{{tag>cours mooc informatique sécurité anssi}}


====== La messagerie électronique ======


Module 3, Unité 4 du cours [[cours:informatique:securite:secnumacademie:000_start|SecNum Académie]] proposé par l'ANSSI.

===== Transcription de la vidéo d'introduction =====

Pour communiquer avec ses proches, contacts professionnels, des entreprises ou des administrations on se tourne naturellement vers des solutions de messageries telles que la messagerie électronique ou la messagerie instantanée.

La messagerie électronique occupe aujourd'hui une place centrale dans nos moyens de communication. Elle permet de communiquer avec un ou plusieurs destinataires au moment ou on y pense et sans avoir à se déplacer ou d'attendre que ce ou ces derniers soient disponibles. Les échanges par messagerie électronique offrent ainsi la possibilité de communiquer rapidement tout en évitant l'aspect intrusif d'une communication synchrone.

Si l'arrivée des réseaux sociaux a entraîné pour certain une diminution de l'usage des courriels dans un cadre privé, la messagerie électronique est toujours très prisée dans la sphère professionnelle... et parfois trop. Et le temps passé à gérer ses messages électroniques est tel que de grandes entreprises lancent des projets visant à diminuer voire à éliminer leur utilisation.

D'autre part de nombreux services connaissent et utilisent nos adresses électroniques pour nous faire parvenir factures ou offres promotionnelles. Fournisseurs de téléphone, d'énergie, programmes de fidélité voir partenaires de boutiques. Désormais incontournable l'adresse mail est systématiquement présente dans les formulaires de contact que nous remplissons. Il arrive parfois que ce soit le seul élément de correspondance requis.

Bien qu'échanger du courriel semble anodin, nous avons vu au travers des différents modules que les boites aux lettres peuvent être la cible de différentes menaces. En effet, nos messageries sont régulièrement ciblées par des démarchages indésirables de sites commerciaux, par des individus malveillants essayant d'obtenir des informations ou de faire exécuter différents types de logiciels malveillants en utilisant des techniques d'ingénierie sociale ou d'hameçonnage.

C'est pourquoi il est nécessaire de connaître les bonnes pratiques à adopter pour utiliser sa messagerie électronique de façon sécurisée et se protéger de ces différentes menaces.

Beaucoup d'internautes utilisent également la messagerie instantanée. Que ce soit via des applications dédiées sur leurs ordinateurs ou mobiles ou via des services en ligne associés au comptes de messageries électroniques ou réseaux sociaux.

Ces solutions de messageries sont également de plus en plus présentent sur les sites de commerce en ligne qui proposent de répondre en direct à votre question voire de prendre votre commande.

Très pratique pour communiquer en direct avec ses contacts et vite adopté par les plus jeunes, la messagerie instantanée n'est pas sans risques. En effet comme pour le courrier électronique, des attaquants peuvent se faire passer pour vos contacts afin de soutirer des informations par ingénierie sociale ou tout simplement pour vous espionner.

Pour profiter au mieux de vos messageries, vous devers toujours rester vigilant. Cette unité va vous permettre d'appréhender au mieux les menaces qui pèsent sur les courriels ou les messageries instantanées et d'adopter les bonnes pratiques et solutions qui vous permettront d'utiliser ces outils de manière sûre.

===== Présentation =====

Pour commencer ce nouveau cours, définissons ensemble ce qu’est un courrier électronique, plus communément connu sous le nom de courriel ou d’email. 

Pour le décrire simplement, un courriel peut être comparé à un courrier postal: Vous écrivez votre courriel, vous indiquez le (ou les) destinataire(s), puis vous l'envoyez. Une fois rédigé, le courriel arrive quelques instants plus tard dans la boite mail de votre (ou vos) destinataire(s)!

Notez cependant que le courriel présente plusieurs avantages sur le courrier postal:
  * Il peut être envoyé à de nombreux destinataires alors que le courrier ne peut être adressé qu’à une seule personne.
  * Son acheminement est gratuit.
  * Il ne nécessite pas de se déplacer pour le porter dans une boite aux lettres.
  * Il est remis quasiment **immédiatement** à vos destinataires au lieu de prendre quelques jours pour être délivré par la voie postale.

Au vu de sa rapidité et de sa facilité d’utilisation, le courriel est aujourd’hui le moyen de communication privilégié de nombreux utilisateurs.

Pour écrire un courriel, vous devez, ainsi que votre correspondant, disposer d’une adresse électronique.

Une adresse électronique, ou e-mail, ou courriel est composée de deux parties séparées par une arobase « @ ». À gauche un nom d’utilisateur, un pseudo ou simplement votre nom et votre prénom et à droite un nom de domaine.

Le nom de domaine permet d'identifier le serveur qui réceptionne le courrier de la personne auquel l'adresse de courrier électronique est rattachée. 

Étudions à présent ce qui se passe lorsque vous envoyez un courriel sur internet.

Vous transmettez un message à votre serveur de messagerie qui se charge de son acheminement. En d’autres termes, votre serveur de messagerie joue le rôle de facteur. Pour cela, il va contacter le serveur de messagerie de votre correspondant (en se basant sur le nom de domaine de son adresse électronique).  Ce dernier sera responsable de placer votre message dans la boite aux lettres du destinataire.

Pour communiquer et échanger les courriels, le serveur de messagerie utilise le **protocole SMTP**((**S**imple **M**ail **T**ransfert **P**rotocol)).


Ce processus très simple et efficace a pourtant ses limites. En effet, lorsque vous recevez un courriel, votre serveur de messagerie ne va pas nécessairement vérifier l'origine du courriel, puisque sa préoccupation est de délivrer ce dernier à la bonne personne. 

Il est toutefois possible de mettre en place des mécanismes cryptographiques pour apporter une garantie sur l'expéditeur et sur l’intégrité du contenu d'un courriel, mais cela reste à la marge et difficilement accessible pour le grand public. 

Autrement dit, le champ « expéditeur » d'un courriel est purement déclaratif et n'est aucunement une garantie que le courriel provient bien de cet expéditeur.

Il vaut donc mieux rester vigilant vis-à-vis du contenu des courriers électroniques. De manière générale, si vous recevez un courriel vous demandant des informations personnelles, des informations bancaires, vos identifiants, il s'agit très sûrement d'une tentative d'escroquerie.

Pour conclure cette présentation sur le courrier électronique, rappelez-vous que **l’adresse de messagerie de l'expéditeur n’est pas un critère fiable** puisque celle-ci peut facilement être usurpée.


===== Panorama des menaces =====

Les messageries électroniques sont l’objet de **nombreuses menaces** déjà présentées dans l’unité 1 de ce module: logiciels malveillants, marketing agressif, rançongiciel et autres techniques d’ingénierie sociale, etc.

En utilisant l'ingénierie sociale, des individus malveillants essaient de vois faire exécuter différents types de maliciels (malwares). Ces derniers peuvent se cacher dans des pièces jointes au courriel (fichiers PDF, Excel et autres), mais ils sont plus souvent cachés dans des liens hypertextes. Pour vous faire cliquer sur ces liens, les techniques d'hameçonnage associées à de faux expéditeurs restent les plus efficaces. Parfois l'objectif est simplement d'obtenir des renseignements personnels, comptes bancaire, mot de passe, numéro de carte de crédit.

Pour nous aider à repérer les arnaques par courriel la CNIL communique les conseils suivants sur son site internet:

  * Généralement, les courriels malveillants sont envoyés à destination d’un grand nombre de cibles, ils ne sont pas (ou peu) personnalisés.
  * Si un courrier vous paraît trop vague ou vraiment impersonnel, il y a de grandes chances qu'il s'agisse d'un pourriel.
  * Si le message invoque un dossier, une facture, un thème qui ne vous parle pas, il s’agit certainement d’un courriel malveillant.
  * Soyez particulièrement vigilants sur les courriels provenant d’une adresse électronique que vous ne connaissez pas ou qui ne fait pas partie de votre liste de contacts.
  * Même si cela s’avère de moins en moins vrai, certains courriels malveillants ne sont pas correctement écrits.
  * Si le message comporte des erreurs de frappe, des fautes d’orthographe ou des expressions inappropriées, c’est qu’il n’est pas l'œuvre d’un organisme crédible (banque, administration, etc.). 
  * Avant de cliquer sur les éventuels liens, laissez votre souris dessus (notez que cette manipulation peut être fastidieuse à effectuer depuis un écran de smartphone).
  * Vérifiez le lien complet au survol et assurez-vous qu’il est cohérent et pointe vers un site légitime. 
  * Ne faites pas confiance notamment aux noms de domaine de type impots.gouvv.fr ou impots.gouvfr.biz (au lieu de impots.gouv.fr), ou encore infocaf.org au lieu de www.caf.fr. Cette liste est évidemment non-exhaustive. 

Pour résumer ces quelques conseils, méfiez-vous des demandes étranges :

  * Posez-vous la question de la légitimité des demandes éventuelles exprimées.
  * Aucun organisme n’a de raison légitime de vous demander votre code de carte bleue, vos codes d’accès ou vos mots de passe par messagerie électronique.
  * Ne transmettez jamais d’informations confidentielles à des personnes prétendant faire partie de votre entourage.

Quel que soit l'objectif du courriel malveillant: du simple marketing agressif à la tentative d'escroquerie par ingénierie sociale, on désigne généralement ce type de courriel par le terme « pourriel » (contraction de « poubelle » et « courriel »), ou « courrier indésirable », voire « spam » en anglais.

==== Lutter contre le pourriel ====

Notez qu’aujourd’hui, la plupart des messageries en ligne (et certains clients de messagerie hors ligne) disposent d'une fonctionnalité nommée « déclarer comme spam » qui permet de déclarer un courriel comme pourriel afin d'alimenter une base de connaissance commune partagée par les internautes.

Ainsi, ce même courriel reçu plus tard aura de fortes chances d'être automatiquement placé dans le dossier des courriers indésirables, voire supprimé directement.

Utiliser cette fonctionnalité est un bon réflexe qui permet à chacun de participer à la lutte contre le pourriel.

===== Bonnes pratiques de messagerie =====

Voici quelques bonnes pratiques à adopter pour mieux utiliser sa messagerie au quotidien. 

La première pratique consiste à utiliser un mot de passe de messagerie robuste. 

En effet, votre compte de messagerie peut vous permettre de recevoir des informations sensibles comme le mot de passe d'un site internet, des billets d'avion ou de train, etc.

Votre adresse de messagerie étant votre identifiant sur de nombreux services en ligne, un mot de passe trop simple permettra ainsi aux attaquants de récupérer de nombreuses informations vous concernant.

Suivez les bonnes pratiques de mots de passe vu dans le module 2 de ce MOOC et sécurisez toujours votre messagerie et l’ensemble de vos services en ligne avec des mots de passe robustes et uniques.

Ensuite, il est recommandé de **créer des adresses** électroniques différentes **en fonction de vos usages**. 

Par exemple : une adresse pour vos communications personnelles, une pour vos achats, une professionnelle et une pour vos démarches administratives. 

Ainsi vous pourrez **identifier plus facilement les courriels frauduleux qui arrivent sur la mauvaise boîte**. 

Par exemple, un courriel vous parlant de votre compte bancaire reçu sur votre adresse utilisée uniquement pour faire des achats sur internet serait anormal. 

Vous pouvez également vous créer une adresse courriel « poubelle » pour les sites qui pourraient vous envoyer des courriels de démarchage.

Notez qu’il est également indispensable d’utiliser des mots de passe différents pour les différentes adresses de messagerie. 

Comme nous l’avons vu à plusieurs reprises, un mot de passe unique pour plusieurs comptes est une mauvaise pratique de sécurité car si l’un de vos comptes est piraté, les mots de passe de vos autres comptes seront connus. 

N'hésitez pas à vous servir d'un coffre-fort de mots de passe comme nous avons pu le voir dans l'unité 4 du module 2.

La quatrième bonne pratique consiste à ne pas diffuser systématiquement son adresse de messagerie. 

Par exemple, les internautes sont souvent tentés de poser des questions sur les forums privés ou publics en laissant leur adresse de messagerie dans des messages afin d'obtenir de l'aide.

N’oubliez pas que votre adresse de messagerie peut être récupérée par des robots et/ou des personnes malveillantes. 

Préférez les messages privés pour communiquer sur les forums, ne donnez pas votre adresse de messagerie personnelle et utilisez plutôt une adresse « poubelle » ou dédiée aux forums. 

Enfin, pour conclure avec ces règles, une fois la navigation sur votre webmail terminée, veillez à toujours vous déconnecter et fermer votre navigateur. 

S'il s'agit d'un équipement partagé avec d'autres utilisateurs ou si vous n’avez qu'une confiance limitée dans cet équipement, il est essentiel de suivre les bonnes pratiques vues dans le module précédent:

  * Utilisez la navigation privée
  * Déconnectez les comptes ouverts
  * Videz votre cache
  * Nettoyez vos cookies
  * Fermez votre navigateur après avoir consulté votre Webmail.

 
===== Les clients de messagerie =====

Pour accéder à votre messagerie, vous pouvez utiliser un logiciel installé sur votre ordinateur, c'est ce qu'on appelle un client lourd de messagerie (Mozilla Thunderbird, Microsoft Outlook, Apple mail, kmail, etc.).

Ce client lourd vous permet de consulter votre messagerie hors ligne sans accès à internet (si vous l'avez déjà récupéré lors d’une précédente connexion).

Vous pouvez également utiliser un site internet via votre navigateur (on parle alors de client léger), et dans le cas de la messagerie c'est ce qu'on appelle un **Webmail**.

==== Client lourd ====

Le choix de votre client lourd de messagerie est purement personnel puisque ces clients de messagerie proposent tous à peu près les mêmes fonctions.

Cependant, il est essentiel de bien configurer la messagerie et de comprendre comment elle fonctionne pour vous aider à faire le tri entre du courrier légitime et le reste. 

Quel que soit le client de messagerie choisi, sa mise à jour reste l’une des mesures les plus importantes. 

Notez également que celui-ci doit toutefois proposer les fonctionnalités de sécurité suivantes :

  * Une gestion des courriers indésirables
  * La prise en charge des protocoles sécurisés comme POP3S ou IMAPS afin de sécuriser les échanges entre votre équipement informatique et le serveur de messagerie, comme nous avons pu le voir dans l’unité 5 du module 2 dédiée à la cryptographie.

==== Client léger ====

Les webmails quant à eux sont généralement fournis par votre fournisseur de service (votre fournisseur d'accès Internet ou un fournisseur de services en ligne gratuit ou payant), vous ne pouvez donc pas choisir le modèle ou les fonctionnalités qui y sont présentes. 

Cependant, vous pouvez veiller à ce que celui-ci soit accessible via le protocole « https » (comme nous l’avons vu dans le module précédent), afin de sécuriser les échanges avec votre client de messagerie.

De manière générale, les bonnes pratiques sur la navigation internet doivent être suivies pour mieux utiliser son webmail. 

Lorsque vous choisissez votre webmail, soyez attentif aux conditions d'utilisation et notamment aux clauses concernant la vie privée. 

En effet, en contrepartie de la gratuité de votre compte de messagerie, certains fournisseurs de service récoltent des informations sur vous afin de vous adresser des publicités ciblées. 

Notez également que certains webmails vont jusqu’à analyser le contenu de vos courriels pour mieux vous connaître.

Même si vous n'avez rien à cacher, veillez à choisir un fournisseur qui respecte votre vie privée.

On retiendra:

  * Tenez à jour votre client lourd de messagerie si vous en utilisez un.
  * Utilisez un mot de passe de messagerie le plus robuste possible selon les recommandations présentées dans le module 2.
  * Consultez votre Webmail en navigation privée et fermez le navigateur lorsque vous avez fini de consulter votre courrier sur un équipement partagé ou de moindre confiance.
  * Appliquez les bonnes pratiques d'usage de votre navigateur vues dans l'unité précédente de ce module.
  * Faites attention aux pièces jointes des courriels.
  * Regardez avec attention la destination des liens avant de cliquer, ne cliquez pas directement sur les liens.

**Lorsque vous avez un doute sur une entité, ayez le réflexe d’aller vérifier sur son site internet ou ses réseaux sociaux pour vérifier si elle communique sur ce point et la véracité de l’information.**

==== Les messageries instantanées ====

La messagerie instantanée est très pratique pour communiquer en direct avec ses contacts. 

Très vite adoptée par les plus jeunes, beaucoup d'internautes utilisent désormais la messagerie instantanée, que ce soit via des applications lourdes ou mobiles, ou à l’aide des services en ligne associés aux webmails ou aux réseaux sociaux.

De façon très synthétique, une messagerie instantanée est composée de clients de messagerie instantanée (lourds ou légers) et de serveurs. 

Les serveurs stockent généralement les messages, ainsi que les contacts des différents comptes de messagerie instantanée. 

La messagerie instantanée permet d’échanger rapidement des informations avec un tiers. 

Cependant, vous devez être conscient que ces communications sont généralement peu sécurisées (voire non sécurisées) et qu’elles peuvent être observées par un attaquant voire par le fournisseur du service. 

Pour lutter contre cela et rendre leurs services plus sûrs, certains services de messagerie instantanée ont mis en place le chiffrement des communications.

Ce chiffrement peut être de deux types : 

  * de client à serveur, afin de protéger les échanges entre vous et les serveurs de messagerie instantanée. Notez que ce chiffrement ne vous protège pas d'une consultation directe sur les serveurs en question. 
  * de client à client (de bout en bout) afin de garantir la confidentialité sur toute la communication. Notez que ce type de chiffrement empêche un attaquant de consulter vos messages sur les serveurs du service de messagerie instantanée.

Pour garantir la confidentialité de vos échanges, il est donc **recommandé de consulter la charte de confidentialité d'un service** de messagerie instantanée avant de l'utiliser.

Cette charte vous permettra ainsi de connaître le niveau de protection proposé.

L'utilisation de services avec chiffrement de bout en bout doit être privilégié pour assurer la confidentialité des échanges.

==== Faites Attention à vos échanges ====
 
Nous venons de voir que nos communications sont susceptibles d’être interceptées, mais comment être sûr de communiquer avec la bonne personne par messagerie instantanée ?

En effet, comme par courriel, certains attaquants peuvent se faire passer pour vos amis, vos contacts professionnels, un admirateur secret ou mêmes des organismes privés ou publics afin de vous soutirer des informations par la ruse ou vous faire exécuter des maliciels.

Un exemple de cette arnaque est celle subie par IKEA en octobre 2017. Pour réaliser cette arnaque de grande ampleur, des pirates ont largement diffusés des publicités faisant promettre des gains au nom d’IKEA en utilisant la messagerie instantanée Whatapp.

Quelques conseils à suivre au quotidien pour éviter ce genre de problèmes sur votre messagerie instantanée:

  * Bloquez les messages envoyés par des personnes indésirables ou inconnues.
  * Ne communiquez pas d'informations privées dans votre profil ou dans vos messages.
  * Ne cliquez pas sur des liens ou pièces jointes non sollicités.
  * Privilégier un service de messagerie instantanée assurant la confidentialité des échanges par du chiffrement de bout en bout.

Restez vigilant dans la transmission d’information. 
En effet, les solutions de chiffrement de bout en bout ne permettent pas de vérifier l’authenticité du message, elles s’assurent uniquement de préserver l'intégrité et la confidentialité du message. 


===== Cas particuliers =====


Notez que la lecture de **MMS**((**M**ultimedia **M**essaging **S**ervice ou Service de Messagerie Multimédia pour téléphone mobile)) malveillants peut compromettre un terminal mobile vulnérable. 

Durant l’été 2015 par exemple, la majeure partie des terminaux Android a été vulnérable à la faille "stagefright".

Il est donc recommandé de configurer votre terminal de manière à ce qu'il ne charge pas automatiquement les MMS, qu’il ignore les MMS reçus de numéros inconnus et qu’il accepte les mises à jour. 


Notez que des solutions existent pour rendre vos courriels plus sûrs.
  * La fonctionnalité de signature permet de s'assurer que vous êtes bien l’émetteur d’un courriel et/ou que votre expéditeur est bien celui qu’il prétend être.
  * La fonctionnalité de chiffrement permet quant à elle de garantir la confidentialité et l’intégrité du message.
  * Notez que ces fonctions nécessitent la mise en œuvre de mécanismes cryptographiques.

Deux exemples de solutions présentant ces fonctions sont **S/MIME** et **PGP** comme nous avons pu le voir dans l’unité 5 du module 2 consacrée à la cryptographie. 

Bien que l’usage de ces mécanismes soit peu répandu dans les usages personnels, ils sont plus souvent mis en œuvre en environnement professionnel. 

Si tel est le cas, il est conseillé d'utiliser les fonctionnalités de signature et de chiffrement des courriels mises à votre disposition.

===== Conclusion =====

Dans cette unité, nous avons pu voir comment appréhender au mieux les menaces qui existent sur le courrier électronique et la messagerie instantanée. 

Vous êtes désormais conscient que votre messagerie quelle qu’elle soit (client lourd ou léger) ainsi que vos services de messageries instantanées sont la cible de différentes formes de menaces.

Veillez à respecter les bonnes pratiques de cette unité afin de vous protéger ainsi que votre organisation des malveillances.

===== Références =====

  * https://www.cnil.fr/fr/phishing-detecter-un-message-malveillant
  * https://www.ssi.gouv.fr/particulier/precautions-elementaires/5-reflexes-a-avoir-lors-de-la-reception-dun-courriel/
  * https://www.cnil.fr/atom/15978