Près de 230 millions d'utilisateurs dialoguent par messagerie instantanée. Dans le monde professionnel, elle a été le plus souvent adoptée sans l'aval des directions informatiques. Faut-il pour autant s'en alarmer ? Oui... et non. Les menaces sont réelles, mais pas franchement nouvelles. Et les parades existent. De fait, le seul vrai risque, pour les entreprises, est de continuer d'ignorer le succès de ce canal de communication. Et donc de ne pas prendre les mesures qui s'imposent pour se protéger.

Selon une enquête menée il y a environ un an auprès de 340 entreprises européennes par l'éditeur d'antivirus Sybari (racheté depuis par Microsoft), seuls 13 % des responsables informatiques reconnaissent avoir mis en place une véritable politique de déploiement et de gestion d'une messagerie instantanée.

Les autres ont laissé cette messagerie s'installer de façon anarchique, sans contrôle, sans mesure de sécurité, et sans même savoir ce que leurs employés utilisent. Ils sont presque autant (77 %) à avouer leurs inquiétudes face aux risques qu'elle peut générer. Le fond du problème est là.

Entre toutes les menaces, ce sont les virus que les entreprises redoutent le plus. A tort, semble-t-il. « Quand un poste de travail est bien protégé, les virus sont le moindre problème de la messagerie instantanée, relativise Alain Gruson, fondateur d'Ipracom, éditeur d'une solution d'échange et de partage d'informations. S'ils ne sont pas détectés au niveau de la passerelle de l'entreprise, ils peuvent toujours être stoppés par l'antivirus sur le poste de travail. Malheureusement, toutes les entreprises ne protègent pas leurs PC, et encore moins les périphériques mobiles. »

En outre, la sécurité peut être renforcée par l'utilisation d'un annuaire d'entreprise. Les profils qu'il stocke peuvent commander au système d'exploitation d'interdire l'installation de nouveaux programmes. Dans ce mode, les chevaux de Troie, « bots » et autres logiciels espions ne peuvent nuire.

D'autres risques existent, plus difficiles à neutraliser. Par exemple, la fuite de données, la prise de contrôle d'ordinateurs à distance, ou l'espionnage de conversations. Sans oublier le spam, favorisé par l'annuaire public Skype utilisé pour la téléphonie sur IP et pour la messagerie instantanée. Il suffit d'effectuer une recherche sur Paul pour obtenir tous les Paul connectés de la planète, puis de polluer leur messagerie. A moins qu'ils n'aient pris la précaution de s'inscrire sur liste rouge.

Certains « add on » , tel le très utilisé Messenger Plus pour MSN Messenger, installent parfois des logiciels espions qui favorisent la diffusion de messages non désirés. Face à ces dangers, il y a des parades. Mais, bien souvent, elles obligent à déployer une armada d'outils.

La principale difficulté, en matière de sécurité, provient de l'usage du port 80. Toutes les solutions de messagerie instantanée utilisent des protocoles spécifiques. Mais elles savent encapsuler leur trafic dans des messages HTTP pour contourner des ports fermés au niveau du pare-feu. Et, bien entendu, il est inenvisageable de fermer purement et simplement le port 80, par lequel transite tout le trafic Web. « Certaines messageries utilisent des applets Java. La fermeture du port 80 ne résoudrait donc rien, ajoute Alain Takahashi, fondateur d'Hermitage, intégrateur et distributeur de solutions de sécurité. De fait, le seul moyen efficace pour interdire la messagerie instantanée serait d'appliquer une politique d'administration rigoureuse sur le poste de travail, empêchant l'installation de tout logiciel par l'utilisateur. »

Cependant, une telle interdiction n'est pas toujours possible ni même souhaitable. D'autant que la plupart des responsables informatiques reconnaissent les mérites de la messagerie instantanée. L'alternative consiste à s'appuyer sur l'annuaire pour autoriser l'installation d'une messagerie en interdisant les autres.

Mais n'autoriser que le flux d'une seule messagerie implique que les deux correspondants soient connectés avec le même logiciel. Or, la tendance est à l'interopérabilité entre messageries instantanées. Une passerelle entre Lotus Sametime d'IBM et Office Communicator de Microsoft vient d'ailleurs d'être annoncée. D'autre part, certains clients open source, tels Gaim ou Trillian, sont mêmes capables de dialoguer simultanément avec différentes messageries instantanées.

A défaut de pouvoir contrôler les logiciels, une solution consiste à laisser le champ libre à l'encapsulation en HTTP plutôt que d'ouvrir tous les ports spécifiques à chaque messagerie. Quitte, ensuite, à peiner pour contrôler le contenu qui transite par le port 80. « Pour comprendre ce que contient un paquet, il faut aller au-delà de l'encapsulation HTTP et interpréter les primitives du protocole spécifique de la messagerie, explique Jean-François Cadudal, manager du pôle intégration de Cyber Networks. Et cela afin de reconstituer les messages et d'isoler les pièces jointes potentiellement porteuses de virus, les liens douteux, ou encore les messages comportant des informations confidentielles. »

La solution se révèle vite coûteuse, car les outils d'analyse du contenu HTTP exigent un module de filtrage spécifique à chaque messagerie. Lequel, bien sûr, est payant. Enfin, les éditeurs d'outils d'analyse ne couvrent généralement que les principales solutions du marché : MSN Messenger, AOL, et Yahoo. C'est notamment le cas de Bluecoat, leader sur le marché d'outils d'analyse consacrés au port 80. Celui-ci cumule protection antivirus et lutte contre la fuite d'information au niveau d'une passerelle, qui distingue le trafic Web de celui de la messagerie instantanée pour ensuite l'analyser.

Comme chez la plupart de ses concurrents, cette détection repose principalement sur des mots-clés. Ce qui suppose que l'entreprise ait une idée précise des mots-clés qui pourraient figurer dans un contenu confidentiel. Complexe, cette protection est en outre soumise à des obligations légales, rappelle Olivier Caleff, consultant sécurité chez Devoteam : « L'entreprise doit informer ses employés qu'elle surveille tous les messages entrants et sortants. Une telle politique de sécurité n'est pas toujours facile à faire admettre à un comité d'entreprise. »

Pour la plupart des experts en sécurité, une bonne gestion de la messagerie instantanée ne peut qu'être le fruit de compromis entre autorisation de certaines messageries et interdictions d'autres. Stéphane Le Hir, directeur général de Kaspersky Lab France, préconise même l'interdiction pure et simple du trafic de la messagerie par le port 80 au profit de l'ouverture des ports spécifiques à la messagerie.

« Les responsables informatiques n'aiment pas ouvrir de nouveaux ports dans le pare-feu, explique-t-il. Cette solution facilite pourtant l'analyse, car on sait très exactement à quoi s'attendre sur chaque port. » Dans ce cadre, le choix de la ou des messagerie(s) est primordial : certaines d'entre elles, telle Skype, impliquent l'ouverture de près de 1 000 ports différents, soit autant de brèches potentielles.

Consacrées à un usage en entreprise, Lotus Sametime d'IBM et Office Communicator de Microsoft, elles, se montrent moins gourmandes en ports. Elles présentent surtout l'avantage d'utiliser un serveur hébergé dans l'entreprise, doté de fonctions de chiffrement SSL (Secure Socket Layer), et connectable à l'annuaire pour gérer l'authentification. Elles proposent également un archivage centralisé. Une fonction qui peut avoir un effet dissuasif sur les utilisateurs enclins à divulguer des informations confidentielles.

Reste que toute authentification implique que les utilisateurs soient clairement identifiés dans l'annuaire. Alors, avant d'envisager l'installation de dispositifs de sécurité synonymes de communications restreintes, lourds en termes d'administration, et coûteux en analyse, mieux vaut sensibiliser les collaborateurs aux risques. Et les amener ainsi à utiliser d'autres outils que la messagerie instantanée quand ils doivent échanger du contenu sensible.

Le match IBM/Microsoft