La messagerie instantan\u00e9e et le ‘peer-topeer’ progressent tr\u00e8s vite, et un peu anarchiquement -contate un rapport d’Osterman Research\n<\/p>\n
Aux \u00c9tats-Unis, \u00e0 la mi-2004 on comptait plus de 90% de syst\u00e8mes de messagerie instantan\u00e9e implant\u00e9s non seulement dans le grand public mais aussi en entreprise. Ce qui ne veut pas dire que tout le monde les utilise. En effet, pour l’heure, seuls 26% des utilisateurs ayant un compte e-mail se servent de la messagerie instantan\u00e9e. Or, d’ici 2007, ce pourcentage devrait atteindre les 80%. Par ailleurs, le nombre de plates-formes de messagerie instantan\u00e9e en exploitation dans les entreprises continue, lui aussi, \u00e0 augmenter. <\/p>\n
Pourquoi un tel succ\u00e8s ? Tout simplement parce que ces solutions ont commenc\u00e9 au niveau des utilisateurs individuels avec des clients gratuits comme celui de Microsoft, d’AOL ou de Yahoo!, le tout hors du regard s\u00e9v\u00e8re du d\u00e9partement informatique. Ce dernier n’est responsable du d\u00e9ploiement de telles solutions que dans un peu moins d’un tiers des cas (31 %). D’ailleurs, la messagerie instantan\u00e9e reste \u00absauvage\u00bb c’est-\u00e0-dire non g\u00e9r\u00e9e par la division informatique dans 57% des cas.
\nOr les clients de messagerie instantan\u00e9e grand public sont loin d’\u00eatre s\u00e9curis\u00e9s. Parmi les br\u00e8ches les plus communes, on recense :
\n– l’absence de contr\u00f4le de l’identit\u00e9. Bien souvent, les utilisateurs emploient un client IM (instant messaging) ind\u00e9pendamment de tout annuaire ‘corporate’, si bien que les entreprises n’ont quasiment aucun contr\u00f4le sur les identit\u00e9s IM de leurs employ\u00e9s. Ceci a deux cons\u00e9quences importantes : d’une part, l’absence de politique de d\u00e9nomination pour affecter la r\u00e9putation de l’ensemble de l’entreprise si certains employ\u00e9s manquent \u00e0 leur devoir de r\u00e9serve. D’autre part, en cas de d\u00e9part ou de d\u00e9mission de l’employ\u00e9, rien ne l’emp\u00eache de continuer \u00e0 se servir de cette identit\u00e9 et d’ainsi continuer \u00e0 nuire \u00e0 la r\u00e9putation de son ex employeur. <\/p>\n
– le manque de s\u00e9curit\u00e9. Comme il est rare que la messagerie instantan\u00e9e propose un cryptage de bout en bout des messages qu’elle v\u00e9hicule et qu’il est tr\u00e8s facile \u00e0 de tels clients de contourner les coupe-feu, les entreprises risquent de recevoir des virus, des vers ou des codes malicieux via leur infrastructure IM, sans m\u00eame mentionner l’absence de protection des contenus sensibles qui pourraient transiter par un tel syst\u00e8me. Par ailleurs, les clients IM grand public peuvent aussi cr\u00e9er des d\u00e9bordements de m\u00e9moire tampon (buffer overflow) sur le r\u00e9seau de l’entreprise.<\/p>\n
– le manque d’audit et l’absence de fonctionnalit\u00e9s de \u00ab\u00a0log-in\u00a0\u00bb. Il n’est en effet pas possible d’historiser les conversations tenues via l’IM. D’ailleurs, lorsque les interlocuteurs quittent leur session, le contenu de leurs conversation est perdu \u00e0 moins qu’il n’ait \u00e9t\u00e9 copi\u00e9 et sauvegard\u00e9 manuellement. Ce qui peut poser quelques probl\u00e8mes dans les entreprises qui archivent les communications \u00e9lectroniques de leurs employ\u00e9s. Par ailleurs, une autre vuln\u00e9rabilit\u00e9 tient au fait que rien ne prouve que le contenu archiv\u00e9 manuellement n’a pas \u00e9t\u00e9 modifi\u00e9 depuis lors. Dans un contexte des nouvelles dispositions \u00abSarbane\u00bb, on imagine sans peine les probl\u00e8mes que cela peut soulever.<\/p>\n
L’enqu\u00eate men\u00e9e par Osterman Research donne des r\u00e9sultats tr\u00e8s pr\u00e9cis sur les soucis que se font les entreprises s’agissant de l’IM
\nPremier sujet de pr\u00e9occupation: la s\u00e9curit\u00e9 de l’information envoy\u00e9e, suivie par l’abus d’utilisation \u00e0 titre personnel. Vient en troisi\u00e8me position le temps n\u00e9cessaire d\u00e9pens\u00e9 pour g\u00e9rer ces messageries, puis le manque d’interop\u00e9rabilit\u00e9 entre les syst\u00e8mes de messagerie instantan\u00e9e. Se situent enfin quasiment au m\u00eame niveau le co\u00fbt de la maintenance de l’infrastructure IM, la baisse de productivit\u00e9 qu’elle engendre et le co\u00fbt d’implantation d’une infrastructure correcte. <\/p>\n
Ce que les entreprises appellent de tous leurs voeux, c’est de pouvoir authentifier les utilisateurs IM au sein de l’annuaire de l’entreprise, d’encrypter tout le trafic instantan\u00e9 et de le bloquer vis-\u00e0-vis des postes des utilisateurs qui en abusent. De m\u00eame, les directeurs informatiques aimeraient pouvoir crypter tout le trafic IM transitant par leurs serveurs tout en gardant un contr\u00f4le absolu sur l’infrastructure d\u00e9ploy\u00e9e pour communiquer ainsi en temps r\u00e9el. D’autres voeux, tout aussi pr\u00e9gnants, concernant notamment la conformit\u00e9 de ces syst\u00e8mes avec les r\u00e9glementations et la possibilit\u00e9 de configurer un acc\u00e8s plus ou moins ouvert \u00e0 la messagerie instantan\u00e9e selon les habilitations dont dispose l’utilisateur. <\/p>\n
P2P, le meilleur du peer<\/strong><\/p>\n Les r\u00e9seaux peer-to-peer sont souvent consid\u00e9r\u00e9s comme une source de piratage importante. Reconnaissons-le, m\u00eame si certains flux Bit-Torrent, Carracho et autres sont employ\u00e9s \u00e0 des fins professionnelles (notamment pour constituer des communaut\u00e9s ferm\u00e9es \u00e9changeant entre elles des documents confidentiels), la plupart des \u00e9changes concernent bel et bien des contenus plus ou moins illicites. <\/p>\n Une \u00e9tude conduite d\u00e9but 2004 d\u00e9montre par ailleurs que pr\u00e8s de 40% des utilisateurs d’Internet utilisent le P2P pour t\u00e9l\u00e9charger des contenus via le r\u00e9seau de l’entreprise. <\/p>\n Or, de tels t\u00e9l\u00e9chargements sont loin d’\u00eatre exempts de risques. Virus, vers et chevaux de Troie empruntent de plus en plus fr\u00e9quemment cette voie pour p\u00e9n\u00e9trer les postes de travail puis les r\u00e9seaux. Il est donc fondamental de sensibiliser les utilisateurs \u00e0 ces outils, afin qu’ils puissent les employer d\u00e9sormais \u00e0 bon escient. Et c’est justement l\u00e0 o\u00f9 le b\u00e2t blesse. <\/p>\n Qui plus est, t\u00e9l\u00e9charger du contenu via un r\u00e9seau peer-to-peer revient g\u00e9n\u00e9ralement \u00e0 contourner les syst\u00e8mes de s\u00e9curit\u00e9 implant\u00e9s sur la messagerie traditionnelle. Diverses enqu\u00eates ont ainsi d\u00e9montr\u00e9 que l’extorsion d’informations de l’entreprise est dans 80% des cas effectu\u00e9e via le P2P.<\/p>\n Par ailleurs, le trafic sur ces r\u00e9seaux peut consommer une part importante de la bande passante des r\u00e9seaux. Ainsi, d’apr\u00e8s certains FAI, le trafic ‘peer-to-peer’ repr\u00e9senterait quelque 70% du trafic transitant par leurs r\u00e9seaux.<\/p>\n Toutefois, le risque le plus flagrant (et certainement le plus dangereux) li\u00e9 \u00e0 au P2P est certainement le risque de poursuites pour violation de copyrights. N’oublions pas en effet qu’en droit fran\u00e7ais, c’est le dirigeant de l’entreprise qui est responsable des comportements parfois aberrants de ses salari\u00e9s (y compris en mati\u00e8re de piratage de logiciels). <\/p>\n Enfin, les clients ‘peer-to-peer’ ouvrent grand le r\u00e9seau de l’entreprise au partage de fichiers, ce qui n’est pas vraiment leur but originel. Tout l’art du ‘risk management’ face \u00e0 de telles approches consistera donc \u00e0 former les utilisateurs et \u00e0 les informer des risques qu’ils font courir \u00e0 l’entreprise s’ils utilisent de tels moyens de communication de fa\u00e7on inconsid\u00e9r\u00e9e. De toute fa\u00e7on, il est important de bien comprendre que dans ce domaine, les outils de s\u00e9curit\u00e9 traditionnels \u00abp\u00e9dalent dans la semoule\u00bb. En effet, certains points d’acc\u00e8s, utilis\u00e9s pour des applications l\u00e9gitimes, peuvent \u00eatre utilis\u00e9s abusivement par des applications de messagerie instantan\u00e9e ou de Peer-to-peer. De m\u00eame, les filtres des appliances IDS reconnaissent rarement l’extrusion et l’intrusion de flux ‘peer-to-peer’. <\/p>\n Interdire et contr\u00f4ler<\/strong><\/p>\n Il convient donc d’\u00e9tablir des politiques particuli\u00e8res, notamment pour \u00e9viter la fuite d’informations et de donn\u00e9es confidentielles via ces solutions. Une seule m\u00e9thode permet \u00e0 vrai dire de pouvoir mettre la main sur ces flux : l’inspection approfondie de la signature des paquets de donn\u00e9es. La solution id\u00e9ale ressemblerait \u00e0 une sorte de \u00ab\u00a0reverse engineering\u00a0\u00bb FAI visant la messagerie instantan\u00e9e et le ‘peer-to-peer’. Le probl\u00e8me est que si l’on autorise une solution de messagerie instantan\u00e9e, il conviendra de pouvoir faire la distinction entre les flux autoris\u00e9s et ceux provenant de syst\u00e8mes de messagerie bannis. Or \u00e0 ce niveau les coupe-feu, proxies et autres solutions de blocage d’URL ne marchent pas. <\/p>\n D’o\u00f9 la n\u00e9cessit\u00e9 d’une analyse proactive de la vuln\u00e9rabilit\u00e9 li\u00e9e \u00e0 l’emploi de tels outils. Tout d’abord parce que cela permet de prendre conscience de l’\u00e9tendue du d\u00e9sastre (et il est toujours amusant de voir la t\u00eate des directeurs informatiques d\u00e9couvrant le nombre d’utilisateurs exploitant en toute impunit\u00e9 un logiciel P2P sur un r\u00e9seau qu’ils croyaient hautement s\u00e9curis\u00e9), ensuite parce que cela permet de r\u00e9agir proportionnellement au p\u00e9ril constat\u00e9. Si les utilisateurs emploient Skype pour converser avec des filiales ou divers correspondants \u00e0 moindre co\u00fbt cela a un impact sur le temps de travail mais pas sur la robustesse du r\u00e9seau ou de l’infrastructure informatique. En revanche, s’ils t\u00e9l\u00e9chargent des chansons sans reverser de droits, ils menacent directement la capacit\u00e9 financi\u00e8re de l’entreprise. <\/p>\n Pour \u00e9viter tout ceci, le mieux est d’interdire purement et simplement le ‘peer-to-peer’ en entreprise et de d\u00e9finir au plus pr\u00e8s le p\u00e9rim\u00e8tre accord\u00e9 \u00e0 la messagerie instantan\u00e9e notamment en interdisant tout SpIM (spam via IM) via des listes noires comparables \u00e0 celles \u00e9tablies en mati\u00e8re de ‘spam’. D’autant plus que de telles distributions s’accompagnent souvent d’envois de ‘malwares’.<\/p>\n Quant aux syst\u00e8mes IM, ils devraient eux aussi b\u00e9n\u00e9ficier d’une inspection anti-virale syst\u00e9matique. <\/p>\n Enfin, une charte de la messagerie instantan\u00e9e est indispensable pour responsabiliser les utilisateurs. <\/p>\n Bref, retroussons nos manches, le travail ne fait que commencer.<\/p>\n [source – Silicon.fr] Michel Rousseau<\/p>\n","protected":false},"excerpt":{"rendered":" La messagerie instantan\u00e9e et le ‘peer-topeer’ progressent tr\u00e8s vite, et un peu anarchiquement -contate un rapport d’Osterman Research <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_citadela_custom_class":"","footnotes":""},"categories":[15],"tags":[],"class_list":["post-4295","post","type-post","status-publish","format-standard","hentry","category-securite"],"_links":{"self":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/4295","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4295"}],"version-history":[{"count":0,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=\/wp\/v2\/posts\/4295\/revisions"}],"wp:attachment":[{"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4295"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4295"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/destinationcyber.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4295"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nToutefois, tous les r\u00e9seaux de ce type ne sont pas \u00e0 proscrire. C’est le cas notamment des r\u00e9seaux offrant des possibilit\u00e9s VoIP, tels que Skype et Morpheus. <\/p>\n