Nos services

mercredi 21 décembre 2016

Sécurisation des courriels : les pièces jointes

De nombreux administrateurs ont pour croyance que leurs utilisateurs ne peuvent pas recevoir des programmes malveillants par emails car leurs solutions anti-spam interdisent (seulement 😭) la réception des fichiers se terminant avec l’extension « .exe ».

Ce qu’ils ne savent pas, c’est que des programmes malveillants peuvent utiliser d’autres extensions pour passer à travers leurs règles anti-spam :

  • .PIF
  • .APPLICATION
  • .COM 
  • .SCR 
  • .JAR
  • .BAT
  • .JS 
  • .PS1
  • .LNK
  • .DOCM
Et beaucoup plus encore…

Vous l’avez compris, il est important d’essayer de supprimer toutes pièces jointes disposant d’une extension pouvant faire courir un risque à votre entreprise.

Dépendamment des activités de vos utilisateurs un certain nombre de ces extensions ne pourront pas être bloquées. Par exemple, les fichiers MS Office contenant des macros sont souvent utilisés par des utilisateurs faisant de l’analyse financière (.DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, . SLDM).

Dans ce cas, il est recommandé de configurer des exceptions dans vos solutions anti-spam afin de n’autoriser que certains utilisateurs à recevoir ces fichiers potentiellement dangereux.

A noter que filtrer des fichiers disposant d’extension dangereuses ne vous protège pas des fichiers portant une extension non « dangereuse » (comme les .PDF) mais conçus pour exploiter des vulnérabilités présentes dans les logiciels permettant leur ouverture (Adobe Acrobat Reader dans le cas des fichiers .PDF).

Si vous désirez un niveau de sécurité encore plus haut, plusieurs options sont disponibles sur le marché :

Au niveau des solutions anti-spam :

Certaines options « premium » de solutions anti-spam proposent d’analyser le comportement des pièces jointes aux emails dans une machine virtuelle. Si le comportement d’une pièce jointe est suspect (modifications des configurations de l’ordinateur, communications avec internet) la pièce jointe sera identifiée comme malicieuse et ne sera pas remise aux destinataires.

Au niveau des postes de travail :

  • Interdiction pour les non administrateurs de démarrer des programmes permettant l’interprétation de scripts : Wscript.exe, Cscript.exe, Powershell.exe, Mshta.exe, etc. (à l’aide de SRP ou Applocker). Attention cependant à ne rien casser en bloquant ces programmes!
  • Interdiction d’exécuter des programmes inconnus sur les ordinateurs (à l’aide d’antivirus permettant de définir les programmes ayant le droit d’être exécutés sur les postes de travail)
  • Exécution des programmes de messagerie (exemples : Outlook, Lotus note, etc.) dans une machine virtuelle (Application Sandboxing). Si une pièce jointe s’avère malicieuse (exemple : virus de type Cryptolocker) son impact sera contenu dans une machine virtuelle. Votre ordinateur et vos données seront préservés.

Pour aller plus loin :

Liste d’extensions à se méfier :
http://www.howtogeek.com/137270/50-file-extensions-that-are-potentially-dangerous-on-windows/

Comment bloquer des extensions dangereuses dans office 365 :
http://blogs.perficient.com/microsoft/2016/06/office-365-have-you-enabled-common-attachment-blocking/

https://technet.microsoft.com/en-us/library/dn950026(v=exchg.150).aspx


Des questions concernant cet article ?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel :

info@oppidumsecurity.com


Ou nous parler via notre site internet :



https://oppidumsecurity.com/