Sep 182018
 


(image de Blequin obtenu sur google image et posté avec l »aimable autorisation de l’auteur, merci de visiter son profil Facebook et son blog: https://blequin.blog4ever.com/articles)

Un jour de plus encore en vie, et sans avoir reçu d’amende… Youpiiiiiiiiiiiiii!!!!!!!! Il faut parfois se satisfaire de petits plaisirs simples.

Aujourd’hui grosse journée de boulot. Je suis parti de chez moi vers 8h40. En moto, ça prend au grand maximum 15 minutes pour arriver au bureau. Du coup je suis arrivé vers 9h, le temps de me déharnacher et me changer. A part la pause déjeuner d’une heure à midi (il fallait ça), j’ai trimé comme un damné jusque 21h. Interconnexion, norme HL7 V2.4, V2.5, V2.6… je commence, donc la pression vient vite, car il faut des réponses, des résultats…

En rentrant j’ai eu le plaisir de recevoir un mail qui m’a fait mourir de rire…

Envoyé de ma propre adresse email, le contenu était le suivant:

Sujet: Alerte de sécurité!


Bonjour!

Comme vous pouvez l’imaginer, votre compte jack@shinryu.fr a été piraté, depuis que j’ai écrit ce message de sa part. 🙁

Je représente un groupe international de pirates informatiques bien connu.
Du 23.07.2018 au 15.09.2018, vous avez été infecté par un virus que nous avons créé via le site Web pour adultes que vous avez visité.
Pour le moment, nous avons accès à tous vos correspondance, réseaux sociaux et services de messagerie.
De plus, nous avons des décharges complètes de ces informations.

Nous sommes conscients de vos « petits et grands secrets », oui, oui… Vous avez toute une vie secrète.
Nous avons vu et enregistré comment vous vous êtes amusé sur des sites Web pour adultes. Dieu, quel goût et quelle souffrance avez-vous … 🙂

Mais la chose la plus intéressante est que nous vous avons inclus régulièrement sur la webcam de votre appareil. La webcam a été synchronisée avec ce que vous venez de voir!
Je pense que vous ne voulez pas que vos amis et votre famille voient tous vos secrets et, bien sûr, la personne la plus proche de vous.

Transférez $300 vers notre monnaie crypto Bitcoin Wallet: 16acVRG2RdMDSmdVuve1N1bYBFu8Rr3iii
Je vous garantis que nous effacerons alors tous vos secrets!

A partir du moment où cette lettre est lue, la minuterie fonctionne!
Vous avez 48 heures pour payer le montant susmentionné.

Une fois que l’argent est dans notre compte, vos données seront immédiatement détruites!
Si l’argent n’arrive pas, toute votre correspondance et vidéo que nous recevons seront automatiquement envoyées à tous les contacts disponibles sur votre appareil au moment de l’infection!

Malheureusement, vous devez penser à votre sécurité!
Nous espérons que cette histoire vous apprendra à garder vos secrets corrects!
Prenez soin de vous!

Méééééééééééé bien sûûûûûûûûr… prenez moi pour un jambon, pour un lapin de six semaines…

Franchement faut être franchement pas très très vif pour se faire prendre à ce type de connerie.

Un pirate informatique, trop sympa, qui fini par vous mettre en garde et pour pousser à « penser à votre sécurité » et qui vous souhaite de « prendre soin de vous ».

Et je ne parle pas de toutes les fautes, et google translation d’une langue d’Europe de l’est ou d’Afrique vers le français.

Et surtout imaginer que dès l’ouverture du mail, un compteur va se lancer… Quid si j’ai ouvert le mail sur un système Unix n’exécutant aucun script? Quid si j’ai ouvert le mail dans un webmail? Ou sur un smartphone dans une application qui ne fait qu’ouvrir un SMTP?

Bon, quand on reçoit ce genre d’email, surtout ne pas paniquer… demander à quelqu’un qui s’y connait VRAIMENT en informatique (et pas le petit cousin qui joue à Minecraft et donc doit s’y connaitre).

Alors comment voit-on que c’est un fake et qu’il n’y a pas de menace?

Outre ce que j’ai dit plus haut, les fautes, le fait que le pirate est trop trop sympa (j’adore le « prenez soin de vous », ça me fait penser à « merci de rester con, et croire ce mail et nous envoyer du pognon »)…  Il y a plusieurs choses…

Bon si vous n’avez jamais lu mon site et que vous n’avez pas suivi mes conseils:

Du coup il se pourrait qu’en effet un virus vous ait infecté.

Si comme moi vous n’avez pas de webcam, bon, la menace annonce qu’à l’insu de votre plein gré, on vous a filmé… (comme filmer quelqu’un sans webcam… je vous le demande)?

Mais si vous avez une webcam, effectivement il est possible de l’enclencher à distance grâce à un virus et de voir ce que vous faites.

Du coup, si vous êtes un n00b d’internet, un n00b de l’informatique, que vous ne vous posez pas de question, que votre ordinateur est une porte ouverte vers votre compte en banque, que votre ordinateur est devenu un ranch tellement il y a de Trojan, et quand on ouvre le dictionnaire à « virus informatique », on trouve votre nom… que pour vous adware, malware sont des mots que vous lisez pour la première fois maintenant… alors oui, il est possible de vous niquer, de vous faire chanter et vous piquer plein de pognon via internet et très facilement.  A ce niveau, votre seule solution, c’est d’éteindre votre ordinateur, le remettre dans son emballage d’origine et le ramener au vendeur. Et s’il vous demande pourquoi, vous lui direz que vous n’êtes pas assez éduqué en matière d’informatique pour détenir un ordinateur.

Sinon voici ce qu’il faut faire… si vous lisez vos mails sur une tablette ou un smartphone, à moins d’avoir une application spéciale, alors vous êtes niqués…

Sinon, avec Thunderbord, Outlook, etc… ou avec un webmail, il vous suffit d’aller dans les détails du mail, et notamment les détails du Header.

Voilà ce que vous voyez, si vous avez un fournisseur d’adresse mail sérieux (si vous n’avez pas de filtre spam, fuyez… et changez de fournisseur):


return-path: <jack@shinryu.fr>

received: from xxxx.infomaniak.ch (xxxxxxx.infomaniak.ch [00.000.000.00]) by xxxxx.infomaniak.ch (x/y) with ESMTP id xxxxxxxxx for <jack@shinryu.fr>; Tue, 18 Sep 2018 16:41:05 +0200
received: from customer-QRO-132-194.megared.net.mx (customer-QRO-132-194.megared.net.mx [189.194.132.194] (may be forged)) by xxxxx.infomaniak.ch (x/y) with ESMTP id xxxxxxxxxx for <jack@shinryu.fr>; Tue, 18 Sep 2018 16:41:05 +0200
message-id: <FAE5D218ABC81AD01234567894F1F2@P0u3tP0u3t>
from: <jack@shinryu.fr>
to: <jack@shinryu.fr>
subject: =?utf-8?B?QWxlcnRlIGRlIHPDqWN1cml0w6kh?=
date: 18 Sep 2018 03:23:52 -0600
mime-version: 1.0
content-type: multipart/alternative; boundary= »—-=_NextPart_000_0044_01D44F33.041758FF »
x-priority: 3
x-msmail-priority: Normal
x-mailer: Microsoft Outlook Express 6.00.2900.5931
x-mimeole: Produced By Microsoft MimeOLE V6.00.2900.5931
x-greylist: IP, sender and recipient auto-whitelisted, not delayed by milter-greylist-4.2.7 (wwwwww.infomaniak.ch [00.000.000.00]); Tue, 18 Sep 2018 16:41:05 +0200 (CEST)
x-antivirus: Dr.Web (R) for Unix mail servers drweb plugin ver.6.0.2.8
x-antivirus-code: 0x100000
x-infomaniak-spam: spam
x-spam-score: 300
x-spam-detail: bla bla bla bla

Alors qu’est-ce qu’on peut y lire? Tout en fait!

Dans un premier temps le pirate prétend avoir envoyé le mail de mon adresse email… or… ben non…  c’est envoyé de received: from customer-QRO-132-194.megared.net.mx

Et megared.net, je vous laisse chercher sur internet, c’est du spam.
En plus mon provider identifie clairement cet email comme du spam!


x-infomaniak-spam: spam

x-spam-score: 300
x-spam-detail: bla bla bla bla

Donc en gros il est très simple d’envoyer un mail avec un sender autre que l’adresse email qui l’envoie, mais il n’est pas possible de le cacher. Je me rappelle il y a une vingtaine d’années en arrière, je m’amusais avec un smtp et en java à faire une boucle sur une génération aléatoire de nom/prénom et d’adresse email  et envoyer des mails à une seule personne… A l’époque les providers n’étaient pas sécurisés, et quand quelqu’un reçoit en quelques secondes plusieurs milliers d’email, c’est assez rigolo (sauf pour celui qui les reçoit).

Si un mail avait été envoyé de mon adresse email piratée, voici ce que j’aurais reçu:


return-path: <jack@shinryu.fr>

received: from xxxxx.infomaniak.ch (xxxxx.infomaniak.ch [00.000.000.00]) by xxxxxxx.infomaniak.ch (x/y) with ESMTP id xxxxxxxx for <jack@shinryu.fr>; Tue, 18 Sep 2018 22:00:15 +0200
received: from smtp-sh.infomaniak.ch (smtp-sh.infomaniak.ch [000.00.000.0]) by xxxxxxxx.infomaniak.ch (x/y) with ESMTP id xxxxxxxxx (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=OK) for <jack@shinryu.fr>; Tue, 18 Sep 2018 22:00:15 +0200
received: from smtp.infomaniak.ch (smtp.infomaniak.ch [00.000.000.00]) by smtp-sh.infomaniak.ch (x/8.y) with ESMTP id xxxxxxxx (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-GCM-SHA384 bits=256 verify=OK) for <jack@shinryu.fr>; Tue, 18 Sep 2018 22:00:14 +0200
received: from [000.000.0.00] (xxxxxxx.fbx.proxad.net [00.000.00.000]) (authenticated bits=0) by smtp.infomaniak.ch (x/y) with ESMTP id xxxxxxxxxxxx (version=TLSv1/SSLv3 cipher=DHE-RSA-AES128-GCM-SHA256 bits=128 verify=NO) for <jack@shinryu.fr>; Tue, 18 Sep 2018 22:00:14 +0200
date: Tue, 18 Sep 2018 22:00:11 +0200
subject: Test
message-id: <blablabla@pouetpouet.com>
importance: normal
from: Jack <jack@shinryu.fr>
to: Jack <jack@shinryu.fr>
mime-version: 1.0
content-type: multipart/alternative; boundary= »–_com.android.email_791216116637990″
x-antivirus: Dr.Web (R) for Unix mail servers drweb plugin ver.6.0.2.8
x-antivirus-code: 0x100000
x-greylist: Sender succeeded STARTTLS authentication, not delayed by milter-greylist-4.2.7 (xxxxxx.infomaniak.ch [00.000.000.00]); Tue, 18 Sep 2018 22:00:15 +0200 (CEST)
x-infomaniak-spam: ham
x-spam-score: 15
x-spam-detail: blablabla

Si j’avais reçu cette entête, alors oui je me serais fait du mouron…

Mais ce n’est pas le cas… on voir clairement que ce dernier mail est envoyé de mon SMTP et n’est pas détecté comme spam.
On voit qu’il y a bien une authentification avec cryptage (SSL ou TLS). Si vous vous envoyez un mail à vous même et que vous n’avez pas de détection des spams et pas de cryptage SSL ou TLS… fuyez… et changez de provider… sinon ne vous étonnez pas si vous vous faites vider votre compte ou vos informations personnelles.

Donc cryptaque SSL ou TLS, détection des spams… ce sont des protections MINIMALES contre le piratage…

Essayez pour voir… Envoyez vous un mail à vous même et décortiquez le contenu du header pour voir si votre provider est sécurisé et comment il est sécurisé, et ce qu’il vous envoie comme information dans le Header…

Mais ce n’est pas tout… me concernant j’ai également

  1. un mot de passe de plus de 8 caractères comptant minuscules, majuscules, chiffres et caractères non alpha-numérique (#, @, $, %, £, /,  \, et ponctuation, etc.)
  2. une double authentification, une fois le mot de passe rentré, je reçois un sms avec un code pour valider
  3. un système d’alerte, si ce n’est pas mon système qui se connecte
  4. la non utilisation de Internet Explorer pour aller sur internet
  5. le changement de mon mot de passe pour le rendre plus long et plus compliqué régulièrement

Rien que cela me permet d’avoir une certaine sécurité, et certitude que ce mail, est clairement une arnaque destinée aux gens qui utilisent l’informatique et internet mais n’y connaissent rien et cliquent n’importe où sans rien y comprendre.

La question est… comment un pirate a pu se procurer mon adresse mail?

Deux sources possibles:

  • Mon site internet: mon mail est visible et en dur dans certaines pages internet, il suffit d’un robot pour sniffer le site. Ca n’est pas un problème, je me protège du mieux que les outils en ma possession me permettent de le faire contre le piratage (et j’utilise des providers, hébergeurs sérieux et sécurisés)… Mais je ne suis pas à l’abris d’un trou de sécurité…
  • Les sites d’achats en ligne (qui ont des partenaires à qui ils refilent leurs infos), d’inscription à des organismes d’état (impôts, paiement en ligne des amendes, services civiques, etc.), inscription à des mailing-list, etc… et pour tous ces sites (surtout les gouvernementaux) qui manquent de protection (attaques DoS, etc.) il arrive qu’ils soient piratés et donc que les informations de connexion soient volées (ça a été le cas pour LinkedIn, Viadeo, Twitter…). Ayant des profils pro pour ces trois adresses, il est possible qu’un pirate ait récupéré.
  • Les sites publicitaires, promotionnels, ou partenaire des sites d’achats en ligne, qui demandent des inscriptions et revendent leurs bases de données d’inscrits à l’importe qui.

Dans tous les cas, il y a toujours, même en se protégeant, une infime possibilité d’être piraté. Mais elle existe.

Et pour pouvoir le détecter, il faut s’y connaître un peu…

Et oui pour utiliser internet en toute sécurité… il faut connaitre un peu l’informatique.

Après tout l’informatique, un ordinateur, internet, c’est un outils comme un autre. Et quand on utilise un outils sans savoir comment s’en servir, on se fait mal, on se blesse ou on casse l’outils. L’informatique c’est pareil.

Donc soit vous vous mettez à la page, vous vous formez, et vous acquérez un minimum de connaissances, soit vous vous exposez à n’importe qui, n’importe où et n’importe quand…

Texte caché Afficher

Donc dans le doute, abstenez-vous et demandez conseils…

  2 Responses to “3615 My Life – 18 septembre 2018”

Comments (2)
  1. On peut aussi regarder sur https://haveibeenpwned.com/ pour voir si son e-mail adresse à fuité et est trouvable sur des listes vendues au spamer.

    • Merci pour l’info… j’avais trouvé ça en faisant des recherches sur megared.net, et effectivement j’avais été notifié par LinkedIn du vol de leur base de données, ce qui m’a fait changé le mot de passe… ^^

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(requis)

(requis)

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.