Pour protéger votre boîte mail des courriels indésirables, non sollicités ou même malveillants, les filtres anti-pourriels constituent la première ligne de défense. Même si ces filtres se livrent à un combat permanent, comme Don Quichotte face aux moulins à vent, ou Sisyphe face au rocher qui sans cesse redescend sous l'effet de la gravité, ils fonctionnent selon un principe plutôt simple puisqu’il suffit de connaître les caractéristiques type des pourriels pour pouvoir les repérer et les éliminer. Mais la véritable difficulté c’est qu’il faut identifier les courriels au contenu malveillant dissimulé dans les hyperliens, les URL ou les pièces jointes. C'est comme découvrir et faire détoner une bombe. Voyons ensemble comment vaincre l’ennemi ultime (comme dans tout film ou jeu vidéo qui se respecte).
Lorsqu'on reçoit des courriels qui sont, de toute évidence, des pourriels, remplis de fautes de frappe, sans intérêt, ou tout bonnement stupides, on rejette facilement la faute sur le système de filtrage anti-pourriels qui les a laissés passer. Mais l'entraînement de ce type de système est complexe, surtout dans une organisation comme le CERN, où les courriels proviennent des quatre coins de la planète, sont écrits et lus dans toutes les langues imaginables, et auxquels on répond de jour comme de nuit. Le fait que le CERN permette d’utiliser à des fins non professionnelles son adresse mail cern.ch rend l'affaire encore plus compliquée. Cela signifie que transitent via le système de messagerie de l'Organisation non seulement des courriels professionnels, mais aussi des échanges personnels, des documents privés, de la publicité ou des newsletters, et ce directement, ou bien par le biais de courriels transférés depuis des boîtes mail externes, comme Gmail ou la messagerie de votre institut. Il est difficile de discerner les véritables courriels indésirables de ceux qui sont simplement suspects, et comme le service de messagerie du CERN préfère être transparent, en cas de doute, les courriels sont soit envoyés dans le dossier « courriels indésirables », soit retenus dans le système de quarantaine. Mais il reste une étape. Celle du duel contre l’ennemi ultime.
Les assaillants du web sont sans cesse à vos trousses : dans un courriel, ils voudront toujours vous convaincre de cliquer sur tel lien malveillant, ou d'ouvrir telle pièce jointe, tout aussi malveillante. En un clic, votre mot de passe peut être compromis, votre ordinateur infecté, ou vos informations personnelles et professionnelles en danger. Dans l'idéal, ces courriels n'arriveront jamais dans votre boîte mail grâce à nos dispositifs sophistiqués de « détonation des courriels ». Pour chaque courriel suspect, ces dispositifs génèrent des machines virtuelles avec différents types de systèmes d'exploitation (Windows 10, Windows 11, etc.), ouvrent le courriel suspect et simulent les actions qu'aurait pu entreprendre l'utilisateur : clics, ouverture de pièces jointes ou mouvements de souris. Vous avez compris. Ils attendent ensuite de voir si le courriel, le lien ou la pièce jointe ouverte agit inhabituellement, c'est-à-dire s'il « détone » ... Par exemple, si des adresses IP externes sont contactées, si des fichiers externes sont téléchargés ou encore si les paramètres du système d'exploitation ou le système de fichiers sont manipulés ; en d’autres termes des actions auxquelles on ne s'attendrait pas en lisant simplement un courriel ou un PDF en pièce jointe. Si le courriel détone, sa mise en quarantaine est recommandée. Le flot d'attaques est maîtrisé, l’ennemi neutralisé. Comme Don Quichotte ou Sisyphe, les anti-pourriels se battent inlassablement.
Le service de messagerie et l'équipe de sécurité informatique du CERN déploient actuellement un nouvel outil de lutte contre ces ennemis : ActiveGuard, de Xorlab. ActiveGuard vient parfaire le filtre anti-pourriels de Microsoft, Exchange Online Protection (EOP), et remplacera le système de protection natif de Microsoft, Microsoft Defender pour Office (MDO). En effet, ce dernier présentait des faiblesses en termes de qualité de détection par rapport à notre système précédent, FireEye*. ActiveGuard est un système du cloud qui protège les boîtes mail, identifie et met en quarantaine les logiciels malveillants et fait détonner les pièces jointes malveillantes. Il s'accompagne aussi de renforcements sécuritaires, inspirés des normes couramment employées dans le secteur, à savoir la validation DMARC. Même si ces dispositifs sont susceptibles de dégrader certaines fonctionnalités (comme la possibilité d'avoir une liste des adresses qui usurpent l'identité cern.ch), ils permettent aussi d'améliorer considérablement la sécurité des échanges de courriels par empêcher l'usurpation d'identité de l'expéditeur des e-mails. Or, combattre l’ennemi ultime implique de bien s'armer.
Toutes les personnes qui communiquent par courriel bénéficieront du renforcement de la sécurité grâce à cet outil de combat. Cependant, il est possible que vous remarquiez un nombre plus important de courriels indésirables mis en quarantaine ou dans les « courriers indésirables » au début, pendant la phase de peaufinage du filtrage d'ActiveGuard et d’EOP. En outre, nous essayons de résoudre une autre difficulté : les deux systèmes de protection (ActiveGuard et EOP) vous informent séparément des courriels qu'ils ont mis en quarantaine et que vous pouvez examiner avant de décider de les débloquer ou pas. Pendant la phase de déploiement, nous tenterons de régler les systèmes de sorte que la quantité de courriels à examiner par vos soins (et par les nôtres !) reste raisonnable. Si nous n'y arrivons pas du premier coup, soyez patients. Rappelez-vous que ces nouveaux dispositifs contre les pourriels et les logiciels malveillants mènent efficacement le combat à votre place !
* Microsoft Defender pour Office ne détectait que 5 à 50 % des pourriels transférés depuis les messages mis en quarantaine par FireEye, tandis que ce dernier présentait un taux supérieur de détection de vrais positifs. Six mois de discussion avec l'équipe de support de Microsoft n’ont pas suffi à résoudre cet écart. L’exercice sera répété avec le nouveau système de protection. Quoi qu'il en soit, le monde (de la sécurité) a besoin d'un « Virustotal » pour les produits de sécurité des courriels.
_____
Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, consultez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site web ou contactez-nous à l’adresse Computer.Security@cern.ch.