Sécurité des systèmes informatiques

Plan du chapitre
Chapitre 3
Courrier électronique
1
Contrefaçon de courrier électronique
2
Courrier électronique indésirable (spam)
2
1
Une attaque dicile ?
Objectifs de l'attaque
Problématique : envoi d'un mail en se faisant passer pour un autre
utilisateur, depuis une autre machine
Objectifs multiples : ns criminelles, harcèlement, diamation,
recueil de données condentielles (phishing)...
Attaque très facile à mettre en ÷uvre
Phishing : contrefaçon de mails redirigeant vers de faux sites web
Fonctionnement du protocole SMTP
Aucune vérication de l'adresse de l'expéditeur
HELO : connexion à un serveur
MAIL FROM : expéditeur (annoncé)
RCPT TO : destinataire
DATA : données à envoyer
4
5
Exemples d'attaque par phishing
Exemples d'attaque par phishing
6
Exemples d'attaque par phishing
7
Exemples d'attaque par phishing
8
9
Exemples d'attaque par phishing
Exemples d'attaque par phishing
From: Silverise <[email protected]>
Subject: Faites de l'argent avec votre compte bancaire
To: [email protected]
Date: Tue, 31 May 2005 06:43:40 -0800
Silverise Corporation
Vous rêvez de devenir le manager de la société avec une bonne rémunération ?
Nous pouvons vous aider réaliser votre rêve d'avoir un profit sûr, stable et
mensuel en travaillant sur Internet!
Vous demandez pourquoi vous ? Tout est très simple ! Sans doute vous êtes las
des problèmes liés au paiement des factures et du logement, vous voulez que
vos enfants aient la possibilité d'étudier dans les écoles prestigieuse ? Ou
peut-être vous rêvez depuis longtemps d'une nouvelle voiture ?
Rappelez-vous les mots de Pythagore : "Ne vous arrêtez pas sur le résultat
obtenu ! Pour obtenir ce travail rien de plus simple, il vous faut
d'être résident aux Etats-Unis, Canada, UK, France ou Espagne
avoir un ou plusieurs comptes bancaires
un ordinateur connecté a l'Internet
un peu de temps libre
et certainement la volonté de travailler !
Votre travail sera simple et agréable mais l'essentiel - PROFITABLE !
Silverise prendra soin de votre réussite.
Inscrivez-vous gratuitement pour ouvrir de nouvelles possibilités du
travail sur Internet. Ayez une vie meilleur grâce à Silverise Incorp !
c 2005
www.silverisecorp.com Email: [email protected] Copyright Silverise Corp. All rights reserved.
10
Exemples d'attaque par phishing
11
Exemples d'attaque par phishing
12
13
Exemples d'attaque par phishing
Exemple de connexion telnet pour envoyer un mail
Repérer ces attaques :
mauvaise qualité de la traduction
les caractéristiques bancaires sont demandées
telnet alt1.gmail-smtp-in.l.google.com 25
Trying 74.125.39.26...
Connected to alt1.gmail-smtp-in.l.google.com.
Escape character is '^]'.
220 mx.google.com ESMTP r10si14694048bke.34
> 250 ENHANCEDSTATUSCODES
EHLO machine.domaine.org
> 250-mx.google.com at your service, [<adresse IP>]
> 250-SIZE 35882577
> 250-8BITMIME
> 250 ENHANCEDSTATUSCODES
MAIL FROM: <[email protected]>
> 250 2.1.0 OK r10si14694048bke.34
RCPT TO: <[email protected]>
> 250 2.1.5 OK r10si14694048bke.34
DATA
> 354 Go ahead r10si14694048bke.34
From: Toto <[email protected]>
To: Jo <[email protected]>
Subject: Coucou
Bon comportement
ne jamais fournir de renseignements condentiels suite à un
courrier électronique, même apparemment ociel
consulter l'expéditeur annoncé par téléphone (conseiller
nancier)
ne pas appeler les numéros donnés (surtaxés)
ne pas visiter les sites apparaissant dans les courriers
(probablement infestés de virus, spywares, chevaux de Troie)
maintenir son antivirus à jour
Yo !
.
> 250 2.0.0 OK 1319572149 r10si14694048bke.34
QUIT
> 221 2.0.0 closing connection r10si14694048bke.34
14
Suivi d'un mail : entêtes d'un courrier
15
Suivi d'un mail : entêtes d'un courrier
Autre exemple (mail honnête) :
Delivered-To: [email protected]
Received: by 10.42.221.130 with SMTP id ic2cs128762icb;
Tue, 25 Oct 2011 12:49:17 -0700 (PDT)
Received: by 10.204.13.131 with SMTP id c3mr21619559bka.10.1319572149389;
Tue, 25 Oct 2011 12:49:09 -0700 (PDT)
Return-Path: <[email protected]>
Received: from machine.domaine.org (<ici son adresse IP>)
by mx.google.com with ESMTPS id
r10si14694048bke.34.2011.10.25.12.48.28
(version=TLSv1/SSLv3 cipher=OTHER);
Tue, 25 Oct 2011 12:49:09 -0700 (PDT)
Received-SPF: neutral (google.com: <adresse IP> is neither permitted nor
denied by best guess record for domain of [email protected])
client-ip=<adresse IP>;
Authentication-Results: mx.google.com; spf=neutral (google.com: <adresse IP>
is neither permitted nor denied by best guess record for domain of
[email protected]) [email protected]
Date: Tue, 25 Oct 2011 12:49:09 -0700 (PDT)
Message-Id: <[email protected]>
From: Toto <[email protected]>
To: Jo <[email protected]>
Subject: Coucou
Received: from nef2.ens.fr (nef2 [129.199.96.40])
by di.ens.fr (8.13.6/jb-1.1)
id p9KEaC58031287 for <[email protected]>; Thu,
20 Oct 2011 16:36:12 +0200
Return-Path: <[email protected]>
Received: from indom110.indomco.com (indom110.indomco.com [217.174.210.102])
by nef2.ens.fr (8.13.6/1.01.28121999) with ESMTP id p9KEaAbL039188
for <[email protected]>; Thu,
20 Oct 2011 16:36:11 +0200 (CEST)
X-Envelope-To: <[email protected]>
Received: by indom110.indomco.com (Postfix, from userid 33)
id 2E47D8C031; Thu, 20 Oct 2011 16:36:10 +0200 (CEST)
To: [email protected]
Subject: [Claroline - 000000ISEC] Message from your lecturer
X-PHP-Script:
www.eejsi.org/M2/claroline195/claroline/messaging/messagescourse.php for
82.67.193.101
Date: Thu, 20 Oct 2011 16:36:10 +0200
From: =?iso-8859-1?Q?Chevalier_C=E9line?= <[email protected]>
Message-ID: <[email protected]>
Yo !
Lignes Received : adresse IP de chaque serveur ayant relayé le mail
−→ possibilité de traçage d'un mail de son expéditeur à son
destinataire (si conservation des dates de connexion des utilisateurs...)
16
17
Dénition d'un spam
Premier spam ?
Exploitation du fait que les mails puissent être envoyés avec de
fausses adresses d'expéditeur
−→ courriers non ciblés et non sollicités
Dénition précise d'un spam subjective :
Gary Thuerk : employé chez DEC, en 1978
courrier publicitaire à l'ensemble des utilisateurs d'ARPAnet
(quelques centaines de personnes)
Laurence Canter et Martha Siegel : avocates spécialisées dans les
aaires d'immigration, en 1994
publicité de leur service concernant l'obtention de la green card à
6000 groupes de discussion
eet : 25000 demandes de renseignement et plus de 100000 dollars
plusieurs condamnations et Canter radié du barreau en 1997
Constituent des spam les messages adressés sur la base d'une
collecte irrégulière de mèl, soit au moyen de moteurs de recherche
dans les espaces publics de l'Internet, soit que les adresses aient été
cédées sans que les personnes en aient été informées et sans
qu'elles aient été en mesure de s'y opposer ou d'y consentir. Commission informatique et libertés, France
Stanford Wallace : premier auteur de spam à avoir utilisé son
propre accès à Internet, milieu des années 1990
plusieurs condamnations, dont 230 millions de dollars à MySpace
Adresses collectées de manière déloyale ; envoi ne respectant pas
les modalités d'utilisation précisées lors de la collecte ; courrier ne
permettant pas une désinscription sélective ou totale. Syndicat national de la communication directe, France
20
19
Exemples de spam
Exemples de spam
Date: Thu, 7 Jun 2029 00:47:06 +0000
From: Lane George <[email protected]>
Subject: For Contact
Parts/Attachments:
1 OK
37 lines Text (charset: Windows-1252)
2 Shown
~78 lines Text (charset: Windows-1252)
----------------------------------------
Date: Sun, 7 Aug 2011 08:41:02 -0430 (VET)
From: mike bello <[email protected]>
Reply-To: [email protected]
To: [email protected]
Subject: VERY UNGENT REPLy
[ The following text is in the "UTF-8" character set. ]
[ Your display is set for the "ISO-8859-1" character set.
[ Some characters may be displayed incorrectly. ]
Downloadable Software (DS) is a rapidly growing company providing
high quality software. You've come to the right place if you need
professionally implemented programming solutions for all kinds of
usage. Thousands of satisfied customers have already benefited from
our products and solutions. Hundreds are joining this community every
day.
We deliver superior soft and services that empower our partners and
customers to dramatically improve their development, deployment,
integration and management of quality applications worldwide.
]
Hello Dear,
VIEW ALL PRODUCTS
I have trying to get you since for your Cheque Draft.but the manager
of Eko Bank Benin told me that before the check will get to you that
it will expire.So i told him to cash $1.6, Millions dollars
all the necessary arrangement of delivering the $1.6, Millions
dollars in cash was made with FEDEX EXPRESS COURIER COMPANY.
This is the information they need to delivery your package to you.
ATTN: Edward John (Director)
Most popular OEM products:
EMAIL:( [email protected])
Microsoft Windows Vista Business
Retail Price $299.00
Our $79.95
Contact phone number +229_99_375_413
Please, Send them your contacts information to able them locate you
immediately they arrived in your country with your BOX .This is what
they need from you.
1.YOUR FULL NAME............
2.YOUR COUNTRY...........
3.YOUR HOME ADDRESS..............
[...]
Microsoft Office 2007 Enterprise
Retail Price $899.00
Our $79.95
[...]
21
22
Exemples de spam
Diusion des spams
Spam = nuisance
Spam 6= risque en termes de sécurité
Date: Thu, 14 Jul 2011 11:30:57 -0400
From: Mrs Stella Armando <[email protected]>
Reply-To: [email protected]
To:
undisclosed-recipients:;undisclosed-recipients:;undisclosed-recipients:;
ens.fr;
Subject: Re: Bonjour Cher Ami
Risque de sécurité : modes de diusion
Premier mode : relais ouverts
[ The following text is in the "ks_c_5601-1987" character set. ]
[ Your display is set for the "ISO-8859-1" character set. ]
[ Some characters may be displayed incorrectly. ]
Conséquences sur les serveurs utilisés comme relais ouverts :
serveur surchargé par cette tâche d'envoi
disque dur rempli, paralysie du serveur
boîte aux lettres de l'administrateur inondée
menaces de coupure du service par le FAI
risque de placement sur liste noire
Bonjour Ami
Mon nom est Madame Stella Armando de l'Argentine l'épouse de M. Carlos
Armando tard, l'un des conseillers financiers du président Mouammar Kadhafi,
président de l'huile enrichi pays appelé la Libye et le président le plus
riche du monde, S'il vous plaît je vous écris de la Libye. S'il vous plaît
dans les nouvelles que vous pouvez entendre ou voir ce qui se passe sur
l'insurrection dans le pays la Libye sur les citoyens pour éliminer le
président, le président Mouammar Kadhafi.
S'il vous plaît, vous pouvez vérifier dans les nouvelles de l'insurrection
en Libye.
Mon mari était l'un des conseillers financiers du président et en raison du
problème en Libye, il a été tué il ya trois mois, j'ai été dans la
clandestinité ici en raison des problèmes et des tueries qui ont fait de moi
de vous contacter pour aider la Libye me garantir de grosses sommes d'argent
qui se chiffre en millions de dollars américains, dont le président Mouammar
Kadhafi a déposé au nom de mon défunt mari dans une entreprise de sécurité.
[...]
24
23
Éviter la transformation d'un serveur en relais ouvert
Spambots ou botnets
Conguration respectant deux règles :
pour qu'un message soit accepté par le serveur de courrier,
l'adresse de l'expéditeur ou du destinataire doit appartenir au
même domaine que le serveur ;
seuls les systèmes appartenant au même domaine que le
serveur peuvent envoyer du courrier avec un expéditeur faisant
partie du domaine.
Robot : machine compromise obéissant aux ordres d'un maître et
chargée de la diusion du spam
Causes de la compromission de la machine : virus ou failles de
sécurité
Qu'est-ce qu'un robot ?
relais SMTP ouvert à tous
plus élaboré : connexion à un serveur de discussion
25
26
Messageries gratuites en ligne
Lutte contre le spam : ltrage
Limitation des messages envoyés
−→
au niveau du serveur de courrier ou de la machine du destinataire
mots-clef
paramètres de l'entête du courrier (temps de transit...)
critères sur le formatage du message (titre en majuscules...)
ouverture automatique de milliers de nouveaux comptes
Protection : utilisation de captchas
Exemple : Spamassassin, plusieurs centaines de règles
Poids : pour chacune, positif (spam probable) ou négatif (légitime)
Score : somme des poids
Seuil : marquage comme spam et traitement spécique
Existence de faux positifs ou négatifs, apprentissage
27
Exemples de spam (rappel)
28
Exemple d'analyse par Spamassassin
Date: Thu, 14 Jul 2011 11:30:57 -0400
From: Mrs Stella Armando <[email protected]>
Reply-To: [email protected]
To:
undisclosed-recipients:;undisclosed-recipients:;undisclosed-recipients:;
ens.fr;
Subject: Re: Bonjour Cher Ami
[ The following text is in the "ks_c_5601-1987" character set. ]
[ Your display is set for the "ISO-8859-1" character set. ]
[ Some characters may be displayed incorrectly. ]
Bonjour Ami
Mon nom est Madame Stella Armando de l'Argentine l'épouse de M. Carlos
Armando tard, l'un des conseillers financiers du président Mouammar Kadhafi,
président de l'huile enrichi pays appelé la Libye et le président le plus
riche du monde, S'il vous plaît je vous écris de la Libye. S'il vous plaît
dans les nouvelles que vous pouvez entendre ou voir ce qui se passe sur
l'insurrection dans le pays la Libye sur les citoyens pour éliminer le
président, le président Mouammar Kadhafi.
S'il vous plaît, vous pouvez vérifier dans les nouvelles de l'insurrection
en Libye.
Mon mari était l'un des conseillers financiers du président et en raison du
problème en Libye, il a été tué il ya trois mois, j'ai été dans la
clandestinité ici en raison des problèmes et des tueries qui ont fait de moi
de vous contacter pour aider la Libye me garantir de grosses sommes d'argent
qui se chiffre en millions de dollars américains, dont le président Mouammar
Kadhafi a déposé au nom de mon défunt mari dans une entreprise de sécurité.
[...]
29
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on di.ens.fr
X-Spam-Flag: YES
X-Spam-Level: *******************
X-Spam-Status: Yes, score=19.3 required=5.0 tests=FAKE_REPLY_C,
FORGED_MUA_OUTLOOK,FREEMAIL_FROM,FREEMAIL_REPLYTO,
FREEMAIL_REPLYTO_END_DIGIT,
FROM_MISSP_FREEMAIL,FROM_MISSP_MSFT,MSOE_MID_WRONG_CASE,
NSL_RCVD_FROM_USER,
RCVD_IN_PSBL,RCVD_IN_RP_RNBL,T_FROM_MISSPACED,T_HK_NAME_FM_MR_MRS,
T_TO_NO_BRKTS_FREEMAIL autolearn=disabled version=3.3.1
X-Spam-Report:
* 0.3 NSL_RCVD_FROM_USER Received from User
* 0.0 T_FROM_MISSPACED From: missing whitespace
* 0.0 FREEMAIL_FROM Sender email is freemail
*
(mrsstellaarmando[at]rediffmail.com)
* 1.0 FREEMAIL_REPLYTO_END_DIGIT Reply-To freemail username ends in
digit
*
(<mrsamylou2010[at]hotmail.com>
)
* 1.3 RCVD_IN_RP_RNBL RBL: Relay in RNBL,
*
https://senderscore.org/blacklistlookup/
*
[201.64.178.178 listed in bl.score.senderscore.com]
* 2.7 RCVD_IN_PSBL RBL: Received via a relay in PSBL
*
[201.64.178.178 listed in psbl.surriel.com]
* 1.6 FROM_MISSP_MSFT From misspaced + supposed Microsoft tool
* 0.0 T_HK_NAME_FM_MR_MRS T_HK_NAME_FM_MR_MRS
* 3.4 MSOE_MID_WRONG_CASE MSOE_MID_WRONG_CASE
* 0.0 FAKE_REPLY_C FAKE_REPLY_C
* 2.8 FREEMAIL_REPLYTO Reply-To/From or Reply-To/body contain different
*
freemails
* 0.0 T_TO_NO_BRKTS_FREEMAIL T_TO_NO_BRKTS_FREEMAIL
* 3.5 FROM_MISSP_FREEMAIL From misspaced + freemail provider
* 2.8 FORGED_MUA_OUTLOOK Forged mail pretending to be from MS Outlook
30
Lutte contre le spam : signatures de spam
Lutte contre le spam : utilisation de listes noires ou blanches
Un spam est envoyé en masse, pendant plusieurs mois, avec peu de
variations
Liste noire : adresses IP connues pour envoyer du spam
Exemple : Spamhaus Project
Mutualisation des eorts de chacun : bases de signatures gérées sur
des serveurs centralisés
* 3.6 RCVD_IN_PBL RBL: Received via a relay
in Spamhaus PBL
*
[<adresse IP> listed in zen.spamhaus.org]
Vérication des courriers reçus
Mise à jour par collaboration des utilisateurs ou collecte de spam
sur des adresses spéciques
Liste blanche : adresses IP d'expéditeurs de conance
Méthode à utiliser en complément d'autres méthodes
31
Lutte contre le spam : utilisation de listes grises (greylisting)
32
Exemple de greylisting
Idée : bloquer les messages d'un expéditeur qui envoie un courrier
pour la première fois sur le serveur considéré
Transmission d'un mail de [email protected] à
[email protected] (qui pratique le greylisting) :
Plusieurs étapes :
stocker le triplet (adresse IP du serveur SMTP émetteur,
adresse électronique de l'expéditeur, adresse électronique du
destinaire) ;
jeter le courrier ;
à la réémission, comparer les triplets et accepter le cas
échéant ;
accepter tous les messages suivants (même triplet).
Oct 26 22:37:26 mailsystem postfix/qmgr[9444]: 3A9FF53EBF:
from=<[email protected]>, size=2415, nrcpt=1
(queue active)
Oct 26 22:37:27 mailsystem postfix/smtp[8523]: 3A9FF53EBF:
to=<[email protected]>,
relay=mx.domaine.org[IP du serveur]:25,
delay=462, delays=461/0.02/1.3/0.26, dsn=4.7.1,
status=deferred (host mx.domaine.org[IP du serveur] said:
451 4.7.1 Greylisting in action, please come back later
(in reply to RCPT TO command))
Principe : seuls les serveurs honnêtes vont réexpédier le message
Problème : plusieurs serveurs SMTP −→ relâcher les contraintes
sur les triplets
Erreur temporaire : 451 (de la forme 4XX)
(Erreur permanente : de la forme 5XX)
33
34
Exemple de greylisting
Autres solutions : modication du protocole SMTP
Le serveur Postx garde le message et réessaye plus tard.
Première idée : associer un coût symbolique à chaque envoi de
messages (charge de calcul)
Oct 26 22:47:26 mailsystem postfix/qmgr[9444]: 3A9FF53EBF:
from=<[email protected]>, size=2415, nrcpt=1
(queue active)
Oct 26 22:47:27 mailsystem postfix/smtp[8714]: 3A9FF53EBF:
to=<[email protected]>,
relay=mx.domaine.org[IP du serveur]:25, delay=1062,
delays=1061/0/1.2/0.46, dsn=2.0.0, status=sent (250 2.0.0
p9QMlQZY050408 Message accepted for delivery)
Oct 26 22:47:27 mailsystem postfix/qmgr[9444]: 3A9FF53EBF:
removed
Deuxième idée : implémenter un mécanisme pour s'assurer que
l'adresse de l'expéditeur appartienne au domaine du serveur
Inconvénients : techniques rarement adoptées donc impossibilités de
s'y conformer
+ pénalise surtout les botnets et relais ouverts
−→
se tourner vers la répression, nouvelles législations
Le destinataire est prévenu dans les entêtes du mail :
X-Greylist: Delayed for 00:17:41 by milter-greylist-3.1.4
(mx.domaine.org[IP du serveur]);
Thu, 27 Oct 2011 00:47:27 +0200 (CEST)
35
Modèles économiques du spam
Objectif de Canter et Siegel en 1990 : faire connaître leur activité
Modèle plus complexe aujourd'hui. Trois types de bénéciaires :
la collecte et vente d'adresses électroniques (a priori pas illégal)
Exemple : la société Bulk Email Superstore vend 1 million
d'adresses pour 30 euros
l'envoi de spams : location de serveurs ou services
Exemple : quelques centaines d'euros par semaine pour un
réseau de botnets modeste
l'utilisation de spam pour diuser une information : prot
direct (ventes en ligne, publicité, collecte d'adresses,
rétribution au clic...)
37
36