Précautions de base

Généralités

Beaucoup de gens s'imaginent qu'ils ne prennent des risques (virus, vols d'information, etc...) que lorsqu'ils « vont sur Internet ». Et, dans leur esprit, aller sur Internet signifie utiliser un logiciel (par exemple Internet Explorer ou Firefox) pour surfer sur le web. J'en ai même vu plus d'un qui disaient :« Ah, ça y est ! Je suis sur Internet » après avoir vu "Google" écrit en gros et en couleur au milieu de leur écran !

Erreur... !

La plupart des utilisateurs ont maintenant une box (Livebox, Freebox, Dartybox, etc...), box rarement éteinte à laquelle peuvent être connectés plusieurs appareils (ordinateurs, tablettes, smartphones) –par câble ou par wi-fi–, et qui forment, ensemble, un réseau ; réseau privé certes, mais réseau quand même. Celui-ci peut d'ailleurs n'être constitué que d'un seul appareil si par exemple il n'y a qu'un seul ordinateur et pas de tablette ni de smartphone. Ce réseau privé est connecté au réseau public (Internet) par l'intermédiaire de la box qui fait office de routeur.

Dès lors il faut bien comprendre ce fait : Internet est la contraction de Interconnected Networks et votre réseau privé, local, est connecté avec le réseau public en permanence si vous n'éteignez pas la box. Donc, même sans rien faire quoi que ce soit de particulier, le seul fait d'allumer votre ordinateur vous place sur l'un des réseaux qui constitue Internet entraînant les risques évoqués plus haut.

J'ai vu des personnes qui "blindaient" leur navigateur avec tous les plug-in de sécurité possibles et me faisaient penser aux personnes qui blindent leur porte de verrous, cadenas et système anti-dégondage mais laissent les fenêtres et soupiraux ouverts. Cela ne sert à rien. La sécurité peut être aidée par des logiciels, c'est vrai, mais c'est avant tout une question d'attitude.

A suivre...

Messagerie

La règle numéro 1 à ne jamais jamais perdre de vue : un message n'est destiné qu'à communiquer une information.

Une information. Un point, c'est tout. Et non un texte mis en page qui relèverait d'une oeuvre d'art avec un choix de polices de caractère adapté, avec des tailles et des couleurs différentes et qui plus est, avec image fond. Et ceci pour plusieurs raisons :

La première est qu'il faut impérativement configurer son logiciel de messagerie pour n'utiliser que du texte pur (autrement appelé text/plain) aussi bien dans les messages en réception qu'en émission et de refuser systématiquement l'utilisation du HTML. En effet, les présentations (couleurs, tailles de police de caractère, etc...) ne se font qu'à l'aide de HTML et celui-ci peut contenir du javascript qui est un langage de programmation côté client c'est-à-dire qui s'exécute sur la machine de l'utilisateur, en l'occurrence, la vôtre.

Si vraiment vous devez effectuer une présentation soignée comme un curriculum vitæ, par exemple, prenez un traitement de texte pour taper votre document, soignez-le puis enregistrez-le au format PDF et mettez-le en pièce jointe d'un mail écrit en texte seulement.

Ci-dessous, deux exemples de réception d'un mail simple : le premier, envoyé enrichi (gras, souligné) à l'aide de HTML, le second envoyé en text brut (text/plain). Dans ceux-ci :

Message envoyé "enrichi" avec du HTML

Texte : "Ce message est écrit avec un texte enrichi (HTML)"     ("message" est écrit en gras, "texte enrichi" est souligné)

From ???@??? Tue May 16 19:43:54 2017
Return-Path: <xxxxxx.yyyyyy@zzzzzzz.fr>
Received: from mwinf5c20 (mwinf5c20.me-zzzzzzz.net [10.223.111.70])
	 by mwinb2x01 with LMTPA;
	 Tue, 16 May 2017 19:41:24 +0200
X-Sieve: CMU Sieve 2.3
Received: from relay9-d.mail.gandi.net ([217.70.183.199])
	by mwinf5c20 with ME
	id M5hP1v03F4JYPg9015hQee; Tue, 16 May 2017 19:41:24 +0200
X-bcc: xxxxxx.yyyyyy@zzzzzzz.fr
X-ME-bounce-domain: zzzzzzz.fr
X-ME-engine: default
X-me-spamcause: (30)(0000)gggruggvucftvghtrhhoucdtuddrfeeljedrudehgdduudejucdltddurdefleeirddttddmucetufdoteggodetrfdotffvucf
rrhhofhhilhgvmecuoffgpdggtffipffknecuuegrihhlohhuthemucegtddtnecuufhprghmjfgvrgguvghrhfhivghlugcujfgvrgguvghrucfutghorhhinhhg
ucdlfedtmdenucfjughrpefkfffhrhhofgggvffutgesrgdtrggrtdefjeenucfhrhhomheprfhivghrrhgvucfhtegfsfgfgfcuoehpihgvrhhrvgdrfhgruhhqu
hgvseifrghnrgguohhordhfrheqnecuffhomhgrihhnpehfrhdqfigvsgguvghvrdhnvghtnecukfhppedvudejrdejtddrudekfedrudelledpledtrdeiuddrvd
dtgedrudejgeenucfrrghrrghmpehhvghloheprhgvlhgrhielqdgurdhmrghilhdrghgrnhguihdrnhgvthdpihhnvghtpedvudejrdejtddrudekfedrudelled
pmhgrihhlfhhrohhmpehpihgvrhhrvgdrfhgruhhquhgvseifrghnrgguohhordhfrhdprhgtphhtthhopehpihgvrhhrvgdrfhgruhhquhgvseifrghnrgguohho
rdhfrh
X-me-spamlevel: not-spam
X-ME-Helo: relay9-d.mail.gandi.net
X-ME-IP: 217.70.183.199
X-ME-Entity: ofr
Received: from relay2-d.mail.gandi.net (relay2-d.mail.gandi.net [217.70.183.194])
	by relay9-d.mail.gandi.net (Postfix) with ESMTPS id E322840430
	for <xxxxxx.yyyyyy@zzzzzzz.fr>; Tue, 16 May 2017 19:41:23 +0200 (CEST)
Received: from spool.mail.gandi.net (mspool10-d.mgt.gandi.net [10.0.21.141])
	by relay2-d.mail.gandi.net (Postfix) with ESMTP id D04F3C5A43
	for <xxxxxx.yyyyyy@zzzzzzz.fr>; Tue, 16 May 2017 19:41:23 +0200 (CEST)
Received: from authsmtp.register.it (authsmtp18.register.it [81.88.48.41])
	by spool.mail.gandi.net (Postfix) with ESMTPS id ADE4917B4B9
	for <pierre@fauque.net>; Tue, 16 May 2017 19:41:23 +0200 (CEST)
Received: from [127.0.0.1] ([90.61.204.174])
	by paganini31 with 
	id M5hC1v00U3mGwqa015hNX7; Tue, 16 May 2017 19:41:23 +0200
Message-ID: <591B39AC.4050506@zzzzzzz.fr>
Date: Tue, 16 May 2017 19:41:00 +0200
From: Pierre FAUQUE <xxxxxx.yyyyyy@zzzzzzz.fr>
Reply-To: pierre@fauque.net
Organization: Personnel
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:31.0) Gecko/20100101 Thunderbird/31.0
MIME-Version: 1.0
To: Pierre FAUQUE <pierre@fauque.net>
Subject: Test de messagerie : HTML
Content-Type: multipart/alternative;
 boundary="------------020209020603000902070406"
X-Antivirus: avast! (VPS 170516-0, 16/05/2017), Outbound message
X-Antivirus-Status: Clean
X-Spamd-Result: default: False [1.90 / 30.00]
 AUTH_NA(1.00)[]
 URI_COUNT_ODD(1.00)[1]
 TO_MATCH_ENVRCPT_ALL(0.00)[]
 MIME_GOOD(-0.10)[multipart/alternative, text/plain]
 MID_RHS_MATCH_FROM(0.00)[]
 RCVD_TLS_ALL(0.00)[]
 HAS_ORG_HEADER(0.00)[]
 R_SPF_NA(0.00)[]
 R_DKIM_NA(0.00)[]
 RCVD_COUNT_TWO(0.00)[2]
 TO_DN_ALL(0.00)[]
 FROM_EQ_ENVFROM(0.00)[]
 DMARC_NA(0.00)[zzzzzzz.fr]
 RCPT_COUNT_ONE(0.00)[1]
 ASN(0.00)[asn:39729, ipnet:81.88.48.0/20, country:IT]
 FROM_HAS_DN(0.00)[]
X-Rspamd-Server: nmfilter6.prod.sd2.0x35.net
X-Rspamd-Scan-Time: 0.01
X-Rspamd-Queue-ID: ADE4917B4B9
X-Spam-Level: *
X-Antivirus: avast! (VPS 170516-0, 16/05/2017), Inbound message
X-Antivirus-Status: Clean

<x-html><html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=utf-8">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Ce <b>message</b> est écrit avec un <u>texte enrichi</u> (HTML).<br>
    <pre class="moz-signature" cols="72">--- 
<a class="moz-txt-link-abbreviated" href="mailto:pierre@fauque.net">pierre@fauque.net</a>
- <a class="moz-txt-link-abbreviated" href="http://www.fauque.net">www.fauque.fr</a> -
Mob: +33683485270
PGP: 1C35EE9230DF
-----------------
  </body>
</html>
</x-html>

Envoyé : texte + signature = 151 octets
Reçu hors entêtes  : texte enrichi (HTML) + signature = 550 octets
Augmentation : 3,64%

Vous pouvez constater que le message est écrit dans le conteneur <body>...</body>, qui se trouve lui-même inclus dans le conteneur <html>...</html> ce dernier constituant, en fait une page web. Dans cet exemple, la balise ouvrante <body ...> contient deux attributs (bgcolor et text) mais la balise <body ...> peut contenir aussi d'autres attributs tel onload="une_fonction_javascript()" qui fera qu'au chargement de la page (onload), c'est à dire à l'ouverture du message, la fonction désignée sera exécutée. Si celle-ci devait être nuisible, il serait alors déjà trop tard...

Conséquence : l'ouverture d'un message écrit en HTML (avec des polices des tailles et des couleurs) peut être dangereux. Configurez donc votre logiciel de messagerie pour que les messages reçus soient expurgés du HTML. Le message reçu sera moins "joli" mais plus sûr. Après tout, ce qui compte vraiment c'est l'information reçue (confirmation de rendez-vous ou autre) et non sa présentation. Vous n'aurez pas ainsi éradiqué toutes les possibilités d'infection virale de votre ordinateur mais vous aurez déjà limité bien des problèmes.

En revanche, dans l'exemple ci-dessous, le message envoyé en texte pur ne représente pas une page pouvant contenir du code javascript qui pourrait être nuisible.

Message envoyé en text/plain (texte pur)

Texte : "Ce message est écrit avec du texte brut (text/plain)".

From ???@??? Tue May 16 19:43:54 2017
Return-Path: <pierre@fauque.net>
Received: from mwinf5c31 (mwinf5c31.me-zzzzzzz.net [10.223.111.81])
	 by mwinb2x01 with LMTPA;
	 Tue, 16 May 2017 19:43:19 +0200
X-Sieve: CMU Sieve 2.3
Received: from relay5-d.mail.gandi.net ([217.70.183.197])
	by mwinf5c31 with ME
	id M5jJ1v0244Fx2zd015jJm2; Tue, 16 May 2017 19:43:19 +0200
X-bcc: xxxxxx.yyyyyy@zzzzzzz.fr
X-ME-bounce-domain: zzzzzzz.fr
X-ME-engine: default
X-me-spamcause: (15)(0000)gggruggvucftvghtrhhoucdtuddrfeeljedrudehgdduudelucdltddurdefleeirddttddmucetufdoteggodetrfdotffvucf
rrhhofhhilhgvmecuoffgpdggtffipffknecuuegrihhlohhuthemucegtddtnecuogetfedtuddqtdduucdludehmdenucfjughrpefkgifofffvhffugggtgfes
thhqredtredtudenucfhrhhomheprfhivghrrhgvucfhtegfsfgfgfcuoehpihgvrhhrvgesfhgruhhquhgvrdhnvghtqeenucffohhmrghinhepfhgruhhquhgvr
dhfrhenucfkphepvddujedrjedtrddukeefrdduleejpdeltddriedurddvtdegrddujeegnecurfgrrhgrmhephhgvlhhopehrvghlrgihhedqugdrmhgrihhlrd
hgrghnughirdhnvghtpdhinhgvthepvddujedrjedtrddukeefrdduleejpdhmrghilhhfrhhomhepphhivghrrhgvsehfrghuqhhuvgdrnhgvthdprhgtphhtthh
opehpihgvrhhrvgdrfhgruhhquhgvseifrghnrgguohhordhfrh
X-me-spamlevel: not-spam
X-ME-Helo: relay5-d.mail.gandi.net
X-ME-IP: 217.70.183.197
X-ME-Entity: ofr
Received: from spool.mail.gandi.net (mspool3-d.mgt.gandi.net [10.0.21.134])
	by relay5-d.mail.gandi.net (Postfix) with ESMTP id D978241C074
	for <xxxxxx.yyyyyy@zzzzzzz.fr>; Tue, 16 May 2017 19:43:18 +0200 (CEST)
X-Policy: 80.12.242.124 is whitelisted
X-Policy: 80.12.242.124 is whitelisted
Received: from smtp.smtpout.orange.fr (smtp02.smtpout.orange.fr [80.12.242.124])
	by spool.mail.gandi.net (Postfix) with ESMTPS id BA49E116022
	for <pierre@fauque.net>; Tue, 16 May 2017 19:43:18 +0200 (CEST)
Received: from Cypris ([90.61.204.174])
	by mwinf5d25 with ME
	id M5jG1v0123mGwqa035jHb8; Tue, 16 May 2017 19:43:18 +0200
Message-Id: <3.0.1.32.20170516194301.0108be60@pop.zzzzzzz.fr>
X-Sender: xxxxxx.yyyyyy@pop.zzzzzzz.fr (Unverified)
X-Mailer: Windows Eudora Pro Version 3.0.1 (32) [F]
Date: Tue, 16 May 2017 19:43:01 +0200
To: Pierre FAUQUE <pierre@fauque.net>
From: Pierre FAUQUE <pierre@fauque.net>
Subject: Test de messagerie : text/plain
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
X-Antivirus: avast! (VPS 170516-0, 16/05/2017), Outbound message
X-Antivirus-Status: Clean
X-Spamd-Result: default: False [1.40 / 30.00]
 AUTH_NA(1.00)[]
 ASN(0.00)[asn:3215, ipnet:80.12.240.0/20, country:FR]
 R_DKIM_NA(0.00)[]
 TO_DN_ALL(0.00)[]
 RCPT_COUNT_ONE(0.00)[1]
 RCVD_COUNT_TWO(0.00)[2]
 FROM_HAS_DN(0.00)[]
 FROM_EQ_ENVFROM(0.00)[]
 MV_CASE(0.50)[]
 TO_MATCH_ENVRCPT_ALL(0.00)[]
 RCVD_TLS_ALL(0.00)[]
 DMARC_NA(0.00)[fauque.net]
 MIME_GOOD(-0.10)[text/plain]
 R_SPF_NA(0.00)[]
 TO_EQ_FROM(0.00)[]
X-Rspamd-Server: nmfilter1.prod.sd2.0x35.net
X-Rspamd-Scan-Time: 0.02
X-Rspamd-Queue-ID: BA49E116022
X-Spam-Level: *
X-Antivirus: avast! (VPS 170516-0, 16/05/2017), Inbound message
X-Antivirus-Status: Clean

Ce message est écrit avec du texte brut (text/plain)

---
pierre@fauque.net
- www.fauque.fr -
Mob: +33683485270
PGP: 1C35EE9230DF
-----------------

Envoyé : texte + signature = 154 octets
Reçu hors entêtes  : texte + signature = 154 octets
Augmentation : 0%

Vous pouvez constater dans le cas ci-dessus que le texte tapé n'est en rien augmenté d'un code quelconque. Outre cet avantage non négligeable pour la sécurité, le message reçu ne "pèse" pas plus lourd. Il contient exactement le même nombre d'octets que l'original envoyé (les entêtes étant, dans un cas comme dans l'autre, non pris en compte).

Dans l'exemple du message enrichi, l'enrichissement se contentait d'un mot en gras et de deux mots soulignés. L'augmentation du volume a été de 3,64% seulement pour ça. Dans d'autres situations (message plus long, plus sophistiqué quant à la présentation –avec tableaux etc...–), l'augmentation du volume peut être bien supérieure à 3,5% et peut atteindre parfois le double.

Conséquence : les mesures de sécurité qui consistent à préférer le texte pur à la place du HTML, ont aussi de bonnes conséquences sur les ressources (texte plus court, donc transmission plus rapide, stockage –et sauvegardes– moins volumineux, etc...)


La règle numéro 2 serait d'utiliser un vrai logiciel de messagerie et non utiliser un navigateur web pour travailler avec une boîte à lettres sur un serveur (voir paragraphe Clouds). Un "vrai" logiciel de messagerie conserve dans votre ordinateur les messages que vous avez expédiés et pour ce qui concerne la réception, il copie en local –sur votre ordinateur– les messages qu'il aura trouvés dans votre boîte à lettres et, une fois la copie faite, supprime ces messages sur le serveur. De ce fait, et au pire, il n'y aura sur le serveur que les messages reçus depuis la dernière relève de courrier.

Bien sûr, le webmessaging a ses avantages, mais... A développer...

Vous seriez bien avisés, avant d'aller ramasser vos mails avec votre logiciel de messagerie, de consulter au préalable votre boîte avec un logiciel "très léger" de consultation de boîte mail, tel Ultrafunk Popcorn, par exemple. Il vous permettra de consulter à distance le contenu de votre boite à lettre.


Le contenu du message sélectionné dans le cadre du haut est affiché dans le cadre du bas. Vous pouvez donc constater que la quantité de HTML est plus importante que la quantité d'information utile. Le message prendra donc plus de place que nécessaire sur votre disque et pourra peut-être contenir du code malveillant dans le HTML.


Ce message-ci est envoyé en texte. Vous avez beaucoup moins de risques avec ce message d'autant plus que vous pouvez en lire le contenu et savoir s'il vous intéresse.

L'intérêt d'un tel outil (mais il existe bien d'autres clients légers de messagerie autres que celui qui est cité en exemple) permet de faire le tri préalable et de supprimer directement sur le serveur les messages qui ne vous intéressent pas (spams) ou qui vous paraissent dangereux. De plus, la lecture du contenu du message ne n'effectue pas à partir de votre ordinateur. Vous consultez à distance ce que vous allez pouvoir récupérer. De ce fait, lors de la relève de votre courrier vous ne récupérerez seulement que les messages que vous aurez conservés, jugés utiles et sans danger sans ramener sur votre ordinateur les messages qui pourraient être dangereux.

Le principe est donc simple : vous consultez votre boite avec un client léger tel popcorn ci-dessus, vous supprimez à distance les messages inintéressants ou jugés dangereux, puis vous ramassez avec votre logiciel de messagerie classique le reste du courrier (a fortiori celui que vous allez conserver).


La règle numéro 3 serait bien sûr l'utilisation courante de GPG/PGP mais on sortirait des précautions de base. Bien sûr, l'utilisation des mails sans cryptage (en clair) peut être assimilée à l'envoi de cartes postales (sans enveloppe) donc sans protection. Vous pouvez d'ailleurs constater dans les entêtes ci-dessus que les messages transitent par plusieurs machines à partir desquelles ils peuvent être lus librement puisque non protégés. Pas d'intimité, donc. Pour ce faire relisez les paragraphes Cryptage et PGP & GPG. Mais si vous pensez n'utiliser la messagerie chiffrée que plus tard, suivez au moins les précautions de base de cette page.

 

Mise à jour le 15/06/2017 à 16:35:20