Paris, le 20 JUILLET 2000

Transcription

1 DIRECTION DE LA DEFENSE ET DE LA SECURITE CIVILES HAUT-FONCTIONNAIRE DE DEFENSE DIRECTION DES TRANSMISSIONS ET DE L'INFORMATIQUE Paris, le 20 JUILLET 2000 Le Ministre de l Intérieur AFFAIRE SUIVIE PAR : AU TITRE DU HFD : Pierre CHASSAGNE TEL TELECOPIE MÉL pierre.chassagne@interieur.gouv.fr AU TITRE DE LA DTI : Marc YOLIN TEL TELECOPIE MÉL marc.yolin@interieur.gouv.fr à Mesdames et Messieurs les Préfets Monsieur le Préfet de Police de Paris Mesdames et Messieurs les Directeurs Généraux, Directeurs et Chefs de Service de l Administration Centrale NO R I N T G C Objet : rappel des règles d utilisation de la messagerie interne et de l interconnexion avec Internet Références : (1) notes DTI/SDIEE/BEERTD/ et du 27 septembre 1999 (concernant respectivement l administration centrale et l administration territoriale) (2) note HFD/FSD/FSSI - 2/3 - N 3294 du 25 novembre 1999 (3) site intranet Pièce-jointe : une annexe technique de quatre pages Depuis bientôt un an, le MINOTAURE assure de manière sécurisée l interconnexion des messageries internes de bureautique du ministère de l intérieur avec Internet. Conformément aux dispositions des notes citées en référence (1), l ouverture effective des boîtes aux lettres est réalisée par la DTI après réception d un formulaire de demande spécifique, validé par la voie hiérarchique. Cette demande a essentiellement pour objet de certifier l adhésion, par les personnels concernés, aux consignes de sécurité et d utilisation édictées par le Haut-fonctionnaire de défense dans le cadre de l instruction citée en référence (2). Afin d obtenir la plus large diffusion, ces consignes élémentaires, qui constituent la «Nétiquette» du ministère, sont systématiquement envoyées par mél au responsable désigné dans le feuillet de demande (à charge pour lui de répercuter ces consignes aux personnels concernés par la demande), et elles sont par ailleurs affichées sur l intranet, à l adresse fournie en référence (3), où elles sont régulièrement complétées de diverses recommandations. Or, s il semble que la majorité des utilisateurs aient bien intégré ces principes, certains incidents récents tendent à prouver qu un rappel de ces consignes s avère aujourd hui indispensable. Les points sur lesquels il me semble particulièrement important d insister sont les suivants 1. Les vers, virus et exécutables suspects 2. Les chaînes de messagerie et canulars 3. Les cartes de vœux 4. La faillibilité des échanges

2 Ces éléments sont détaillés pour mémoire dans l annexe technique jointe à la présente note. Je vous remercie de bien vouloir donner la plus large diffusion possible à ces consignes, notamment par le biais de vos responsables de la sécurité des systèmes d information (RSSI), des correspondants locaux de sécurité (CLS) et de vos administrateurs locaux de messagerie, en rappelant que la Nétiquette est également applicable en tout point pour les communications internes. Tout incident observé lors des échanges avec Internet doit être signalé à la DTI dans les plus brefs délais, à l adresse support-minotaure@interieur.gouv.fr, ainsi qu au RSSI. Pour le ministre et par délégation Le directeur de la défense et de la sécurité civiles Haut fonctionnaire de défense Pour le ministre et par délégation Le directeur des transmissions et de l informatique Michel SAPPIN Raphaël BARTOLT

3 Annexe Technique 1) Les vers, virus et exécutables suspects La propagation massive du ver «ILOVEYOU» sur le réseau interne du ministère la semaine du 4 mai 2000 traduit un manque manifeste de circonspection et d esprit critique de la part de certains utilisateurs de la messagerie. Les mécanismes mis en œuvre par ce ver et par ses multiples variantes, montrent clairement qu un message infecté peut parfaitement provenir d une source pourtant a priori fiable, prendre une forme parfaitement anodine, et voire même muter à chaque étape. A fortiori, lorsque le message est d apparence suspecte, les précautions devraient s en trouver renforcées. En cas de doute, il ne faut pas hésiter à demander à l expéditeur de confirmer l envoi effectif du message suspect. De manière générale, les utilisateurs doivent désactiver au niveau de leur logiciel client de messagerie les options qui permettent l ouverture automatique des pièces-jointes, et apprendre à se méfier particulièrement (mais non exclusivement) :?? des programmes exécutables ou «batch» (.EXE,.BAT )?? des scripts (.VBS,.SHS )?? des documents Office (.DOC,.XLS, notamment si l option permettant l utilisation des macro-instructions est activée), auxquels on préférera autant que possible les formats.rtf ou.pdf?? des hyperliens de forme texte ou image, car ceux-ci peuvent pointer vers des sites Internet dangereux Les utilisateurs doivent impérativement intégrer la menace virale comme une réalité : le Minotaure a détecté plus de 1300 virus (entrée et sortie confondues) en moins d une année de fonctionnement, dont plus du quart sur le seul mois de mai Ils doivent également comprendre qu en cas de contamination, le risque n est pas limité à leur seul poste de travail, mais qu il peut s étendre en quelques instants à tout le réseau du ministère, en se propageant par messagerie, par disquette, etc Mais surtout, le Minotaure ne scrute que le flux d échanges avec Internet : il est donc très important que les postes de travail de chaque utilisateur et les serveurs locaux soient aussi dotés d un antivirus, très régulièrement remis à jour, surtout dans le cas d échanges chiffrés. Et il est non moins important que l utilisateur comprenne parfaitement les limitations de cette parade : l antivirus est par définition une mesure réactive, et un nouveau virus peut donc frapper à tout moment. Bien qu indispensable, la présence d un antivirus, même à jour, n est donc pas à considérer comme une garantie absolue et infaillible, qui autoriserait à prendre le risque d ouvrir n importe quel fichier sans autre précaution. En d autres termes, ce n est pas parce que l antivirus n a rien détecté qu il n y a aucun risque : l antivirus ne détecte que les virus qu il connaît, et les éditeurs mettent en moyenne quatre heures pour fournir une parade à un virus, qui met, lui, environ une heure pour se propager à l échelle planétaire. A cet égard, la diffusion très importante sur le réseau interne de divers exécutables à caractère «ludique» est assez préoccupante. Il est certes vrai que ces exécutables (qui représentent près du quart du nombre total d interceptions du Minotaure et la grande majorité des interceptions sortantes), ne sont généralement, pas en soi, nocifs pour les systèmes informatiques, et relèvent davantage de la farce que de la malveillance, raison pour laquelle la plupart des antivirus classiques ne les détectent pas : on trouve ainsi des programmes qui ouvrent intempestivement le lecteur de cédérom, qui bouleversent l ordre des icônes du poste de travail, réduisent la taille des caractères affichés à l écran, font trembler les fenêtres de Windows, déroulent un petit film («Message Mates»), etc Mais même si rien n est en général irréversible avec ces programmes, il est important de souligner trois points, qui expliquent pourquoi la DTI a choisi d éliminer ces pièces-jointes lorsqu elles sont détectées par le Minotaure :?? il est aujourd hui très simple pour un pirate, même néophyte, de greffer n importe quel code dangereux (virus, cheval de Troie ) à n importe quel exécutable en quelques clics de souris. Ces programmes ludiques très répandus et dont peu de gens se méfient, constituent naturellement un véhicule de choix pour qui cherche à lancer discrètement un nouveau virus. Ainsi, un économiseur d écran humoristique très populaire représentant un mouton, a déjà servi de tel camouflage par le passé.?? ces programmes banalisent le risque, en incitant l utilisateur non averti à lancer un exécutable inconnu, et donc en émoussant ainsi sa méfiance par des «fausses alertes» répétées.?? ces exécutables sont une perte de temps pour les utilisateurs, et il serait fort dommageable en termes d image de marque qu un tel programme soit détecté par l administrateur d une entité tierce, comme provenant du ministère de l intérieur.

4 Mais si ces programmes sont éliminés au passage sur le Minotaure, ils transitent souvent librement sur le réseau interne. Il est donc très important que les utilisateurs perdent l habitude d ouvrir de tels fichiers, que ceux-ci proviennent d Internet ou d une source interne quelconque (messagerie, forum, disquette, cédérom ), et qu ils évitent surtout de les retransmettre, tant en interne que vers l extérieur : même si ces programmes paraissent inoffensifs à première vue, ils constituent un risque réel. Une telle réaction aurait très certainement évité la propagation de «ILOVEYOU». 2) Les chaînes de messagerie et canulars Le principe d une chaîne de messagerie est très simple, d apparence totalement inoffensive, et pourtant très efficace pour mettre à mal un réseau. Le scénario est toujours identique : l utilisateur reçoit un mél, dont le texte l incite explicitement à le faire suivre à plusieurs utilisateurs, en général une dizaine. Le texte du message peut aborder tous les sujets, mais les modèles les plus courants cherchent à utiliser les leviers émotionnels les plus divers :?? la peur : «si vous ne renvoyez pas ce message, vous serez piraté / infecté par un virus, etc»?? la générosité : «une somme d argent sera versée à telle ou telle œuvre par exemplaire du message»?? la compassion : «cette chaîne vient d une personne très malade, souhaitant faire passer un message»?? l appât du gain : «un cadeau vous sera offert si vous renvoyez ce message»?? le mysticisme : «si vous renvoyez ce message, votre vie s améliorera / vos vœux seront exaucés, etc.»?? le civisme : «il y a un nouveau virus en circulation, prévenez un maximum d utilisateurs»?? etc Qualifiés de «hoaxes» (canular, en anglais) par les professionnels, ces dispositifs fort rudimentaires sont apparentés aux vers, en ce sens que ces messages sont exclusivement destinés à surcharger inutilement les systèmes de messagerie par une réplication exponentielle. La seule différence avec les véritables vers (comme ILOVEYOU ou Melissa), est que l utilisateur final a une participation active et volontaire dans la propagation. Ainsi, si l on considère que chaque utilisateur renvoie en moyenne le message à 3 autres adresses seulement (certains renvoyant à beaucoup, d autres à aucun), dès la dixième étape, le message est répliqué à près de exemplaires. Certaines entreprises ont ainsi vu leur système s écrouler sous le poids de ces messages parasites, et aucun Internaute n a naturellement jamais vu trace des prétendus «cadeaux» et autres «bienfaits» promis par certains messages. De même, les messages relatifs aux maladies, même d apparence réaliste, sont généralement sans aucun fondement réel. Les utilisateurs doivent comprendre le danger intrinsèque que représente la participation à une chaîne de messagerie : non seulement ils risquent de saturer le système de messagerie interne du ministère en agissant ainsi inconsidérément, mais en plus, ils peuvent offenser certains destinataires en aval de la chaîne : sur Internet, la participation aux chaînes est très mal considérée, et certains utilisateurs réagissent violemment à la réception de ce type de chaîne, en envoyant des virus ou du spam à tous ceux qui l ont propagée. Dans le cadre des règles propres au Ministère de l Intérieur, la participation aux chaînes de toute nature est clairement et explicitement interdite, et tout particulièrement, l envoi de tels messages vers des adresses du réseau de commandement RESCOM relève de la faute professionnelle. Quatre exe mples de chaînes ont été décelés au sein du ministère après une vaste propagation en administration centrale et en province : transfusion de sang B- (juin 2000), le «Totem Mantra» (mai 2000), les préceptes du Dalaï Lama (avril 2000), et un jeu de devinettes (janvier 2000). Chaque utilisateur recevant une chaîne, d Internet ou d une adresse interne, se doit de rappeler les règles d usage à l expéditeur, et doit signaler le problème à son administrateur local. En aucun cas, il ne doit continuer la propagation de la chaîne. Si, exceptionnellement, le sujet lui paraît digne d intérêt à titre personnel, il est autorisé à retransmettre le message, sous réserve bien sûr qu il supprime du message toute mention demandant aux destinataires de retransmettre à leur tour le message, l essentiel étant de rompre la chaîne. Il est à noter qu une catégorie de chaîne mérite un traitement particulier : comme indiqué ci-dessus, de très nombreuses chaînes utilisent le prétexte de prévenir les gens de l existence d un nouveau virus, dans le but que ceuxci répercutent l information à tous leurs correspondants. La très longue liste des fausses alertes est quotidiennement mise à jour sur le site de l éditeur Datafellows : et sur le site Français «Hoaxbuster» (

5 Pratiquement toutes ces fausses alertes commencent par une phrase du type : «Telle société éminente (ex : Microsoft, IBM, AOL, Netscape, Symantec, Intel, F-Secure, MacAffee ) a annoncé / confirmé récemment l existence d un nouveau virus particulièrement destructeur, qu aucun antivirus à ce jour ne sait éradiquer, donc si vous recevez un message ayant pour objet «xxxxxxxx», ne l ouvrez pas, son contenu est très dangereux». Le plus souvent, le faux message d alerte ayant lui-même pour objet le fameux «xxxxxxxx» dont il convient de se méfier, l utilisateur reçoit tôt ou tard un message ayant cet objet, propagé par un autre utilisateur croyant bien faire, ce qui le conforte dans l idée que le virus existe bien et l incite à prévenir encore plus de monde, etc. Néanmoins, dans la mesure où, exceptionnellement, certaines alertes virales de ce type pourraient s avérer fondées, tout utilisateur recevant une telle alerte est instamment prié, selon les procédures en vigueur, de faire remonter le message d alerte à la CAGS (Cellule d Administration et de Gestion de la Sécurité) dans les plus brefs délais, par le biais de son RSSI. Sauf instruction expresse de ces instances, l utilisateur final ne doit en aucun cas diffuser lui-même de tels messages d alertes, même provenant d une source réputée fiable. Si l alerte est fondée, la CAGS avertira l ensemble du réseau des RSSI. 3) Les cartes de vœux Certains sites Internet, en particulier le site de Yahoo France ( permettent aux utilisateurs d accéder à un service dit de «cartes de vœux». L internaute y choisit une carte humoristique avec un message personnalisé, à l attention d un autre internaute de sa connaissance, et le serveur envoie ensuite par messagerie au destinataire un hyperlien lui permettant de visualiser cette carte de vœux. L expéditeur est mis en copie du message. Cela serait parfaitement inoffensif si le système de Yahoo ne connaissait pas depuis plusieurs mois un grave dysfonctionnement : leur automate envoie de multiples fois le même message aux mêmes destinataires (celui qui a choisi la carte et celui à qui elle est destinée), ce qui représente environ un message toutes les 5 minutes pendant près de 24 heures. Ainsi certains abonnés du ministère ont-ils reçu près de 300 occurrences en une seule journée, paralysant complètement leur poste de travail pendant plusieurs heures, le temps de vider leur boîte. Le premier signalement de cette anomalie a eu lieu le jeudi 6 avril, et la DTI a naturellement prévenu immédiatement l administration de Yahoo. Le problème avait semblé être réglé le jour-même, mais plusieurs rechutes ont depuis été observées. Selon Yahoo, le problème n est pas systématique, mais dépend de la carte concernée. Il n est donc pas possible, décemment, de filtrer purement et simplement ces messages, l utilisation de ce service n étant pas, en soi, répréhensible. Les utilisateurs doivent donc être sensibilisés à ce problème afin d éviter d utiliser le service de cartes de voeux Yahoo! pour envoyer des messages à leurs collègues et amis, tous risquant d être victimes de cette inondation. Pour ceux qui seraient victimes d un «harcèlement Yahoo!», la marche à suivre est la suivante : 1) Le signaler à votre administrateur de messagerie afin que soit appliqué le filtre nécessaire sur votre boîte aux lettres pour bloquer les méls au niveau du serveur. 2) Envoyer un message à Yahoo (greetings@reply.yahoo.com) pour signaler le dysfonctionnement, et se plaindre à l URL avec l objet «rapport de harcèlement». 3) Prévenir la personne vous ayant envoyé une telle carte en lui demandant ne plus le faire. 4) Nous faire suivre à l adresse support-minotaure@interieur.gouv.fr l un des messages que vous avez ainsi reçu, de préférence sous forme encapsulée (c est-à-dire inséré en tant que pièce-jointe au message de signalement, plutôt qu en faisant simplement «faire suivre»). 5) Informer le RSSI, relais local des services du Haut-fonctionnaire de défense. MAIS SURTOUT IL NE FAUT JAMAIS METTRE EN PLACE UNE REGLE RENVOYANT AUTOMATIQUEMENT LES MESSAGES VERS L EXPEDITEUR.

6 4) La faillibilité des échanges Les utilisateurs doivent comprendre que les messages échangés avec Internet ne peuvent en aucun cas être considérés comme sûrs. Dans le sens de l émission La confidentialité des messages ne peut pas être garantie. Il ne faut donc, en aucune circonstance, envoyer vers Internet des informations sensibles, ou qui pourraient s avérer dommageables aux intérêts du ministère si elles devenaient publiques, par exemple si elles étaient publiées dans un journal ou affichées dans la rue. Rien ne permet de garantir non plus que le contenu du message ne sera pas tronqué ou altéré en route, et de manière générale, que l intégrité du message sera préservée. Le mél peut aussi arriver à un autre destinataire que prévu, par erreur ou par malveillance. L adjonction systématique de quelques lignes d avertissement à la fin du message, bien que n ayant en soi aucune valeur juridique (en France, du moins) peut néanmoins avoir une utilité dans certaines circonstances, par exemple : «Ce message et toutes les pièces-jointes sont confidentiels et établis à l intention exclusive de ses destinataires. Il ne constitue pas un document officiel du ministère de l intérieur. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d altération. Le ministère de l intérieur et les services rattachés déclinent toute responsabilité au titre de ce message s il a été altéré, déformé ou falsifié.» Sur Internet, aucun mécanisme ne permet actuellement de garantir le temps d acheminement du message, ni même qu un avis de non-remise sera retourné à l expéditeur si le message ne peut finalement être remis au(x) destinataire(s). Le plus simple est de demander au destinataire d accuser réception des messages importants, éventuellement en incluant le message d origine dans la réponse afin que l expéditeur puisse en vérifier l intégrité. Dans le sens de la réception Il faut toujours garder à l esprit que le message a pu être consulté ou modifié par un tiers à l insu de l expéditeur, et que l adresse expéditrice peut même être complètement fausse (volée à un tiers, ou simplement inexistante). Il ne faut donc jamais accepter de répondre à des demandes inhabituelles reçues par ce biais ou par téléphone (login, mot de passe, numéro de téléphone d un modem, détail d une procédure de sécurité ), et cela quelle que soit l autorité dont se réclame le demandeur (service technique du ministère ou d un fournisseur ). Si l aspect du message (objet, texte, nature des pièces-jointes, liens, autres destinataires en copie ) ne semble pas cadrer avec les habitudes de l expéditeur, ou ce qu il serait légitime d en attendre, il ne faut pas hésiter à interroger ce dernier, éventuellement par un autre biais que la messagerie (téléphone ), car l adresse pourrait être truquée, ou le message pourrait être un ver se propageant à l insu des hôtes, comme ILOVEYOU ou Melissa (cf. supra, le paragraphe relatif aux virus). En cas de doute, ne pas ouvrir les pièces jointes. Cas particulier de la redirection En cas de vacances ou de déplacement, il peut être commode de mettre une adresse de redirection sur le compte de messagerie interne, afin de retransmettre tous les messages arrivés vers une autre boîte aux lettres. Mais si cette redirection est effectuée, non pas en interne vers un collègue, mais vers une boîte aux lettres personnelle située sur Internet, deux éléments essentiels doivent être conservés à l esprit :?? la confidentialité des informations : l expéditeur ne sait pas que la boîte est redirigée vers Internet, et pourrait inclure dans ses messages des éléments (contenu, adresses ) qu il ne souhaiterait pourtant pas voir diffusés à l extérieur du ministère. De manière générale, si le poste reçoit, même occasionnellement, des informations dont la diffusion devrait être restreinte, ne pas faire de redirection.?? lorsque le message est réacheminé, il reprend les caractéristiques du message initial, en particulier l adresse du champ expéditeur est bien celle de l expéditeur réel et non celle du compte redirigé. Donc, si le message d origine vient d Internet, le message redirigé semble émaner d un serveur interne mais avec un expéditeur externe : le système bloquera donc ces messages en sortie.