Modifier un mail après envoi, c’est possible

27 août 2017 à 14h59
0
Peut-être l'ignorez-vous, mais la plupart des services de messagerie permettent de modifier un e-mail que l'on a déjà expédié. Mais si le message est modifié dans la messagerie de l'expéditeur, le destinataire, lui, n'en est aucunement informé. Un chercheur en sécurité est parvenu, en exploitant une faille du format HTML, à modifier un message dans la boîte du destinataire.

Une faille du format HTML

Message imprécis, envoyé trop tôt, sans relecture, sous le coup de l'émotion ... Il vous est sûrement déjà arrivé d'expédier un mail que vous avez aussitôt regretté. Et vous vous êtes alors demandé s'il n'était pas possible de le modifier à distance, directement dans la messagerie du destinataire. Un chercheur en sécurité informatique de la société Mimecast est parvenu à réaliser cet exploit.

Francisco Ribeiro a en effet exploité une particularité de la mise en forme des mails. Pour des questions d'esthétique, ces derniers sont presque toujours envoyés au format HTML qui, à la différence du format texte basique, autorise l'ajout d'image ou un travail sur la police ou la taille des caractères. Ces modifications sont rendues possibles par des feuilles de style, que vous modifiez à votre guise généralement dans un menu déroulant. Ces feuilles de style, ou CSS (cascading style sheets), sont souvent hébergées sur un autre serveur que votre serveur mail.

01F4000008742248-photo-hack-mail.jpg


Les clients webmail épargnés

Et c'est là que réside la vulnérabilité dans laquelle s'est engouffrée Francisco Ribeiro. En modifiant la feuille de style (technique appelée « switch exploit »), il est d'abord parvenu à modifier l'URL d'un lien figurant dans un message déjà expédié. On imagine d'emblée l'usage d'une telle technique : renvoyer depuis une adresse sûre un internaute vers de potentielles arnaques. Plus diabolique encore, l'autre technique baptisée « matrix exploit » : Francisco Ribeiro prend alors le contrôle du texte lui-même, réécrivant partiellement ou dans sa totalité le message déjà arrivé dans la messagerie du destinataire.

Assez simple dans sa mise en oeuvre, ce hack que Francisco Ribeiro a nommé « Ropemaker » (le cordier) rend possible des attaques ciblées susceptibles de passer sous le radar des contrôles de contenus des services de messagerie. L'attaque a parfaitement réussi sur Microsoft Outlook, Apple Mail et Mozilla Thunderbird. Elle a en revanche échoué sur les webmails Gmail, outlook.com et icloud.com.

Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

Elite Dangerous Odyssey débarquera le 19 mai sur PC
Le DLSS de NVIDIA débarque dans Call of Duty Warzone et Modern Warfare
Xbox Series X|S : plusieurs jeux EA peuvent désormais tourner à 120fps
La OnePlus Watch répare ses erreurs et prépare l'arrivée de l'écran toujours allumé
Le rover Perseverance a synthétisé de l'oxygène sur Mars
Cyberpunk 2077 s'est écoulé à plus de 13,7 millions d'exemplaires
PlayStation Now : la résolution 1080p en streaming arrive bientôt
La souris gamer Roccat Kone AIMO Remastered en promo chez Boulanger (-31%)
Alien: Isolation et Hand of Fate 2 sont les nouveaux jeux gratuits sur l'Epic Games Store
Bon plan : l'imprimante HP LaserJet Pro M15a en promo à moins de 80€
Haut de page