Sécurité de la messagerie

Le cryptage du transport, aussi appelé cryptage de session, protège le protocole par lequel les données du message sont transmises. Les trois principaux types de cryptage du transport sont : Encrypted Messaging API (MAPI), Secure Sockets Layer (SSL) ou Transport Layer Security (TLS), et IPsec. Si vous voulez sécuriser des sessions entre Microsoft Outlook et Exchange, validez le cryptage du protocole MAPI. MAPI utilise le RPC (Remote Procedure Call) entre le client et le serveur. Par défaut, les flux RPC ne sont pas cryptés mais vous pouvez valider le cryptage RPC 128 bits dans le profil utilisateur Outlook.

Sachez toutefois que cette façon de faire n’offre qu’un cryptage approximatif et ne protège le trafic MAPI qu’entre Exchange et Outlook. Au-delà du serveur de boîtes à lettres de l’envoyeur, les courriels sont sans protection aucune. SSL et TLS sont des protocoles similaires en ce qu’ils fournissent le cryptage au niveau applicatif. La principale différence est la suivante : il faut établir les communications SSL sur un port différent de leur contrepartie non cryptée, tandis que l’on peut établir TLS sur une connexion non sécurisée au départ. À l’heure actuelle, Exchange ne supporte TLS que sur des connexions SMTP mais supporte SSL sur POP3, IMAP, Network News Transfer Protocol (NNTP) et HTTP.

(L’implémentation TLS d’Exchange n’est pas tout à fait opportune : on ne peut pas traiter à la fois des connexions sécurisées et non sécurisées à partir du même serveur virtuel.) IPsec est un ensemble d’extensions IP permettant d’authentifier et de crypter des communications IP. IPsec fait partie de Windows depuis Windows 2000. Certes, IPsec est plus difficile à valider et à gérer que les autres options, mais il est bien plus souple. Etant une fonction de l’OS, IPsec peut protéger n’importe quelle application (contrairement à SSL et TLS, qui exigent qu’une application reconnaisse les standards). Avec Windows IPsec, il suffit de créer les GPO (Group Policy Objects) appropriés et de les attacher aux conteneurs adéquats dans l’AD (Active Directory) pour établir les filtres et le comportement d’IPsec nécessaires.

On voit donc qu’IPsec est apte à protéger des connexions entre des serveurs frontaux et d’arrière-plan. Si vos messages électroniques empruntent plusieurs tronçons, chacun doit être sécurisé sous peine d’exposer les données à des tiers non autorisés. Si vous sécurisez chaque tronçon, le message sera protégé pendant son trajet sur la ligne mais il restera non crypté sur chaque système intermédiaire entre l’envoyeur et le destinataire. Pour plus d’informations sur la manière de sécuriser les divers protocoles utilisés dans Exchange (et où les utiliser), voir les ressources dans l’encadré « Autres ressources », y compris « Front-End and Back-End Server Topology Guide for Exchange Server 2003 and Exchange 2000 Server » dans l’Exchange Server 2003 Technical Documentation Library.