Dans un contexte de société où les échanges virtuels sont de plus en plus prédominants, les méthodes d’usurpation d’identité ont évolué en parallèle avec les moyens de communication.
Cependant, nous assumons trop facilement que ces échanges sont sécurisés et ne peuvent être frauduleux ou altérés.
Une méthode frauduleuse très répandue (également commune à l’ère du papier) est de produire de faux documents, tels que des lettres officielles, des factures, des communications à l’intérieur d’une entreprise, etc. Le but est de convaincre le récipiendaire d’effectuer une ou des actions aux bénéfices du contrevenant, dans le but de frauder, par exemple.
À l’ère virtuelle, ce type d’arnaque s’applique particulièrement bien aux courriels, (« spoofing ») que ce soit pour l’usurpation d’identité, l’envoi de virus, etc. Cet article couvrira une des approches utilisées par certains « hackers », soit la personnification d’un utilisateur dans le contexte d’un courriel d’entreprise.
Principes de base
Par défaut, le protocole SMTP n’a pas de mécanisme d’authentification. Il est donc possible d’usurper une identité.
L’identité du destinateur « FROM » est notée à deux endroits. Le premier est «l’envelope header » ou « MAIL FROM », l’équivalent du devant d’une enveloppe, qui sert à livrer le courriel. Le deuxième endroit est dans le « normal header », qui fait partie du « DATA » ou, plus simplement, du message courriel lui-même. Voici un exemple de trace SMTP contenant les deux « FROM »:
S: 220 smtp.example.com ESMTP Postfix
C: HELO relay.example.org
S: 250 Hello relay.example.org, Je suis content de vous rencontrer.
C: MAIL FROM:<bob@example.org>
S: 250 Ok
C: RCPT TO:<alice@example.com>
S: 250 Ok
C: DATA
S: 354 End data with <CR><LF>.<CR><LF>
C: From: "Bob Example" <bob@example.org>
C: To: Alice Example <alice@example.com>
C: Date: Tue, 15 March 2017 12:01:52 -0500
C: Subject: Message de test
C:
C: Bonjour Alice.
C: Ceci est un message de test
C: Ton ami,
C: Bob
C: .
S: 250 Ok: queued as 12345
C: QUIT
S: 221 Bye
{The server closes the connection}
Le deuxième «FROM», celui du «DATA», est beaucoup moins important pour le protocole SMTP et plusieurs clients (ordinateur/logiciel d’envoi) n’en tiennent pas vraiment compte pour l’acheminement et la vérification de l’identité du destinataire. C’est aussi ce « FROM » faisant parti du « DATA » qui peut être aisément changé ou « spoofed » par l’identité de quelqu’un d’autre ou tout simplement par une fausse identité.
Lorsque le récipiendaire reçoit le courriel, l’adresse d’envoi indiquée par son client de courriel est habituellement celle du « normal header » qui peut s’avérer être fausse.
La semaine prochaine, nous verrons quelques exemples de mesures de sécurité destinées à protéger les courriels contre le spoofing.
David-Alexandre Alarie, CEH, CSX
Jonathan Roy, MCP, GWAPT
