Dans mon travail de jour en tant que gars de la communication pour ValiMail, je passe beaucoup de temps à expliquer à quel point il est facile de créer des courriels frauduleux en utilisant une adresse courriel qui ne vous appartient pas.
Une fausse adresse « de » est, en fait, comment la majorité des attaques par courriel se produisent. Et les attaques par email (aka phishing) sont comment la majorité (en fait la grande majorité) des cyberattaques commencent. La facilité avec laquelle il est possible de falsifier des courriels provenant de personnes constitue donc une vulnérabilité majeure.
Mais, demandez-vous, pourquoi prendrais-je la peine de falsifier un courriel provenant de « société.com » alors que je pourrais simplement enregistrer un faux domaine sosie (comme c0mpany.com) et l’utiliser ? Ou créer un compte Gmail ([email protected]) et lui donner un nom sympathique qui ressemble au PDG d’une entreprise ?
Eh bien, en fait, il est significativement plus facile de falsifier l’adresse d’une vraie personne dans une vraie entreprise que d’enregistrer un faux domaine, ou même de créer un compte Gmail jetable.
Voici comment c’est facile.
Les moyens de falsifier un email
Site web mailer
Trouver un site web comme deadfake, qui se décrit comme « un site qui vous permet d’envoyer gratuitement de faux e-mails à qui vous voulez. » Ou anonymailer.net. Ou spoofbox.com. Il y en a des dizaines. Beaucoup d’entre eux sont gratuits, certains coûtent un peu d’argent pour envoyer du courrier. Alors:
- Entrez l’adresse électronique de votre destinataire dans le champ To :.
- Mettez l’adresse électronique que vous voulez dans le champ From :.
- Rédigez votre message et appuyez sur le bouton Send Now ! Bouton
Commande Unix line
Si vous avez un ordinateur configuré avec des services de messagerie – ou si vous pouvez vous connecter par telnet ou SSH à un ordinateur qui a des services de messagerie – vous pouvez falsifier une adresse from avec une seule ligne. Tapez simplement ceci:
mail -aFrom:[email protected]
Cela crée un message qui indique « [email protected] » dans le champ « From ». Tapez un objet et le reste de votre message, appuyez sur Ctrl-D lorsque vous avez terminé, et le message s’en va.
Cela ne fonctionne pas dans toutes les versions d’Unix, et le fait que cela fonctionne ou non dépend de la façon dont votre système est configuré (s’il est connecté à Sendmail, etc.). Malgré tout, c’est l’idée de base et cela fonctionne dans de nombreux systèmes.
PHP
Parce que je ne suis pas très sophistiqué en matière de programmation, j’utilise PHP lorsque j’ai besoin de coder des choses pour mes sites Web personnels. C’est rapide, facile et utilisé par environ 90 % des personnes (comme moi) qui n’en savent pas plus sur la programmation que ce qu’elles ont pu apprendre en faisant des recherches sur Google et en volant des extraits de code publiés sur divers forums publics. (C’est aussi la raison pour laquelle PHP est souvent accusé d’être peu sûr.) J’ai construit tout un système de gestion de contenu de site web en PHP. Si je peux le comprendre, comment cela peut-il être difficile ?
Sans entrer dans tous les avantages et inconvénients de PHP, je dirai qu’il est parfait pour les courriels. Vous pouvez forger des emails avec cinq lignes de code PHP très simple :
<?php
$to ; ; = ‘[email protected]’;
$subject = ‘le sujet’;
$message = ‘hello’;
$headers = ‘From : [email protected]’ . « \\r\\n »;
mail($to, $subject, $message, $headers);
?>
Le courrier électronique est un endroit apparement très confiant
Le monde du courrier électronique, jusqu’à tout récemment, était un endroit entièrement confiant. Il l’est encore en grande partie. Qui que je sois, si j’utilise la commande mail d’Unix ou la fonction PHP mail(), l’e-mail est envoyé sur Internet et celui-ci le livre à qui de droit, avec les en-têtes exacts que j’ai spécifiés. Personne ne vérifie si je possède l’adresse que j’ai utilisée dans le champ from. Personne ne s’en soucie.
Enfin, presque personne : Comme je l’ai noté plus haut, Gmail et certains autres clients de messagerie commencent à signaler les courriers qui semblent suspects, comme mon message d’anonymat. Cela dépend tout de même du client que vous utilisez et/ou du serveur de messagerie récepteur. Lisez notre article sur ce sujet à propos du mail jetable
C’est vrai, ces outils d’usurpation sont assez simplistes. Si je veux faire un formatage plus fantaisiste et donner à mes messages un aspect encore plus réaliste, cela demande un petit travail supplémentaire. Mais la falsification de base est aussi simple que cela.
La seule chose qui arrête vraiment les fausses adresses From est l’authentification des e-mails à l’aide d’une norme appelée DMARC. Mais cela ne fonctionne que si le domaine que vous essayez de falsifier a publié un enregistrement DMARC et l’a réglé sur une politique d’application. Alors, et seulement alors, presque tous les serveurs de messagerie qui reçoivent des messages (Gmail, Yahoo Mail, etc.) bloqueront les faux e-mails.
Heureusement pour les fraudeurs, la plupart des domaines d’Internet n’ont pas encore fait cela. Par exemple, seuls environ 4 % des domaines .gov se sont protégés.
Et pour les 96 % restants ? Les fraudeurs peuvent falsifier les courriels de ces domaines toute la journée sans aucune répercussion.
Et aussi des domaines comme democrats.org, dnc.org, gop.com, rnc.org. Et DonaldJTrump.com.
Tous ces domaines peuvent être facilement truqués par des escrocs par courriel ayant accès à une ligne de commande Unix ou à des compétences PHP rudimentaires. Et, comme nous l’apprenons, les escrocs ont profité de cette vulnérabilité. Par exemple, selon une source, un message électronique sur quatre provenant de domaines .gov est frauduleux.
Et c’est pourquoi j’essaie de faire passer le message : Il est beaucoup trop facile de falsifier des courriels provenant de la plupart des sources. Nous devons commencer à authentifier nos courriels, dès aujourd’hui.
