Beaucoup d'administrateurs ont la fausse impression que leurs utilisateurs ne peuvent pas recevoir de logiciels malveillants par e-mail car leurs solutions anti-spam ne permettent pas la réception de fichiers se terminant par l'extension ".exe".
Ce qu'ils ignorent, c'est que des logiciels malveillants peuvent utiliser beaucoup d'autres extensions pour contourner leurs règles anti-spam.
- .PIF
- .APPLICATION
- .COM
- .SCR
- .JAR
- .BAT
- .JS
- .PS1
- .LNK
- .DOCM
Vous l’avez compris, il est important d’essayer de supprimer toutes pièces jointes disposant d’une extension pouvant faire courir un risque à votre entreprise.
Dépendamment des activités de vos utilisateurs un certain nombre de ces extensions ne pourront pas être bloquées. Par exemple, les fichiers MS Office contenant des macros sont souvent utilisés par des utilisateurs faisant de l’analyse financière (.DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, . SLDM).
Dans ce cas, il est recommandé de configurer des exceptions dans vos solutions anti-spam afin de n’autoriser que certains utilisateurs à recevoir ces fichiers potentiellement dangereux.
A noter que filtrer des fichiers disposant d’extension dangereuses ne vous protège pas des fichiers portant une extension non « dangereuse » (comme les .PDF) mais conçus pour exploiter des vulnérabilités présentes dans les logiciels permettant leur ouverture (Adobe Acrobat Reader dans le cas des fichiers .PDF).
Certaines options « premium » de solutions anti-spam proposent d’analyser le comportement des pièces jointes aux emails dans une machine virtuelle. Si le comportement d’une pièce jointe est suspect (modifications des configurations de l’ordinateur, communications avec internet) la pièce jointe sera identifiée comme malicieuse et ne sera pas remise aux destinataires.
Au niveau des postes de travail :
- Interdiction pour les non administrateurs de démarrer des programmes permettant l’interprétation de scripts : Wscript.exe, Cscript.exe, Powershell.exe, Mshta.exe, etc. (à l’aide de SRP ou Applocker). Attention cependant à ne rien casser en bloquant ces programmes!
- Interdiction d’exécuter des programmes inconnus sur les ordinateurs (à l’aide d’antivirus permettant de définir les programmes ayant le droit d’être exécutés sur les postes de travail)
- Exécution des programmes de messagerie (exemples : Outlook, Lotus note, etc.) dans une machine virtuelle (Application Sandboxing). Si une pièce jointe s’avère malicieuse (exemple : virus de type Cryptolocker) son impact sera contenu dans une machine virtuelle. Votre ordinateur et vos données seront préservés.
Pour aller plus loin :
Liste d’extensions dont il faut se méfier :http://www.howtogeek.com/137270/50-file-extensions-that-are-potentially-dangerous-on-windows/
Des questions concernant cet article ?