Sécurisation des e-mails: les pièces jointes

Beaucoup d'administrateurs ont la fausse impression que leurs utilisateurs ne peuvent pas recevoir de logiciels malveillants par e-mail car leurs solutions anti-spam ne permettent pas la réception de fichiers se terminant par l'extension ".exe".

 

Ce qu'ils ignorent, c'est que des logiciels malveillants peuvent utiliser beaucoup d'autres extensions pour contourner leurs règles anti-spam.

  • .PIF
  • .APPLICATION
  • .COM 
  • .SCR 
  • .JAR
  • .BAT
  • .JS 
  • .PS1
  • .LNK
  • .DOCM
Et beaucoup plus encore… 

Vous l’avez compris, il est important d’essayer de supprimer toutes pièces jointes disposant d’une extension pouvant faire courir un risque à votre entreprise.

Dépendamment des activités de vos utilisateurs un certain nombre de ces extensions ne pourront pas être bloquées. Par exemple, les fichiers MS Office contenant des macros sont souvent utilisés par des utilisateurs faisant de l’analyse financière (.DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, . SLDM).

Dans ce cas, il est recommandé de configurer des exceptions dans vos solutions anti-spam afin de n’autoriser que certains utilisateurs à recevoir ces fichiers potentiellement dangereux.

A noter que filtrer des fichiers disposant d’extension dangereuses ne vous protège pas des fichiers portant une extension non « dangereuse » (comme les .PDF) mais conçus pour exploiter des vulnérabilités présentes dans les logiciels permettant leur ouverture (Adobe Acrobat Reader dans le cas des fichiers .PDF).

Si vous désirez un niveau de sécurité encore plus haut, plusieurs options sont disponibles sur le marché :
Au niveau des solutions anti-spam :

Certaines options « premium » de solutions anti-spam proposent d’analyser le comportement des pièces jointes aux emails dans une machine virtuelle. Si le comportement d’une pièce jointe est suspect (modifications des configurations de l’ordinateur, communications avec internet) la pièce jointe sera identifiée comme malicieuse et ne sera pas remise aux destinataires.

Au niveau des postes de travail :

  • Interdiction pour les non administrateurs de démarrer des programmes permettant l’interprétation de scripts : Wscript.exe, Cscript.exe, Powershell.exe, Mshta.exe, etc. (à l’aide de SRP ou Applocker). Attention cependant à ne rien casser en bloquant ces programmes!
  • Interdiction d’exécuter des programmes inconnus sur les ordinateurs (à l’aide d’antivirus permettant de définir les programmes ayant le droit d’être exécutés sur les postes de travail)
  • Exécution des programmes de messagerie (exemples : Outlook, Lotus note, etc.) dans une machine virtuelle (Application Sandboxing). Si une pièce jointe s’avère malicieuse (exemple : virus de type Cryptolocker) son impact sera contenu dans une machine virtuelle. Votre ordinateur et vos données seront préservés.

Pour aller plus loin :

Des questions concernant cet article ?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde. 
Vous pouvez aussi nous joindre à ce courriel : 
info@oppidumsecurity.com
Billet précédentBillet suivant
Utilisation des cookies
Nous utilisons des cookies pour améliorer l'expérience de navigation, la sécurité et la collecte de données. En acceptant, vous consentez à l'utilisation de cookies à des fins publicitaires et d'analyse. Vous pouvez modifier vos paramètres de cookies à tout moment. En savoir plus
Accepter tout
Paramètres
Refuser Tout
Paramètres des Cookies
Cookies nécessaires
Ces cookies sont destinés pour des fonctionnalités de base telles que la sécurité, la gestion du réseau et l'accessibilité. Ces cookies ne peuvent pas être désactivés.
Cookies pour les statistiques
Ces cookies nous aident à mieux comprendre comment les visiteurs interagissent avec notre site web et nous aident à découvrir les erreurs de navigation.
Préférence pour les Cookies
Ces cookies permettent au site web de se souvenir des choix que vous avez faits afin de fournir une fonctionnalité et une personnalisation améliorées.
Enregistrer