Souris Libre

Je ne sais comment prendre cette annonce de la Commission Nationale de l’informatique et des Libertés qui aujourd’hui, nous informe à l’aide de 10 conseils, l’art et la manière de protéger son système d’information.Certes, c’est une idée louable, mais pourquoi aujourd’hui et surtout, pourquoi le contenu de celui-ci est si pauvre ? Car à vrai dire, je doute de l’efficacité de leur plan d’action lorsque l’on regarde de plus pret, ces dix conseils qui font appel au bon sens ou à l’évidence selon son point de vue.Étudions donc quelque peu, ces 10 conseils de la CNIL.

Le premier conseil : Adopter une politique de mot de passe rigoureuse : mot de passe individuel, difficile à deviner et secret.Évidemment, cela parait être une des choses les plus importantes qu’il soit, mais avons nous attendu que la CNIL nous le dise pour y réfléchir ? Disons qu’il s’agit ici d’un rappel plutôt que d’un réel conseil innovant.Cependant, il ne faut en aucun cas sous-estimer une politique de mot de passe stricte, certes déplaisante pour les utilisateurs, mais tellement efficace contre les attaques de type « Brute Force ».

Le second conseil : Concevoir une procédure de création et de suppression des comptes utilisateurs.On ne pense jamais assez à cela, en effet, il se pourrait que vos anciens employés, amère de leur départ, soit susceptible de venir visiter votre système d’information et d’y récupérer des informations importantes, voir même y venir pour porter préjudice à la société.

Le troisième conseil : Sécuriser les postes de travail : les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum).Ceci est également important, mais logiquement déja mis en place par défaut sous Windows lors d’une configuration sur une domaine Active Directory, configuration que l’on voit pratiquement partout.

Le quatrième conseil : Identifier précisément qui peut avoir accès aux fichiers.Une bien belle idée, mais comment réalise t-on cela ? Audit de sécurité ? Analyse des trames du réseau sur l’accès à certaines données critiques ? Un conseil amenant donc un coût important ou l’usage d’un technicien  à temps plein.

Le cinquième conseil : Veiller à la confidentialité des données vis-à-vis des prestataires.Il parait évident que cela doit être l’une des priorités.Mais une fois de plus, les actions à mettre en place ne sont pas donné à tous le monde.

Le sixième conseil : Sécuriser le réseau local : Un système d’information doit être sécurisé vis-à-vis des attaques extérieures.Une phrase qui en dit long, mais qui ne signifie pas grand chose.Il parait plus qu’évident qu’un système d’information se doit d’être protéger des attaques extérieurs.Mais quelles techniques peuvent être employées ? Un technicien pourrait y répondre, je peux donc y répondre, mais une fois de plus, cela demande un coût important d’audit ou la nécessité d’avoir un responsable sécurité sur place.

Le septième conseil : Sécuriser l’accès physique aux locaux.Évidemment, on pense souvent aux attaques externes, mais on oublie les attaques plus proches de nous, de la mise en place d’un accès sécurisé à une salle serveur, de la vérification des opérations faites sur le système d’information par des prestataires de services venant agir sur l’environnement de celle-ci.

Le huitième conseil : Anticiper le risque de perte ou de divulgation des données.Notamment via la mise en place d’outil de filtrage des fuites de données vers l’extérieur, encore appelé « Data Leakage », que ce soit par e-mail ou par contre des périphériques mobiles, la « End Point Security », où la sécurité des périphériques tiers, tels que les clés USB et autres stockages amovibles.

Le neuvième conseil : Anticiper et formaliser une politique de sécurité du système d’information.Malheureusement, il est parfois trop tard pour réfléchir à cela, une fois que l’entreprise est établie.Celle-ci ne s’applique généralement que dans les grosses sociétés, les SSII sont difficilement la cible de ce genre d’opération.

Le dixième conseil : Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés ».Une bien belle idée qui se retrouve être quasiment impossible.L’éducation des utilisateurs devraient se faire bien avant le cadre professionnel.Cette sensibilisation devrait se faire directement pendant le cursus scolaire, cependant, nombreux sont les écoles et lycées à ne posséder que très peu de moyens en terme d’infrastructure réseau et surtout de cours à ce sujet.

Au final, la CNIL nous donne des conseils déja vus, mais soulignons tout de même l’effort effectué, même si il est vrai qu’il n’est pas aisé à tous d’appliquer l’ensemble de ces conseils sans aide de la part de l’État ou d’institution spécialisée.

C’est 01Net qui commence à relayer la nouvelle, en effet, la Commission européenne souhaite tenir tête aux spammeurs estimant qu’actuellement, la lutte anti-spam n’était pas assez efficace.Amusant, lorsque l’on sait que le budget alloué à cette lutte quotidienne est quasi-nulle.En effet, malgré des dispositions européennes mises en place depuis 2002 interdisant le spam et les spywares, les vagues n’ont cessées de continuer.Comportement évident, puisque les outils permettant de lutter contre le spam ne sont que passifs et n’ont aucun impact actif ou agressif.

Ainsi, l’Europe souhaite mettre en place un nouveau cadre législatif prévoyant des sanctions civiles et pénales, une bien belle idée qui mérite qu’on s’y intéresse, cependant jusqu’à quel niveau celles-ci peuvent être appliquées ? A priori, certains pays sont déjà passés à l’action, notamment l’Espagne, la Slovaquie et la Roumanie qui ont connus la plus grande croissance en terme de lutte contre le spam.Une chose intéressante à noter, c’est que les fournisseurs d’accès vont pouvoir prochainement eux aussi poursuivre en justice les spammeurs.Car on pense souvent aux utilisateurs finaux, utilisant leur messagerie quotidiennement à faire le tri dans leur message, mais on souligne rarement les problèmes d’engorgements des serveurs de messagerie des fournisseurs d’accès qui cherchent régulièrement à mettre en place de nouvelles technologies pour lutter contre le spam sans autant pouvoir agir de manière agressive.

On peut noter qu’en France, un site existe pour signaler les spammeurs aux autorités publiques, c’est le cas de Signal-Spam.fr, cependant, une seule personne est chargé de gérer les signalements des utilisateurs, un travail titanesque difficilement réalisable.Mais le gros soucis vient en réalité de la législation française et de sa définition du terme Spam.Car si en effet, pour l’habitué de l’informatique, le spam est la plupart du temps, clairement identifié, ce n’est pas si clair du coté de la loi, surtout pour les sociétés spécialisées dans les campagnes d’emails qui risquent eux aussi de subir les frais de ces nouvelles directives.

Un problème survient amenant un second, le manque de moyen pour lutter efficacement les spams amènent à des réglementations peu-construites et encore trop flous, le mieux est encore, à l’heure actuelle, de dépenser son temps dans la recherche de bons outils anti-spam que de perdre celui-ci à dénoncer e-mail par e-mail, les spammeurs qui sont déjà en train de spammeur leur prochaine victime.

L’information n’est pas toute récente, mais celle-ci m’a donné l’envie de réaliser une nouvelle rubrique sur Souris-Libre, celle de la messagerie, car en effet, ce domaine est celui où je suis le plus à l’aise, compte tenu que je suis amené professionnellement à m’y intéresser.C’est donc un rappel que j’effectue aujourd’hui, car la plupart du temps, on sous-estime beaucoup trop, l’importance de sécuriser des informations et données sensibles sur une plateforme hébergée où l’on ne possède pas un contrôle total.En effet, dans ce cas présent, les trois plateformes de messagerie par le web citées en titre de cet article ont été compromises.

L’incident a commencé avec Hotmail qui a vu 10.000 de ses comptes emails être hackés, tout du moins, ne plus être sécurisé, car les mots de passe de ces comptes ont été divulgués sur un certain site web.Mais par la suite, c’est au tour de Gmail et Yahoo! que l’incident s’est répandu.Fatalement, à partir du moment où plusieurs plateformes ont été touchées, il devient alors presque évident que d’autres plateformes puissent rencontrer ce problème, voir même être déja en train de se faire visiter.Cependant, il a été mentionné pour le moment que cette faille serait davantage liée à un problème de sécurité du coté du navigateur de l’utilisateur.Comme vous l’aurez remarqué, l’utilisation du conditionnel est encore de mise.Moralité, vérifiez vos mots de passe, leur complexité et ne prenez pas à la légère la sécurité de vos données hébergées.

Grâce à une connaissance professionnelle très compétente sur le produit MDaemon, je suis aujourd’hui en mesure de pouvoir vous fournir une solution assez solide pour bloquer les spams-images à contenu adulte.Si vous ne connaissez pas ce type de spam, il s’agit de message contenant uniquement une image avec aucun texte, ce qui rend ces derniers assez difficile à bloquer.Cependant, avec le moteur SpamAssassin que contient MDaemon, il devient plus aisé de faire face à ce fléau.

Pour cela, une règle du SpamAssassin permettra d’y faire face (voir code):

Pour utiliser cette règle, il vous suffit de copier ces cinq lignes en base de votre fichier \MDaemon\SpamAssassin\rules\local.cf, puis de redémarrer votre serveur MDaemon ou mieux encore, créez un fichier mdspamd.sem dans votre dossier \MDaemon\App pour recharger la liste des règles de SpamAssassin.

Bien évidemment, vous pouvez ajuster le score attribué à ce type de message pour correspondre à votre installation, par défaut, le score ajouté est de 2.0.Cependant, cette règle n’a pas encore testée en mode agressive, il se peut donc qu’en augmentant le nombre de point attribué à ce type de message, le taux de faux positif augmente en conséquence.

Pour ceux qui ont une version antérieur à la version 10 de MDaemon, il vous faut ajouter une ligne supplémentaire pour que cela fonctionne.