Savez-vous bloquer les messageries instantanées ?
A l’époque du « tout connecté » et de l’interactivité maximale, il est difficile de faire l’impasse sur un petit « fléau » pour nous DSI : les messageries instantanées. Ces messageries qui percent tout firewall (connexion en HTTP ou HTTPS) et qui devient difficile à bloquer ou à limiter l’accès. Pour la messagerie Skype c’est devenu quasi impossible, je n’ai pas trouvé de solution viable et simple à mettre en œuvre. La connexion P2P de Skype ne simplifie en rien les choses car elle est vraiment coriace et va essayer quasiment tout avec un pool d’IP assez conséquent (HTTP et HTTPS). Rien que pour cela ce logiciel devrait être « interdit », car percer les solutions de pare-feu et outrepasser certaines règles élémentaires d’entreprise peut être condamnable. Il existe toutefois un logiciel capable d’éradiquer ce programme sur un réseau : SkypeKiller.
Les messageries instantanées (tout comme ses consœurs non-instantanées) peuvent être vecteur de logiciels indésirables. Les bloquer ce n’est pas seulement augmenter la productivité de certains de ses employés, c’est aussi augmenter le niveau de sécurité en limitant les points d’entrées sur le Système d’Information.
Pour la messagerie MSN (Windows Live Messenger) qui elle aussi se connecte sur HTTP, un simple proxy Squid suffit à désactiver le protocole. Les lignes suivantes dans le fichier squid.conf neutralise MSN :
#ACL msn
acl msnmime req_mime_type ^application/x-msn-messenger
acl msngw url_regex -i gateway.dll#Deny msn
http_access deny msnmime
http_access deny msngw
Les autres messageries instantanées ne passent pas par le port 80, elles sont plus respectueuses des stratégies applicables à l’entreprise. Donc la non ouverture des ports spécifiques permet en principe de se protéger.
Il faut par contre ne pas oublier de bloquer la connexion à certains sites passerelles qui permettent une connexion à ces messageries via le navigateur, voila une liste non exhaustive des domaines concernés :
- meebo.com
- flick.im
- radiusim.com
- imo.im
- imunitive.com
- snimmer.com
- mijnmessenger.nl
- messengerfx.com
- webmessenger.yahoo.com
- trillianastra.com
Sachez qu’il est impossible de tout bloquer, limiter l’utilisation est la seule solution. Des messageries comme Google Talk (intégrées à GMail), ou des messageries IRC spécifiques sont quasi imbloquables lorsque la connexion passe sur HTTP ou HTTPS.