Les risques liés à la messagerie instantanée et au P2P en entreprise

La messagerie instantanée et le ‘peer-topeer’ progressent très vite, et un peu anarchiquement -contate un rapport d’Osterman Research

Aux États-Unis, à la mi-2004 on comptait plus de 90% de systèmes de messagerie instantanée implantés non seulement dans le grand public mais aussi en entreprise. Ce qui ne veut pas dire que tout le monde les utilise. En effet, pour l’heure, seuls 26% des utilisateurs ayant un compte e-mail se servent de la messagerie instantanée. Or, d’ici 2007, ce pourcentage devrait atteindre les 80%. Par ailleurs, le nombre de plates-formes de messagerie instantanée en exploitation dans les entreprises continue, lui aussi, à augmenter.

Pourquoi un tel succès ? Tout simplement parce que ces solutions ont commencé au niveau des utilisateurs individuels avec des clients gratuits comme celui de Microsoft, d’AOL ou de Yahoo!, le tout hors du regard sévère du département informatique. Ce dernier n’est responsable du déploiement de telles solutions que dans un peu moins d’un tiers des cas (31 %). D’ailleurs, la messagerie instantanée reste «sauvage» c’est-à-dire non gérée par la division informatique dans 57% des cas. Or les clients de messagerie instantanée grand public sont loin d’être sécurisés. Parmi les brèches les plus communes, on recense : – l’absence de contrôle de l’identité. Bien souvent, les utilisateurs emploient un client IM (instant messaging) indépendamment de tout annuaire ‘corporate’, si bien que les entreprises n’ont quasiment aucun contrôle sur les identités IM de leurs employés. Ceci a deux conséquences importantes : d’une part, l’absence de politique de dénomination pour affecter la réputation de l’ensemble de l’entreprise si certains employés manquent à leur devoir de réserve. D’autre part, en cas de départ ou de démission de l’employé, rien ne l’empêche de continuer à se servir de cette identité et d’ainsi continuer à nuire à la réputation de son ex employeur. – le manque de sécurité. Comme il est rare que la messagerie instantanée propose un cryptage de bout en bout des messages qu’elle véhicule et qu’il est très facile à de tels clients de contourner les coupe-feu, les entreprises risquent de recevoir des virus, des vers ou des codes malicieux via leur infrastructure IM, sans même mentionner l’absence de protection des contenus sensibles qui pourraient transiter par un tel système. Par ailleurs, les clients IM grand public peuvent aussi créer des débordements de mémoire tampon (buffer overflow) sur le réseau de l’entreprise. – le manque d’audit et l’absence de fonctionnalités de « log-in ». Il n’est en effet pas possible d’historiser les conversations tenues via l’IM. D’ailleurs, lorsque les interlocuteurs quittent leur session, le contenu de leurs conversation est perdu à moins qu’il n’ait été copié et sauvegardé manuellement. Ce qui peut poser quelques problèmes dans les entreprises qui archivent les communications électroniques de leurs employés. Par ailleurs, une autre vulnérabilité tient au fait que rien ne prouve que le contenu archivé manuellement n’a pas été modifié depuis lors. Dans un contexte des nouvelles dispositions «Sarbane», on imagine sans peine les problèmes que cela peut soulever. L’enquête menée par Osterman Research donne des résultats très précis sur les soucis que se font les entreprises s’agissant de l’IM Premier sujet de préoccupation: la sécurité de l’information envoyée, suivie par l’abus d’utilisation à titre personnel. Vient en troisième position le temps nécessaire dépensé pour gérer ces messageries, puis le manque d’interopérabilité entre les systèmes de messagerie instantanée. Se situent enfin quasiment au même niveau le coût de la maintenance de l’infrastructure IM, la baisse de productivité qu’elle engendre et le coût d’implantation d’une infrastructure correcte. Ce que les entreprises appellent de tous leurs voeux, c’est de pouvoir authentifier les utilisateurs IM au sein de l’annuaire de l’entreprise, d’encrypter tout le trafic instantané et de le bloquer vis-à-vis des postes des utilisateurs qui en abusent. De même, les directeurs informatiques aimeraient pouvoir crypter tout le trafic IM transitant par leurs serveurs tout en gardant un contrôle absolu sur l’infrastructure déployée pour communiquer ainsi en temps réel. D’autres voeux, tout aussi prégnants, concernant notamment la conformité de ces systèmes avec les réglementations et la possibilité de configurer un accès plus ou moins ouvert à la messagerie instantanée selon les habilitations dont dispose l’utilisateur. P2P, le meilleur du peer Les réseaux peer-to-peer sont souvent considérés comme une source de piratage importante. Reconnaissons-le, même si certains flux Bit-Torrent, Carracho et autres sont employés à des fins professionnelles (notamment pour constituer des communautés fermées échangeant entre elles des documents confidentiels), la plupart des échanges concernent bel et bien des contenus plus ou moins illicites. Une étude conduite début 2004 démontre par ailleurs que près de 40% des utilisateurs d’Internet utilisent le P2P pour télécharger des contenus via le réseau de l’entreprise. Or, de tels téléchargements sont loin d’être exempts de risques. Virus, vers et chevaux de Troie empruntent de plus en plus fréquemment cette voie pour pénétrer les postes de travail puis les réseaux. Il est donc fondamental de sensibiliser les utilisateurs à ces outils, afin qu’ils puissent les employer désormais à bon escient. Et c’est justement là où le bât blesse. Qui plus est, télécharger du contenu via un réseau peer-to-peer revient généralement à contourner les systèmes de sécurité implantés sur la messagerie traditionnelle. Diverses enquêtes ont ainsi démontré que l’extorsion d’informations de l’entreprise est dans 80% des cas effectuée via le P2P. Par ailleurs, le trafic sur ces réseaux peut consommer une part importante de la bande passante des réseaux. Ainsi, d’après certains FAI, le trafic ‘peer-to-peer’ représenterait quelque 70% du trafic transitant par leurs réseaux. Toutefois, le risque le plus flagrant (et certainement le plus dangereux) lié à au P2P est certainement le risque de poursuites pour violation de copyrights. N’oublions pas en effet qu’en droit français, c’est le dirigeant de l’entreprise qui est responsable des comportements parfois aberrants de ses salariés (y compris en matière de piratage de logiciels). Enfin, les clients ‘peer-to-peer’ ouvrent grand le réseau de l’entreprise au partage de fichiers, ce qui n’est pas vraiment leur but originel. Toutefois, tous les réseaux de ce type ne sont pas à proscrire. C’est le cas notamment des réseaux offrant des possibilités VoIP, tels que Skype et Morpheus. Tout l’art du ‘risk management’ face à de telles approches consistera donc à former les utilisateurs et à les informer des risques qu’ils font courir à l’entreprise s’ils utilisent de tels moyens de communication de façon inconsidérée. De toute façon, il est important de bien comprendre que dans ce domaine, les outils de sécurité traditionnels «pédalent dans la semoule». En effet, certains points d’accès, utilisés pour des applications légitimes, peuvent être utilisés abusivement par des applications de messagerie instantanée ou de Peer-to-peer. De même, les filtres des appliances IDS reconnaissent rarement l’extrusion et l’intrusion de flux ‘peer-to-peer’. Interdire et contrôler Il convient donc d’établir des politiques particulières, notamment pour éviter la fuite d’informations et de données confidentielles via ces solutions. Une seule méthode permet à vrai dire de pouvoir mettre la main sur ces flux : l’inspection approfondie de la signature des paquets de données. La solution idéale ressemblerait à une sorte de « reverse engineering » FAI visant la messagerie instantanée et le ‘peer-to-peer’. Le problème est que si l’on autorise une solution de messagerie instantanée, il conviendra de pouvoir faire la distinction entre les flux autorisés et ceux provenant de systèmes de messagerie bannis. Or à ce niveau les coupe-feu, proxies et autres solutions de blocage d’URL ne marchent pas. D’où la nécessité d’une analyse proactive de la vulnérabilité liée à l’emploi de tels outils. Tout d’abord parce que cela permet de prendre conscience de l’étendue du désastre (et il est toujours amusant de voir la tête des directeurs informatiques découvrant le nombre d’utilisateurs exploitant en toute impunité un logiciel P2P sur un réseau qu’ils croyaient hautement sécurisé), ensuite parce que cela permet de réagir proportionnellement au péril constaté. Si les utilisateurs emploient Skype pour converser avec des filiales ou divers correspondants à moindre coût cela a un impact sur le temps de travail mais pas sur la robustesse du réseau ou de l’infrastructure informatique. En revanche, s’ils téléchargent des chansons sans reverser de droits, ils menacent directement la capacité financière de l’entreprise. Pour éviter tout ceci, le mieux est d’interdire purement et simplement le ‘peer-to-peer’ en entreprise et de définir au plus près le périmètre accordé à la messagerie instantanée notamment en interdisant tout SpIM (spam via IM) via des listes noires comparables à celles établies en matière de ‘spam’. D’autant plus que de telles distributions s’accompagnent souvent d’envois de ‘malwares’. Quant aux systèmes IM, ils devraient eux aussi bénéficier d’une inspection anti-virale systématique. Enfin, une charte de la messagerie instantanée est indispensable pour responsabiliser les utilisateurs. Bref, retroussons nos manches, le travail ne fait que commencer.