, il n’est pas nécessaire de pénétrer sur un serveur pour le détourner de ses usages : une mauvaise configuration peut laisser à un attaquant la possibilité d’exploiter le serveur pour son bénéfice.  C’est par exemple le cas des serveurs mails configurés en “Open Relay”, acceptant de relayer des messages venant d’origine ou étant destinés à d’autres domaines que le domaine local.  Ces Open Relays sont très utiles pour la génération du courrier indésirable, que nous aborderons plus loin.   E

7.2.3. Menaces sur la disponibilité

La disponibilité du service mail, tout comme la plupart des services Internet, est vulnérable à deux types d’attaques : 

  • La compromission des serveurs, déjà mentionnée plus haut.  L’utilisation en tant qu’Open Relay pour la génération des spams, par exemple, peuvent amener très vite le serveur à se retrouver blacklisté, et donc de-facto indisponible.  
  • Les attaques par déni de services. Bien qu’une telle attaque puisse provenir de l’intérieur, elle se produira souvent depuis l’Internet, et ciblera donc logiquement l’agent MTA, accessible publiquement.  Un système de surveillance de la charge permettra de repérer du traffic anormal et de prendre les contre-mesures pour mitiger l’attaque DoS, souvent en coopération avec le fournisseur d’accès.  

7.2.4. Le courrier indésirable

En plus des menaces déjà abordées, l’email souffre d’une menace particulière : le spam

Spam - Monty Python

[Le mot "spam" vient d'un sketch des Monty Python](https://en.wikipedia.org/wiki/Spam_%28Monty_Python_sketch%29)

D’après Wikipédia, “Le spam, courriel indésirable ou pourriel est une communication électronique non sollicitée, en premier lieu via le courrier électronique. Il s’agit en général d’envois en grande quantité effectués à des fins publicitaires.”

Le spam par email a un impact important sur la bande passante, sur la mémoire des serveurs et sur la taille des mailboxes.  En 2008, une enquête de Sophos aurait estimé que 92% des emails échangés sur Internet étaient du spam.  En 2021, Kaspersky estime cette proportion à 46% .  Notons que le spam existe aussi via d’autres moyens de communication (sms, VoIP, usenet, …) 

Le spam a également un impact sur la productivité des employés, par le temps passé à trier les messages indésirables.  

Pour envoyer du spam, il faut pouvoir utiliser une adresse source en apparence légitime.  Pour cela, plusieurs techniques sont possibles : Spoofer une adresse existante, ou encore, créer automatiquement des comptes email chez des fournisseurs peu regardants.  

Pour l’adresse destination, plusieurs techniques sont également possibles : l’utilisation de crawlers pour récolter des adresses mail sur des sites web, l’achat de liste d’adresses, les attaques par dictionairnaire, les virus/spywares, ou encore, la récolte d’adresse via des hoax.  

Enfin, l’envoi en lui-même nécessite l’utilisation de serveurs SMTP, tels que les serveurs en Open Relay mentionnés plus haut.  Des “botnets”, réseaux de “machines-zombies” (machines piratées), servent également de force d’envoi.  

Le spam est également le vecteur d’un autre type d’attaque : le phishing.  Dans ce cas, le courrier indésirable contient un message apparaissant d’une source légitime (ex : banque), et incitant la victime à divulguer des informations sensibles (mots de passes, numéro de carte, …) 

Pour limiter la transmission de spam, des filtres sont utilisés à différents niveaux (MUA, MTA, MDA, etc.) pour détecter les courriers indésirables selon des patterns identifiés.  Ces filtres peuvent être complétés via des black lists (liste d’adresses à filtrer) et des white lists (liste d’adresses à autoriser).  Un filtre anti-spam populaire et ayant fait ses preuves et SpamAssassin, publié par la fondation Apache et utilisable avec de nombreux MTA. 

Les fournisseurs et autorités judiciaires ont également un rôle à jouer dans la lutte anti-spam.  Le démantèlement de réseaux de botnets générateurs de spam  et la condamnation de hackers ont permis de sensiblement (mais temporairement) diminuer le traffic mondial de spam.