Le silence des hargneux

Cette communication (y compris les pieces jointes) est reservee a l’usage exclusif du destinataire (des destinataires) et peut contenir des informations privilegiees, confidentielles, exemptees de divulgation selon la loi ou protegees par les droits d’auteur. Si vous n’etes pas un destinataire, toute utilisation, divulgation, distribution, reproduction, examen ou copie (totale ou partielle) est non-autorisee et peut etre illegale. Tout message electronique est susceptible d’alteration et son integrite ne peut etre assuree. [Société Y] decline toute responsabilite au titre de ce message s’il a ete modifie ou falsifie. Si vous n’etes pas destinataire de ce message, merci de le detruire immediatement et d’avertir l’expediteur de l’erreur de distribution et de la destruction du message. Merci.

This transmission (including any attachments) is intended solely for the use of the addressee(s) and may contain confidential information including trade secrets which are privileged, confidential, exempt from disclosure under applicable law and/or subject to copyright. If you are not an intended recipient, any use, disclosure, distribution, reproduction, review or copying (either whole or partial) is unauthorized and may be unlawful. E-mails are susceptible to alteration and their integrity cannot be guaranteed. [Société Y] shall not be liable for this e-mail if modified or falsified. If you are not the intended recipient of this e-mail, please delete it immediately from your system and notify the sender of the wrong delivery and the mail deletion. Thank you.

Qui de nos jours prête attention à ce type de phrase ajoutée en fin d’email?

Et pourtant, ce qui est arrivé à ce chef d’entreprise pourrait tout aussi bien vous arriver à vous tous:

Mr Bowman commence tous les matins son travail par la lecture de ses emails. Il reçoit un coup de téléphone d’un de ses salariés, Mr Poole, qui demande un entretien d’urgence avec lui. Lorsque Mr Poole entre dans le bureau de son PDG, il est passablement énervé. Une discussion ombrageuse commence entre les deux hommes où il est question entre autres choses de manques de considération, de duperies, de démission et de prudhommes.

Mr Poole exhibe une feuille de papier sur laquelle est imprimé un email qui lui est adressé et envoyé par Mr Bowman (adresse email, entêtes, signature, etc). Dans cet email, le PDG informe son salarié qu’il est incompétent, que le dossier HAL9000 aurait du être traité d’une façon plus énergique et qu’il envisage de le changer de bureau en direction du sous-sol…

Mr Bowman affirme alors n’avoir jamais envoyé un tel email.

Les deux hommes étudient attentivement le message: il semble authentique. Mr Bowman regarde sur son ordinateur, dans sa liste d’emails envoyés: rien. Mr Bowman comprend aussi qu’il fait face à un problème de sécurité: qui a pu pirater son compte et écrire un tel email en se faisant passer pour lui? Il décide d’appeler une personne étrangère à l’entreprise: un expert judiciaire en informatique.

C’est là que j’entre en scène (tadam).

A peine contacté par téléphone, je me fais expliquer la situation, telle que perçue par les deux hommes. Rendez-vous est pris pour le soir même. Je demande simplement que Mr Bowman, Mr Poole et le responsable informatique de l’entreprise soient présents.

Une fois sur place (après le travail, je suis moi-même un salarié dévoué), je propose à Mr Bowman de changer de mot de passe avec l’aide de son informaticien, et demande à l’informaticien de me présenter le fonctionnement du système d’information de l’entreprise et en particulier la journalisation.

J’ai ensuite étudié avec attention les entêtes contenues dans le message incriminé, pour me rendre compte que l’email avait été écrit en dehors de l’entreprise. Les traces de la livraison de l’email sur le serveur de messagerie de l’entreprise nous ont permis de compléter et recouper l’ensemble des données pour confirmer un envoi effectué à partir d’une adresse internet externe. L’analyse des journaux de la passerelle d’accès à internet (propre à l’entreprise) a permis de montrer que cette adresse externe n’a pas été utilisée depuis un poste de l’entreprise.

Après les investigations vient le temps des explications et de la pédagogie (et de la diplomatie). Il m’a fallu expliquer à Mr Bowman qu’il est extrêmement simple pour un « script kiddie » d’envoyer un email sous une fausse identité, en général pour vendre des pilules bleus, mais parfois pour envoyer un fake.

Tout le monde prend alors conscience en silence des habitudes prises de lire et prendre pour argent comptant les différents emails reçus chaque jour.

En attendant un système plus fiable, universel et authentifié.

Et alors démarrera le vrai temps de Big Brother…

24 réflexions sur « Le silence des hargneux »

  1. Oui mais y avait-il eu piratage des serveurs de messagerie ou bien seulement changement du nom de l’émetteur et de l’adresse de retour (ce qui est à la portée de n’importe quel crétin) ?

  2. Et, accessoirement, une procédure judiciaire a-t-elle été lancée ? Outre l’usurpation d’identité, il y a eu visiblement volonté de nuire et de déstabiliser soit l’entreprise soit Mr Poole.

  3. La solution, simple et connue, est simplement de signer numériquement les e-mails.
    Hélas, en particulier à cause du manque de solutions ergonomiques et efficaces (gpg et enigmail ou outlook et pgp ne sont pas franchement satisfaisants),, du manque d’information, on continue d’utiliser un système périlleux…

  4. @Bertrand Lemaire: Il n’y a pas eu piratage de serveurs, mais bien modification des entêtes. La personne indélicate a été découverte car l’adresse IP externe (fixe) était celle de son FAI et a été retrouvé dans les logs du serveur web de l’entreprise sur lequel il s’authentifiait pour accéder à son extranet, ce qui m’a permis de briller lors de la remise de mon rapport d’expertise privée. Je n’ai pas connaissance des suites données, mais je sais que l’indélicat a eu droit à un remontage de bretelles en règle… sans licenciement.

    @Bruce: +1

    @Pfelelep: Merci 🙂

  5. HA ben ça alors !
    Ce matin j'ai reçu un mail d'un certain monsieur ZYTHOM sur gmail me donnant procuration sur l'ensemble de ses comptes bancaires & postaux, en france & à l'étranger…
    😉
    S@m

  6. Il est pourtant si simple de s’assurer d’une communication authentique (signature numérique) et sécurisée (chiffrage numérique). Mais voilà, il faudrait que le luser se transforme en clever-user: lire le manuel de leur client mail.

    C’est pas comme si c’était à la portée de tout le monde…

    Idem pour l’authentification: tous les navigateurs modernes peuvent gérer la création et l’utilisation d’un fuseau de certificats privés, qui seraient parfait pour une authentification certaine. Et qui l’utilise? Juste les impôts français! Pour une fois qu’ils sont dans le coup technologiquement (ils remercieront Accenture [rare que je dise du bien de la concurrence, prenez en note], ils sont trop en avance sur l’utilisateur moyen.

    Comme dirais Lionel: Pays de m****!

  7. Mais pourtant, le courrier électronique a la même valeur qu’un courrier classique…

    N’importe qui peut de toute façon poster un faux (qui est puni par la loi)… Bref comme l’a dit le propriétaire des lieux dans sa réponse au ministère, internet est le monde réel…

    Les solutions de signature numérique sont alors le recommandé du net…

    Je vais tenter de m’y essayer tiens.

  8. Il y aurai un moyen simple : toujours signer le document avec envois systématique de la clef publique. L’idée est que le destinataire sache que la suite de mail qu’il reçoit vient de la même personne. Même pas besoin de relier une clef à une personne ou de gérer « proprement » un trousseau de clef (ce qui est pénible).

  9. Très bon et édifiant texte et très bon exemple des certitudes ordinaires sur lesquelles nous basons notre quotidien !

    J’ai un doute cependant : y-a-t-il un jeu de mots technique dans le titre, ou manque-t-il un « h » à « hargneux » ?

  10. @Simon: aucun jeu de mots. Simplement une poutre dans les yeux de mes correcteurs favoris (et une paille dans les miens bien sur). Merci pour la correction.

  11. En lisant votre histoire j’ai une petite question technique qui me turlupine…

    J’entretiens de très bonnes relations avec mes voisins, du coup comme ils n’ont pas de ligne fixe je leur permets de se connecter depuis leur pc chez eux sur ma borne wifi pour aller sur internet. Imaginons que l’un d’eux s’amuse à envoyer des mails douteux, quelle adresse IP sera mentionnée dans le mail : celle de mon ordi, celle de ma borne wifi ou celle de leur pc ?…

  12. @Poilauxpattes: Ce qui est certain, c’est que les enquêteurs remonteront rapidement jusqu’à votre boitier d’accès internet grâce à l’adresse IP donnée par votre FAI lors de votre connexion. Ensuite, tout dépend de la configuration de votre réseau local, de votre capacité à fournir des journaux de connexion permettant de prouver que ce sont vos voisins qui ont commis un acte indélicat. Après, tout dépend de votre avocat…

  13. @Zythom
    Merci pour ces précisions pas vraiment propices à entretenir de bonnes relations avec mes voisins. Je crois que je vais changer le mot de passe de connexion et annoncer que ma l…-box est (encore) en panne ! (d’autant plus que leur petit dernier commence à avoir le regard cynique du hacker en culotte courte).

    Ceci dit, d’une oreille négligemment flâneuse dans la boutique de mon fournisseur de matériel informatique, j’ai surpris (à l’insu de mon plein gré) une discussion dans laquelle un informaticien se vantait de toujours trouver un réseau wifi d’entreprise, où qu’il soit, pour se connecter et interroger sa messagerie (en utilisant notamment un prog snifer).
    Il prétendait consulter souvent sa BàL en buvant un café sur la place de la mairie !

    Rassurez-moi, c’est plus un vantard qu’un informaticien ?

  14. @Pilauxpattes : non, ce que déclare cet informaticien est tout à fait possible.

    C’est donc tout autant un vantard qu’un informaticien ; cependant, s’il utilise un programme pour découvrir un réseau, déduire la clé qui le protège et s’y introduire intrusivement, c’est également un délit.

    On peut faire des choses illégales, s’en vanter de surcroît n’est pas très malin, d’autant que par son métier, il ne peut pas plaider l’ignorance : son activité informatique le conduit à savoir que ce qu’il fait est interdit.

  15. @Poilauxpattes et Simon: Tout dépend de la manière de procéder. Si vous pénétrer un réseau par effraction (piratage de réseau), vous êtes en faute. Si vous allumez votre ordinateur Wifi et que la carte capte un réseau librement accessible, vous pouvez surfer normalement et aller lire vos emails (exemple dans les parcs de la Ville de Paris). Évidemment, si vous profitez d’un accès libre (ou mal configuré) pour des activités illégales, vous êtes en faute.

  16. @zythom : c’est pour cela que j’ai bien précisé « déduire la clé qui le protège et s’y introduire intrusivement » 🙂

  17. et pour l’utilisateur moyen que je suis, équipé d’une l…box standard, quelqu’un d’extérieur a-t-il la possibilité de squatter ma connexion internet à mon insu ?

  18. @Poilauxpattes: il y a tellement de moyens que cela donne le tournis… Virus, cheval de troie, crackage de la clef WPA, exploitation de failles, ingénierie sociale, j’en passe et des meilleures 🙂

  19. Gloups ! pas rassurant tout ça.

    …et quelqu’un a-t-il eu l’idée de développer un petit logiciel tout simple qui vous affiche qui est en train d’utiliser votre réseau ?

  20. Tu peux le voir sur ta box, il y a généralement une page dans l’interface d’admin qui liste les connexions wifi actives (et selon les box, parfois une trace de toutes celles qui ont eu lieu), identifiées par l’adresse MAC de la carte.

    Evidemment, en cas de spoof MAC, tu ne le verra pas.

  21. @Poilauxpattes: Euh, simple, je ne sais pas, mais efficace oui: Wireshark. Bon courage, et bienvenu dans le monde des réseaux et des pirates 🙂

  22. @poilauxpattes le plus simple est d’avoir un soft qui demande bien gentiment quelques infos à votre point d’accès: baux dhcp en cours (association IP locale avec adresse MAC des interfaces réseaux associées), log des SYN/ACK du firewall, liste des ports en écoute et le fin du fin: liste des IP cible contre liste des IP sources, avec un petit reverse dns systématique pour comprendre ce qu’il en est.
    Et au final: TOUJOURS gardé au moins 6 mois de log de tous ses serveurs.
    NB: je ne suis pas sysadmin, je ne suis qu’un hacker (à ne pas confondre avec cracker, confusion entretenue par des médias sans cervelle…)

  23. « La personne indélicate a été découverte car l’adresse IP externe (fixe) était celle de son FAI et a été retrouvé dans les logs du serveur web de l’entreprise sur lequel il s’authentifiait »

    Un élève d’une célèbre grande école parisienne avait ainsi envoyé des courriels très déplaisants (menaces antisémites) à un autre, le tout bien sûr via des adresses mail externes.

    Il avait, malheureusement pour lui, tout simplement utilisé sa ligne haut débit personnelle, de laquelle il s’était encore récemment loggué (webmail, si je me rappelle bien).

    La morale de ces histoires est que la volonté de nuire fait rarement bon ménage avec l’adresse informatique, et même un minimum de bon sens.

Les commentaires sont fermés.