Rappel ANSSI : risques messagerie Mymail

Voici une recommandation qu'il n'est pas inutile de rediffuser... (document d'origine ici)

Le danger des applications de messagerie masquant l’usage d’un cloud non maitrisé

De nombreuses applications sont disponibles, en particulier pour les smartphones, pour accéder à sa messagerie. Certaines sont natives dans les OS, d’autres peuvent être téléchargées, souvent gratuitement, sur les AppStores d’Apple, d’Android ou ailleurs.

L’utilisation de ces applications nécessite que l’utilisateur renseigne ses informations de comptes, identifiant et mot de passe, afin de pouvoir se connecter et récupérer ses messages.

Le fait de renseigner ces informations est une prise de risque que l’on ne peut pas éviter, mais qui reste maitrisée tant que les messages sont récupérés par l’appareil et que les identifiants restent enregistrés localement.

Cependant, certaines applications semblent fonctionner sur les terminaux mais ne sont en fait que des relais d’affichage. Les identifiants sont transmis à un serveur tiers qui se charge de récupérer les messages.

Un disfonctionnement avec l’application MyMail, constaté sur les infrastructures de Renater, a mis en avant ces problématiques. (L’analyse est présentée ci-après)

Enjeux de sécurité

Ces solutions n’offrent aucune garantie:

• L’utilisateur donne à un tiers inconnu l’accès à l’ensemble de ses messageries.
• L’utilisateur n’a aucune connaissance de l’archivage et l’usage possible de ses messages.
• L’utilisateur n’a aucune maitrise de l’utilisation de ses comptes (ex : envoi de SPAM).
• L’utilisateur ne sait pas où sont les serveurs ni à quelles réglementations ils sont soumis.
• Même si le flux avec la messagerie était chiffré, dans certains fonctionnements, il n’y a plus aucune garantie entre le serveur tiers et le terminal.
• En cas de désinstallation de l’application, le serveur continue dans certains cas à récupérer les messages.

Analyse du disfonctionnement par Renater

Suite à la détection sur la messagerie PARTAGE de RENATER d’un trafic important en volume et en nombre de sessions avec des serveurs dans le domaine MY.COM, un filtrage a du être mis en place et une analyse a été faite pour comprendre la raison de ce trafic. Il s’est avéré qu’il était dû à l’utilisation, dans certains établissements, de l’utilisation de l’application MyMail.

Cette application, très bien notée par ailleurs, et accessible sur les AppStores d’Apple et de Google, ressemble à une application comme il y en a beaucoup pour accéder à sa messagerie.

Après avoir installé l’application et configuré le compte de messagerie de son établissement, l’utilisateur peut l’utiliser pour lire ses messages.

Or cette application n’est pas un client lourd de messagerie.

Les informations de comptes sont transmises à des serveurs basés aux Pays-Bas, dans le domaine MY.COM, domaine appartenant à MAIL.RU, à priori un service de messagerie russe...

Ce sont ces serveurs qui vont se connecter en IMAP sur le serveur de messagerie, avec accès illimité aux boites aux lettres de l’utilisateur.

L’application, elle, va se connecter en HTTPS sur ces serveurs pour présenter les messages à l’utilisateur.

On voit là que le niveau de risque est bien plus important que pour des clients de messagerie classique.

Recommandations

Dans un contexte professionnel, il convient d’utiliser la messagerie proposée par les services informatiques. Si le choix revient à l’utilisateur, il est recommandé d’utiliser les applications de messagerie fournies sur les OS officiels ou ayant fait l’objet d’une analyse de risque ou à minima de fonctionnement.

Commentaire du RSSI local

la conclusion est simple : on ne stocke pas ses mails professionnels n'importe où, et surtout pas dans certains pays connus pour leur "curiosité".

Ou disons plutôt que si on décide de le faire, il faut le faire en parfaite connaissance de cause, c'est à dire en étant certain de n'avoir absolument rien de confidentiel dans sa boite aux lettres professionnelle.

Mais comment être certain de n'avoir rien de confidentiel dans ses mails professionnels ?

On ne peut répondre à cette question qu'après avoir fait l'inventaire de leur contenu et des risques liés à leur "vol", et si on effectue ce travail, on a 99% de probabilité de conclure à un besoin plus ou moins important de confidentialité ( je préfère éviter parler des besoins en disponibilité, ne me demandez pas pourquoi ;-) )

Vos utilisateurs ne sont pas convaincus ?

Alors voici quelques exemples de données qu'on peut extraire des mails, et qui pourraient poser problème si elles étaient exploitées par quelqu'un de mal intentionné :

• Carnet d'adresses
• Graphe des liens professionnels
• Appel d'offre en cours de rédactions, commentaire sur une réponse à appel d'offre, devis (le risque est plus grand pour le fournisseur que pour vous, mais ne soyons pas égoïste ;-) )
• Identifiant et mots de passe en clair
• Projets stratégiques
• Travaux de recherche, projet de brevet
• Commentaires sur des personnes
• Données Personnelles d'usagers (Fuite = grave)
• Donnes Personnelles Sensibles d'usagers (données médicales par ex. Fuite = très grave)
• Scans de documents personnels d'usagers (passeport, carte d'identité, feuille d'imposition, ...)
• Discussions d'ordre privée se retrouvant par hasard mélangées avec les mails professionels (bizz)

Si ce n'est pas suffisamment convaincant aux yeux de certains utilisateurs, vous pouvez aussi leur rappeler que c'est l'Université (ou l'organisme de recherche) qui est propriétaire des boîtes aux lettres professionnelles, et que par conséquent ce sont les décisions de l'Université qui devraient avoir priorité sur les décisions individuelles des utilisateurs  (comme pour tout ce qui concerne la gestion des ressources informatiques et des données).