CHAPITRE IV. SECURITE DU SERVICE DE MESSAGERIE

Aujourd'hui environ 75% des e-mails seraient des spam et 90% des infections par des vers où des vers sont véhiculés par la messagerie électronique. Cependant, le courrier électronique est le plus populaire des services sur l'internet d'où, sa sécurisation dans sa mise en place doit être de rigueur. Au niveau de l'utilisateur, il présente toutes les caractéristiques du courrier classique : envoi par dépôt au poste client, centre de tri, acheminement, boîte aux lettres, distribution.

En plus, la messagerie est de plus en plus utilisée et est devenue une application Internet ou Intranet indispensable comme la VoIP, parce que la messagerie est un vecteur de communication, de productivité et de production, sa sécurité et sa disponibilité sont des préoccupations légitimes des entreprises.

Toutefois, le protocole SMTP (Simple Mail Transfer Protocol), lors de sa conception n'a pas tenu compte des préoccupations de sécurité actuelles. C'est ce qui explique la prolifération des menaces techniques qui pèsent aujourd'hui sur la messagerie : virus, haox, attaque déni de service, usurpation d'adresses, piratage d'adresses et du contenu du mail, etc.

De plus, parce que c'est un outil simple, rapide et expansif, des dérives comportementales et légales peuvent en résulter et doivent être contrôlées dans le monde des entreprises : fuite d'informations, manque de confidentialité, contenus illicites et saturation des ressources informatiques. Le Directeur informatique ou Manager trouvera sans doute des éléments à prendre en compte pour la sécurisation de la messagerie électronique. Les menaces sont en perpétuelle évolution alors que la messagerie est l'application la plus utilisée dans nos entreprises d'où, sa sécurisation doit être au centre des préoccupations de ces dernières, la politique de sa conception doit être cohérente et intégrée.^23(*)

IV.1. Menaces de la messagerie électronique

En effet, il existe plusieurs types de menaces et risques que nous pouvons segmenter par rapport à leur niveau potentiel en trois problématiques :

- La sécurisation des messages autorisés au sein de l'entreprise ;

- La sécurisation de l'infrastructure sur laquelle repose le système d'échange ;

- La définition des règles d'utilisation du système de messagerie de l'entreprise.

IV.1.1. Les atteintes aux flux identifiés par l'entreprise comme légitimes/autorisés

Elles sont nombreuses mais qu'on ne peut citer que quelques unes parmi lesquelles :

- Perte d'un e-mail :

Il y a deux scénarii :

· La perte d'un e-mail au cours de sa transmission, due à plusieurs éléments qui créent le problème du serveur, suppression par oubli ou à tort par un anti spam ;

· La disparition d'un ou de tous les messages reçus, c'est surtout lorsqu'on stocke les e-mails dans son propre ordinateur.

- Perte de confidentialité :

Elle peut être due à plusieurs événements :

· Une divulgation accidentelle ;

· Une divulgation par négligence ou méconnaissance des règles ;

· Une divulgation volontaire ;

· Un espionnage des messages lors de la transmission sur un réseau local à partir d'un logiciel spécialisé « SNIFFER ».

- Perte d'intégrité :

Un message peut être altéré accidentellement (par dysfonctionnement d'équipements, modification de format) ou par malveillance pendant sa transmission ou son stockage dans un serveur de messagerie ou sur le poste destinataire, cette perte peut également provenir de modifications, de suppressions ou d'ajouts volontaires effectués au niveau du serveur.

- Usurpation de l'identité de l'émetteur :

Dans un système de messagerie, l'adresse e-mail est un élément vulnérable car elle est diffusée à tous les destinataires et est stockée dans des milliers de carnets d'adresses ; des gens ou organisations malveillants exploitent des failles de sécurité via des vers ou des virus pour récupérer ces adresses en accédant aux données personnelles de l'utilisateur et dans son carnet d'adresse lors de divulgation sur le web.

- Répudiation :

C'est le risque de reniement de l'envoi ou de la réception d'un message, c'est qu'on n'a pas de garantie sur l'émission ou la réception d'un message.

* ²³ Club de la sécurité des systèmes d'information Français, « La sécurité de messagerie », éd. CLUSIF, Septembre 2005