logo LMI n°744 - 28 novembre 1997
Solutions
MESSAGERIES
Des filtres contre la pub abusive
La protection spécifique des services de courrier électronique est encore trop rarement prise en compte. C'est regrettable, car les serveurs de messagerie commencent à souffrir de l'envoi de courrier électronique non sollicité à vocation généralement publicitaire, le redoutable «spam».
L'envoi de courrier électronique publicitaire non sollicité est le pendant électronique de la distribution de prospectus dans les boîtes aux lettres traditionnelles. Outre-Atlantique, ce procédé a été baptisé «spam». La récupération des adresses est simple, l'en-tête des messages de courrier électronique et de news comporte plusieurs champs (les headers) qui contiennent entre autres l'adresse électronique de l'expéditeur. Le moyen le plus simple d'éliminer ces messages, repose sur le logiciel client. La quasi-totalité d'entre eux proposent la possibilité de filtrer les messages en se basant sur leurs en-tête. Dès lors il est possible, une fois un expéditeur indésirable repéré, de rédiger des filtres qui détruiront, ou mettront de côté, automatiquement les messages portant son adresse. Simple en théorie, cette pratique requiert cependant un réglage sur chaque poste client et donc n'est pas toujours une solution simple à déployer en entreprise, d'autant que les adresses à filtrer sont changeantes. L'idéal est de pouvoir organiser le filtrage au niveau du serveur de courrier. Autre problème qui, pour l'instant, n'a pas encore trouvé de solution radicale, le filtrage classique du courrier se révèle de plus en plus inefficace car les entreprises qui recourent à ces pratiques ont trouvé le moyen de tricher sur l'adresse d'expéditeur. Les différents protocoles utilisés par le courrier électronique présupposent la bonne foi de l'expéditeur et ne prévoient pas de vérification des adresses fournies. Est ainsi née une nouvelle technique de contournement du filtrage qui a consisté dans un premier temps à indiquer une fausse adresse de retour, puis dans un second à pirater un serveur tiers.
Cette opération appelée «spoofing» consiste à accéder indûment à un serveur de messagerie mal protégé pour lui faire expédier le lot de messages. Pour Pierre Beyssac, spécialiste en sécurité chez Hervé Schauer Consultants (*): «Les responsables commencent à s'intéresser à la protection des systèmes de messagerie. C'est rarement une requête spontanée de la part de nos clients, souvent par ignorance des dispositifs permettant de lutter contre l'envoi en masse de messages non sollicités ou l'utilisation non autorisée des serveurs. Il n'y a pas encore de méthodes bien établies pour cela et celles qui existent ne sont pas suffisamment connues. Cela commence à poser problème car il y a de plus en plus de machines de sociétés utilisées par des "spammeurs" non plus en tant que destinataires mais en tant que relais. Ils choisissent une machine vulnérable au hasard sur Internet et s'en servent comme relais pour l'envoi de leurs messages».
LES PREMIÈRES ARMES APPARAISSENT
Dans ce dernier cas, le risque pour l'entreprise involontairement complice de l'expéditeur dépasse de très loin le simple désagrément que peut constituer la réception récurrente de messages publicitaires. La recherche d'un serveur de courrier facilement accessible accroît les motifs de piratage, la charge du serveur de courrier victime sera bien entendu augmentée, enfin, les destinataires mécontents risquent de retourner le courrier à son expéditeur… c'est-à-dire au serveur de messagerie utilisé pour l'envoi. La lutte contre l'envoi de courrier électronique non sollicité passe donc, outre les fonctions de filtrage, par une protection renforcée de l'accès au serveur de messagerie.
Les dispositifs de protection sont de deux ordres: protection du serveur de messagerie par le firewall du réseau pour éviter le «spoofing» et filtrage au niveau du serveur pour écarter les messages en provenance d'expéditeurs reconnus comme indésirables. Les fonctions de filtrage commencent seulement à être intégrées dans les logiciels serveur. Microsoft Exchange n'en propose pas pour l'instant , mais plusieurs tierces parties offrent des utilitaires externes capables de le faire.Trend Micro, par exemple, propose une version pour Exchange de Scan Mail qui effectue un filtrage sur le contenu des messages au niveau serveur.
Netscape vient d'intégrer des fonctions de filtrage dans le serveur de courrier inclus dans la suite SuiteSpot Hosting Edition 3.1, fonctions qui devraient se retrouver à terme sur les versions standards de Netscape Messaging Server. Le filtrage est assuré par Spam Control Plug In, une extension du serveur. D'autres logiciels comme NT Mail sous NT proposent d'ores et déjà de filtrer les messages comme à l'ESC de Tours (voir ci-dessous). Mais en attendant un système d'authentification des adresses, le filtrage restera un pis-aller.
La parade proposée par RSA:
une signature digitale
pour les adresses
La possibilité de filtrer les messages en provenance d'expéditeurs indésirables est de plus en plus souvent contournée par l'utilisation du «spoofing» qui consiste à tricher sur l'identité de l'expéditeur. Cette tricherie est facilitée par l'absence d'authentification de l'expéditeur par les protocoles de messagerie. Pour rendre possible cette authentification, l'éditeur américain RSA, spécialiste des systèmes de chiffrement (promoteur entre autres de S/Mime) vient d'annoncer la prochaine mise à disposition de DNSSafe, un ensemble de librairies permettant d'utiliser les signatures RSA sans les logiciels faisant appel au DNS. Pour ce faire, le logiciel de RSA s'appuie sur le protocole DNSSEC (Domain Name System Security Extension), une proposition de l'IETF permettant d'authentifier les adresses IP. La licence de DNSsafe a été remise symboliquement à ISC mais l'usage de DNSSafe sera possible librement pour une période de trois ans pour les autres développeurs de logiciels DNS. A charge ensuite lorsque le moteur logiciel DNSSafe sera disponible, aux différents éditeurs et fabricants de routeurs, firewalls et autres outils d'interconnexion d'implémenter cette fonctionnalité. Bien qu'utilisant des technologies de chiffrement à clef publique, ce dispositif devrait pouvoir être utilisé internationalement car il ne vise pas au chiffrement des données qui transitent, mais à la certification des adresses.

• DNS: Domain Name System. Ce terme est utilisé à la fois dans un sens générique pour désigner la traduction des numéros IP en noms de domaine et pour signaler les logiciels assurant ce travail.
• IETF: Internet Engineering Task Force, groupe de travail en charge des standards réseau utilisés sur Internet.
• ISC (Internet Software Consortium), un groupe de travail sans but lucratif auteur du logiciel BIND.
• BIND: logiciel serveur gratuit implémentant les spécifications DNS et qui constitue la base de référence de tous les autres logiciels du même type.
• S/MIME: standard pressenti pour le chiffrement du courrier électronique, concurrent de la proposition PGPMime.

LUC SAINT-ELIE
L'ESC de Tours anticipe le mouvement
L'Ecole supérieure de commerce de Tours compte 650 étudiants et entre 100 et 150 membres des corps professoral et administratif. L'ensemble de l'établissement est connecté à Internet depuis cette année, chacun possédant un compte de courrier électronique, les étudiants accédant fréquemment à leur compte depuis l'extérieur de l'établissement. Le service de courrier électronique repose sur un serveur NT Mail 3.02 pour la communication avec l'extérieur et un serveur Exchange pour la messagerie locale. En 45 jours, 15 000 messages ont été échangés.
Par ailleurs, le serveur de courrier gère une dizaine de listes de diffusion. Le réseau est protégé classiquement en entrée par un firewall. Le site est administré par Frédéric Bordage, chargé de mission intranet-Internet pour la Chambre de commerce et d'industrie de Touraine: «Lors de la mise en place du système, nous nous sommes renseignés, et il nous est apparu clairement que les écoles sont des sites sensibles en matière de messagerie. Tout d'abord parce que les étudiants forment une population remuante qui glorifie le mythe du hacker, et d'autre part parce que les sites scolaires sont les plus fréquemment visés». L'ESC n'a pas de dispositif spécifiquement anti-spam au niveau du firewall en entrée.
UNE SURVEILLANCE DÉLICATE
En revanche, il a été configuré pour empêcher les accès au POP3 depuis l'extérieur par un utilisateur n'appartenant pas à l'ESC pour éviter que de l'extérieur on puisse se faire passer pour quelqu'un appartenant à l'école, une méthode de piratage d'identité appelée spoofing. Le travail de vérification a lieu au niveau du serveur de messagerie NTMail qui ne laisse entrer ou sortir que les messages se trouvant dans une fourchette de taille déterminée. En effet, à l'usage, on constate que les attaques ont lieu en utilisant soit de tout petits paquets soit de gros paquets. Le serveur possède également un système basé sur un dictionnaire et détecte des mots clés pour éliminer les messages de pub en provenance de sites repérés comme tels. Les 650 étudiants de l'école sont avant tout 650 utilisateurs nomades qu'il faut protéger en aval d'un problème qui n'aurait pas été bloqué par les dispositifs du réseau. Pour cela, un petit proxy personnel distribué en shareware a été installé sur les postes: Active Spam Exterminator. Il permet lui aussi de filtrer le courrier entrant en se basant sur les en-tête. Pour Frédéric Bordage, le principal problème provient du manque de remontée d'informations par les serveurs des différents logiciels sur les alertes déclenchées: «Il est difficile de savoir quand a eu lieu une attaque et à quel moment elle a échoué autrement qu'en examinant en permanence les fichiers de log des serveurs, ce qui est un travail considérable que personne n'a le temps d'assurer».
(*) Un atelier sur le sujet, animé par Hervé Schauer, se déroulera lors des 2es rencontres françaises de l'Internet Society à Autrans.
© Copyright IDG Communications France-1997