Protocoles de communication entre Outlook 2003 et Exchange

Suite aux différentes vulnérabilités du service DCOM/RPC des systèmes Microsoft Windows (Cf. avis CERT-IST/AV-2003.227 et CERT-IST/AV-2003.285), une fonctionnalité de ces systèmes (peu connue jusqu'alors) a été mise au devant de la scène : le service "RPC over HTTP".

Le service "RPC over HTTP" de Microsoft (version 1 sous Windows NT 4.0 et Windows 2000, et version 2 sous Windows XP et Windows Server 2003) permet le transport des communications de type "RPC" (Remote Procedure Call) sur des protocoles de transport tels que HTTP (port 80) et HTTPS (port 443 pour la version 2 seulement). Il nécessite néanmoins la présence du serveur web Microsoft IIS.

Ce service peut être également directement accessible sur le port 593 des machines l'implémentant.

Pour utiliser ce service, les applications DCOM doivent s'appuyer sur une brique supplémentaire : le service CIS ("COM Internet Services"), qui permet à ce type d'applications d'utiliser le service "RPC over HTTP" pour faire communiquer des clients et serveurs DCOM.

Le service "RPC over HTTP" a l'avantage pour les utilisateurs (et l'inconvénient pour les exploitants de la sécurité) de permettre l'accès à des services RPC distants, même si des protections de type garde-barrière ou serveur relais sont présentes. En effet, les flux utilisés (HTTP et HTTPS) sont généralement autorisés au niveau de ces équipements.

Par exemple, la nouvelle version du serveur de messagerie Microsoft Exchange 2003 est compatible avec ce service pour permettre à des utilisateurs nomades de se connecter à leur messagerie avec le client Outlook 2003 à travers Internet et en utilisant les protocoles standards HTTP et HTTPS. Selon Microsoft, cette configuration permet une utilisation optimale (et sécurisée - HTTPS), à travers Internet, des fonctionnalités du serveur Exchange à travers une connexion quasi-standard au serveur via la MAPI (Messaging API) de Microsoft. En fait, cette nouvelle fonctionnalité du serveur Exchange semble surtout avoir été conçue pour "concurrencer" les accès de type VPN pour les opérations de messagerie sur ce type de serveur.

En terme de sécurité, ce service ouvre une nouvelle problématique concernant le filtrage. En effet, il est très courant d’autoriser le trafic web (HTPP ou HTTPS) au niveau des entreprises, et l’introduction par Microsoft de "RPC over HHTP" rend maintenant possible l’accès aux services RPC. Le déploiement de ce type de service doit donc être étudié avec de grandes précautions. Microsoft a cependant publié des préconisations afin de sécuriser ce type de déploiement (Cf. partie "Pour plus d'information").

De plus, toutes les vulnérabilités autour du service DCOM/RPC de Microsoft tendent à rendre ce service relativement sensible, car il introduit des risques pour le système d'information.

Pour plus d'information :

• Document de Microsoft sur le service "RPC over HTTP" : http://msdn.microsoft.com/library/en-us/rpc/rpc/remote_procedure_calls_using_rpc_over_http.asp

• Préconisations de sécurité concernant le service "RPC over HTTP" : http://msdn.microsoft.com/library/en-us/rpc/rpc/rpc_over_http_security.asp

• Vulnérabilités DCOM/RPC - Avis Cert-IST : CERT-IST/AV-2003.227 et CERT-IST/AV-2003.285