vlan.org

Webzine des anciens étudiants de l’IUT Serecom St-Raphaël

Accueil > Actu > Les messageries instantanées n’aiment pas les contraintes de (...)

Les messageries instantanées n’aiment pas les contraintes de sécurité

jeudi 13 novembre 2003

Entre le bannissement des messageries instantanées grand public et leur contrôle, les responsables de sécurité doivent choisir.

Plus conviviaux et rapides que le téléphone ou le courriel, les logiciels de messagerie instantanée grand public ont dépassé le seul cadre privé pour pénétrer au sein de l’entreprise. Que leur usage soit approuvé, étant perçus comme des outils de travail collaboratif, ou qu’il relève du récréatif, ces logiciels posent le même problème.

« Ils n’ont pas été conçus pour un environnement professionnel et n’offrent pas de fonctions de sécurité évoluées. A commencer par le chiffrement » , prévient Pierre Oger, consultant sécurité dans le cabinet de conseil en sécurité du système d’information Fidens.

A ce titre, autoriser leur utilisation relève de l’inconscience pour nombre d’experts de sécurité. « Les utilisateurs des messageries instantanées risquent la fuite d’informations confidentielles sur eux-mêmes ou leur ordinateur et les données qu’il contient. C’est inacceptable en entreprise » , insiste Jean Larroumets, consultant sécurité chez Fidens.

Contrôler les clients tient de la prouesse

L’architecture client-serveur de ces logiciels explique nombre de carences. Un client est installé sur chaque poste. Il gère l’interface utilisateur de communication avec des correspondants. Le serveur est chargé de l’authentification des utilisateurs et s’assure en temps réel qu’ils sont connectés. L’entreprise n’a pas de contrôle sur les serveurs hébergés par l’éditeur du service.

Et contrôler les clients tient de la prouesse. Ces derniers sont configurés par défaut pour trouver une voie vers le serveur qui effectue l’authentification et la mise en relation des utilisateurs connectés. Bloquer un port au niveau du pare-feu de l’entreprise s’avère parfois insuffisant. D’autant plus que, en dernier recours, tous ces logiciels de messagerie instantanée font une tentative via le port 80 ­ un tunnel vers internet que le pare-feu prend soin de ne pas obturer.

Le client de messagerie instantanée n’est, pour cette muraille, qu’un navigateur internet comme un autre. Le seul salut pour l’entreprise est un pare-feu qui empêche des requêtes autres que de type HTTP via le port 80. Car les clients de messagerie utilisent des commandes autres. Le pare-feu doit discerner un protocole de communication anormal pour le port utilisé.

Sinon, la parade pour le responsable de sécurité est de bloquer la communication avec les serveurs d’authentification. Ce qui prémunit contre toute utilisation du service. Mais l’entreprise peut autoriser l’usage de ces logiciels comme outils de travail collaboratif.

Dans ce cas, une mesure consiste à empêcher a minima les transferts de fichiers en bloquant les ports utilisés par les clients pour ces transferts. Cela évitera l’envoi et la réception de fichiers vers et depuis internet. À l’intérieur du réseau d’entreprise, cette contre-mesure n’a pas d’efficacité. Il faut recourir à des solutions de filtrage de contenu.

Les boîtiers spécialisés de Blue Coat, dans leur dernière version, ou ceux de Secure Computing, dans le modèle à venir en fin d’année, ont intégré des fonctions spécifiques à la messagerie instantanée. Du côté de Blue Coat, on a évolué d’un simple blocage de port vers le contrôle des règles d’utilisation de ces outils. Les échanges peuvent être régulés par individu ou par groupe d’utilisateurs.

Chaque fonction des clients peut être autorisée ou non individuellement. La journalisation des échanges entre clients peut s’effectuer sur un serveur de l’entreprise. Et ces contrôles de niveau passerelle ne nécessitent pas d’installation au niveau du client.

Christophe Dupont


Voir en ligne : Article de 01Net - 13/11/2003

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.