Le courrier électronique est le service le plus répandu sur un réseau, du fait de son utilisation courante par la quasi-totalité des utilisateurs d’un réseau. C’est également l’un des services les plus vulnérables.
Le serveur de courrier se compose de trois parties :
- un serveur, qui reçoit le courrier ou l’envoie ;
- un agent de livraison, qui met le courrier dans la boîte de son destinataire ;
- un agent utilisateur, qui permet à l’utilisateur de lire son courrier et d’en écrire.
Trois types d’attaques sont susceptibles d’agir contre un serveur de courrier :
- l’attaque par canal de commandes : le serveur est vulnérable aux attaques par les commandes qu’il reçoit de l’extérieur ;
- l’attaque par biais de données : l’agent utilisateur et l’agent de livraison sont sensibles aux messages eux-mêmes ;
- le bogue de lignes de commandes : un programme peut faire l’objet d’une manipulation frauduleuse par quelqu’un qui arriverait à le contrôler.
Les échanges de courrier entre serveurs sont en général gérés par le protocole Simple Mail Transfert Protocol. Le serveur SMTP examine l’adresse de destination du courrier et va le relayer vers un autre serveur ou va le délivrer en local, dans les deux cas après avoir modifié les entêtes.
POP ( Post Office Protocol) est un protocole client-serveur, qui permet à un utilisateur d’accéder à son courrier électronique à partir d’une machine cliente, alors que le courrier est sur un serveur distant.
Les problèmes de sécurité du protocole POP se posent sur le manque de confidentialité lors des échanges de données, telles que le mot de passe utilisé pour se connecter, ou bien le texte du courrier qui est consulté.
On tolère les connexions POP sortantes, mais pas celles entrantes. C’est le cas lorsqu’un utilisateur consulte sa messagerie (sur le serveur) depuis l’extérieur. Ici aussi se pose le problème de la confidentialité des échanges. S’il est nécessaire d’utiliser des connexions POP entrantes, on va chercher à limiter ces connexions sur un seul serveur tournant sur un seul hôte, afin de limiter la quantité d’informations qui passe, mais également le nombre de comptes clients vulnérables.
Le mécanisme MIME (Multimédia Internet Mail Extensions) permet de supporter des données contenues dans des messages qui ne soient pas du texte ASCII (comme des images, du son, l’utilisation de fontes diverses, etc.).
Bien qu’utilisé, à l’origine, pour les systèmes de messagerie, la principale utilisation de MIME se fait au niveau des navigateurs Internet et des serveurs Web, pour décrire le format de chaque page. En conséquence de quoi les faiblesses de MIME sont celles qui se posent pour un serveur Web.
Le serveur SENDMAIL est un agent de transfert de messages utilisé sur de nombreux systèmes UNIX. SENDMAIL est un serveur extensible hautement configurable et de paramétrage relativement complexe. SENDMAIL et ses protections de sécurité ont beaucoup progressé ces dernières années mais cela reste un programme énorme comptant plus de 80 000 lignes de code. Dès lors, les probabilités de trouver de nouvelles vulnérabilités de sécurité du logiciel SENDMAIL restent élevées (la dernière vulnérabilité découverte date du mois de février 2003 avec un accès root possible via un débordement de tampon !!!).
Le programme Postfix est un système complexe. La version initiale est composée de 30,000 lignes de code (après suppression des commentaires). Avec un système aussi complexe, la sécurité ne peut dépendre d'un seul mécanisme. Dans le cas contraire, une seule erreur peut suffire à compromettre tout le système. Par conséquent, Postfix utilise plusieurs lignes de défense pour maîtriser les dommages issus des logiciels et autres erreurs. Cet ensemble de programmes est un exemple de développement prenant en compte la sécurité dès la conception et très peu de vulnérabilités ont été découvertes.
La plupart des démons de Postfix peuvent être lancés avec de faibles privilèges dans un environnement encagé (chroot). C'est particulièrement vrai pour les programmes visibles du réseau : le serveur et le client SMTP. Bien que le mécanisme chroot même combiné avec des privilèges restreints, ne soit pas une garantie contre la compromission, il ajoute un obstacle considérable.
Le programme Postfix utilise des processus séparés pour isoler l'activité de chacun. En particulier, il n'y a aucun chemin direct entre le réseau et le programme sensible du point de vue de la sécurité : l'agent local de livraison. Un intrus doit passer au travers de plusieurs programmes. Certaines parties du système Postfix utilisent de multiples threads. La séparation des processus fournit un meilleur cloisonnement que de multiples threads avec un espace mémoire partagé.
Aucun programme de livraison du programme Postfix ne fonctionne sous le contrôle d'un processus d'utilisateur. Au lieu de cela, la plupart des programmes sont sous le contrôle d'un programme résident principal qui lui-même fonctionne dans un environnement contrôlé, sans aucune relation parent-enfant avec les processus utilisateurs. Cette approche élimine les vulnérabilités sur les signaux, les fichiers ouverts, les variables d'environnement et autres attributs de processus que le système UNIX passe depuis un parent potentiellement malveillant à un processus fils.
Aucun programme de Postfix n'utilise le dispositif set-uid. L'introduction de ce concept fut une énorme erreur commise dans l'histoire d'Unix. Le mécanisme du Set-uid cause plus d'ennui qu’il n’apporte d’avantages.
Les programmes de Postfix n'accordent aucune confiance aux données reçues depuis le réseau. En particulier, Postfix filtre les données issues de l'expéditeur avant de les exporter via des variables d'environnement.
De manière à prévenir les vulnérabilités de débordement de tampon, les programmes Postfix allouent dynamiquement la mémoire et les buffers nécessaires à son fonctionnement.
Les longues lignes d'un message entrant sont coupées en séquences de taille raisonnable et sont reconstruites à la livraison.
Les diagnostics sont tronqués (en un seul endroit!) avant d'être passés à l'interface syslog, afin de prévenir les débordement de tampon sur les anciennes plateformes. Cependant, aucune donnée n'est tronquée avant d'être passée à un appel système ou une routine. Sur certaines plateformes, le logiciel peut malgré tout avoir des problèmes de débordement de tampon, suite à des vulnérabilités dans le logiciel sous-jacent.
Il est à noter qu’aucune tentative n'est faite pour se protéger contre les trop longs arguments en ligne de commande.
Le nombre d'instances en mémoire de chaque type d'objets est limité, pour éviter au système de mail de ployer sous la charge. En cas de problème, le logiciel fait une pause avant d'envoyer une réponse d'erreur au client, avant de se terminer avec une erreur fatale ou avant de tenter de redémarrer un programme ayant échoué. Le but est de prévenir les états d'emballement.
Le logiciel Exchange 2000 Server de Microsoft offre plusieurs fonctionnalités de sécurité et tire profit des fonctionnalités de sécurité Windows pour le contrôle d'accès et l'audit.
Exchange 2000 Server est pleinement intégré au modèle de sécurité de Windows 2000. À l'aide de Microsoft Active Directory, un administrateur qui dispose de tous les droits au sein de l'organisation Exchange peut assigner des tâches d'administration particulières à des subordonnés au sein de toute l'organisation ; par exemple, un administrateur de boîte aux lettres peut être en mesure de créer de nouveaux comptes et de changer les autorisations pour les boîtes aux lettres, mais ne pas être autorisé à modifier les propriétés d'un connecteur.
Windows 2000 fournit une authentification Kerberos unique à la connexion, ce qui évite d'avoir à maintenir un schéma d'authentification séparé et des informations d'identification utilisateur pour le système de messagerie. Kerberos garantit que les mots de passe ne sont jamais transmis via un réseau en texte clair.
Au sein du logiciel Exchange 2000, il est possible de spécifier un nombre maximal de connexions simultanées ainsi qu'une taille maximale et un nombre maximal de messages pouvant être envoyés pour chaque connexion. Il est également possible d’établir des stratégies coût-routage, définir des limites de taille pour les messages électroniques et les boîtes aux lettres et limiter le nombre maximal de destinataires pour chaque message. Ces fonctionnalités peuvent permettre de limiter les risques contre les attaques de déni de service.
L'accès aux systèmes de messagerie Exchange Server se fait la plupart du temps via les stations de travail clientes. Fournir une sécurité aux clients est tout aussi important que fournir une sécurité aux serveurs, messages électroniques et réseaux.
Étant donné que Exchange 2000 Server utilise le modèle de sécurité Windows, y compris l'authentification Kerberos, il est possible de limiter l'accès aux stations de travail à l'aide des mêmes comptes et groupes de sécurité que ceux utilisés pour spécifier l'accès aux ressources Exchange. Il est également possible de limiter les emplacements et les horaires d'accès.
Contrairement aux ordinateurs qui exécutent Exchange, les ordinateurs clients ne sont probablement pas dans un emplacement physiquement sécurisé. De manière à empêcher l'accès non autorisé aux messages électroniques stockés sur les ordinateurs clients, il est possible de stocker les fichiers de données clients sur des volumes qui utilisent le système de fichiers de fichiers encryptés de Windows 2000.
Exchange 2000 bénéficie des possibilités d’utilisation de VPN et/ou IPSec offertes par Windows 2000.
Exchange 2000 prend en charge SSL/TLS pour l'authentification et le chiffrement entre client et le serveur au niveau des applications. Les applications clientes Exchange qui peuvent communiquer au moyen de TLS ou SSL peuvent être configurées pour utiliser ces protocoles pour les connexions en mode WebMail, POP version 3, IMAP version 4rev1, NNTP et LDAP.
Exchange 2000 Server offre la possibilité de signer et/ou de chiffrer les messages à l'aide du protocole standard S/MIME (cf. paragraphe 7.2.7 - ). De plus, Outlook prend en charge les plug-ins clients tiers pour la méthode PGP (cf paragraphe 7.2.2 - ) et autres méthodes de chiffrement.
La sécurité a toujours été le secteur préférentiel de positionnement des logiciels Lotus. La version 6 du logiciel Lotus Notes ne déroge pas à la règle en mettant en place un certain nombre de dispositifs de sécurité dont les principaux sont listés ci-dessous :
- Lotus Notes implémente une infrastructure de gestion de clés sur l’ensemble des dispositifs de messagerie : tous les messages envoyés entre serveurs sont ainsi automatiquement chiffrés ;
- Lotus Notes permet la mise en place de listes de contrôle d’exécution (ECL pour Exécution Control Lists) permettant de définir le domaine d’exécution (serveur, application, ressources réseau) dans lequel un programme exécutable ou un script peut s’exécuter ;
- Lotus Notes permet la mise en place de politiques de sécurité permettant de définir l’ensemble des paramètres de sécurité (emplacement des certificats utilisables dans l’IGC, méthodes d’authentification des utilisateurs, …).
- Lotus Notes implémente un certain nombre de dispositifs permettant de lutter contre les messages indésirables (SPAM).
Ce logiciel de messagerie présente un grand nombre d’avantages d’un point de vue sécurité. Toutefois le choix de construire un logiciel présentant plusieurs dizaine de milliers de lignes de code se retourne quelquefois contre la société : un certain nombre de vulnérabilités sont régulièrement découvertes sur Lotus Notes obligeant les sociétés à effectuer des mises à jour de sécurité fréquentes (sans parler des mises à jour logicielles elles mêmes particulièrement nombreuses).