La stratégie anti-spoofing de la Confédération

L'OFIT accroît la sécurité du courrier électronique. Il étend la protection anti-spoofing de son propre domaine de messagerie (*.admin.ch) à toute l'administration fédérale. «Eisbrecher», de son côté, fait le point sur les précautions à prendre en matière de courrier électronique.

Lorsqu'un consommateur achète une salade bio, il s'attend à ce que cette salade soit issue de l'agriculture biologique. De la même façon, les utilisateurs de courrier électronique voudraient pouvoir être sûrs que les courriels qu'ils reçoivent de la part d'un expéditeur connu proviennent bien de cet expéditeur. Le spoofing est au courrier électronique ce que l'étiquetage mensonger est à l'alimentation. Ce terme, qui signifie «usurpation» en anglais, désigne différentes méthodes visant à usurper une identité dans le domaine informatique. Les criminels qui se cachent sous une identité a priori digne de confiance peuvent, dans le pire des cas, accéder à des données personnelles en recourant au hameçonnage ou phishing. 

S'agissant des produits bio, le consommateur peut s'appuyer sur des marques renommées et dignes de confiance, et se fier aux contrôles de qualité effectués tout au long de la filière, jusque dans les magasins. En matière de courrier électronique, c'est un peu plus compliqué. Un courriel se compose d'une enveloppe, d'un en-tête et d'un contenu (texte et pièces jointes). L'en-tête indique notamment les adresses de l'expéditeur et du destinataire, la date, l'heure et le lieu (adresse IP et / ou serveur à partir duquel le courriel a été expédié). Or un expéditeur peut très bien modifier, dans le protocole de courrier électronique, l'adresse de messagerie figurant dans l'en-tête. Le label *.admin.ch ne garantit donc pas que l'expéditeur fait bien partie de l'administration fédérale. L'unité Exploitation des services de messagerie (BBM) de l'OFIT est le pivot de la reconnaissance et du blocage de courriels. Comme l'explique Peter Ferri, notre interlocuteur à BBM, on distingue trois cas de figure dans la correspondance électronique utilisant des adresses *.admin.ch: Cas numéro 1 (le plus courant): échange de courriels entre collaborateurs de l'administration fédérale. Le système reconnaît qu'il y a échange de courriels à partir des serveurs de la Confédération. 

Cas numéro 2: un courriel provenant d'une adresse se terminant par *.admin.ch arrive d'Internet sur les serveurs de messagerie de l'administration fédérale. Les serveurs de messagerie de BBM vérifient alors, au moyen de l'enregistrement SPF (pour Sender Policy Framework, norme de vérification du nom de domaine de l'expéditeur d'un courriel), si l'adresse de l'expéditeur provient d'un serveur autorisé à utiliser cette adresse. À titre d'exemple, le Département fédéral des affaires étrangères (DFAE) ou la Direction du développement et de la coopération (DDC) utilisent des instruments qui sont hébergés sur Internet et par l'intermédiaire desquels ils envoient des courriels dont l'expéditeur a une adresse *.admin.ch. À défaut d'enregistrement SPF, l'OFIT recourt à la liste de blanche. Si l'instrument ou la société externe figure sur la liste blanche, BBM transmet les courriels à leur destinataire.

Cas numéro 3: là aussi, un courriel provenant d'une adresse se terminant par *.admin.ch arrive d'Internet, mais l'adresse ne figure sur aucun enregistrement SPF ni sur aucune liste blanche. Dans ce cas, le serveur empêche la transmission au compte de messagerie de l'utilisateur.

Cette année, plusieurs offices ont été confrontés à l'expérience suivante: un courriel émanant de «xerox@bit.admin.ch» a été envoyé à plusieurs utilisateurs. Or cette adresse de messagerie n'existe pas. Des inconnus pratiquant le spoofing avaient envoyé des fichiers numérisés en utilisant cette adresse au nom d'une marque d'imprimantes courante dans l'administration fédérale. Il faut savoir que les employés de la Confédération ont la possibilité de se faire envoyer par courriel des documents numérisés sur une imprimante multifonctions. Le but de cette attaque de spoofing était sans doute d'inciter les destinataires à télécharger les pièces jointes en pensant qu'il s'agissait de fichiers qu'ils avaient eux-mêmes donnés à scanner à l'imprimante. Heureusement, l'équipe BBM a intercepté ces courriels trompeurs à temps. Si ces courriels avaient contenu des logiciels malveillants (maliciels) connus, le système s'en serait rendu compte grâce à l'antivirus (voir mesures de protection contre les maliciels à partir de l'intertitre «Comment se protéger»). 

Le DFAE et la DDC pratiquent le filtrage par liste blanche depuis une dizaine d'années déjà. «À l'Office fédéral des assurances sociales et à la Chancellerie fédérale, il est même interdit de réceptionner de l'extérieur des courriels utilisant l'adresse *.admin.ch maison», explique Peter Ferri. Compte tenu de la multiplication des attaques de spoofing contre d'autres départements et offices, et afin d'accroître la sécurité des échanges de courriel, l'OFIT étend désormais ses blocages à l'ensemble de l'administration fédérale. «Le nombre de ces attaques n'est pas infini, mais nous en avons tout de même intercepté quelques centaines cette année», précise Peter Ferri. 

Les travaux d'inscription sur liste blanche tournent à plein régime. «Nous sommes en train d'étendre la procédure à l'ensemble des départements et des offices. Nous savons à peu près dans quels offices quelles sociétés externes emploient des adresses admin.ch», déclare Peter Ferri. «La prochaine étape consistera à affiner ces listes blanches. Les retours des clients nous sont très utiles à cet égard.» Les offices et les départements peuvent envoyer leurs demandes d'autorisation à l'adresse postmaster@admin.ch. Ils doivent cependant faire valider toute exception par leur délégué à la sécurité informatique (DSIO / DSID). Ces changements permettront à l'OFIT de réduire la charge de travail représentée par les sondages anti-spoofing. «Il nous restera à tenir les listes à jour», conclut Peter Ferri. 

L'administration fédérale est la cible d'attaques incessantes de spamming (envoi en masse de messages non sollicités) et de virus. En août 2017, son serveur de messagerie admin.ch a réceptionné plus de 15 millions de courriels, dont quelque 5 millions ont été bloqués comme spam parce qu'ils figuraient sur une liste noire. 1,5 million de messages ont été supprimés au niveau central. En août, les logiciels antivirus des serveurs de messagerie n'ont identifié que 988 cas. Il faut tenir compte du fait que les spams bloqués en amont contenaient sans doute un plus grand nombre de maliciels, qui ne sont pas parvenus jusqu'aux antivirus.

Voici quelques conseils pour vous protéger contre les spams et les maliciels, et pour savoir comment réagir en cas d'attaque:

N'ouvrez jamais les pièces jointes d'un courriel si:

• le courriel provient d'un inconnu;
• le courriel provient d'une personne que vous connaissez, mais dont le nom ne correspond pas à l'adresse de messagerie;
• le courriel contient des pièges courants tels que «Vous avez gagné!», ou «Votre PC est infecté. Cliquez ici pour le nettoyer!», etc.;
• la pièce jointe vous a été envoyée sans sollicitation de votre part, et sans avoir été annoncée. En cas de doute, mieux vaut téléphoner à l'expéditeur pour lui faire confirmer l'innocuité de la pièce jointe.
  

Une fois que vos doutes sont levés sur tous ces points, posez-vous les questions suivantes avant d'ouvrir la pièce jointe:

• Le courriel provient-il réellement de cet expéditeur? Si le message contient une signature numérique de l'administration fédérale, par exemple, l'authenticité de l'expéditeur est en principe sûre.
• La pièce jointe correspond-elle au type de fichier annoncé dans le courriel? L'une des astuces les plus courantes consiste en effet à allonger le nom du fichier de manière à cacher son extension véritable. Exemple: facture.pdf____________.exe
• Ne vous fiez ni au nom ni à l'icône du fichier: tous deux sont manipulables.
• Pour ouvrir le fichier, ne recourez pas au double clic, utilisez le programme approprié. Exemple: lorsque vous recevez un fichier Word, enregistrez-le sur votre disque dur, puis lancez Word et ouvrez le fichier en passant par les commandes classiques Fichier > Ouvrir.
• N'exécutez pas les macros contenues dans les fichiers Office (ne cliquez pas sur «activer» dans le message d'alerte).
  

Ne cliquez jamais sur un lien si:

• le courriel provient d'un inconnu;
• le courriel provient d'une personne que vous connaissez, mais dont le nom ne correspond pas à l'adresse de messagerie;
• le courriel vous demande des renseignements personnels, par exemple de donner votre identifiant en suivant le lien qui suit;
• le lien provient prétendument de l'administration fédérale mais a l'air «bizarre» (exemple: http://131.102.107.200/dfasdjk/login.html);
• le lien contient le signe @ (par exemple, le lien https://www.admin.ch/123:345@www.hacker.com ne mène pas à www.admin.ch mais à www.hacker.com);
• le courriel contient des pièges courants tels que «Vous avez gagné!», ou «Votre PC est infecté. Cliquez ici pour le nettoyer!», etc.;
• le courriel est au format HTML ou texte enrichi. Dans ce cas, le texte qui s'affiche et le lien sous-jacent effectivement présent peuvent n'avoir aucun rapport entre eux.
  

Texte: Rinaldo Tibolla