Depuis les diverses campagnes de ransomwares et la médiatisation des fraudes au président dans lesquelles le mail est un vecteur d’infection ou d’arnaque essentiel, les entreprises s’intéressent à nouveau à la sécurité de la messagerie. En complément des solutions existantes (IP réputation, anti-spam, antivirus sur signature, etc) des nouveautés ou des améliorations des fonctions existantes dessinent un nouvel état de l’art de la sécurité de la messagerie. Au moment où se tient le M3AAWG à Paris, je voulais faire un état des lieux de cet état de l’art.
Comme le sujet est vaste, j’y consacrerai deux articles. Je vais aborder dans ce premier billet les aspects de lutte contre la fraude et les mails forgés ainsi que la lutte contre les menaces avancées (APTs).
Lutte contre la fraude et les mails forgés
La lutte contre la fraude et les mails forgés est un des domaines les plus complexes à adresser. Ces fraudes rapportant beaucoup d’argent, les pirates vont prendre le temps de crédibiliser leurs actions en collant au plus près aux process de l’entreprise et en créant (forgeant) des mails en fonction des cibles. En raison de leur sophistication, mélange de technique et d’ingénierie sociale, les attaques passent souvent sous le radar des anti-spams traditionnels. Pour lutter contre ce fléau de nouvelles solutions émergent en plus de la mise en place de process stricts et de solutions de chiffrement / signature électronique des messages.
Parmi les solutions pour lutter contre le spear-phishing les relais doivent comporter des mécanismes de détection des messages cherchant à imiter des adresses légitimes. L’analyse doit se faire sur l’ensemble des champs (From, Sender…) pour détecter les tentatives de fraudes. L’analyse doit également prendre en compte la façon dont les adresses du domaine protégé sont construites. Si la norme est : prénom.nom @nom-de-domaine, tout mail formaté de la façon initiale suivante prénom.nom @nom-de-domane devra être considéré comme suspect. La partie gauche n’est pas standard et la partie droite de l’adresse est clairement une tentative d’imitation du nom de domaine (même s’il a été déposé et existe réellement). Certaines solutions permettent même de définir une liste de VIPs à protéger spécifiquement. On pense bien sûr aux responsables de l’entreprise, mais dans le cas des fraudes au président toute personne susceptible d’effectuer des virements devrait être spécifiquement protégée.
Dans le domaine de la lutte contre le phishing, il est essentiel de détecter les sites web malicieux cherchant à capturer des informations personnelles. Il est donc essentiel que les relais soient capables d’examiner les liens URLs contenus dans les messages pour s’assurer que l’utilisateur n’est pas incité à visiter un site web contrefait. A cette analyse d’URL, on peut également ajouter un mécanisme de réécriture des URLs pour rediriger les utilisateurs vers un proxy au moment du clic. En effet lors de l’analyse, l’URL peut être considérée comme légitime mais ne plus l’être quelques heures plus tard au moment où l’utilisateur cherche à accéder au site. Il faut donc coupler une analyse initiale à une analyse en temps réel au travers d’un proxy. Ces solutions existent déjà chez certains éditeurs, mais devraient se généraliser rapidement.
Aujourd’hui un moteur d’analyse des URLs contenues dans les messages et un mécanisme de détection de fausses adresses mail sont donc indispensables.
Lutte contre les APTs
Les campagnes d’infection par les ransomwares ont montré la nécessité de doter les relais sécurisés de protections avancées contre les menaces. La demande croissante pour du Sandboxing pour tester les pièces jointes des mails en est la preuve. Le but de la Sandbox est de simuler un comportement humain dans un espace de travail virtualisé pour examiner le comportement de la pièce jointe potentiellement malicieuse. Son efficacité dépendra souvent du temps d’analyse et de sa capacité à contrer les techniques d’évasion mise en place par les pirates.
Le routage d’un mail étant un processus asynchrone : il est plus aisé, et plus légitime, de placer une Sandbox en coupure du flux SMTP que pour d’autres protocoles. Il est également plus facile de retenir un mail le temps d’analyser une pièce jointe suspecte que de retenir un fichier téléchargé depuis un site web ! Cependant, l’utilisation d’une Sandbox en coupure du flux est à double tranchant. Un réglage trop strict va générer un nombre important de faux positifs et nécessité un traitement manuel important. Un réglage trop permissif va laisser passer des menaces dangereuses pour les utilisateurs. Si l’on part du principe qu’une Sandbox est une sécurité additionnelle par rapport à l’anti-spam et l’anti-virus traditionnels, il me semble logique de ne pas mettre le curseur trop haut du moins dans une première phase de déploiement pour éviter de consacrer trop de temps à l’analyse des alertes. En revanche si la Sandbox est dotée d’un moteur de ré-analyse des pièces jointes, c’est un vrai plus.
Le principe de fonctionnement est simple : la solution garde trace de toute pièce jointe qui a été analysée et délivrée à l’utilisateur. Si après ré analyse du fichier celui-ci est considéré comme malveillant (par exemple, la charge virale ne se déclenchant que plusieurs jours après la délivrance) l’administrateur est notifié qu’une pièce jointe infectée a été délivrée à un utilisateur.
L’administrateur pourra prendre les actions correctives nécessaires pour supprimer la pièce jointe malveillante.
Dans la lutte contre les menaces avancées, une Sandbox directement intégrée au relais, capable de retenir les mails durant l’analyse et surtout dotée d’une analyse en continue est indispensable pour limiter les risques d’infection.
Les fonctions décrites ci-dessus existent déjà chez certains éditeurs ou sont en cours de développement et sont pour moi la norme aujourd’hui. Mais ne sont pas les seules. Dans un prochain article, j’aborderai la partie utilisation des DNS et l’apport des CASBs dans la sécurité du mail. Bien entendu si vous pensez que votre protection n’est pas à l’état de l’art et si vous recevez un mail suspect, que ce soit sur votre boite mail ou votre téléphone, réfléchissez avant de cliquer !
Philippe Macia
Pour aller plus loin
Les cryptowares deviendront-ils le facteur majeur de pertes de données en 2016
Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.