Outils pour utilisateurs

Outils du site


sysadmin:mail:thunderbird:securite

Usage sécurisé de Mozilla Thunderbird

Mozilla Thunderbird : aide et documentation

Il y a un certain nombre de mesures élémentaires de sécurité à observer lorsqu'on manipule la messagerie électronique (voir Quelques anecdotes à propos des virus pour s'en convaincre). Cette page reprend les recommandations du CERTA (Computer Emergency Response Team pour les Administrations, aussi appelé « Centre d'Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques ») dans sa note « Mesures de prévention relatives à la messagerie » (version HTML).

Les informaticiens considèrent comme acquis que le meilleur anti-virus se situe entre la chaise et l'écran. Voyons comment éviter les pièges. Cela ne dédouane évidemment pas de suivre les bonnes pratiques à l'aide des Outils de sécurité Microsoft (sur plate forme Windows).

Logiciel et greffons

La première mesure est d'avoir un logiciel à jour. Mozilla Thunderbird propose de télécharger et installer les dernières versions tant de l'application elle-même que des greffons.

Recommandation :
Appliquer les mises à jour, très souvent elles corrigent des bugs qui peuvent présenter une faille dans la sécurité du logiciel.

De plus, avant d'installer un greffon (plug-in), toujours se demander d'où il vient, qui le fournit et s'il est digne de confiance : n'est ce pas un logiciel espion ?

Avant d'ouvrir un message

Comme Thunderbird affiche le sujet et l'expéditeur avant de permettre d'ouvrir un message, il convient de se demander si le sujet correspond bien à ce que cet expéditeur est susceptible d'envoyer.

D'autre part, il est particulièrement facile d'usurper une identité (voir ce cas d'usurpation d'identité et comment les spammeurs doublent la mise). Le nom de l'expéditeur qui est affiché par Thunderbird ne correspond donc pas nécessairement à l'expéditeur réel. De même, il est facile de changer le nom devant l'adresse aussi le réglage suivant est-il important :

Ne pas se fier à l'affichage de l'adresse

Recommandations :

  • un message doit toujours avoir un sujet, sujet explicite et en lien direct avec son contenu ;
  • il ne faut jamais avoir aveuglément confiance dans le nom de l'expéditeur qui est affiché, l'usurpation d'identité étant bien trop simple.

L'affichage du message

Si la menace principale vient bien évidemment des pièces jointes, l'affichage peut lui aussi être dangereux. En effet, un message « classique » est en texte seul (plain text).

Ce texte seul ne permet d'afficher que des caractères et ce,
sans mise en page aucune, changement de graisse ni soulignement
ni couleur ni même changement de fontes. Comme par exemple ce
paragraphe.

Pour permettre la mise en page dans les messages, les logiciels utilisent un format HTML (comme les pages Web) qui, lui, peut s'avérer dangereux (comme toute page Web) : du code malicieux peut s'exécuter à votre insu lorsque vous affichez un message (JavaScript, Flash, …) ou des liens vers des pages contenant du code malicieux peuvent être insérés.

Recommandations :

  1. ne jamais envoyer de message formaté en HTML ;
  2. afficher les messages en texte seul ;
  3. se méfier des liens dans les messages.

JavaScript

Pour désactiver JavaScript, ouvrir les préférences et cliquer sur « Avancé ». Dans l'onglet « Général », ouvrir l'« Éditeur de configuration » :

Préférences

Comme on peut facilement casser pas mal de choses, Thunderbird affiche une mise en garde ; passer outre :

Le message de mise en garde

L'éditeur s'affiche enfin ; dans le cartouche en haut, taper : javascript et les variables contenant la chaîne cherchée s'affichent ; double-cliquer sur la ligne correspondant à javascript.enabled de sorte qu'elle apparaisse en gras (car modifiée) et que sa valeur soit false :

Désactivation de JavaScript

Voilà, plus qu'à fermer l'éditeur et la fenêtre de préférences.

L'envoi en texte seul

Dans les Paramètres des comptes, dans Rédaction et adressage, décocher Rédiger les messages en HTML :

L'affichage en texte seul

Dans le menu Affichage, dans Corpus du message en, cocher Texte seul :

Les liens

Recommandation :
Pour ouvrir un lien (ou « URL » ou « adresse Web » ou « adresse Internet ») inséré dans un message, le copier à la main comme suit :

  1. le sélectionner à la souris — sans cliquer dessus — puis le copier ;
  2. ouvrir le navigateur Web et coller dans le cartouche (en haut) l'adresse fraichement copiée.

On peut aussi s'assurer que le lien pointe bien vers le site affiché dans le message ; commencer, par afficher la barre d'état : dans le menu Affichage, dans Barres d'outils, cocher Barre d'état ; une barre s'affiche alors tout en bas de la fenêtre, sur toute la longueur.

Quand on positionne le pointeur sur un lien, on voit alors le lien réel dans la barre d'état :

Voici un exemple avec un lien malicieux ; dans cet exemple, le lien affiché est http://www.google.com mais dans la barre d'état, en positionnant le pointeur sur ce lien, on voit clairement que le texte ne correspond pas au lien réel (notez au passage que Thunderbird a détecté l'anomalie et affiche un message d'alerte au dessus du message) :

Le lien pourrait très bien pointer sur un fichier exécutable contenant un code malicieux, comme c'est arrivé il y a quelques années à un utilisateur (voir fausse alerte).

Il est temps de vérifier que Thunderbird est correctement configuré pour vous mettre en garde en pareil cas ; ce réglage se fait dans les préférences : dans Confidentialité, dans Courrier frauduleux vérifier que Signaler si le message en cours de lecture est susceptible d'être frauduleux est bien coché : Réglage courrier frauduleux

Voir aussi un autre exemple réel.

Note : dernièrement, certains ont reçu un message contenant un lien de la forme :

http://www.truc.com/.secure/

Il faut savoir que .secure est très probablement un répertoire (car séparé par deux barres obliques) et que les fichiers et répertoires dont le nom commence par un . (point) ne sont pas affichés par défaut sur Unix ; un tel élément dans une URL est probablement nommé ainsi pour que l'administrateur ne le voit pas.

Un lien das un message électronique est toujours douteux. Si le lien pointe sur une page contenant un formulaire à remplir et demandant un login et un mot de passe, un numéro de compte bancaire, etc., il convient de bien vérifier avant de le remplir et de le valider, de vérifier que le site Web est bien « le bon » et non pas une imitation.

Les en-têtes

Les en-têtes d'un message contiennent les informations que vous êtes habitués à voir :

  • expéditeur et destinataire(s),
  • titre (aussi appelé « sujet »),
  • date d'envoi.

Ces en-têtes contiennent beaucoup plus à commencer par le cheminement à travers les relais de courrier que le message a suivi ou le logiciel (optionnel). Pour voir ces entêtes, il y a deux méthodes :

  • 1ère méthode : le raccourci Ctrl-U (POMME-U sur Mac OS X) ou dans le menu AffichageCode source du message affiche le message tel quel ;
  • 2ème méthode : dans le menu Affichage, dans le sous-menu En-têtes, sélectionner Complets.

Le contenu du message

Le contenu (corps) du message est aussi révélateur : s'il contient beaucoup de fautes d'orthographe et de grammaire, il se peut qu'il ait été traduit automatiquement. De même, si vous conversez régulièrement avec un francophone et qu'un message en anglais venant apparemment de ce contact vous est adressé, il y a peut-être un risque.

Recommandation :
Le CERTA conseille de mentionner dans le corps du message la présence de pièces jointes, leurs noms et extensions.

Pièces jointes

Avant même de parler de sécurité, rappelons les règles de bon usage des pièces jointes :

  • la messagerie électronique n'a pas vocation à permettre l'échange de fichiers exécutables (programmes),
  • la taille des pièces jointes est limitée par la taille maximale des messages acceptés par les relais de courrier, en général autour de 10 MB, parfois moins.

De même, qu'un poste sous Windows soit connecté ou non à un réseau, il doit disposer d'un logiciel anti-virus dont la base de signatures doit être tenue à jour. Pour que le logiciel anti-virus fasse bon ménage avec Thunderbird, dans les préférences, faire le réglage suivant : dans Confidentialité, dans l'onglet Antivirus, cocher Permettre aux logiciels antivirus de mettre individuellement en quarantaine les messages entrant comme ici :

En effet, comme Thunderbird gère les boîtes au format mbox (i. e. dans un fichier « d'un seul tenant ») ; si un message contient un virus, le logiciel mettra toute la boîte dans la quarantaine et vous n'aurez plus accès à vos messages.

Les pièces jointes sont l'un des vecteurs favoris des auteurs de virus pour la diffusion de leurs codes malveillants. Ces virus sont quasi-inexistants sur les plateformes Unix (dont Mac OS X et GNU/Linux). Dans la suite, on évoque donc presque exclusivement Windows.

Ouverture d'une pièce jointe

Plutôt que de l'ouvrir directement ou cliquant deux fois dessus, enregistrer la pièce jointe :

Recommandations :
Le CERTA recommande alors de l'ouvrir tout d'abord avec un éditeur de textes (NotePad, etc.) pour s'assurer qu'il ne s'agit pas d'un code malveillant. Une fois enregistré, le fichier peut être scanné avec l'antivirus.

Pour faire vérifier un fichier par un anti-virus, il suffit le plus souvent de faire un clic-droit sur le fichier :

Une fois vérifié, le fichier peut être ouvert : la probabilité qu'il soit malveillant est faible. Néanmoins, il se peut que votre antivirus ne l'ait pas encore dans sa base de définitions… (virus encore inconnu ou base de définitions périmée) auquel cas, votre système sera infecté. En particulier, le CERTA rappelle : « À titre indicatif, la quasi totalité des codes malveillants mutent ou sont modifiés afin de produire de nouvelles versions. Cela signifie qu’un anti-virus même à jour ne réagira peut être pas à l’attaque de l’un deux, alors que les paramétrages proposés offrent un sas de sécurité. »

Extensions malicieuses

Les pièces attachées malicieuses ont souvent une double extension : on parle ici de l'extension du nom de fichier, par exemple image-à-voir-absolument.jpeg.exe. En effet, par défaut, Windows n'affiche pas les « extensions dont le type est connu ». Ici, il affichera donc image-à-voir-absolument.jpeg (il ne devrait afficher que image-à-voir-absolument). L'extension .exe marque un exécutable : ouvrir cette pseudo-image lancera le programme…

Un fichier JPEG qui est exécutable ?

Note : Par le passé, il est arrivé qu'il y ait de nombreux caractères d'espacement entre les deux extensions :

image-à-voir-absolument.jpg                                                            .exe

L'idée est ici d'endormir l'attention de l'internaute en déplaçant l'extension .exe à la fin de la ligne (voire hors de sa vue suivant l'affichage des logiciels).

Recommandation :
afficher systématiquement les extensions des fichiers.

Pour modifier ce comportement catastrophique par défaut, ouvrir l'explorateur et ouvrir le menu Outils et ouvrir Options des dossiers :

Aller dans l'onglet Affichage

Décocher Masquer les extensions dont le type est connu :

Désormais notre pseudo-image s'affiche avec sa véritable extension : On note que l'icône montre ici une application ; ne pas faire confiance à cette icône, elle est trop facile à changer.

Une fois corrigée, l'icône ressemble à :

Sur Mac OS X, la même manipulation existe : ouvrir les préférences du Finder ; dans l'onglet Avancé faire afficher les extensions :

Affichage de toutes les extensions dans le Finder de Mac OS X

sysadmin/mail/thunderbird/securite.txt · Dernière modification: 2010/08/29 23:55 par Pascal Cabaud

Outils de la page