Envoyer un email en tant que TOUAH, oui je peux le faire parce que... c'est possible (email spoofing)

Par Arfy, . Lien permanent Question *bip* du jour

J'ai encore un ami à qui s'est arrivé.  Hop reçu un email "de sa part", oui oui de SON email avec une pub à la *bip* (je ne m'en souviens même pas).  Et ensuite est venu l'email d'excuses.

Perso, je ne fais plus attention: je sais que ce n'est pas LUI merci mon antivirus de temps à autre mais surtout ma tête !

Déjà on peut dire

  • non en théorie son email n'a pas été piraté, ce n'est pas sûr à 100% mais bon, cf plus bas,
  • oui, par prudence, il faut changer le mot de passe,
  • oui "on" a certainement récupéré sa liste de contact... un jour...
  • Comment ?  Boah.
    • Illégalement: bon ben vala, ça arrive, chez vous (sur votre ordi certains appelle ça virus/trojans/..., mais bon rare si vous ne faites pas de conneries) ou sur un serveur à qui VOUS avez donné vos contacts (genre tien, je te propose de vérifier si dans tes contacts s'il n'y a pas des potes qui utilisent aussi ce réseau pour les ajouter automatiquement)
    • Légalement: cf ci dessus et qui après ont vendu un jour pour des pubs et cet acheteur a vendu à un truc moins scrupuleux etc...
    • Légalement bis: Mode j'ai coché mais je ne savais pas: ben oui, sur votre smartphone ou tablette favorite, vous vérifiez tout ce que demande les applis plus ou moins "secure" que vous installez ?  Ça ne vous choque pas qu'elle demande à accéder à vos contacts pour pouvoir jouer avec GRATUITEMENT ?  Puis hop, cf plus haut, liste vendue, puis revendue...
    • etc...

Bref, pour expliquer le

"mais comment il peut faire pour envoyer un email A MA PLACE ?"

je vais faire une analogie.

Imaginez que vous envoyez une lettre manuscrite (ben oui ça existe encore) à quelqu'un avec son adresse à elle/lui et un joli timbre et que OH HORREUR - MALHEUR vous mettez

  1. dans le De:
  2. et la signature
  3. ET sur l'arrière de l'enveloppe

Mme Michu

à la place ben de vous quoi !
Oui le destinataire pourra faire gaffe et se demander, "est-ce bien Mme Michu" qui m'a envoyé ce courrier ?  C'est sa signature ?  Ou pas.

Les emails, c'est pareil, c'est en mode "no secure", on peut envoyer un mail sur un serveur-relai d'email PAS TROP REGARDANT, un email à la place de president@gouv.fr ... dans le FROM:
Bon, je ne le ferai pas, mais oui c'est possible.

Non je ne donnerai pas de howto.

Oui j'ai déjà râlé.  Recherché des moyens, regardé les RFB etc...

Des contre-mesures ?  Il y en a 2 décrites dans l'article.  On peut aussi y rajouter des certificats (digital certificate) à vos emails, mais bon c'est encore lourd je trouve et souvent payant et ce n'est pas non plus sécurisé de bout en bout tant qu'on restera avec ce bon vieux système d'emails ;)
Bref, des emails 100% validés pour tout le monde "oui c'est vous", ce n'est pas pour demain !  Il suffit de le savoir.

Pour le reste/approfondir, allez lire le wikipedia "email spoofing".

Source:

How is it Possible to Send E-mail Using Someone Else’s Domain Name?

Emailspoof.jpg
howtogeek.com

Haut de page