Modifier un mail après envoi, c’est possible

01 juin 2018 à 15h36
0
Peut-être l'ignorez-vous, mais la plupart des services de messagerie permettent de modifier un e-mail que l'on a déjà expédié. Mais si le message est modifié dans la messagerie de l'expéditeur, le destinataire, lui, n'en est aucunement informé. Un chercheur en sécurité est parvenu, en exploitant une faille du format HTML, à modifier un message dans la boîte du destinataire.

Une faille du format HTML

Message imprécis, envoyé trop tôt, sans relecture, sous le coup de l'émotion ... Il vous est sûrement déjà arrivé d'expédier un mail que vous avez aussitôt regretté. Et vous vous êtes alors demandé s'il n'était pas possible de le modifier à distance, directement dans la messagerie du destinataire. Un chercheur en sécurité informatique de la société Mimecast est parvenu à réaliser cet exploit.

Francisco Ribeiro a en effet exploité une particularité de la mise en forme des mails. Pour des questions d'esthétique, ces derniers sont presque toujours envoyés au format HTML qui, à la différence du format texte basique, autorise l'ajout d'image ou un travail sur la police ou la taille des caractères. Ces modifications sont rendues possibles par des feuilles de style, que vous modifiez à votre guise généralement dans un menu déroulant. Ces feuilles de style, ou CSS (cascading style sheets), sont souvent hébergées sur un autre serveur que votre serveur mail.

01F4000008742248-photo-hack-mail.jpg


Les clients webmail épargnés

Et c'est là que réside la vulnérabilité dans laquelle s'est engouffrée Francisco Ribeiro. En modifiant la feuille de style (technique appelée « switch exploit »), il est d'abord parvenu à modifier l'URL d'un lien figurant dans un message déjà expédié. On imagine d'emblée l'usage d'une telle technique : renvoyer depuis une adresse sûre un internaute vers de potentielles arnaques. Plus diabolique encore, l'autre technique baptisée « matrix exploit » : Francisco Ribeiro prend alors le contrôle du texte lui-même, réécrivant partiellement ou dans sa totalité le message déjà arrivé dans la messagerie du destinataire.

Assez simple dans sa mise en oeuvre, ce hack que Francisco Ribeiro a nommé « Ropemaker » (le cordier) rend possible des attaques ciblées susceptibles de passer sous le radar des contrôles de contenus des services de messagerie. L'attaque a parfaitement réussi sur Microsoft Outlook, Apple Mail et Mozilla Thunderbird. Elle a en revanche échoué sur les webmails Gmail, outlook.com et icloud.com.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Algobrix, des Lego pour apprendre à coder comme un grand
IPhone X confirmé, nouveaux AirPods et Apple Watch
Qualcomm trolle Apple : les Android sont toujours en avance
Keynote 2017 : Apple dévoile son iPhone X... mais pas que !
Plus cher ou moins cher que l'iPhone X ?
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
USB Type-C : tout savoir sur la nouvelle norme USB
De Facebook... à Sexebook, réseau social coquin ?
Haut de page