émission de spam en entreprise : réalité ou fiction ?


le SPAM en entreprise : réalité ou fiction ? par orange_business

Avec les virus informatiques, le spam est un phénomène bien connu de tous les utilisateurs d'Internet. Sur les quelques adresses emails que je peux utiliser, je reçois quotidiennement environ vingt messages m'invitant à acheter tel ou tel objet ou à visiter tel ou tel site...

Une adresse email n'ayant pas d'odeur, les spammeurs se font une joie d'inonder les plus grandes plateformes de services de mails utilisées par des millions d'internautes pour leurs communications personnelles que celles utilisées dans le contexte des entreprises.

Ce spam « entrant » est bien connu et la motivation est grande d'endiguer ces communications indésirables : il existe de multiples solutions de filtrage déclinées sous de multiples services et solutions (services de filtrage « in the cloud », boîtiers de filtrage dédiés, extensions logiciels pour les serveurs de messagerie ou encore des packages à installer directement sur le poste de travail) : rares sont les entreprises ne s'étant pas déjà équipées d'une voire plusieurs solutions de ce type.

quid du spam émis par les entreprises ?

A contrario du spam « entrant », le spam émis depuis les réseaux d'entreprise souffre d'un déficit de communication chronique. C'est parfois même un sujet quelque peu tabou car mettant en exergue des problèmes de sécurité au cœur même du réseau local des entreprises.

Avant tout, écartons ce qui ne nous intéresse pas directement : les entreprises émettant du spam en connaissance de cause. Il peut s'agir de sociétés spécialisées en « marketing online » qui vont envoyer des mails pour le compte de leurs clients pour certaines, ou pour d'autres qui vont le faire pour développer leur portefeuille prospects. Dans chacun de ces cas, ces deux structures s'exposent à des sanctions diverses et variées si elles ne respectent pas les règles : ce qui est assez souvent le cas pour les petites structures travaillant sur un « coin de table »...

Ce qui nous intéresse ici ce sont les entreprises qui émettent du spam à leur insu.

quelles entreprises sont concernées ?

Les entreprises de toutes tailles sont concernées par ce problème. Cela commence par la petite PME mono-site, les entreprises réparties sur l'ensemble de l'hexagone, de 10 sites ou plus et jusqu'aux grands comptes. Le plus grand nombre d'entreprises concernées par ces problèmes étant évidemment celles de taille les plus modestes.

Tous types d'activités sont concernés : cela passe de la société spécialisée dans la fabrication d'outillages de précision pour le secteur de l'automobile, celle dans les services informatiques, celle fabriquant des machines pour le BTP ou encore à d'autres appartenant au secteur financier !

Le type de connexion à Internet importe peu : l'expérience montre que le type de connexion à Internet n'influe que peu sur le problème. En effet, celles utilisant une connexion Internet avec un routeur d'interconnexion dédié sont autant concernées que celles utilisant des services d'évasion plus complexes comme des passerelles ou les services de leur prestataire Internet.

comment cela est-il possible ?

Le retour d'expérience aidant, il est possible de regrouper en deux catégories principales les entreprises concernées par ces problèmes :

  • d'un coté, les sociétés dont le serveur de messagerie interne est détourné par un tiers
  • de l'autre, celles dont des postes de travail ont été infectés par un « bot » ou logiciel « zombie »

des serveurs de messagerie incorrectement sécurisés

Dans ce cas, la société opérant un serveur de mail en interne a insuffisamment sécurisé celui-ci... ce qui n'est pas resté bien longtemps inconnu pour un spammeur qui va donc se servir du serveur de l'entreprise comme relais d'émission de ses spams ! Le spam va donc, vis-à-vis de la communauté de l'Internet, être émis depuis le serveur de la société. C'est donc elle, avec son fournisseur d'accès, qui sont responsables. On parle ici de serveurs en mode «relais ouvert » ou « open-relay ».

Dans une telle situation, ne rien faire peut avoir des conséquences importantes pour les activités de la société : le serveur de messagerie sera à terme inscrit dans des « listes noires » et se verra donc « banni » (impossibilité d'envoyer des mails à des clients ou partenaires).

Corriger le problème est assez simple : un changement de la configuration de son serveur permet de désactiver ce mode de fonctionnement « open-relay ».

des postes de travail infectés par un logiciel « zombie » ou « spambot »

Dans ce second cas, ce n'est plus un serveur précis qui est détourné par les spammeurs mais ce sont directement les postes de travail localisés sur le LAN de l'entreprise. Dans un premier temps, le spammeur va infecter les postes de travail afin d'y implanter un logiciel lui permettant de prendre le contrôle à distance de la machine. Une fois cela effectué, cette machine (aussi appelée « bot », « robot », « zombie » ou encore « spambot »), va émettre du spam vers l'extérieur.

Encore une fois, ne pas prendre conscience de l'importance de la situation peut avoir de fâcheuses conséquences : outre les risques évidents de « bannissement » via des « listes noires », il faut bien comprendre que les machines infectées ne sont plus sous contrôle : il est donc techniquement possible pour l'attaquant de collecter tous les documents stockés en local, d'écouter les communications en interne du réseau local, etc.

Corriger le problème est plus ardu et demande ordre et méthodologie : dans un premier temps, bloquez en périphérie les flux de messagerie et « remonter la piste » pour identifier les machines suspectes. Ensuite, procéder à une désinfection ou, encore mieux, à une réinstallation pour plus de sécurité.

comment savoir si l'on émet du spam ?

Tout d'abord, il faut savoir que c'est la cellule « Abuse » de votre fournisseur d'accès Internet qui reçoit en premier les plaintes de tiers. Après quelques investigations auprès de cette cellule « Abuse », le contact est établi avec la personne identifiée au contrat. C'est typiquement le directeur ou le gérant de la société. Il est donc important de porter attention à ce type de communication car si cela arrive c'est qu'il y a très souvent un problème bien réel : les erreurs sont assez rares.

Pour les plus persévérants, il reste possible de tester sa « réputation » via plusieurs sites Internet via lesquels vous pouvez savoir si du spam est émis depuis votre réseau.

recommandations : serveurs de mails

  1. Vérifier leur configuration périodiquement : lors de la mise en service ou pendant les actions de maintenance. Les fonctions « d'anti-relais ouvert » doivent être considérées comme un paramètre essentiel au même titre que d'autres.
  2. Tester s'ils sont vus comme des relais ouverts. De nombreux services de tests gratuits sont disponibles sur Internet. Pour les plus techniques, un simple « Telnet » et la connaissance de quelques commandes de bases du protocole SMTP suffisent.
  3. Supervisez votre serveur de messagerie : nombre de messages émis par jour, taille des files d'attente, nombre de mails dont l'émission à échouée, etc. Une forte variation doit vous mettre la puce à l'oreille.

recommandations : postes de travail

  1. Bloquer (ou faire bloquer) les flux SMTP (TCP/25) au niveau de votre point d'accès à Internet. N'autoriser des communications que via les serveurs de relais sortant de votre fournisseur Internet.
  2. Encore mieux : reconfigurer votre client de messagerie (Outlook, Thunderbird, ...) afin de soumettre vos mails via un protocole demandant une authentification (Submission Protocol RFC2476, TCP/587) et interdire en sortie les flux SMTP (TCP/25).
  3. Suivez l'utilisation de la bande passante de votre accès Internet afin de détecter d'éventuelles anomalies.
  4. Maintenez à jour les correctifs de sécurité de vos postes de travail assorti d'un logiciel antivirus mis à jour quotidiennement.

conclusion

L'émission de spam depuis les réseaux d'entreprise est une réalité : ce problème touche toutes les entreprises sans distinction de taille ni de secteur d'activité. Il est important de traiter avec diligence une plainte reçue pour émission de spam depuis son réseau car les enjeux peuvent être plus importants qu'il n'y paraît de prime abord. En cas de doute ou d'hésitation je vous encourage à suivre les recommandations de votre fournisseur d'accès Internet tout en consultant les très nombreuses sources d'informations disponibles sur le net.

PS: les "road-warriors" et autre chantres de la mobilité comprendront immédiatement l'intérêt d'utiliser (si ce n'est pas déjà le cas) le "Submission Protocol" (TCP/587) pour envoyer leurs mails : cela fonctionne "de facto" quel que soit son point de connexion au réseau. Oubliés les changements de serveurs SMTP sortants ! :-) Quand la sécurité se fait l'alliée du confort d'utilisation il faut le souligner non ?!

Jean-François

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens