neutraliser un rançoneur par mail ayant laissé son IP visible dans le mail

[CapFlam]

Bonjour,

J'ai quelques notions en informatique, sans être un expert...
Il y a quelques jour, j'ai reçu un long mail de demande de rançon, un texte en en anglais certainement copié collé, venant d'une adresse mail allemande, menace de blocage du PC et, menace de diffuser des vidéos xxx piratés de mon PC... Truc bien bidon, et ce soit disant Hacker à laisser son adresse IP visible dans le mail, ça viens d'un fournisseur d'accès Brésilien.

La menace est affectivement bidon, puis que délais est dépassé, mon PC fonctionne encore et que ça risque d'être difficile pour lui de diffuser de vidéo à connotation s*xu*lle de choses que je n'ai pas faites...

Je connais signal spam, mais ça sert pas à grand chose...
Le jour même, j'ai envoyé un message à l'opérateur propriétaire de l'adresse IP, en indiquant l’envoie d'un mail malveillant, l'heure et l'adresse IP, aucune réponse.
-----

[f6exb]

Bonjour,
Va faire un tour sur spamcop.net

[CapFlam]

Merci pour l'info

[micapivi]

Bonjour

…ce soit disant Hacker à laisser son adresse IP visible dans le mail…

L'adresse mail de l'expéditeur d'un message permet seulement de savoir depuis quelle adresse mail le message a été envoyé,
mais ça ne prouve pas que l'adresse mail de l'expéditeur soit aussi l'adresse mail de l'auteur du message : l'auteur du message a très bien pû envoyer ce message en utilisant l'adresse mail d'un autre compte utilisateur.

D'autre part, il te faudrait revoir la définition du mot hacker,
car un hacker ne ferait JAMAIS de menaces, demandes de rançons, ou destruction de quoi que ce soit,
au contraire, un hacker fera tout ce qu'il peut pour aider à améliorer la sécurité d'un système.

[A voir en vidéo sur Futura]

[micapivi]

Désolé pour cet ajout, mais comme je ne peux pas modifier mon précédent message …

… L'adresse mail de l'expéditeur d'un message permet seulement de savoir depuis quelle adresse mail le message a été envoyé, …

et c'est la même chose pour l'adresse IP

[umfred]

D'autre part, il te faudrait revoir la définition du mot hacker,
car un hacker ne ferait JAMAIS de menaces, demandes de rançons, ou destruction de quoi que ce soit,
au contraire, un hacker fera tout ce qu'il peut pour aider à améliorer la sécurité d'un système.

Il y a les 2 côtés, les méchants et les gentils. Je doute que ceux qui ont récupérés les infos au niveau des opérateurs de tiers payant il y a quelques jours (fin janvier/début février) visaient l'amélioration de la sécurité des sites concernés.

[micapivi]

Les méchants dont tu parles sont des crackers (par définition)

Il n'y a pas 2 sortes de hackers (dont certains seraient les "méchants")
les hackers sont "gentils" (par définition),
ce sont ceux qui, avec les mêmes compétences (ou plus) vont chercher à aider à résoudre le problème de sécurité.

[Stan_94]

Non : il n'y a pas 2 sortes de hackers (dont certains seraient les "méchants") les hackers sont "gentils" (par définition).

Les méchants dont tu parles sont des crackers (par définition)

Sémantiquement parlant, je suis tout à fais d'accord avec ça mais les mauvaises habitudes font que pour le grand public, seul le terme Hacker est reconnu et est synonyme de "pirate informatique" et toujours méchant. Dommage, certe, mais c'est comme ça
Mais c'est bien de l'avoir souligné !

[micapivi]

J'avais oublié d'ajouter le lien suivant provenant d'archives : THE NEW YORKER (By Ben Yagoda March 6, 2014) A Short History of “Hack”

[umfred]

Le cracker, je le mettrai plutôt dans la catégorie de créateur d'outils de contournement (qu'ils peuvent utiliser ou pas, dans un but de démontrer ou exploiter une faille).

Dans tous les cas, on perdu le sens premier du terme hacker qui consiste à détourner quelque chose de son usage initialement prévu, et on n'a conservé son sens qu'essentiellement autour de la sécurité informatique.

[CapFlam]

Hello,

Effectivement, j'ai réutilisé le mot employé dans le mail que j'ai reçu, sans chercher à rentrer dans les considérations de vocabulaire liées à l'éthique.

Hier, j'ai commencé à écrire un long mail de réponse au sujets des adresses mail et IP...
Et après avoir écrit un gros pavé... Je me suis dis que la réponse était tellement longue qu'elle risquait d'ennuyer tout le monde...
Donc, je vais simplifier ma réponse

L'adresse mail de l'expéditeur d'un message permet seulement de savoir depuis quelle adresse mail le message a été envoyé,
mais ça ne prouve pas que l'adresse mail de l'expéditeur soit aussi l'adresse mail de l'auteur du message : l'auteur du message a très bien pû envoyer ce message en utilisant l'adresse mail d'un autre compte utilisateur.

Ça dépens des fois, ça dépens si l'adresse mail ou le serveur ou l'ordinateur/le téléphone à été piraté, ça dépens des fournisseurs de service e-mail, ça dépens si l'émetteur du mail utilise TOR ou un VPN...

Dans le cas présent, je crois que le rançonneur était "un minable" se croyait protégé du fait d'avoir utilisé une adresse mail jetable, plusieurs annuaire IP m'ont indiqué, la même information, que cette adresse appartenait à un opérateur Brésilien de télécommunication.

[CapFlam]

J'ai le droit de cité l'entreprise, l'adresse IP malveillante ou piratée, ou c'est interdit par la Charte?

[Ikhar84]

Les méchants dont tu parles sont des crackers (par définition)

Il n'y a pas 2 sortes de hackers (dont certains seraient les "méchants")
les hackers sont "gentils" (par définition),
ce sont ceux qui, avec les mêmes compétences (ou plus) vont chercher à aider à résoudre le problème de sécurité.

Tu confonds "White Hat" vs "Black Hat" et hacker ... hacker est un principe: détourner... Il y a ceux qui détournent pour leur amusement, ceux qui détournent pour apprendre, ceux qui détournent pour se faire de l'argent, ceux qui détournent pour détruire et/ou revendiquer, etc...

Cracker est le mot utilisé pour ceux qui "cassent" un système, une sécurité...

Il y a plein de domaine avec des noms plus ou moins "standardisé" mais associer hacker à chevalier blanc n'est vraiment pas la norme ...

[pm42]

Tu confonds "White Hat" vs "Black Hat" et hacker ... hacker est un principe: détourner... Il y a ceux qui détournent pour leur amusement, ceux qui détournent pour apprendre, ceux qui détournent pour se faire de l'argent, ceux qui détournent pour détruire et/ou revendiquer, etc...
Cracker est le mot utilisé pour ceux qui "cassent" un système, une sécurité...
Il y a plein de domaine avec des noms plus ou moins "standardisé" mais associer hacker à chevalier blanc n'est vraiment pas la norme ...

Oui et l'acceptation commune comme sa contestation minoritaire est très bien résumée ici : https://fr.wikipedia.org/wiki/Hacker..._informatique)

[oualos]

D'autre part, il te faudrait revoir la définition du mot hacker,
car un hacker ne ferait JAMAIS de menaces, demandes de rançons, ou destruction de quoi que ce soit,
au contraire, un hacker fera tout ce qu'il peut pour aider à améliorer la sécurité d'un système.

Pour être sûr de les distinguer on les appelle des hackers "éthiques" et des grosses boites ou services administratifs font appel à eux pour détecter d'éventuelles failles dans leur système.
Populaire depuis le film "Les experts" avec Robert Redford

[umfred]

Pour revenir au sujet initial, je crois que l'on n'a pas évoqué les recommandations de la CNIL https://www.cnil.fr/fr/spam-phishing...aler-pour-agir

L'adresse IP contenue dans le message ne présume rien de l'origine réelle de la personne; si il utilise un VPN, l'adresse ne va servir à presque rien. Idem l'adresse mail expéditeur est facilement trucable du moment qu'elle n'est pas blacklistée, il n'y a aucune vérification d'existence de faite lors de l'envoi.
Et ce genre de mail est envoyé en masse dans l'espoir qu'un petit pourcentage se fasse avoir.

[jiherve]

bonsoir
oui bien souvent ils utilisent l' adresse mail d'un pékin lambda.
JR

[CapFlam]

L'adresse IP contenue dans le message ne présume rien de l'origine réelle de la personne; si il utilise un VPN, l'adresse ne va servir à presque rien

C'est effectivement pas garanti, mais ça peut guider :

• les adresse IP de TOR sont publiques.
  TOR ne conserve pas d'historique, mais télécharger et/ou utiliser TOR, en France et dans d'autres pays, implique (à priori) d'être fiché par les services de renseignement, même si en France, cela n'est pas considéré comme un délit, mais (selon certains sites) serait passible de la peine de mort dans certains pays comme la Chine...
• en fonction des fournisseurs de messagerie mail, l'adresse IP indiquée est soit celle du serveur du fournisseur, soit celle qui a communiqué avec le serveur.
  Les fournisseurs de messagerie mail ont maintenant l'obligation légale dans beaucoup (la majorité? tous?) de pays de conserver un historique des adresse IP qui se sont connectées à leurs serveurs et de les communiquer en cas d’enquête judiciaire.
• les adresse IP des VPN sont la propriétés des entreprises qui commercialisent ces offres, possible que l'info soit publique... ?
  En ce qui les concerne, je ne suis pas certain, mais je crois qu'ils ont obligation de conserver un historique en cas de réquisition judiciaire
• si un ordinateur ou un serveur d'une petite entreprise modeste, est piraté, pas sûr que de telles précautions soient prisent par l'individu malveillant, surtout que ça rendrait l'écriture du virus beaucoup plus complexe => à défaut de pouvoir choper l'individu malveillant, on peut au moins remonter jusqu'au PC infecté

[Flyingbike]

On peut saluer votre optimisme, mais avoir une IP ne sert à rien. Les FAI s'en cognent, encore plus à l'autre bout du monde.

Ici, on est emmerdés à longueur de journée (vous ne voyez pas tout) par des centaines d'IP différentes, depuis la Russie, l'Asie, l'Afrique, et même en France. Et même quand on connait l'identité réelle de la personne, on ne peut rien faire car rien ne sera fait sans implication du système judiciaire, qui n'en a rien à cirer car il a d'autres chats à fouetter que de s'occuper d'un mail foireux envoyé a un gugus, rien de plus grave que les millions de mails envoyés à des millions de gugus, chaque minute, partout sur la planète.

[pm42]

On peut saluer votre optimisme, mais avoir une IP ne sert à rien. Les FAI s'en cognent, encore plus à l'autre bout du monde.

En effet et entre autre parce qu'ils n'ont ni les moyens, ni l'intérêt de fliquer leurs clients. D'autant qu'avant de faire quelque chose, il faudrait :
- vérifier que l'accusation tient la route
- que c'est bien le client qui utilisait l'IP qui est responsable, qu'il ne s'est pas fait pirater son WiFi ou son PC d'une façon ou d'une autre. Sachant que les PC zombies sont fréquents.
- avoir légalement le droit de prendre des décisions pour suspendre l'accès Internet

Bref dépenser de l'argent et prendre un risque juridique pour perdre de l'argent le tout pour protéger des gens qui ne sont pas vos clients.
Même en ayant de grands principes, je ne connais pas beaucoup d'entreprises ni même de particuliers qui sont prêts à faire ça.

Actuellement, il est très compliqué de bloquer les spammeurs et autres à la source et si on mettait en place les solutions pour ça à l'échelon planétaire, ce serait aussi un superbe cadeau aux gens qui veulent tout contrôler sur le Net.

Un bon filtre anti-spam, virer les mails qui passent à travers et les signaler comme tel est ce qui marche. Pas essayer de se venger du méchant émetteur sur la base d'une IP qui à 99% n'est pas à lui.

[CapFlam]

Actuellement, il est très compliqué de bloquer les spammeurs et autres à la source et si on mettait en place les solutions pour ça à l'échelon planétaire, ce serait aussi un superbe cadeau aux gens qui veulent tout contrôler sur le Net.

1) Avec les nouvelles lois du style "earn it", je crois que certaines personnes qui veulent tout contrôler sur Internet, vont, eux, arriver à leur fins...
2) Pas tout seul, mais j'ai déjà réussis à bloquer l’émission de mails de phishing qui rachetait des anciens nom de domaine d'université afin d'envoyer des arnaques à la carte bancaire. Quand j'ai contacté le MIT et l'université anglaise, effectivement, ça n'a pas été fructueux, mais au bout du 3e mail identique, je ne sais pas comment à fait l'informaticien de l'université française, mais je pense qu'il a réussis à neutraliser le truc.

Pas essayer de se venger du méchant émetteur sur la base d'une IP qui à 99% n'est pas à lui.

Ma philosophie n'est pas forcément si agressive.
Ce coup là, c'était facile, j'ai bien réussis à prévenir une personne de toute évidence "pas très douée avec la technologie", que sa boite mail était piratée et par la même occasion, je lui ai appris que l'annonce de la vente de sa maison, qui datait de plus d'un an, son numéro de téléphone et son adresse mail étaient toujours accessible sur Internet...

Donc, oui, peut être que je suis un peu utopiste,
je m'amuse peut être à jouer les "White Hat" alors que je n'ai que des connaissances assez/trop modestes,
mais de nos jours et avec les précaution que je pends, du fishing j'en reçois à peu près 3 ou 5 par an, et quand je considère que la menace est suffisamment dangereuse pour pourrir la vie d'une honnête personne, je traque et j'essaye d'endiguer.

[micapivi]

Bonjour

Si ça se trouve, tu pourrais très bien, à ton tour, être contacté par quelqu'un qui t'informera du piratage de ta boîte mail.

Quelques liens d'actualité :

CERT-FR : Vulnérabilité dans Microsoft Outlook

CERT-FR : Multiples vulnérabilités dans Google Chrome

Je ne dis pas que, dans ton cas, ce sont ces failles qui ont été utilisées

[pm42]

Si ça se trouve, tu pourrais très bien, à ton tour, être contacté par quelqu'un qui t'informera du piratage de ta boîte mail.
CERT-FR : Vulnérabilité dans Microsoft Outlook

CERT-FR : Multiples vulnérabilités dans Google Chrome

C'est totalement sans rapport avec l'arnaque citée et de plus le 1er est très spécifique et loin d'être pertinent dans le cas général même d'un utilisateur privé d'Outlook.
Le 2nd est une blague : on ne sait rien.

[micapivi]

La suite Outlook est souvent utilisée dans des entreprises (mais pas que) pour gérer les mail (entre autres), mais c'est vrai que rien n'indique qu'il utiliserait outlook
Google chrome est souvent utilisé comme navigateur web … pour accéder (entre autres) à l'interface de gestion de sa boîte mail, mais c'est vrai que rien n'indique qu'il utiliserait chrome.

Je voulais simplement citer deux exemples montrant comment on peut se retrouver avec système compromis => système qui pourrait très bien, en toute discression, envoyer un mail depuis notre compte mail à quelqu'un d'autre,
mais il y a énormément d'autres possibilités.

… on ne sait rien. …

Je comprends bien qu'en seulement quatre minutes, tu n'as sans doute pas eu le temps de lire les CVE qui sont accessibles par les liens listés dans la page web concernant les vulnérabilités de chrome.

[pm42]

Je voulais simplement citer deux exemples montrant comment on peut se retrouver avec système compromis => système qui pourrait très bien, en toute discression, envoyer un mail depuis notre compte mail à quelqu'un d'autre,

Ce qui n'a rien à voir avec l'arnaque citée ici. Nous sortir 2 liens sans rapport pour nous dire "on peut compromettre les systèmes informatiques" n'apprend rien à personne.

Bref, du "je n'ai rien à dire sur le sujet mais je vais faire du remplissage en faisant une recherche Google vite fait puis un copier-coller pour donner l'impression que m'y connais".

[CapFlam]

Si ça se trouve, tu pourrais très bien, à ton tour, être contacté par quelqu'un qui t'informera du piratage de ta boîte mail.

C'est possible (personne n'est totalement à l’abri).

De mon coté, je pense que ne je vais pas aller plus loin...