Ce document est obsolète et ne sera pas mis à jour. Veuillez vous référer aux documentations techniques disponibles sur le site de l’ANSSI : https://www.ssi.gouv.fr/

1 Règles élémentaires

La messagerie électronique est sans doute un des services Internet le plus utilisé, le plus intuitif et elle est devenue un outil banal de communication. Cette aisance dans l’utilisation de la messagerie, la convivialité des logiciels, leur utilisation immédiate et sans formation spécifique, s’est faite au détriment des règles élémentaires de sécurité.

Différents codes malveillants ont clairement montré l’étendue des dégâts provoqués par une simple et à priori anodine pièce jointe. La sensibilisation à ce type d’attaque n’est donc plus à faire. En revanche les réactions suivantes, simples et concrètes, propres au comportement individuel et à la responsabilité de chacun, sont essentielles pour au mieux prévenir de nouvelles attaques de ce type et au pire en diminuer les effets.

1.1 Généralités

Les règles suivantes sont d’ordre général et font appel au bon sens ou, tout du moins, à une attention élémentaire.

Méfiez-vous des choses bizarres !
  1. Votre boîte à lettres est remplie de messages provenant d’expéditeurs différents et contenant le même titre : méfiez-vous et contactez votre responsable sécurité. Téléphonez à un des expéditeurs que vous connaissez, pour lui demander s’il est bien à l’origine de cet envoi.
  2. Restez vigilant si un correspondant que vous connaissez bien et avec qui vous échangez régulièrement du courrier en français, vous fait parvenir un message avec un titre en anglais (ou tout autre langue).
  3. Les pirates jouent avec les mots ou les images, avec leur sens et l’intérêt qu’ils suscitent. Ils ont l’art d’attiser la curiosité de leur cible (« Vous avez gagné 150 000 euros », « Meilleurs vœux » …).
  4. Si vous recevez un message d’alerte de virus ne provenant pas de votre responsable de sécurité, appelez immédiatement ce dernier. Les pirates exploitent une confiance trop aveugle en la messagerie.
  5. Pour compliquer la tâche des attaquants, prenez l’habitude quand vous envoyez un message d’ajouter dans le corps du message l’objet précis de la pièce jointe ainsi que son nom avec l’extension (par exemple : « compte rendu de la réunion du … »»). Ainsi un message ne comportant pas une indication de ce type sera suspect.

1.2 Règles techniques

Ne pas avoir confiance dans le nom de l’expéditeur
N’importe qui peut vous envoyer un message en se faisant passer pour un autre ! De même, un expéditeur peut à son insu, vous envoyer un message infecté (exemple : des virus exploitent le carnet d’adresses des clients de messagerie). Cela ne représente aucune difficulté technique. Vous devez admettre, que dans le domaine de la messagerie, il n’existe pas à priori d’expéditeur de confiance.
Ne jamais accepter de recevoir des messages au format HTML ou XML
Ce type de message présente deux risques majeurs :
  1. A l’intérieur des pages HTML (balise du type <script>, <hidden> ou <iframe> par exemple) ou XML, des programmes du type JavaScipt, LotusScript, Visual Basic, Flash, Java ou ActiveX peuvent s’exécuter à votre insu, lorsque vous consultez en toute confiance la page web, ou que vous regardez une photo !
  2. Ces pages peuvent faire référence à des liens hostiles, à partir desquels des programmes malveillants seront téléchargés, des informations vous concernant risquent aussi d’être récupérées (votre adresse de messagerie par exemple) ou votre vigilance d’être trompée (exemple : site de filoutage).
Interdire l’envoi de messages ou de pièces jointes au format HTML ou XML
À la suite de la règle précédente, il importe d’interdire à votre navigateur et à votre logiciel de messagerie d’envoyer des messages ou des pièces jointes dans les formats à balises du type HTML. D’une manière générale le format texte est préférable.
Toujours ouvrir une pièce jointe avec un éditeur de texte
Toute pièce jointe doit être systématiquement ouverte en premier avec un éditeur de texte (par exemple, bloc-note). Ainsi vous pouvez contrôler l’action d’un script en étudiant son code.
Ne pas se satisfaire des paramétrages par défaut
Les paramétrages par défaut des principaux logiciels de navigation ou de messageries sont trop permissifs et contraires aux principes élémentaires de précaution. Parfois les pièces jointes sont chargées automatiquement à l’ouverture du courrier.
Ne pas autoriser l’exécution systématique des ActiveX
Une solution préventive pour parer à l’action d’autres vers, consiste à désinstaller la fonction ActiveX d’exécution automatique des scripts Visual Basic.
Dans le doute
  1. En cas de doute, détruisez le fichier ou donnez le à votre responsable sécurité. Ce dernier l’étudiera à partir d’un éditeur de texte ou l’exécutera sur une machine isolée de votre réseau.
  2. Demander la configuration type à votre responsable de sécurité.

2 Guide pratique de paramétrage de la messagerie

Les règles élémentaires étant définies, il s’agit maintenant de décrire concrètement les paramétrages qu’elles imposent dans les logiciels les plus couramment utilisés.

2.1 Filtrage des messages

Le but de ces filtrages est de diminuer le risque de propagation de virus, par le biais des navigateurs et logiciels de messagerie, en interdisant l’envoi de messages au format HTML (Thunderbird, Outlook Express, Outlook), en interdisant le chargement automatique des messages ou des pièces jointes (Outlook Express, Thunderbird) et enfin en forçant l’affichage des courriels au format texte.

2.1.1 Thunderbird

Émission des messages

Paramétrage de Thunderbird interdisant l’envoi de messages au format HTML (cf. figure 1).

  • menu « Outils » ;
  • sous-menu « Paramètres des comptes…» ;
  • paramètre « Rédaction et adressage ».

Décocher « Rédiger les messages en HTML ».

Figure 1: Non aux messages HTML émis par Thunderbird
Image thunderbirdemission

Réception

Paramétrage de Thunderbird afin de lire les courriels au format texte sans inclure les pièces jointes (cf. figure 2)

  • menu « Affichage » ;
  • sous-menu « Corps du message en » ;
  • sélectionner « Texte seul ».

Afin de ne pas intégrer les pièces jointes au courriel, il suffit de décocher l’option « Afficher les pièces jointes dnas les messages » dans le menu « Affichage »

Figure 2: Affichage des messages au format texte dans Thunderbird, sans pièce jointe
Image thunderbirdreception

En-têtes

Paramétrage de Thunderbird afin d’afficher les en-têtes complets des courriels (cf. figure 3)

  • menu « Affichage » ;
  • sous-menu « En-têtes » ;
  • sélectionner « Complets ».

Figure 3: Affichage des en-têtes complets des messages dans Thunderbird
Image thunderbirdentete

2.1.2 Outlook Express

Émission des messages

Paramétrage d’Outlook Express afin d’interdire l’émission de messages au format HTML (figure 4).

  • Menu « Outils » ;
  • Sous-menu « Options » ;
  • Onglet « Envois ».

Sélectionner « texte brut » pour le paramètre « Format d’envoi du courrier ».

Figure 4: Paramétrage d’Outlook Express en émission
Image outlookexpressemission

Réception

Paramétrage d’Outlook Express afin d’interdire le chargement automatique des pièces jointes et de forcer la lecture des messages au format texte (figure 5).

  • Menu « Outils » ;
  • Sous-menu « Options » ;
  • Onglet « Lecture ».

Décocher le champ « télécharger les messages automatiquement lors de l’affichage dans le volet de visualisation » et cocher « lire tous les messages en texte clair » .

Figure 5: Paramétrage d’Outlook Express en réception
Image outlookexpressreception

En-têtes

Paramétrage d’Oulook Express afin d’afficher les en-têtes d’un courriel (cf. figure 6)

  • clic droit sur le message ;
  • menu « Propriétés » ;
  • onglet « Détails » ;
  • cliquer sur le bouton « Source du message …».

Figure 6: Affichage des en-têtes complets d’un message dans Outlook Express

2.1.3 Outlook

Émission des messages

Paramétrage d’Outlook 2003 et 2007 afin de forcer l’émission des messages au format texte (figure 7).

  • Menu « Outils » ;
  • Sous-menu « Options » ;
  • Onglet « Format du courrier ».

Sélectionner « Texte brut » pour le champ « Format du message ».

Figure 7: Paramétrage d’Outlook en 2003 et 2007 en émission
Image outlookemission

Réception

Il s’agit de configurer Outlook 2003 afin de lire les courriels au format texte. (figures 8 et 9).

  • Menu « Outils » ;
  • Sous-menu « Options » ;
  • Onglet « Préférences » ;
  • cliquer sur le bouton « Options de la messagerie…».

Cocher la case « Lire tous les messages standard au format texte brut ».

Figure 8: Lecture des messages au format texte dans Outlook 2003
Image outlookreception

Figure 9: Lecture des messages au format texte dans Outlook 2003
Image outlookreception2

Il s’agit de configurer Outlook 2007 afin de lire les courriels au format texte. (figure 10).

  • Menu « Outils » ;
  • Sous-menu « Centre de gestion de la confidentialité…» ;
  • Menu « Sécurité de messagerie électronique » ;

Cocher la case « Lire tous les messages standard au format texte brut ».

Figure 10: Lecture des messages au format texte dans Outlook 2007
Image outlook2007reception

En-têtes

Paramétrage d’Oulook 2003 afin d’afficher les en-têtes d’un courriel (cf. figure 11)

  • clic droit sur le message ;
  • menu « Options ».

Les en-têtes apparaissent dans le cadre signalé en rouge sur la figure 11.

Figure 11: Affichage des en-têtes complets d’un message dans Outlook 2003
Image outlookentete

2.1.4 Internet Explorer

Il s’agit ici de désactiver l’exécution automatique de scripts (JavaScript, Java, ActiveX, …) dans le navigateur (figure 12 et 13).

  • Ouvrir Internet Explorer ;
  • Menu « Outils » ;
  • Sous-menu « Options Internet » ;
  • Onglet « sécurité » ;
  • bouton « personnaliser le niveau…».

Dans le champ « Contrôles ActiveX et Plug-ins » et « Scripts » : Déactiver tout.

Figure 12: Ne pas installer la fonction d’exécution automatique d’ActiveX
Image ie

Figure 13: Ne pas installer la fonction d’exécution automatique de scripts
Image ie2

2.2 Masquage des extensions (Windows)

Par défaut Windows est configuré pour masquer les extensions (par exemple .doc dans le cas d’un fichier Word) des fichiers. Ainsi quand une pièce jointe s’appelle « jetaime.txt.vbs », seule la dernière extension sera prise en compte et masquée à l’affichage, faisant donc croire à l’utilisateur qu’il s’agit d’un fichier texte au nom de « jetaime.txt ».

Réaction
: Modification du paramétrage (figure 14).
  • Ouvrir l’explorateur Windows ;
  • Menu « Outils » ;
  • Sous-menu « Options des dossiers…» ;
  • Onglet « Affichage » ;

Décocher « Masquer les extensions des fichiers dont le type est connu ».

Figure 14: Non masquage des extensions de fichier
Image extension

3 Conclusion

Ces règles peuvent sembler contraignantes, mais elles correspondent aux bonnes pratiques pour la sécurité de votre messagerie. A titre indicatif, la quasi totalité des codes malveillants mutent ou sont modifiés afin de produire de nouvelles versions. Cela signifie qu’un anti-virus même à jour ne réagira peut être pas à l’attaque de l’un deux, alors que les paramétrages proposés offrent un sas de sécurité.