Hervé a écrit:Cougar a écrit:qui envoie un mail en masse au nom de tontonlyco à toutes les adresses mail qu'il a pu aspirer sur le net.
Dans le cas signalé le mail n'est pas envoyé à n'importe quelle adresse mail mais à ceux du carnet d'adresse du piraté : ceux qui reçoivent le mail connaissent le prétendu expéditeur et risquent de tomber dans le panneau s'il lui demande de l'aide (envoie moi de l'argent car j'ai perdu mes papiers et aussi mon portable, mon passeport, ...)
Pomper des adresses est une chose.
Envoyer avec succès un mail en se faisant passer pour un autre expéditeur en est une autre ; il y a des mécanismes qui protègent (avec plus ou moins de succès) contre ce genre d'abus.
Pour arriver à destination, un email doit traverser plusieurs serveurs SMTP faisant fonction de MTA (Mail Transfer Agent) avant d'arriver au MDA (Mail Delivery Agent) qui va le mettre dans la boîte mail du destinataire. Chaque MTA modifie l'en-tête technique (header) du message en rajoutant ses coordonnées à la liste des MTA précédents et aux informations fournies par l'expéditeur. Le serveur email en bout de chaîne, le MDA, est sensé faire une série de vérifications avant d'accepter le message, sinon le message devrait être rejeté :
- vérifier que les noms de domaine de
chacun des MTA correspondent à l'adresse IP utilisée par le serveur pour transmettre le message au MTA suivant. Cela est fait en utilisant l'entrée PTR ou "reverse DNS" du domaine. Cette entrée doit donner la liste de toutes les addresses IP valides pouvant être utlisées pour envoyer les emails de ce domaine.
Cette vérification empêche qu'un serveur "pirate" se fasse passer pour un serveur "honnête".
- vérifier que le MTA de départ est un serveur qui oblige ses utilisateurs à s'identifier and vérifiant son absence dans des "black lists" reprenant les moutons noirs et les serveurs à la sécurité douteuse.
- vérifier que le MTA de départ est un serveur qui vérifie que l'adresse email de l'expéditeur correspond à l'une des adresses de l'utilisateur qui s'est identifié pour envoyer ce mail. De même, cette opération consiste à vérifier son absence dans des "black lists".
Si quelqu'un reçoit un email frauduleux ayant comme expéditeur une adresse familière, les possibilités sont:
1.- le service email auquel ce quelqu'un a souscrit est de mauvaise qualité ; le MDA ne fait pas son boulot.
2.- le compte email de l'expéditeur a été réellement piraté et le mail a été envoyé par l'intermédiaire du serveur mail du compte piraté.
3.- le serveur email de l'expéditeur (premier MTA) vient d'être installé pour permettre cette fraude ; il n'a pas encore eu le temps d'apparaître dans les black lists.
4.- le fraudeur utilise une faille non-encore corrigée des mécanismes que je viens d'expliquer.
Les solutions pour chacun de ces cas:
1.- changez de fournisseur de service mail
2.- prevenez votre ami ou connaissance qu'il a été piraté pour qu'il change ses identifiants/mots de passe ou fasse fermer son compte
3.- le fraudeur a dû passer par un "agent de noms de domaine" pour acheter un nom de domaine. Cet agent connaît certaines données de la personne physique qui est derrière le domaine. Si vous contactez cet agent de nom de domaine en expliquant la fraude, il va bloquer l'activité de ce domaine le temps de faire une enquète. Après avoir constaté que la fraude est avérée, il va mettre les coordonnées de cette personne physique sur une liste noire partagée par tous les agents du domaine racine concerné.
4.- les entreprises et associations qui maintiennent ces listes noires investiguent aussi les failles du système. Elles seront intéressées par les informations que vous avez sur une potentielle nouvelle faille.
Maintenant, il ne faut pas se voiler la face : les mécanismes collaboratifs que je décris ici fonctionnent mieux sur les domaines racines .fr, .de ou .co.uk que sur les domaines .ru, .ky ou .co .
Luc