S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 mars 2009
N^o CERTA-2000-INF-002-001

Affaire suivie par :

CERTA

NOTE D'INFORMATION DU CERTA

Objet : Mesures de prévention relatives à la messagerie

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-002

Gestion du document

Tableau 1: gestion du document

Référence	CERTA-2000-INF-002-001
Titre	Mesures de prévention relatives à la messagerie
Date de la première version	15 mai 2000
Date de la dernière version	27 mars 2009
Source(s)
Pièce(s) jointe(s)	Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

Résumé

Les événements liés à la diffusion rapide de nombreux vers, ont mis en évidence à la fois le manque de précaution de la part des utilisateurs dans la gestion des courriels et l'utilisation trop généreuse du paramétrage par défaut des logiciels de navigation ou de messagerie. Cette note d'information s'adresse aux utilisateurs finaux, elle a pour but de leur rappeler les règles élémentaires de traitement des messages et de livrer un guide pratique de paramétrage pour mettre en place ces règles dans les applications les plus courantes.

1 Règles élémentaires

La messagerie électronique est sans doute un des services Internet le plus utilisé, le plus intuitif et elle est devenue un outil banal de communication. Cette aisance dans l'utilisation de la messagerie, la convivialité des logiciels, leur utilisation immédiate et sans formation spécifique, s'est faite au détriment des règles élémentaires de sécurité.

Différents codes malveillants ont clairement montré l'étendue des dégâts provoqués par une simple et à priori anodine pièce jointe. La sensibilisation à ce type d'attaque n'est donc plus à faire. En revanche les réactions suivantes, simples et concrètes, propres au comportement individuel et à la responsabilité de chacun, sont essentielles pour au mieux prévenir de nouvelles attaques de ce type et au pire en diminuer les effets.

1.1 Généralités

Les règles suivantes sont d'ordre général et font appel au bon sens ou, tout du moins, à une attention élémentaire.

Méfiez-vous des choses bizarres !

Votre boîte à lettres est remplie de messages provenant d'expéditeurs différents et contenant le même titre : méfiez-vous et contactez votre responsable sécurité. Téléphonez à un des expéditeurs que vous connaissez, pour lui demander s'il est bien à l'origine de cet envoi.
Restez vigilant si un correspondant que vous connaissez bien et avec qui vous échangez régulièrement du courrier en français, vous fait parvenir un message avec un titre en anglais (ou tout autre langue).
Les pirates jouent avec les mots ou les images, avec leur sens et l'intérêt qu'ils suscitent. Ils ont l'art d'attiser la curiosité de leur cible (« Vous avez gagné 150 000 euros », « Meilleurs vœux » ...).
Si vous recevez un message d'alerte de virus ne provenant pas de votre responsable de sécurité, appelez immédiatement ce dernier. Les pirates exploitent une confiance trop aveugle en la messagerie.
Pour compliquer la tâche des attaquants, prenez l'habitude quand vous envoyez un message d'ajouter dans le corps du message l'objet précis de la pièce jointe ainsi que son nom avec l'extension (par exemple : « compte rendu de la réunion du ... »»). Ainsi un message ne comportant pas une indication de ce type sera suspect.

1.2 Règles techniques

Ne pas avoir confiance dans le nom de l'expéditeur

N'importe qui peut vous envoyer un message en se faisant passer pour un autre ! De même, un expéditeur peut à son insu, vous envoyer un message infecté (exemple : des virus exploitent le carnet d'adresses des clients de messagerie). Cela ne représente aucune difficulté technique. Vous devez admettre, que dans le domaine de la messagerie, il n'existe pas à priori d'expéditeur de confiance.

Ne jamais accepter de recevoir des messages au format HTML ou XML

Ce type de message présente deux risques majeurs :

A l'intérieur des pages HTML (balise du type <script>, <hidden> ou <iframe> par exemple) ou XML, des programmes du type JavaScipt, LotusScript, Visual Basic, Flash, Java ou ActiveX peuvent s'exécuter à votre insu, lorsque vous consultez en toute confiance la page web, ou que vous regardez une photo !
Ces pages peuvent faire référence à des liens hostiles, à partir desquels des programmes malveillants seront téléchargés, des informations vous concernant risquent aussi d'être récupérées (votre adresse de messagerie par exemple) ou votre vigilance d'être trompée (exemple : site de filoutage).

Interdire l'envoi de messages ou de pièces jointes au format HTML ou XML

À la suite de la règle précédente, il importe d'interdire à votre navigateur et à votre logiciel de messagerie d'envoyer des messages ou des pièces jointes dans les formats à balises du type HTML. D'une manière générale le format texte est préférable.

Toujours ouvrir une pièce jointe avec un éditeur de texte

Toute pièce jointe doit être systématiquement ouverte en premier avec un éditeur de texte (par exemple, bloc-note). Ainsi vous pouvez contrôler l'action d'un script en étudiant son code.

Ne pas se satisfaire des paramétrages par défaut

Les paramétrages par défaut des principaux logiciels de navigation ou de messageries sont trop permissifs et contraires aux principes élémentaires de précaution. Parfois les pièces jointes sont chargées automatiquement à l'ouverture du courrier.

Ne pas autoriser l'exécution systématique des ActiveX

Une solution préventive pour parer à l'action d'autres vers, consiste à désinstaller la fonction ActiveX d'exécution automatique des scripts Visual Basic.

Dans le doute

En cas de doute, détruisez le fichier ou donnez le à votre responsable sécurité. Ce dernier l'étudiera à partir d'un éditeur de texte ou l'exécutera sur une machine isolée de votre réseau.
Demander la configuration type à votre responsable de sécurité.

2 Guide pratique de paramétrage de la messagerie

Les règles élémentaires étant définies, il s'agit maintenant de décrire concrètement les paramétrages qu'elles imposent dans les logiciels les plus couramment utilisés.

2.1 Filtrage des messages

Le but de ces filtrages est de diminuer le risque de propagation de virus, par le biais des navigateurs et logiciels de messagerie, en interdisant l'envoi de messages au format HTML (Thunderbird, Outlook Express, Outlook), en interdisant le chargement automatique des messages ou des pièces jointes (Outlook Express, Thunderbird) et enfin en forçant l'affichage des courriels au format texte.

2.1.1 Thunderbird

Émission des messages

Paramétrage de Thunderbird interdisant l'envoi de messages au format HTML (cf. figure 1).

menu « Outils » ;
sous-menu « Paramètres des comptes...» ;
paramètre « Rédaction et adressage ».

Décocher « Rédiger les messages en HTML ».

**Figure:** Non au messages HTML émis par Thunderbird

Réception

Paramétrage de Thunderbird afin de lire les courriels au format texte sans inclure les pièces jointes (cf. figure 2)

menu « Affichage » ;
sous-menu « Corps du message en » ;
sélectionner « Texte seul ».

Afin de ne pas intégrer les pièces jointes au courriel, il suffit de décocher l'option « Afficher les pièces jointes dnas les messages » dans le menu « Affichage »

**Figure:** Affichage des messages au format texte dans Thunderbird, sans pièce jointe

En-têtes

Paramétrage de Thunderbird afin d'afficher les en-têtes complets des courriels (cf. figure 3)

menu « Affichage » ;
sous-menu « En-têtes » ;
sélectionner « Complets ».

**Figure:** Affichage des en-têtes complets des messages dans Thunderbird

2.1.2 Outlook Express

Émission des messages

Paramétrage d'Outlook Express afin d'interdire l'émission de messages au format HTML (figure 4).

Menu « Outils » ;
Sous-menu « Options » ;
Onglet « Envois ».

Sélectionner « texte brut » pour le paramètre « Format d'envoi du courrier ».

**Figure:** Paramétrage d'Outlook Express en émission

Réception

Paramétrage d'Outlook Express afin d'interdire le chargement automatique des pièces jointes et de forcer la lecture des messages au format texte (figure 5).

Menu « Outils » ;
Sous-menu « Options » ;
Onglet « Lecture ».

Décocher le champ « télécharger les messages automatiquement lors de l'affichage dans le volet de visualisation » et cocher « lire tous les messages en texte clair » .

**Figure:** Paramétrage d'Outlook Express en réception

En-têtes

Paramétrage d'Oulook Express afin d'afficher les en-têtes d'un courriel (cf. figure 6)

clic droit sur le message ;
menu « Propriétés » ;
onglet « Détails » ;
cliquer sur le bouton « Source du message ...».

**Figure:** Affichage des en-têtes complets d'un message dans Outlook Express

2.1.3 Outlook

Émission des messages

Paramétrage d'Outlook 2003 et 2007 afin de forcer l'émission des messages au format texte (figure 7).

Menu « Outils » ;
Sous-menu « Options » ;
Onglet « Format du courrier ».

Sélectionner « Texte brut » pour le champ « Format du message ».

**Figure:** Paramétrage d'Outlook en 2003 et 2007 en émission

Réception

Il s'agit de configurer Outlook 2003 afin de lire les courriels au format texte. (figures 8 et 9).

Menu « Outils » ;
Sous-menu « Options » ;
Onglet « Préférences » ;
cliquer sur le bouton « Options de la messagerie...».

Cocher la case « Lire tous les messages standard au format texte brut ».

**Figure 8:** Lecture des messages au format texte dans Outlook 2003

**Figure 9:** Lecture des messages au format texte dans Outlook 2003

Il s'agit de configurer Outlook 2007 afin de lire les courriels au format texte. (figure 10).

Menu « Outils » ;
Sous-menu « Centre de gestion de la confidentialité...» ;
Menu « Sécurité de messagerie électronique » ;

Cocher la case « Lire tous les messages standard au format texte brut ».

**Figure 10:** Lecture des messages au format texte dans Outlook 2007

En-têtes

Paramétrage d'Oulook 2003 afin d'afficher les en-têtes d'un courriel (cf. figure 11)

clic droit sur le message ;
menu « Options ».

Les en-têtes apparaissent dans le cadre signalé en rouge sur la figure 11.

**Figure:** Affichage des en-têtes complets d'un message dans Outlook 2003

2.1.4 Internet Explorer

Il s'agit ici de désactiver l'exécution automatique de scripts (JavaScript, Java, ActiveX, ...) dans le navigateur (figure 12 et 13).

Ouvrir Internet Explorer ;
Menu « Outils » ;
Sous-menu « Options Internet » ;
Onglet « sécurité » ;
bouton « personnaliser le niveau...».

Dans le champ « Contrôles ActiveX et Plug-ins » et « Scripts » : Déactiver tout.

**Figure:** Ne pas installer la fonction d'exécution automatique d'ActiveX

**Figure:** Ne pas installer la fonction d'exécution automatique de scripts

2.2 Masquage des extensions (Windows)

Par défaut Windows est configuré pour masquer les extensions (par exemple .doc dans le cas d'un fichier Word) des fichiers. Ainsi quand une pièce jointe s'appelle « jetaime.txt.vbs », seule la dernière extension sera prise en compte et masquée à l'affichage, faisant donc croire à l'utilisateur qu'il s'agit d'un fichier texte au nom de « jetaime.txt ».

Réaction

: Modification du paramétrage (figure 14).

Ouvrir l'explorateur Windows ;
Menu « Outils » ;
Sous-menu « Options des dossiers...» ;
Onglet « Affichage » ;

Décocher « Masquer les extensions des fichiers dont le type est connu ».

**Figure 14:** Non masquage des extensions de fichier

3 Conclusion

Ces règles peuvent sembler contraignantes, mais elles correspondent aux bonnes pratiques pour la sécurité de votre messagerie. A titre indicatif, la quasi totalité des codes malveillants mutent ou sont modifiés afin de produire de nouvelles versions. Cela signifie qu'un anti-virus même à jour ne réagira peut être pas à l'attaque de l'un deux, alors que les paramétrages proposés offrent un sas de sécurité.

Gestion détaillée du document

15 mai 2000: version initiale.
2 janvier 2001: corrections typographiques.
27 mars 2009: mise à jour de la note d'information.

CERTA
2012-01-04