Qui s'y connait en spam ?

[La Luciole]

Bonsoir,
je reçois de temps en temps des spams (pour des célèbres pilules bleues) où je suis à la fois le destinataire et l'expéditeur de l'envoi !?!
Malgré que ces spams soient détectés par Thunderbird, j'aimerais en savoir un peu plus.
Comment cela est-ce possible ?

Voici le code source du début du message

From - Mon Oct 8 21:02:32 2007
X-Account-Key: account2
X-UIDL: 1191869794.4262_1.imap7-g25.priv.proxad.net
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <UneAdresseQueJeNeConnaisPas@wanadoo.fr>
Delivered-To: online.fr-MonAdresse@online.fr
Received: (qmail 7979 invoked from network); 8 Oct 2007 16:05:58 -0000
Received: from 89.208.120.4 (HELO NAT4-to-border-1.psk-net.ru) (89.208.120.4)
by mrelay3-1.free.fr with SMTP; 8 Oct 2007 16:05:58 -0000
Content-Return: allowed
X-Mailer: CME-V6.5.4.3; MSN
Return-Path: UneAdresseQueJeNeConnaisPas@cimail15.msn.com
Received: (qmail 3192 by uid 390); Mon, 8 Oct 2007 08:05:58 +0300
Message-Id: <20071008110558.3194.qmail@NAT4-to-border-1.psk-net.ru>
To: <MonAdresse@online.fr>
Subject: Check out what's new
From: <MonAdresse@online.fr>
Mime-Version: 1.0
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit
X-ProXaD-SC: Score=69

Quelqu'un pourrait m'en dire plus ?
Merci.

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.8.1.6) Gecko/20070919 Ubuntu/7.10 (gutsy) Firefox/2.0.0.6

[Benoit]

C'est simple : de la même manière que tu peux utiliser différentes identités dans Thunderbird, n'importe qui peut utiliser l'adresse de n'importe qui pour envoyer un message à quelqu'un d'autre.

Maintenant un peu de spéculation de ma part sur la raison de l'expéditeur identique au destinataire : j'imagine qu'au départ tout ce que faisaient les spammeurs étaient de croiser les données provenant de carnets d'adresses volés (soit via des chevaux de troie, soit en utilisant les chaînes de lettres adressées par divers ingénus à tout leur carnet). En effet, un message provenant d'une adresse connue a sans doute plus de chance d'être ouvert.

Il est possible qu'un de ces scripts de spam ait été mal réalisé et n'ait pas vérifié que les deux adresses (expéditeur et destinataire) étaient identiques. Et que le spammeur se soit rendu compte (via diverses astuces comme les images cachées), qu'en fait ça fonctionnait encore mieux. En tout cas la première fois, à cause de l'effet de surprise ("j'ai envoyé ça moi ?").

[pirlouy]

Mais comment un script peut envoyer un mail avec notre propre adresse ? Il lui manque le mot de passe !

[ra-mon]

Salut,

Mais comment un script peut envoyer un mail avec notre propre adresse ? Il lui manque le mot de passe !

et depuis quand un script aurait besoin d'un mot de passe pour envoyer un mail ?
Exemple simplissime en une ligne de Rebol :

Code : Tout sélectionner

REBOL/View 1.3.2.3.1 5-Dec-2005 Core 2.6.3
Copyright 2000-2005 REBOL Technologies.  All rights reserved.
REBOL is a trademark of REBOL Technologies. WWW.REBOL.COM
>> send pirlouy@domain.tld "sujet"

le pirlouy en question recevra illico un message dont les en-têtes contiendront entre autres :

Code : Tout sélectionner

To: pirlouy@domain.tld
From: Rebol user <nicolas@elysee.fr>
Date: Mon, 8 Oct 2007 23:02:08 +0200
Subject: sujet
X-REBOL: View 1.3.2.3.1 http://WWW.REBOL.COM
Message-Id: <20071008210208.AB0E22DEA25@smtp6-g19.free.fr>

sujet

Le champs From: peut être forgé nasodigitalement (pourra contenir pirlouy <pirlouy@domain.tld>, évidemment) et utiliser le serveur de son FAI ou un SMTP local ne réclame pas en général de mot de passe

Message envoyé avec : Opera/9.50 (Windows NT 5.1; U; build 9523; fr)

[calimo]

Mais comment un script peut envoyer un mail avec notre propre adresse ? Il lui manque le mot de passe !

Le mot de passe, c'est simplement pour se connecter au smtp de ton FAI (et encore, ce n'est pas toujours le cas, par exemple moi je n'en ai pas besoin).

Mais le serveur ne vérifie en aucun cas le "From:" (ou peut-être en de très rares cas... ce qui n'empêche pas de passer par un autre serveur)

Tu veux faire le test ?

[pirlouy]

C'est pas possible, on n'a pas dû se comprendre.
Vous seriez en train de m'affirmer que n'importe qui peut envoyer un mail à n'importe qui en utilisant mon adresse ?!!!!
En gros, si ça se trouve là, pendant que je tape ces quelques lignes, j'envoie des mails à des gens ?!!!

C'est pas possible, ce serait trop énorme, le système de mail ne fonctionnerait plus.

[calimo]

Convaincu ? *
(ça a bien dû me prendre 30 secondes pour créer une fausse identité )

Si tu es toujours dans la liste des traducteurs, regarde aussi le fil "Re: [trad] Extension novembre 2007" le 1 octobre aux alentours de 16:39...

* Pour les autres qui n'auront évidemment pas reçu le message : j'ai envoyé un email à Pirlouy avec sa propre adresse.. (que je tairai ici évidemment).

PS : il va falloir revoir tes théories sur la sécurité, et au passage celles sur NoScript et cie

[pirlouy]

Han !
Bon j'ai changé d'adresse entre temps, mais j'ai vu ça quand même (redirection). Punaise mais ça craint !

Dire qu'on nous bassine avec des arguments de sécurité à la noix, alors qu'un truc comme ça c'est bien plus dangereux !

ps: pour la liste de diffusion, vu que j'aime pas le format (en fait, j'aime pas les listes de diffusion, je préfère 100 fois les forums), je ne reçois plus les mails, mais je vais mettre mon adresse à jour, et aller consulter les archives, ça va saigner si je suis cité à tort !

[calimo]

Han !
Bon j'ai changé d'adresse entre temps, mais j'ai vu ça quand même (redirection). Punaise mais ça craint !

Dire qu'on nous bassine avec des arguments de sécurité à la noix, alors qu'un truc comme ça c'est bien plus dangereux !

Ben tiens... C'est pas pour rien que les signatures numériques existent, et qu'il est scandaleux que ce ne soit pas plus largement utilisé (ou déjà simplement implémenté... suivez mon regard !)

ps: pour la liste de diffusion, vu que j'aime pas le format (en fait, j'aime pas les listes de diffusion, je préfère 100 fois les forums), je ne reçois plus les mails, mais je vais mettre mon adresse à jour, et aller consulter les archives, ça va saigner si je suis cité à tort !

Que je me souvienne, tu n'es pas cité, mais je pensais à un message où je me fais passer pour quelqu'un d'autre... (non, pas pour toi... qui voudrait se faire passer pour Pirlouy ?


PS : comment on fait les crochets ("[" et "]") sur Mac (à part par copier-coller) ?

PPS : À ce rythme là, dans 2 ans, Pirlouy a compris à quoi sert NoScript

Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X; fr) AppleWebKit/419.3 (KHTML, like Gecko) Safari/419.3

Edit : impémenté > implémenté

[pirlouy]

Ben tiens... C'est pas pour rien que les signatures numériques existent, et qu'il est scandaleux que ce ne soit pas plus largement utilisé (ou déjà simplement implémenté... suivez mon regard !)

Je viens de consulter les archives, les messages étaient illisibles: il n'y a pas véritablement d'arbre, il y a des gens qui utilisent des caractères bizarres sur plein de lignes (genre PGP----- etc. ), certains caractères ne s'affichaient pas dans la bonne norme (iso au lieu d'utf8 et inversement), bref, je n'ai pas compris grand chose, si ce n'est que des gens envoient des milliers de caractères, soi-disant pour signer leur mail, alors que moi j'utilise juste -- et mon prénom derrière !

qui voudrait se faire passer pour Pirlouy ?

Sûrement quelqu'un jaloux de ma très grande intelligence supérieure à la normale.

PS : comment on fait les crochets ("[" et "]") sur Mac (à part par copier-coller) ?

Pas encore implémenté.

PPS : À ce rythme là, dans 2 ans, Pirlouy a compris à quoi sert NoScript

Ah sisi ça je sais à quoi ça sert: ça sert ..... à rien.

ps: j'ai changé d'adresse dans la liste de diffusion, j'espère que ça ne vas pas être galère pour me réintégrer

[Jim]

Pour les crochets, je te réponds ce midi ( pour moi )

Heureux que Pirlouy découvres quelque chose aujourd'hui

C'est exacetement le principe utilisé par les "virus usurpateurs d'identité" pour se propager par mail... Il n'y a pas que le spam

[calimo]

alors que moi j'utilise juste -- et mon prénom derrière !

Oui moi aussi... le tien

Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X; fr; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7

[Jim]

Alors le [ c'est "alt+shift+("

[calimo]

Alt+Shift+( (8) ça me donne ça : Ò Évidemment, j'ai un clavier CH-fr

Bon en fait c'est Alt+Maj+5 et Alt+Maj+6... (correspondant aux % et &)... pas super logique

Message envoyé avec : Mozilla/5.0 (Macintosh; U; Intel Mac OS X; fr; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7