L'analyse sécurité mail - Karitchi/woodytoys-admin2-b2-q2-y22_23 GitHub Wiki

Identification des biens à protéger

  • L'accès au conteneur tenant le rôle de serveur mail doit être restreint. Ce point s'intègre dans la sécurisation de l'infrastructure.
  • Contrôle des connexions entrantes et sortantes par le contrôle des ports ouverts.
  • Sécurisation des protocoles grâce à SSL/TLS [1]
  • Gestion des autorisations des utilisateurs
  • Filtrage anti-spam pour détecter et bloquer les mails indésirables[2]
  • Protection contre les virus en mettant en place une stratégie de scan des pièces jointes[2]

Identification des menaces / failles

  • Vulnérabilités de sécurité : Les serveurs Dovecot et Postfix peuvent contenir des vulnérabilités logicielles connues, telles que des failles de sécurité, des bogues ou des erreurs de programmation. Ces vulnérabilités pourraient être exploitées pour accéder ou compromettre les systèmes.

  • Configuration incorrecte : Une configuration incorrecte des serveurs Dovecot et Postfix peut entraîner des vulnérabilités de sécurité. Des paramètres de sécurité mal configurés, des autorisations incorrectes, des ports ouverts non nécessaires ou des paramètres de chiffrement faibles peuvent créer des points d'entrée pour les attaquants.

  • Manque de mise à jour : Si les serveurs Dovecot et Postfix ne sont pas régulièrement mis à jour avec les derniers correctifs de sécurité, ils peuvent rester vulnérables à des attaques exploitant des failles connues.

  • Faiblesse des mots de passe : Les mots de passe faibles ou courants utilisés par les utilisateurs peuvent rendre les comptes de messagerie vulnérables à une compromission. Les attaquants peuvent utiliser des techniques de force brute ou des attaques de dictionnaire pour deviner les mots de passe et accéder aux comptes.

  • Phishing et ingénierie sociale : Les serveurs de messagerie peuvent être ciblés par des attaques de phishing, où les utilisateurs sont trompés par des e-mails ou des messages frauduleux pour divulguer leurs informations d'identification ou effectuer des actions indésirables. Les attaquants peuvent également utiliser des tactiques d'ingénierie sociale pour manipuler les utilisateurs et les inciter à divulguer des informations sensibles.[3]

  • Message indésirable : Si le système n'est pas bien protégé, des individus malveillants pourrait en profiter pour distribuer des messages indésirables aux utilisateurs.

Priorisation des risques (impact * probabilité)

  • Vulnérabilités de sécurité (48) :

    • Impact : 6
    • Probabilité : 8
    • Justification : presque tout système possède des failles connues et/ou non connues du grand public. Cependant, nous osons espérer que si une faille n'est pas corrigée durant le développement ou une mise à jour, c'est que son impact devrait être limité.

  • Message indésirable (45) :

    • Impact : 5
    • Probabilité : 9
    • Justification : les messages indésirés sont très répandus de nos jours. Il impensable d'imaginer un service de messagerie qui serait épargné par le phénomène. Cependant, l'impact sera limité pour le système si ces messages se limitent à la transmission d'informations.

  • Configuration incorrecte(42) :

    • Impact : 7
    • Probabilité : 6
    • Justification : les différentes configurations seront faites par des étudiants encore en formation. Dès lors, les défauts de configurations sont plus que probable. L'impact peut moyen ou grave en fonction d'où se situe le défaut de configuration.

  • Faiblesse des mots de passe(42) :

    • Impact : 6
    • Probabilité : 7
    • Justification: la probabilité que les utilisateurs utilisent des mots de passe fiables est très élevées si ces derniers ne sont pas contraints à utiliser des mots de passes adéquats. L'impact pourrait être limité si l'utilisateur dont l'identité a été" usurpée ne possède pas de droit admin

  • Phishing et ingénierie sociale(40) :

    • Impact : 8
    • Probabilité : 5
    • Justification : l'impact serait grand si des données importantes sont divulgués à un individus non autorisé au moyen du phishing ou dans le cas d'une ingénierie sociale.

  • Manque de mise à jour(36) :

    • Impact : 6
    • Probabilité : 6

Identification et sélection des contre-mesures

  • Mise à jour régulière : La mise à jour régulière des systèmes à plusieurs avantages. Elle permet de d'apporter des solutions aux vulnérabilités connues des logiciels dont les équipes de développeurs apportent des correctifs régulièrement. Les mises à jour peuvent être en lien avec des correctifs temporaires ou alors des montées de versions[4]. Nous comptons mettre en place un système de veille afin de mettre à jour les systèmes le plus tôt possible

  • Chiffrement des messages, noms d'utilisateurs et mot de passe : avec une configuration basique, tous les messages entre un client et un serveur mail passent en clair sur le réseau. Pour se faire, nous allons mettre en place SSL qui est un système de chiffrement des données grâce à des clés(symétriques ou asymétriques)[5].

  • Filtres anti-spam : pour contrer les messages indésirables, le phishing et ingénierie sociale, nous comptons installer un filtre anti spam. Le filtre anti-spam permet de reconnaitre les messages indésirables selon certaines règles bien définies. Si un message est identifié comme spam; il ne sera pas envoyé à la boite de réception du destinataire. Le logiciel choisi pour ce faire est SpamAssassin. C'est un filtre assez puissant et facilement personnalisable[6].

  • Anti-virus : en complément du filtre anti-spam, nous comptons également mettre en place un anti-virus pour scanner les mails. Un système anti-virus vérifie que tous les courriels entrants ne contiennent pas de virus, de vers ou de chevaux de Troie[7].

  • Formation et sensibilisation des utilisateurs : les utilisateurs doivent être sensibilisés à avoir des mots de passe fort. Il doivent également être informés sur les risques liés au mails de phishing, à l'ingénierie sociale et aux conduites à tenir face à ses situations.

Documentation des éléments de configuration des contre-mesures

  • SPF : nous avons mis en place une mesure SPF qui nous permet de préciser quels sont les serveurs habilités à envoyer des mails pour notre domaine.

    • Configuration mise en place : woodytoys.live IN TXT "v=spf1 ip4:34.77.173.222 include:woodytoys.live -all". Cette configuration indique la version de spf utilisée. Elle indique aussi l'adresse ip du serveur autorisée à envoyer des mail pour le domain "woodytoys.live". Les email ne provenant pas du bon serveur seront marqués insecure ou spam

  • DKIM : nous avons également une configuration DKIM qui permet d'une part au serveur de signer les mails sortant avec sa clé privée et d'autre part, il permet au serveur de reception de verifier la signature avec la clé publique du serveur d'envoi.

    • Configuration mise en place: woodytoys.live IN TXT v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuYrQ8x6Q1vq8eG3RkpilsF0a/OBlcJRep3bUt27kT+CGEE1PIkKdp6p2R+rgvmXA7Hdo6EMjD9BXTLSHdb3NAwuHUu4/siYljpDZMDNURlIKvxeu2vX8QgcqWscKLLC8DXu7ZwFFTWp3twICb3ZlTWRR1YRjRF2SyiZbtAI7uRiEbTQ8X036UTqcUtOufsMDtbs8ZmetLMuklOd4IybV/+Cv6rjYVddrE4q6LzRPn+QZolbjAiRUEJDYzrp5Z0YXkA3/g8WwF2ERuEw/LS0Pqt067DVFiYhw+dtBkDuPWSR93Rq1BKe8iiHBe7+wn+C2kiMC1zhr+hrOcUWiR53ryQIDAQAB

  • DMARC : c'est la politique qui spécifie la où les mesures à prendre par rapport aux mails ayant échoué au spf (au cas où la décision prise au niveau du spf serait insuffisante).

    • Configuration mise en place : woodytoys.live IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected],mailto:[email protected]". La configuration indique la version de DMARC. Ensuite, elle indique la mesure à prendre (ici c'est la mise en quarantaine). Quelques addressess sont indiquées pour l'envoi de rapport.

Lien démo SPF DKIM DMARC

Documentation des risques résiduels (menaces contre lesquelles il n'est pas possible de mettre en oeuvre des contre-mesures)

Malgré les mesures prises pour sécuriser les emails, il est clair qu'il reste encore certaines vulnérabilités contre lesquelles il n'est pas possible pour nous de nous prémunir. Parmi ces dernières, on peut citer :

  • Les vulnérabilités logiciels récemment découvertes par des personnes malintentionnées et pas encore connu du fournisseur et de la communauté de sécurité. Dès lors, il n'existe pas encore de correctif pour ces dernières. La solution est alors de rester vigilant et de prendre les mesures adéquates dès que le cas se présente.
  • Le facteurs humains reste un risque qu'on ne peut jamais totalement contrôlé malgré les formations et les sensibilisation. Un moment d'inattention peut amener un utilisateurs à divulguer une information sensible ou à cliquer sur un lien malveillant.
  • Il est également presque impossible de se prémunir contre les menaces telles que le vol du matériel des utilisateurs. Ce qui pourrait également conduire à des fuites de données sensibles.

Références

[1] Plesk. (s.d.). Plesk Documentation and Help Portal. Récupéré sur docs.plesk.com: https://docs.plesk.com/fr-FR/obsidian/customer-guide/sites-web-et-domaines/s%C3%A9curiser-les-connexions-avec-des-certificats-ssltls/s%C3%A9curiser-la-messagerie-web-et-les-messages-avec-des-certificats-ssltls.76531/#:~:text=Pour%20b%C3%A9n%C3%A9ficier%20

[2] altoSpam. (s.d.). Comment optimiser la sécurité de sa messagerie électronique ? Récupéré sur www.altospam.com: https://www.altospam.com/actualite/2019/11/comment-optimiser-la-securite-de-sa-messagerie-electronique/#:~:text=La%20base%20de%20la%20s%C3%A9curisation,aussi%20des%20malwares%20encore%20inconnus

[3] Kiteworks . (s.d.). Qu’est-ce que la sécurité des e-mails ? Comment sécuriser les e-mails de votre entreprise ? Récupéré sur www.kiteworks.com: https://www.kiteworks.com/fr/e-mail-securise/quest-ce-que-la-securite-des-e-mails-comment-securiser-les-e-mails-de-votre-entreprise/

[4] Orange Cyberdefense. (2019). Vulnérabilités : de quoi parle-t-on ? Récupéré sur www.orangecyberdefense.com: https://www.orangecyberdefense.com/fr/insights/blog/gestion-des-vulnerabilites/vulnerabilites-de-quoi-parle-t-on

[5] arobase. (2018). Sécuriser sa connexion e-mail (SSL). Récupéré sur arobase.org: https://www.arobase.org/securite/connexion-securisee.htm

[6] Linux-Console. (s.d.). Comment ajouter une protection antivirus et antispam au serveur de messagerie Postfix. Récupéré sur Linux-Console.net: https://fr.linux-console.net/?p=2426#gsc.tab=0

[7] PowerDMarc. (2022). Qu'est-ce que la sécurité du courrier électronique ? Récupéré sur powerdmarc.com: https://powerdmarc.com/fr/what-is-email-security/