Les attaques par email

Un jour, belle surprise, j’ai reçu ce mail dans ma boite (cf extrait de l’e-mail ci-dessous), mais directement dans les SPAMs:

Hi.

I think you will not be happy, because I have a very bad news for
you.

Just a few months ago I hacked your operating system and I have
full control of your device.
I implanted a small application into your device which sends me
your current
IP address and allows me to connect to your device just like
remote desktop.
Even if you change your password, it won=E2=80=99t help.

How I infected you?
The router that you used to connect to Internet had a security
hole.
You can read about this problem by searching for CVE-2018-10562.
I hacked your router and I put my code into it, and when you
tried to
connect to Internet, my program infected your device.

Later I made a full copy of your hard drive (I have all your
email contact
lists, list of websites you visited, phone numbers, your
passwords etc.)

Dans le reste du message, il m’indiquait qu’il avait piraté mon ordinateur personnel, qu’il a pu avoir accès à ma webcam et obtenue des vidéos de moi, puis à la fin du message, je devais payer la rançon en Bitcoin et pour cela, il me fournissait la méthode et si je ne paierais pas cette rançon, il divulguerait cette vidéo de moi à tous mes contacts dans les 72 heures. J’ai trouvé ce mail très convaincant, malheureusement, je sais que tout était faux, donc je n’ai pas porté trop d’attention à ce message, néanmoins, j’ai un peu analysé l’en-tête SMTP du message (j’ai volontairement modifié mon adresse e-mail pour éviter des SPAMs ^^):

Reporting-MTA: dns; isaque.prodepa.gov.br
X-Postfix-Queue-ID: A93A91424ECE
X-Postfix-Sender: rfc822; [email protected]
Arrival-Date: Sat,  2 Nov 2019 14:35:57 -0300 (BRT)

Final-Recipient: rfc822; [email protected]
Original-Recipient: rfc822;[email protected]
Action: failed
Status: 5.7.1
Remote-MTA: dns; mail.protonmail.ch
Diagnostic-Code: smtp; 550 5.7.1 Rejected by spam filter
----------------------------------------------
message/rfc822
----------------------------------------------
Return-Path: <[email protected]>
Received: from localhost (localhost [127.0.0.1])
	by isaque.prodepa.gov.br (Postfix) with ESMTP id A93A91424ECE
	for <[email protected]>; Sat,  2 Nov 2019 14:35:57 -0300 (BRT)
Received: from isaque.prodepa.gov.br ([127.0.0.1])
	by localhost (isaque.prodepa.gov.br [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id 6QdN-z5oxT1G for <[email protected]>;
	Sat,  2 Nov 2019 14:35:57 -0300 (BRT)
Received: from yahoo.co.uk (unknown [216.170.126.176])
	by isaque.prodepa.gov.br (Postfix) with ESMTPSA id 358F114279DB
	for <[email protected]>; Sat,  2 Nov 2019 14:17:28 -0300 (BRT)
From: [email protected]
To: [email protected]

Dans cet en-tête, on peut voir que l’expéditeur et le destinataire c’est moi. Est-ce que ma Webmail a été piraté ? Je dirais que non, car dans le cheminement du message, il s’est d’abord connecté à un serveur SMTP du Brésil, donc déjà, ce serveur SMTP n’est pas du tout sécurisé car c’est un SMTP ouvert, puis ce serveur SMTP relaie le mail au MTA de Yahoo et enfin à mon MTA pour que je puisse le recevoir dans ma boite mail et c’est ce dernier qu’il le considère comme un SPAM. Je n’ai pas trop poussé l’investigation plus loin. Par contre, comment l’attaquant à obtenue mon adresse mail ? Malheureusement, je l’ignore, mais maintenant je sais que mon adresse mail peut être utilisé à des fins malhonnêtes.

Comme je l’ai dit plus haut, j’ai trouvé ce mail très convaincant et je n’ai pas pris les menaces aux sérieuses, néanmoins, pour Madame Michu, elle risque de payer la rançon, car pour elle tout est vraie et comme c’est du Bitcoin, ce n’est pas tracé. J’ai donc décidé de faire un article pour donner de bonnes pratiques en matières de sécurisation de notre boite mail.

Dans la première section de cette article, Les e-mails, vecteurs d’attaques, nous allons voir comment les attaquant obtiennent nos adresses e-mails et quelle méthodes ils utilisent pour soutirer de l’argent à leurs victimes, puis, dans la section Les bonnes pratiques, je donnerais quelques conseils pour éviter tout risque de SPAM et quoi faire lorsque nous en recevons et enfin, dans la dernière section Sécurisation de la messagerie, nous verrons quelques outils permettant de sécuriser un domaine de messagerie.

Les e-mails, vecteurs d’attaques

Nous utilisons tous les jours notre boite de messagerie, que ce soit privé où professionnel, c’est donc un outil omniprésent dans notre société. Pour vous donner une idée sur l’utilisation de la messagerie, le tableau ci-dessous nous présente le nombre de mail envoyés tous les jours (chiffré données en milliards) ainsi que des prévisions pour les quatre prochaines années:

2019	2020	2021	2022	2023
293.6	306.4	319.6	333.2	347.3

source: https://www.radicati.com/wp/wp-content/uploads/2018/12/Email-Statistics-Report-2019-2023-Executive-Summary.pdf

Comme le montre le tableau ci-dessus, en 2019, nous envoyons et recevons près de 293.6 milliards de mails par jour. Par ailleurs, le tableau montre une prévision pour les prochaines années et en 2023, ils estiment près de 347.3 milliards de mails seront échangés à travers le monde.

Un autre tableau (cf. ci-dessous) nous montre le nombre de comptes utilisateurs pour la messagerie (chiffrés données en millions):

2019	2020	2021	2022	2023
3.930	4.037	4.147	4.258	4.371

source: https://www.radicati.com/wp/wp-content/uploads/2018/12/Email-Statistics-Report-2019-2023-Executive-Summary.pdf

Les chiffres présentés dans les deux tableaux précédents nous montrent réellement l’utilisation de la messagerie dans notre société et que nous sommes tout le temps connectés sur notre messagerie à lire nos messages et à y répondre.

Malgré l’explosion de l’utilisation des messages électroniques, un autre fléau est apparu et des personnes malhonnêtes utilisent cet outil pour tenter de substituer de l’argent aux victimes. Cependant, pour permettre de réaliser leurs attaques, ils doivent obtenir des adresses emails. Pour cela, ils utilisent différentes méthodes:

• Un attaquant pirate une base de données contenant des adresses mail, par exemple, Yahoo s’est fait pirater en 2013 et les adresses mails ont été dérobées. Grâce à ces informations, un attaquant peut lancer une campagne d’attaques.
• Si une adresse mail a été piratée, votre adresse mail peut être dans une liste de contact, donc l’attaquant connaîtra votre adresse e-mail.
• Lors de l’inscription sur un site illégale, comme par exemple le téléchargement.

Vous pouvez vérifier si votre adresse mail a été compromise. Il existe des sites internet qui identifie si votre adresse mail est utilisée à des fins malhonnêtes. Vous pouvez tester votre adresse sur ce site: haveibeenpwned

Lorsque vous recevez une adresse mail non désirable, c’est-à-dire un SPAM, où que vous suspectez qu’il soit frauduleux, vous ne devez en aucun prétexte ouvrir les pièces jointes, vous verez dans la section suivante qu’une pièce jointe est susceptible d’infecter votre ordinateur. Différents indices nous indiquent si le mail est un SPAM:

• Les SPAMs sont souvent écrits en anglais, si vous ne travaillez pas dans un environnement anglo-saxon, vous ne devriez pas normalement recevoir des messages dans cette langue.
• S’il vous est demandé de fournir des informations personnelles, vous avez sûrement affaire à un message frauduleux. Sur le site arobase, vous trouverez une liste non exhaustive qui fournit des exemples de phishing, c’est-à-dire, obtenir des informations personnelles.
• L’expéditeur peut aussi donner un indice sur un SPAM. Dans mon cas de figure, l’expéditeur s’était moi-même, mais il peut arriver que l’expéditeur est une chaîne de caractère aléatoires.

Dans tous les cas de figure, analyser bien le mail pour identifier tous les indices et permettre ainsi de déterminer si ce message est un SPAM ou pas. La CNIL fournit aussi d’autres exemples pour détecter un mail frauduleux.

Lorsque les attaquants auront une base contenant des adresses e-mails, ils vont pouvoir substituer de l’argent aux victimes. Ces attaques peuvent ce montrer sous différentes formes et ils n’hésitent pas à utiliser des méthodes non conventionnelle pour effectuer leurs méfaits. Ces différentes méthodes, passent par l’utilisation de faux sites Internet, mais aussi d’utiliser la naïveté de la victime. Dans les sections qui suivent, nous allons identifier ces méthodes.

Ingénierie sociale

L’ingénierie sociale est une technique qui permet de collecter des informations personnelles auprès d’une victime en exploitant sa faiblesse. Cette technique peut être utilisé dans d’autres outils de communication, comme par exemple une messagerie instantanée, où sur des sites de petites annonces.

Phishing

Une attaque phishing consiste à obtenir des données personnel de l’utilisateur, comme le nom, le prénom, le numéro de sa carte de crédit, etc. dans le but d’usurper l’identité de la victime et si l’attaque réussi, c’est-à-dire que l’utilisateur auras fournit ces informations, l’attaquant pourra, par exemple, effectuer des opérations sur le compte bancaire de la victime.

Pour permettre d’obtenir des informations, un attaquant va créer un faux site, d’une banque, un site de e-payment, etc… et forcer l’utilisateur à accéder à ce site. Dans le mail, l’utilisateur devra ce connecter sur le site pour corriger des informations personnelles, car des erreurs ont été détectées sur son compte. L’utilisateur, lisant le message va se connecter et saisir ces informations, car ils pensent que tout est vrai. A l’issue de cette étape, l’attaquant possèdera toutes les informations nécessaires. En temps normal, un site ne demandera jamais de saisir des informations pour corriger toute anomalies sur son compte.

Un article publié sur le site developpez.com, nous montre que l’utilisation du certificat open source Let’s Encrypt à explosé ces dernières années. Cet article nous montre qu’en mars 2016, 10 certificats pour le domaine PayPal ont été signés par cette autorité et qu’en février 2017, c’est 5101 certificats qui ont été signés par Let’s Encrypt. Comme Let’s Encrypt ne fournit aucun moyen de vérification, il est très facile de générer un faux certificat pour usurper l’identité d’un site.

Sextorsion

Une autre menace pour obtenir de l’argent auprès d’une victime est d’avoir recours à des menaces grâces des chantages sexuelles. Dans ce type de message, ils indiquent qu’ils ont des vidéos intimes obtenues grâce à la webcam. L’attaquant va menacer la victime pour qu’il paie une rançon, dans le cas contraire, ces vidéos seront transmises à tous les contacts.

Infection virale

Lorsque vous recevez un mail frauduleux, n’ouvrez jamais les pièces jointes. En effet, elles sont très souvent source d’infection pour notre système. Il existe différentes catégories de virus informatique, comme les ransomwares, les spambots, les chevaux de Troie…

Les ransomwares

Les ramsomware ont pour but de bloquer complètement le système de la victime et s’il souhaite récupérer ces données, il doit payer une rançon. Ce type d’attaque est un véritable désastre pour les professionnelles, car cela peut paralyser complètement leurs systèmes d’informations et de subir des pertes financiers. Comme le montre l’article sur developpez.com, les ransomwares augmentent chaque année.

Les SpamBots

Les SpamBots, sont des bots, qui vont analyser le Web et collecter des adresses emails. Lorsqu’ils auront collectés ces adresses, ils vont pouvoir envoyer des SPAM à d’autres victimes.

Les chevaux de Troie

Un autre cas d’infection est l’utilisation d’un cheval de Troie, c’est-à-dire, un logiciel qui va permettre, à l’insu de la victime effectuer d’autres opérations malveillante, comme par exemple l’installation d’un keylogger, qui va permettre de stocker toutes vos saisit claviers pour ensuite récupérer les mots de passe que vous avez saisi sur les sites Internet que vous avez visité.

Les virus informatique

Les virus informatiques sont des logiciels qui vont ce propager grâce à différents supports, comme le réseau, les clés USB, disques dur, etc. et peut aussi causer des dommages sur le système. L’un des tout premiers virus informatique est apparu en 1999 et avait pour nom MELISSA. Ce virus était situé dans un fichier Word et se propagé via ce logiciel. Ce virus n’avait pas de fonction destructrice, mais il s’est rapidement propagé à travers le monde.

Un autre virus apparu en 2000 avait pour nom [ILOVEYOU](http ://www.secuser.com/alertes/2000/iloveyou.htm) et détruisait les fichiers multimédias (images, sons et vidéos) sur les systèmes qu’il infectés et ce propagé grâce aux mails. Ce virus était situé dans une pièce jointe sous le nom de “I-LOVE-YOU”, à l’ouverture de cette pièce jointe, il modifie tous les fichiers multimédias et ce propagé via la messagerie électronique en analysant les adresses mails contenue dans les carnets d’adresses.

Il existe beaucoup de virus, comme TCHERNOBYL, qui la plupart ont des fonctions destructrices sur les systèmes et les e-mails sont les principaux vecteurs de transmission de virus.

Les bonnes pratiques

Suppression des SPAMs

Come nous l’avons vu plus haut, les attaquants n’hésitent pas à utiliser différentes manières pour extorquer de l’argent aux victimes, c’est pour cette raison, que vous ne devez sous aucun prétexte accéder au site que l’expéditeur fournit dans son message, surtout si vous devez saisir vos données personnelles, cela aura donc pour effet d’avoir votre identité d’usurpée. L’usurpation d’identité ne concerne pas seulement les particuliers, mais aussi les entreprises, en 2016, la société Vinci a été victime d’une usurpation d’identité et cela a eu pour impacte une perte financière de 18% en bourse. Pour éviter l’usurpation d’un domaine de messagerie, on utilise le protocole SPF qui va autoriser certains serveurs de messagerie pour l’envoi d’un message pour un domaine.

Beaucoup d’utilisateurs ouvrent les pièces jointes des provenant des expéditeurs dont ils ne connaissent pas l’existence et cela peut être néfaste pour un système d’information. En effet, une attaque par ransomware peut paralyser tout un SI et cela peut avoir un impact financier. Comme l’indique l’article parût sur le site developpez.com, beaucoup d’entreprise payent les rançons et lorsque leur système d’information est paralysée par l’attaque, ils perdent de l’argent.

Lorsque nous avons un doute sur l’origine de l’expéditeur, il ne faut en aucun cas ouvrir les pièces jointes ni même de suivre la procédure dans ce message dans le cas d’une demande de saisit d’informations. Dans tous les cas de figure, supprimer ce mail.

Pour éviter d’autres attaquent, il existe la plateforme signal-spam, qui va permettre aux utilisateurs de les signaler et permettre ainsi aux autorités compétentes de lancer des actions contre ces groupes et éviter d’autres victimes.

Les mots de passe

Dans le cas où vous avez cliqué sur un lien de phishing et saisit vos coordonnées, veuillez immédiatement changer le mot de passe de votre compte et contacter le support du site, ils vont pouvoir réagir et faire tout le nécessaire et vous donner les étapes pour sécuriser votre compte. Si vous avez saisi vos coordonnées bancaires, vous pouvez bloquer votre carte pour éviter des retraits d’argents.

Mise à jour des antivirus

Il est important de régulièrement mettre à jour son antivirus pour permettre d’avoir sa base virale à jour. Chaque antivirus possède un code, ce qui lui concède une signature. Un antivirus va analyser tous les fichiers du système et les compares avec sa base virale. Si un fichier comporte la signature d’un virus, c’est à ce niveau-là que l’antivirus va prendre les mesures appropriées, c’est-à-dire, mettre ce fichier en quarantaine.

Un antivirus va aussi analyser le comportement des logiciels, s’il détecte un comportement étrange, il peut le considérer comme étant un virus, cependant, nous avons de faux positifs qui apparaissent.

Sécurisation de la messagerie

SpamAssassin

Pour les administrateurs systèmes qui gèrent leur messagerie, il existe un outil qui permet d’identifier un mail comme étant un SPAM: SpamAssassin. Cet outil analyse le mail et affecte un score au message. Si le score dépasse un certain seuil, il sera marqué comme étant un SPAM au niveau du mail. Il est possible de personnaliser cet outil et de modifier les filtres pour bloquer les SPAMs. Néanmoins, SpamAssassin peut laisser passer des SPAMs, donc l’analyse dépendra de l’utilisateur.

Authentification des domaines

Pour sécuriser le domaine de messagerie, nous pouvons implémenter les protocoles SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail). Ces protocoles vont garantir l’identité du domaine. Le protocole SPF va autoriser certains serveurs de messagerie à envoyer un mail pour un domaine, lorsque les messages reçus provient d’un autre serveurs, ce message peut être considéré comme un SPAM. Le protocole DKIM lui va signer un message et garantir l’authenticité du mail et qu’il atteste de la provenance du domaine émetteur.

Pour ceux qui souhaitent en savoir plus sur ces deux protocoles, j’ai rédigé un article article qui explique le fonctionnement de ces protocoles.

Sécurisation des messages

Les protocoles SPF et DKIM garantissent l’authenticité du domaine, c’est-à-dire que le message provient bien du domaine émetteur, néanmoins, cela ne prouve pas que le compte a été piraté. Une autre bonnes pratiques est de sécuriser les messages en appliquant des chiffrements et que le message ne peux être lu que par le destinataire. Pour cela, il existe les protocoles PGP (Pretty Good Privacy) et S/MIME (Secure/Multipurpose Internet Mail Extensions). Ces deux protocoles s’appuie sur des certificats pour authentifier l’utilisateur. La principale différence entre ces protocoles, est que PGP est plus axé sur l’Opensource, car tout le monde peux générer un certificat PGP, tandis que S/MIME utilise des certificats validé par des tierces et qui son par conséquent payant.

J’ai rédigé un article qui présente ces protocoles, leurs fonctionnements ainsi que les avantages et les inconvénients de leurs utilisations.

Conclusion

De nos jours, les escroqueries par e-mail sont devenus un fléau sur Internet, mais aussi pour les utilisateurs ainsi que pour les professionnelles. Il est possible de mettre en place des outils permettant de filtrer au maximum les SPAMs, néanmoins, des SPAMs peuvent tout de même passer entre les mailles du filet et seront considérés comme étant des messages légitimes, il est donc important de bien sensibiliser les utilisateurs, car ce sont eux la dernière barrière de protection du système d’information.

Références

Voici quelques liens qui m’ont permis de rédiger cet article:

• https://www.cnil.fr/fr/phishing-detecter-un-message-malveillant
• https://www.cnil.fr/fr/spam-phishing-arnaques-signaler-pour-agir
• https://www.developpez.com/actu/103337/Une-etude-montre-qu-un-internaute-sur-deux-clique-sur-des-liens-envoyes-par-un-expediteur-inconnu-meme-en-etant-conscient-du-danger-de-cette-pratique/
• http://simson.net/ref/2006/CHI-security-toolbar-final.pdf
• https://support.symantec.com/us/en/article.tech98539.html