Messagerie : À propos des virus...

Comme vous le savez, nous prenons des mesures sur nos serveurs de messagerie pour contrecarrer la diffusion de virus chez nos utilisateurs.

Depuis début 2002, notre serveur rejette les messages qui comportent des documents attachés "exécutables". Ce dispositif vise à éviter la propagation de virus et se montre extremement efficace, notamment lors de l'apparition de nouveaux virus [1].

Depuis janvier 2004, on observe une recrudescence importante des virus, mais maintenant également avec des fichiers exécutables au format compressé (zip). Ainsi, nous avons été amenés à bloquer aussi la transmission de ce type de fichier. Nous sommes conscients de la gêne occasionnée, mais cette gêne est compensée par les dégâts évités dans l'ensemble de la communauté.

Certains virus sont maintenant diffusés dans des fichiers .zip attachés protégés par mot de passe (le mot de passe étant aimablement transmis dans un document joint, pour que l'utilisateur puisse décompresser son virus - cette protection empêche l'analyse du fichier joint par tout système automatisé) : notre méthode peut donc etre qualifiée de radicale, mais son efficacité est importante dans ce genre de cas.

Les utilisateurs qui souhaitent envoyer ou recevoir des documents ayant l'une des extensions précitées doivent faire deux actions (simples) pour leurs transferts légitimes de fichiers :

• modifier le nom du fichier pour en changer l'extension à l'envoi
• modifier le nom du fichier pour en changer l'extension à la réception (et donc mettre l'extension que l'expéditeur avait prévue : .exe, .bat, .zip ...)

Ainsi, si vous souhaitez transmettre un fichier de nom "mon_fichier.zip", il vous suffit de le renommer en "mon_fichier.zzz" avant l'envoi. A la réception, il suffit de remettre l'extension d'origine.

Les messages d'alerte envoyés aux utilisateurs est aussi un point qui suscite beaucoup de questions.

Lorsqu'un ordinateur se trouve infecté, le virus entreprend de récolter sur cette machine les adresses qu'il y trouve, en sélectionne des ensembles de 2, et envoie un message contenant le virus "de la part" de l'une d'elles, et à destination de l'autre ... d'où un grand nombre d'avertissements. Ainsi, l'ordinateur infecté n'est pas celui de l'emetteur apparent. Malheureusement, cette ***usurpation d'adresses*** est souvent une source de confusion et de zizanie...

Une anedocte réelle arrivé parmi nos utilisateurs : un chercheur de l'école a reçu un de ces messages d'alerte, indiquant comme émetteur apparent du virus un eminent chercheur canadien. Après quelques recherches nous avons compris qu'il s'agissait, en réalité, d'un virus envoyé par une entreprise organisatrice d'un congrès scientifique, auquel avaient participé les deux chercheurs.

Pour information, le nombre de virus arrivant sur notre serveur de messagerie (et dont nous empechons la transmission ) est passé de 50-60 par jour en mars 2002 à 200-300 en mars 2003 et enfin maintenant à plusieurs *milliers* par *jour* (entre 2000 et 10000).

En raison de cette recrudescence et de l'usurpation d'adresse, notre serveur de messagerie n'envoi plus de message d'alerte à l'émetteur supposé depuis le mois d'août dernier.

La grosse majorité des virus ne touche que les machines windows : les utilisateurs d'autres plate-formes ne sont concernés que par le fait qu'ils vont recevoir eux aussi un certain nombre de messages d'alerte, plusieurs dizaines ou plusieurs centaines selon les utilisateurs, disant :

• soit qu'on leur avait envoyé un message contenant un virus (ou quelque chose de suspect).
• soit que eux mêmes avaient expédié ce type de message (à vérifier) - voir le point sur l'usurpation d'identité ci-dessus.
• si vous êtes sous windows, assurez-vous que votre antivirus est à jour (les serveurs des sites de l'école où se fait votre mise à automatique doivent l'être : au besoin, lancez la mise à manuellement).
• Les virus se propagent à la fois par mail, par partage de fichiers (attention aussi à vos ordinateurs personnels qui seraient eventuellement sur d'autres réseaux que ceux de l'école...), mais aussi par le webmail (récuperation de messages sur des serveurs situés à l'extérieur de l'école).

Extensions filtrées :

La liste des extensions filtrées est constituée, au départ, des extensions conseillées par Microsoft, auxquelles s'ajoutent d'autres faisant objet d'un avis de sécurité et présentant une ménace suffisamment forte.

 ade adp app bas bat bin btm chm
 cmd com cpl crt csh dll drv exe
 fxp hlp hta inf ini ins isp je 
 js jse ksh lnk mdb mde mdt mdw
 msc msi msp mst ops pcd pif prg
 reg scr sct shb shs sys url vb 
 vbe vbs vxd wsc wsf wsh zip

Une consigne ancienne disant de compresser tout fichier à envoyer par messagerie n'est plus valable dans nos jours, sauf dans le cas des fichiers dont la taille est trop importante (2 Mo et plus) ou alors dans une liste de difusion où le même message est envoyé à plusieurs centaines de destinataires.

Les messages avec des fichiers attachés dont la longuer du nom dépasse 128 caracteres sont aussi filtrés. D'une part, ces messages correspondent pratiquement toujours à des spams ou virus, mais aussi ils peuvent endommager les boîtes aux lettres des utilisateurs de Eudora (dont certaines versions semblent ne pas traiter correctement les noms de fichier trop long).

Références :

• Le Lien - mars 2002
• NOTE D'INFORMATION du CERTA - Direction centrale de la sécurité des systèmes d'information. - Mesures de prévention relatives à la messagerie
• AVIS du CERTA - Direction centrale de la sécurité des systèmes d'information. - Rappel sur les virus de messagerie
• NOTE D'INFORMATION du CERTA - Direction centrale de la sécurité des systèmes d'information. - Mise en garde au sujet des messages de voeux
• Unsafe files - OL2000: Information About the Outlook E-mail Security Update
• A propos des fichiers winmail.dat et - Procédure pour empêcher que le fichier Winmail.dat ne soit envoyé aux utilisateurs Internet
• Virus Protection - File Extensions
• MIT Sets Systems To Reject E-Mailed Executables - Internetweek et MIT
• Yet Another Mass-Mailed Worm Is Spreading Fast - Mimail.C