Messagerie Instantanée : quels risques pour l'entreprise?
Date : 16 Juin 2005
Les outils de "Messagerie Instantanée"(en anglais "Instant Messaging", désignés couramment sous l'acronyme "IM") connaissent une popularité croissante, d'abord pour une utilisation privée (le "chat" sur Internet), mais aussi parfois dans un contexte d'entreprise. En parallèle, de plus en plus de personnes s'alarment de la montée des dangers liés à l'utilisation de ces outils. Ainsi ZDNet, après avoir attiré l'attention de ses lecteurs et consulté le Cert-IST sur ce domaine le 23 Mars, annonçait le 15 avril 2005 (voir les références données en fin d'article) que le système d'IM de la compagnie "Reuter" avait était paralysé par une attaque du ver "Kelvir".
Nous effectuons donc ici un point sur les techniques d'IM et leurs dangers potentiels pour l'entreprise en terme de sécurité.
Présentation de la technologie IM
La technologie "IM" recouvre toutes les solutions techniques permettant à un groupe de personnes de dialoguer en direct sur Internet. Les outils "IM" les plus classiques permettent de s'envoyer de simples textes : le texte tapé par un des participants est envoyé dès que celui-ci appuie sur la touche "Entrée" à tous les autres.
L'ancêtre des outils d'IM est l'IRC ("Internet Relay Chat"), mais de nombreux outils similaires ont vu le jour depuis. Ils sont tous basés sur le même principe de "messagerie instantanée", tout en étant pour la plupart incompatibles entre eux (technologies propriétaires).
Les quatre systèmes "IM" les plus connus sont :
- "AOL Instant Messenger" (AIM)
- "Microsoft MSN Messenger" (MSN)
- "Yahoo! Messenger"
- "ICQ" (Acronyme phonétique de "I seek you")
Chacun proposant bien entendu son propre client propriétaire.
Et les logiciels clients universels (i.e. supportant simultanément ces différents protocoles "IM") les plus populaires sont :
- "Gaim" (http://gaim.sourceforge.net)
- "Trillian Basic" (http://www.ceruleanstudios.com/)
En plus de l'échange de simples textes, les solutions d'IM évoluées permettent désormais de parler en direct (voix) ou de se voir (via une webcam). Il est aussi souvent possible de s'échanger des fichiers.
Si l'on accepte la définition générale "IM = solution de dialogue en direct", alors des solutions de téléphonie sur IP comme "Skype" peuvent aussi être considérées comme des solutions de "IM". Cependant elles dépassent selon nous la définition conventionnelle du terme "IM" (il s'agit plutôt de solutions connexes au monde de l'IM). De même l'outil "Netmeeting" de Microsoft est souvent considéré comme un outil "d'IM".
Utilisation dans l'entreprise
L'IM n'a pas été conçu au départ pour une utilisation professionnelle. Il a d'abord été fait (et cela reste encore probablement son usage majoritaire) pour discuter avec ses amis, ou pour rencontrer des gens sur Internet. Il est en particulier très populaire auprès des adolescents, qui le considèrent comme un outil de communication aussi indispensable que le SMS du monde de la téléphonie mobile.
Si l'on se base sur un sondage informel effectué par le Cert-IST auprès de quelques membres de notre communauté, l'utilisation des solutions "IM" en entreprise semble par contre extrêmement hétéroclite.
Certains pensent que les outils de "IM" sont avant tout une fantastique opportunité de perdre du temps au bureau : soit parce qu'ils considèrent le cas d'une utilisation non professionnelle de l'IM, soit parce qu'ils estiment que la vitesse à laquelle les utilisateurs normaux tapent au clavier rend le dialogue peu efficace (et pas du tout instantané).
D'autres estiment au contraire que l'IM est un outil de travail innovant et efficace, et avancent en particulier des arguments comme :
- La facilité des échanges et la réduction du coût des communications,
- Une collaboration internationale plus aisée (on comprend en général mieux l'anglais écrit qu'oral)
Globalement, il nous semble que l'IM reste encore peu présent dans les entreprises en France, et qu'il est rarement déployé comme un outil d'entreprise (par les directions informatiques). Par contre, il est de plus en plus utilisé spontanément par des petits groupes au sein de l'entreprise, soit pour implémenter facilement un groupe de travail, soit par simple goût des nouvelles technologies.
Les risques de sécurité
Même s'ils présentent des spécificités, les risques de sécurité induits par l'IM ne sont pas fondamentalement différents de ceux que l'on retrouve dans d'autres domaines (comme par exemple dans le cas d'une messagerie électronique) :
- La non confidentialité des échanges. La grande majorité des solutions IM utilisent des serveurs centraux sur Internet sur lesquelles les utilisateurs doivent se connecter pour pouvoir dialoguer. Une utilisation en circuit fermé (sans passer par Internet) est la plupart du temps impossible, ou en tout cas nécessite un déploiement spécifique (utilisation non standard). Bien sur, par défaut les données échangées circulent en clair (non chiffrées).
- L'usurpation d'identité. Il est en effet possible de voler les données d'authentification d'un utilisateur IM, et donc de se faire passer pour lui.
- La diffusion de malwares (virus, spywares, etc...), en particulier au moyen des fonctions d'échange de fichiers entre utilisateurs. La particularité ici est que le virus utilise un moyen "non conventionnel" pour entrer dans l'entreprise, et peut donc échapper aux protections mises en place par l'entreprise (par exemple, les passerelles anti-virus utilisées pour filtrer le courrier électronique).
- Les failles de sécurité des clients IM eux-mêmes, qui comme tous les logiciels peuvent présenter des imperfections. Ce type de faille peut typiquement permettre à un attaquant d'exécuter à distance du code sur les machines utilisant un logiciel IM vulnérable.
Si aucun de ces risques n'est réellement nouveau, les "hackers" semblent redoubler d'intérêt pour l'IM et l'on voit se multiplier les attaques visant les réseaux IM. La société "IMLogic" qui a créé sur son site web une "IM threats theater" (inventaire des menaces du monde IM) montre bien la multiplication de ces attaques (voir la référence donnée en fin d'article). On retrouve ainsi désormais dans le monde "IM" tous les phénomènes classiques comme : l'infection virale, le SPAM, le "phishing", etc…
Cet intérêt a peut être une raison technique (en théorie un ver se propageant au travers de l'IM devrait avoir une propagation ultra-rapide - cf. l'étude technique de Symantec citée en fin d'article), mais surtout ces attaques utilisent un nouveau canal (l'IM), peu exploré jusqu'à présent, et souvent déployé de façon anarchique (hors du contrôle des services informatiques). Les auteurs de SPAM , phishing et autres spyware y voient une solution pour contourner des mesures de protection classiques qui se sont considérablement renforcées ces dernières années.
Les moyens de protection
La première mesure de protection (la plus importante) est d'informer les utilisateurs des risques potentiels des systèmes d'IM. Car ici, comme pour la messagerie électronique, les utilisateurs doivent se méfier des sollicitations inconnues et refuser par défaut l'échange de fichiers.
Dans le cas où l'entreprise souhaite autoriser l'IM, un déploiement cohérent (choix d'une solution d'IM) et suivi (application des mises à jour de sécurité) sont également indispensables.
Enfin, il est important de noter qu'interdire techniquement l'utilisation de l'IM peut être difficile à réaliser, si les utilisateurs finaux sont autorisés à installer des logiciels sur leur poste de travail. En particulier, un filtrage réseau conventionnel au niveau du garde-barrière (blocage des ports réseau utilisés par défaut par les logiciels d'IM) n'est souvent pas une solution efficace, car certains logiciels IM sont capables de se reconfigurer automatiquement pour utiliser des ports réseau alternatifs (cf. l'étude technique de Symantec citée en fin d'article). De même, il est possible d'encapsuler le trafic IM dans du trafic HTTP, ou même d'utiliser des clients IM mis à disposition sur certains sites web (par exemple "caramail.com" ou "meetic.fr")
Tant que les outils d'IM sont utilisés en entreprise par des utilisateurs férus de nouvelles technologies, et souvent relativement avertis, le risque reste relativement limité. Par contre, dès lors que leur usage se généralise, il est indispensable de prendre en compte ce risque dans la politique et les outils de sécurité de l'entreprise
Pour plus d'information
· Article ZDNet du 15 avril 2005 : "Le service de Reuters victime du virus-ver Kelvi : http://www.zdnet.fr/actualites/internet/0,39020774,39218070,00.htm?t=39000462061
· Article ZDNet du 23 mars 2005 :"Les attaques via messagerie instantanée en forte hausse" : http://www.zdnet.fr/actualites/internet/0,39020774,39213911,00.htm
· Article publié par "WindowsSecurity" : "IM : Does it have a Place in Business Networks ?" : http://www.windowssecurity.com/pages/article_p.asp?id=1381
· Article publié par le SANS : "The Instant Messaging Menace: Security Problems in the Enterprise and Some Solutions." : http://www.sans.org/rr/whitepapers/threats/479.php
· Etude Symantec ("whitepaper") "Malicious Threats and Vulnerabilities in Instant Messaging" : http://www.symantec.com/avcenter/reference/malicious.threats.instant.messaging.pdf
· Centre recensant les "malwares" du monde IM (et P2P) : "IMlogic Threat Center" : http://www.imlogic.com/im_threat_center/index.asp