Modifier un mail après envoi, c’est possible

Alexandre PAULSON
27 août 2017 à 14h59
0
Peut-être l'ignorez-vous, mais la plupart des services de messagerie permettent de modifier un e-mail que l'on a déjà expédié. Mais si le message est modifié dans la messagerie de l'expéditeur, le destinataire, lui, n'en est aucunement informé. Un chercheur en sécurité est parvenu, en exploitant une faille du format HTML, à modifier un message dans la boîte du destinataire.

Une faille du format HTML

Message imprécis, envoyé trop tôt, sans relecture, sous le coup de l'émotion ... Il vous est sûrement déjà arrivé d'expédier un mail que vous avez aussitôt regretté. Et vous vous êtes alors demandé s'il n'était pas possible de le modifier à distance, directement dans la messagerie du destinataire. Un chercheur en sécurité informatique de la société Mimecast est parvenu à réaliser cet exploit.

Francisco Ribeiro a en effet exploité une particularité de la mise en forme des mails. Pour des questions d'esthétique, ces derniers sont presque toujours envoyés au format HTML qui, à la différence du format texte basique, autorise l'ajout d'image ou un travail sur la police ou la taille des caractères. Ces modifications sont rendues possibles par des feuilles de style, que vous modifiez à votre guise généralement dans un menu déroulant. Ces feuilles de style, ou CSS (cascading style sheets), sont souvent hébergées sur un autre serveur que votre serveur mail.

01F4000008742248-photo-hack-mail.jpg


Les clients webmail épargnés

Et c'est là que réside la vulnérabilité dans laquelle s'est engouffrée Francisco Ribeiro. En modifiant la feuille de style (technique appelée « switch exploit »), il est d'abord parvenu à modifier l'URL d'un lien figurant dans un message déjà expédié. On imagine d'emblée l'usage d'une telle technique : renvoyer depuis une adresse sûre un internaute vers de potentielles arnaques. Plus diabolique encore, l'autre technique baptisée « matrix exploit » : Francisco Ribeiro prend alors le contrôle du texte lui-même, réécrivant partiellement ou dans sa totalité le message déjà arrivé dans la messagerie du destinataire.

Assez simple dans sa mise en oeuvre, ce hack que Francisco Ribeiro a nommé « Ropemaker » (le cordier) rend possible des attaques ciblées susceptibles de passer sous le radar des contrôles de contenus des services de messagerie. L'attaque a parfaitement réussi sur Microsoft Outlook, Apple Mail et Mozilla Thunderbird. Elle a en revanche échoué sur les webmails Gmail, outlook.com et icloud.com.

Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

StopCovid : voici à quoi ressemble l'application, captures d'écran à l'appui
Twitter signale le billet de Trump menaçant de tirer sur les émeutiers
Premier vol habité de Crew Dragon : un décollage historique réussi, à revoir en replay !
Windows 10 mise à jour de mai 2020 : demandez la liste des bug déjà connus !
Voiture électrique : un nouveau barème pour le bonus écologique et la prime à la conversion
Trump signe un décret sur les réseaux sociaux, mais que contient-il ?
StopCovid : l'Assemblée nationale adopte officiellement l'application, qui sera disponible dès ce week-end
Porsche va devoir limiter les ventes de la Taycan pour réussir à contenter les clients
Un supercalculateur a simulé l'impact qui aurait fait disparaître les dinosaures
5G : le Royaume-Uni veut une alliance de 10 pays pour contrer les équipementiers chinois comme Huawei
scroll top