Vous êtes sur le site public du Cert-IST
Les dangers des webmails

Date :22 Juin 2005

Publication: Article

Ce mois ci plusieurs sources d'informations ont relayé un avis de sécurité de GreyMagicSoftware sur une "vulnérabilité" d'Internet Explorer exploitable via les services webmail ("Hotmail", "Yahoo Mail", et potentiellement d'autres webmail).

Le Cert-IST profite de cette information pour faire le point sur les menaces que représente l'utilisation des services webmail sur la politique sécurité des systèmes d'information des entreprises.

Qu'est ce que le " webmail " ?

Le webmail est une interface web permettant à un utilisateur d'accéder à une boîte aux lettres électronique via un navigateur (au travers de flux HTTP/HTTPS) plutôt que par l'intermédiaire d'un client de messagerie classique (Outlook/Outlook Express, Eudora, .... ).

Cette architecture à l'avantage de permettre à un utilisateur d'échanger du courrier électronique depuis n'importe quel ordinateur connecté à Internet sans configuration particulière.

La plupart des fournisseurs d'accès (FAI) proposent des interfaces de type webmail à leurs clients (" Wanadoo", "Free", 'Tiscali", "Noos", …), mais il existe également des services webmails indépendants des FAI tels que "Caramail", "Hotmail", "LaPoste", "yahoo"…

En utilisant le webmail un utilisateur peut donc consulter son compte e-mail personnel depuis n'importe quel poste de travaille connecté à Internet, et en particulier depuis son lieu de travail.

Les menaces

Toutefois, cette solution très pratique pour les utilisateurs tend à remettre en question les politiques de sécurité relatives à la messagerie électronique des entreprises. Conscient de cet état de fait, le Cert-IST avait réalisé une étude de sécurité sur ce sujet en 2002.

L'échange d'e-mails au travers d'un flux HTTP/ HTTPS induit effectivement plusieurs menaces au niveau de la sécurité du système d'information :

  • Les e-mails arrivant sur les canaux standards de la messagerie (flux SMTP) sont généralement contrôlés par des solutions antivirales aux niveaux des serveurs de messagerie. Lorsqu'ils arrivent à travers d'un webmail via un flux HTTP/ HTTPS, ils ne sont pas toujours contrôlés et sont alors susceptibles de propager un virus informatique.
    Des solutions de filtrage de contenu pour le trafic web existent, mais restent limitées face à des webmails utilisant le protocole chiffré HTTPS ("Hotmail").

  • Les Scripts HTML représentent potentiellement un danger pour la sécurité des systèmes d'information (lecture de cookies, utilisation de vulnérabilités ou de la naïveté d'utilisateurs pour accéder aux ressources du système). Ils peuvent être généralement filtrés lorsqu'ils sont contenus dans des e-mails arrivant par les canaux standards de la messagerie. Cette situation n'est pas forcément acceptable par les utilisateurs lorsqu'ils arrivent depuis un webmail sur un navigateur web car cela reviendrait à interdire tous les scripts lors des navigations web (avec les problèmes de convivialité que cela induirait : consultations boguées de certains sites web).

  • Les navigateurs web contiennent de nombreuses vulnérabilités, qu'il peut être facile d'exploiter via des e-mails lorsque ceux-ci transitent par un webmail.

  • Les logiciels webmail eux-mêmes peuvent être vulnérables à des attaques de type "Cross-Site Scripting".

  • Certaines entreprises travaillant dans des secteurs sensibles mettent en place dans leur politique de sécurité des techniques de filtrage sur les canaux standards de la messagerie (flux SMTP) afin d'empêcher certains documents d'être transmis hors de la société par e-mails. Lorsque les e-mails transitent via un flux HTTP/ HTTPS l'entreprise n'a plus les moyens de contrôler et d'empêcher la fuite d'informations (volontaire ou non) par e-mails.

  • Les politiques de sécurité des entreprises doivent permettrent de contrôler la gestion des comptes utilisateurs de manière élaborée, et de pouvoir investiguer sur les incidents de sécurité, à partir de traces tangibles. Or la gestion des comptes utilisateurs liés aux services de webmail échappe aux administrateurs des services informatiques.

Les solutions de sécurité

La sécurisation des services webmail peut être faite au niveau des utilisateurs ou au niveau des webmails eux-mêmes.

Solution au niveau des utilisateurs

Une première solution, radicale au niveau des politiques de sécurité des systèmes d'information des entreprises, consiste à filtrer les e-mails au niveau d'un relais HTTP. Le filtre pouvant être fait au niveau de l'URL (interdiction des webmail, ou de certains webmail) ou des types de pièces jointes (impossible dans le cas des sessions chiffrées).

Une seconde solution, mais inopérante dans le cas des sessions chiffrées (HTTPS), consiste à scanner et filtrer le flux web.

Solutions au niveau des FAI

Conscient de ces menaces sur la sécurité des systèmes de leurs abonnés certains FAI proposent des services visant à sécuriser les e-mails transitant par leur messagerie en les filtrant afin de :

  • détecter les e-mails infectés par des virus informatiques,
  • de supprimer les scripts HTML des e-mails.

La nouvelle vulnérabilité : l'exécution de script sous Internet Explorer

Une fonction propre à Internet Explorer (à partire de la version 5.5), connue sous le nom de "HTML+TIME", et utilisée pour ajouter de la synchronisation dans des pages HTML peut être utilisée afin d'activer un script d'une manière moins conventionnelle que celle connue jusqu'à présent.

Ainsi un e-mail exploitant cette possibilité contourne donc le filtrage des scripts HTML mis en place par les FAI. Et s'il est lu via un navigateur Internet Explorer vulnérable (versions 5.5 et suivantes), il peut lancer l'exécution d'un script malveillant sur la machine de la victime.

Cette fonctionnalité d'Internet Explorer n'est donc pas une faille en soi, mais un nouveau moyen d'exécuter des scripts HTML en contournant les moyens de filtrage classiques.

D'après différentes sources d'informations parues sur Internet,

  • Hotmail , Yahoo, Club-Internet et Tele2 ont pris en compte et filtré cette possibilité d'activer des scripts,
  • Wanadoo/Voila sont en cours de le faire
  • Lycos/Caramail ne sont pas vulnérables.

L'avis du Cert-IST

Afin de sécuriser l'accès au webmail, le Cert-IST vous recommande :

  • d'interdire les webmails ne permettant pas un filtrage de contenu (HTTPS, compression),
  • de filtrer le contenu HTTP des webmails autorisés.

Enfin, le Cert-IST vous rappelle que le meilleur moyen de se protéger de l'exploitation des vulnérabilités du navigateur ou de tout autres logiciels (système d'exploitation par exemple) est de sécuriser les postes de travail :

  • en appliquant les derniers correctifs de sécurité liés à l'environnement utilisé,
  • en offrant le minimum de privilèges aux utilisateurs.

Pour plus d'information :