Bien qu'échanger du courrier électronique semble anodin, nos boîtes aux lettres électroniques ne sont pas à l'abri de menaces de toutes sortes : courrier frauduleux, virus, >hameçonnage, cheval de Troie, démarchage indésirable, etc.
Il est donc nécessaire d’être vigilant au quotidien pour utiliser sa messagerie en toute sécurité.
¶ Présentation
Pour le décrire simplement, un courriel peut être comparé à un courrier postal :
Vous écrivez votre courriel, vous indiquez le (ou les) destinataire(s), puis vous l'envoyez.
Une fois rédigé, le courriel arrive quelques instants plus tard dans la boite mail de votre (ou vos) destinataire(s) !
Notez cependant que le courriel présente plusieurs avantages sur le courrier postal :
- Il peut être envoyé à de nombreux destinataires alors que le courrier ne peut être adressé qu’à une seule personne.
- Son acheminement est gratuit.
- Il ne nécessite pas de se déplacer pour le porter dans une boite aux lettres.
- Il est remis quasiment immédiatement à vos destinataires au lieu de prendre quelques jours pour être délivré par la voie postale.
Au vu de sa rapidité et de sa facilité d’utilisation, le courriel est aujourd’hui le moyen de communication privilégié de nombreux utilisateurs.
¶ QU'EST-CE QU'UNE ADRESSE ÉLECTRONIQUE ?
Pour écrire un courriel, vous devez, ainsi que votre correspondant, disposer d’une adresse électronique.
Une adresse électronique, ou e-mail, ou courriel est composée de deux parties séparées par une arobase « @ ».
À gauche un nom d’utilisateur, un pseudo ou simplement votre nom et votre prénom et à droite un nom de domaine.
Le nom de domaine (gmail.com, hotmail.com, yahoo.com, orange.fr, sfr.fr, free.fr, laposte.net, protonmail.com, etc.) permet d'identifier le serveur qui réceptionne le courrier de la personne auquel l'adresse de courrier électronique est rattachée.
Étudions à présent ce qui se passe lorsque vous envoyez un courriel sur internet.
Vous transmettez un message à votre serveur de messagerie qui se charge de son acheminement.
En d’autres termes, votre serveur de messagerie joue le rôle de facteur.
Pour cela, il va contacter le serveur de messagerie de votre correspondant (en se basant sur le nom de domaine de son adresse électronique).
Ce dernier sera responsable de placer votre message dans la boite aux lettres du destinataire.
¶ LE PROTOCOLE SMTP
Pour communiquer et échanger les courriels, le serveur de messagerie utilise le protocole SMTP (Simple Mail Transfert Protocol).
Ce processus très simple et efficace a pourtant ses limites.
En effet, lorsque vous recevez un courriel, votre serveur de messagerie ne va pas nécessairement vérifier l'origine du courriel, puisque sa préoccupation est de délivrer ce dernier à la bonne personne.
Il est toutefois possible de mettre en place des mécanismes cryptographiques pour apporter une garantie sur l'expéditeur et sur l’intégrité du contenu d'un courriel, mais cela reste à la marge et difficilement accessible pour le grand public.
Autrement dit, le champ « expéditeur » d'un courriel est purement déclaratif et n'est aucunement une garantie que le courriel provient bien de cet expéditeur.
Il vaut donc mieux rester vigilant vis-à-vis du contenu des courriers électroniques.
De manière générale, si vous recevez un courriel vous demandant des informations personnelles, des informations bancaires, vos identifiants, il s'agit très sûrement d'une tentative d'escroquerie.
Pour conclure cette présentation sur le courrier électronique, rappelez-vous que l’adresse de messagerie de l'expéditeur n’est pas un critère fiable puisque celle-ci peut facilement être usurpée.
¶ Panorama des menaces
Les messageries électroniques sont l’objet de nombreuses menaces déjà présentées dans l’unité 1 de ce module : logiciels malveillants, marketing agressif, rançongiciel et autres techniques d’ingénierie sociale, etc.
¶ INGÉNIERIE SOCIALE
En utilisant l’ingénierie sociale, des individus malveillants essaient de vous faire exécuter différents types de maliciels.
Ces derniers peuvent se cacher dans des pièces jointes au courriel (fichiers PDF, Excel et autres), mais ils sont plus souvent cachés dans des liens hypertextes.
Pour vous faire cliquer sur ces liens, les techniques d’hameçonnage associées à de faux expéditeurs restent les plus efficaces.
Parfois, l'objectif est simplement d'obtenir des renseignements personnels, compte bancaire, mot de passe, ou numéro de carte de crédit.
¶ COMMENT REPÉRER UNE ARNAQUE PAR COURRIER ÉLECTRONIQUE ?
- Généralement, les courriels malveillants sont envoyés à destination d’un grand nombre de cibles, ils ne sont pas (ou peu) personnalisés.
- Si un courrier vous paraît trop vague ou vraiment impersonnel, il y a de grandes chances qu'il s'agisse d'un pourriel.
- Il s’agit certainement d’un courriel malveillant.
- Soyez particulièrement vigilants sur les courriels provenant d’une adresse électronique que vous ne connaissez pas ou qui ne fait pas partie de votre liste de contacts.
- Même si cela s’avère de moins en moins vrai, certains courriels malveillants ne sont pas correctement écrits.
- Si le message comporte des erreurs de frappe, des fautes d’orthographe ou des expressions inappropriées, c’est qu’il n’est pas l'œuvre d’un organisme crédible (banque, administration, etc.).
- Avant de cliquer sur les éventuels liens, laissez votre souris dessus (notez que cette manipulation peut être fastidieuse à effectuer depuis un écran de smartphone).
- Vérifiez le lien complet au survol et assurez-vous qu’il est cohérent et pointe vers un site légitime.
- Ne faites pas confiance notamment aux noms de domaine de type impots.gouvv.fr ou impots.gouvfr.biz (au lieu de impots.gouv.fr), ou encore infocaf.org au lieu de www.caf.fr. Cette liste est évidemment non-exhaustive.
¶ LUTTER CONTRE LE POURRIEL
Notez qu’aujourd’hui, la plupart des messageries en ligne (et certains clients de messagerie hors ligne) disposent d'une fonctionnalité nommée « déclarer comme spam » qui permet de déclarer un courriel comme pourriel afin d'alimenter une base de connaissance commune partagée par les internautes.
Ainsi, ce même courriel reçu plus tard aura de fortes chances d'être automatiquement placé dans le dossier des courriers indésirables, voire supprimé directement.
Utiliser cette fonctionnalité est un bon réflexe qui permet à chacun de participer à la lutte contre le pourriel.
¶ Bonnes pratiques de messagerie
¶ UTILISER UN MOT DE PASSE ROBUSTE
Voici quelques bonnes pratiques à adopter pour mieux utiliser sa messagerie au quotidien.
La première pratique consiste à utiliser un mot de passe de messagerie robuste.
En effet, votre compte de messagerie peut vous permettre de recevoir des informations sensibles comme le mot de passe d'un site internet, des billets d'avion ou de train, etc.
Votre adresse de messagerie étant votre identifiant sur de nombreux services en ligne, un mot de passe trop simple permettra ainsi aux attaquants de récupérer de nombreuses informations vous concernant.
¶ CRÉER PLUSIEURS ADRESSES
Ensuite, il est recommandé de créer des adresses électroniques différentes en fonction de vos usages.
Par exemple : une adresse pour vos communications personnelles, une pour vos achats, une professionnelle et une pour vos démarches administratives.
Ainsi vous pourrez identifier plus facilement les courriels frauduleux qui arrivent sur la mauvaise boîte.
Par exemple, un courriel vous parlant de votre compte bancaire reçu sur votre adresse utilisée uniquement pour faire des achats sur internet serait anormal.
Vous pouvez également vous créer une adresse courriel « poubelle » pour les sites qui pourraient vous envoyer des courriels de démarchage.
¶ UTILISER DES MOTS DE PASSE DIFFÉRENTS
Notez qu’il est également indispensable d’utiliser des mots de passe différents pour les différentes adresses de messagerie.
Comme nous l’avons vu à plusieurs reprises, un mot de passe unique pour plusieurs comptes est une mauvaise pratique de sécurité car si l’un de vos comptes est piraté, les mots de passe de vos autres comptes seront connus.
¶ LIMITER LA DIFFUSION DES ADRESSES
La quatrième bonne pratique consiste à ne pas diffuser systématiquement son adresse de messagerie.
Par exemple, les internautes sont souvent tentés de poser des questions sur les forums privés ou publics en laissant leur adresse de messagerie dans des messages afin d'obtenir de l'aide.
N’oubliez pas que votre adresse de messagerie peut être récupérée par des robots et/ou des personnes malveillantes.
Préférez les messages privés pour communiquer sur les forums, ne donnez pas votre adresse de messagerie personnelle et utilisez plutôt une adresse « poubelle » ou dédiée aux forums.
¶ DÉCONNECTER LES COMPTES EN LIGNE
Enfin, pour conclure avec ces règles, une fois la navigation sur votre webmail terminée, veillez à toujours vous déconnecter et fermer votre navigateur.
S'il s'agit d'un équipement partagé avec d'autres utilisateurs ou si vous n’avez qu'une confiance limitée dans cet équipement, il est essentiel de suivre les bonnes pratiques vues dans le module précédent :
- Utilisez la navigation privée
- Déconnectez les comptes ouverts
- Videz votre cache
- Nettoyez vos cookies
- Fermez votre navigateur après avoir consulté votre Webmail.
¶ Les clients de messagerie
Pour accéder à votre messagerie, vous pouvez utiliser un logiciel installé sur votre ordinateur, c'est ce qu'on appelle un client lourd de messagerie (Mozilla Thunderbird, Microsoft Outlook, Apple mail, kmail, etc.).
Ce client lourd vous permet de consulter votre messagerie hors ligne sans accès à internet (si vous l'avez déjà récupéré lors d’une précédente connexion).
Vous pouvez également utiliser un site internet via votre navigateur (on parle alors de client léger), et dans le cas de la messagerie c'est ce qu'on appelle un Webmail.
Le choix de votre client lourd de messagerie est purement personnel puisque ces clients de messagerie proposent tous à peu près les mêmes fonctions.
Cependant, il est essentiel de bien configurer la messagerie et de comprendre comment elle fonctionne pour vous aider à faire le tri entre du courrier légitime et le reste.
Quel que soit le client de messagerie choisi, sa mise à jour reste l’une des mesures les plus importantes.
Notez également que celui-ci doit toutefois proposer les fonctionnalités de sécurité suivantes :
- Une gestion des courriers indésirables
- La prise en charge des protocoles sécurisés comme POP3S ou IMAPS afin de sécuriser les échanges entre votre équipement informatique et le serveur de messagerie, comme nous avons pu le voir dans l’unité 5 du module 2 dédiée à la cryptographie.
¶ CLIENT LÉGER
Les webmails quant à eux sont généralement fournis par votre fournisseur de service (votre fournisseur d'accès Internet ou un fournisseur de services en ligne gratuit ou payant), vous ne pouvez donc pas choisir le modèle ou les fonctionnalités qui y sont présentes.
Cependant, vous pouvez veiller à ce que celui-ci soit accessible via le protocole « https » (comme nous l’avons vu dans le module précédent), afin de sécuriser les échanges avec votre client de messagerie.
De manière générale, les bonnes pratiques sur la navigation internet doivent être suivies pour mieux utiliser son webmail.
Lorsque vous choisissez votre webmail, soyez attentif aux conditions d'utilisation et notamment aux clauses concernant la vie privée.
En effet, en contrepartie de la gratuité de votre compte de messagerie, certains fournisseurs de service récoltent des informations sur vous afin de vous adresser des publicités ciblées.
Notez également que certains webmails vont jusqu’à analyser le contenu de vos courriels pour mieux vous connaître.
Même si vous n'avez rien à cacher, veillez à choisir un fournisseur qui respecte votre vie privée.
¶ Les messageries instantanées
La messagerie instantanée est très pratique pour communiquer en direct avec ses contacts.
Très vite adoptée par les plus jeunes, beaucoup d'internautes utilisent désormais la messagerie instantanée, que ce soit via des applications lourdes ou mobiles, ou à l’aide des services en ligne associés aux webmails ou aux réseaux sociaux.
¶ COMMENT MARCHE LA MESSAGERIE INSTANTANÉE ?
De façon très synthétique, une messagerie instantanée est composée de clients de messagerie instantanée (lourds ou légers) et de serveurs.
Les serveurs stockent généralement les messages, ainsi que les contacts des différents comptes de messagerie instantanée.
¶ GESTION DE LA CONFIDENTIALITÉ
La messagerie instantanée permet d’échanger rapidement des informations avec un tiers.
Cependant, vous devez être conscient que ces communications sont généralement peu sécurisées (voire non sécurisées) et qu’elles peuvent être observées par un attaquant voire par le fournisseur du service.
Pour lutter contre cela et rendre leurs services plus sûrs, certains services de messagerie instantanée ont mis en place le chiffrement des communications.
Ce chiffrement peut être de deux types :
- de client à serveur, afin de protéger les échanges entre vous et les serveurs de messagerie instantanée. Notez que ce chiffrement ne vous protège pas d'une consultation directe sur les serveurs en question.
- de client à client (de bout en bout) afin de garantir la confidentialité sur toute la communication. Notez que ce type de chiffrement empêche un attaquant de consulter vos messages sur les serveurs du service de messagerie instantanée.
Pour garantir la confidentialité de vos échanges, il est donc recommandé de consulter la charte de confidentialité d'un service de messagerie instantanée avant de l'utiliser.
Cette charte vous permettra ainsi de connaître le niveau de protection proposé.
L'utilisation de services avec chiffrement de bout en bout doit être privilégié pour assurer la confidentialité des échanges.
¶ FAITES ATTENTION À VOS ÉCHANGES !
Nous venons de voir que nos communications sont susceptibles d’être interceptées, mais comment être sûr de communiquer avec la bonne personne par messagerie instantanée ?
En effet, comme par courriel, certains attaquants peuvent se faire passer pour vos amis, vos contacts professionnels, un admirateur secret ou mêmes des organismes privés ou publics afin de vous soutirer des informations par la ruse ou vous faire exécuter des maliciels.
Voici quelques conseils à suivre au quotidien pour éviter ce genre de problèmes sur votre messagerie instantanée :
- Bloquer les messages envoyés par des personnes indésirables ou inconnues
- Ne pas communique d'informations privées dans notre profil ou messages
- Ne pas cliquer sur des liens ou pièces jointes non sollicitées
- Privilégier un service de messagerie instantanée assurant la confidancialité par du chiffrement de bout en bout
¶ Cas particuliers
Notez que la lecture de MMS (« Multimedia Messaging Service » ou Service de Messagerie Multimédia pour téléphone mobile) malveillants peut compromettre un terminal mobile vulnérable.
Durant l’été 2015 par exemple, la majeure partie des terminaux Android a été vulnérable à la faille « stagefright ».
Il est donc recommandé de configurer votre terminal de manière à ce qu'il ne charge pas automatiquement les MMS, qu’il ignore les MMS reçus de numéros inconnus et qu’il accepte les mises à jour.
Notez que des solutions existent pour rendre vos courriels plus sûrs.
La fonctionnalité de signature permet de s'assurer que vous êtes bien l’émetteur d’un courriel et/ou que votre expéditeur est bien celui qu’il prétend être.
La fonctionnalité de chiffrement permet quant à elle de garantir la confidentialité et l’intégrité du message.
Notez que ces fonctions nécessitent la mise en œuvre de mécanismes cryptographiques.
Deux exemples de solutions présentant ces fonctions sont S/MIME et PGP comme nous avons pu le voir dans l’unité 5 du module 2 consacrée à la cryptographie.
Bien que l’usage de ces mécanismes soit peu répandu dans les usages personnels, ils sont plus souvent mis en œuvre en environnement professionnel.
Si tel est le cas, il est conseillé d'utiliser les fonctionnalités de signature et de chiffrement des courriels mises à votre disposition.
Voici le schéma du fonctionnement de S/MIME :
