adresse expéditeur d'un mail reçu: usurpée? est-ce possible?

[Bounoume]

bonjour,je m'explique:
si je reçois un mail dont l'adresse expéditeur est à priori authentique.... mais dont je doute de l'authenticité du contenu....
la réception se faisant normalement dans la boîte de réception de mon gestionnaire comme evolution ou thunderbird... ou bien dans un webmaster imap comme orange.fr ou mail.google.com ou autre ....
...
est-ce qu'un site pirate, en envoyant son paquet pirate.... peut s'attribuer un nom d'expéditeur clean, par exemple
"assurance-maladie@info.ameli.fr"....
est-ce que le pirate peut avoir maquillé son protocole de connexion, ou fait une autre action, de façon à forcer l'affichage exact de ce libellé
"assurance-maladie@info.ameli.fr" dans la barre d'adresse expéditeur de mon logiciel client alors qu'en l'espèce c'est faux?



ps je connais les pièges classiques comme altérer une lettre ou 2, rajouter un caractère... théoriquement faciles à détecter .Ma question suppose qu'en l'espèce l'adresse du serveur expéditeur affichée est visuellement exactement identique à une adresse officielle en
@mailbox_officiel.com ou .fr ou .net ou .gouv.fr etc

ps2) et avec le désagrément que souvent ces sites ont plusieurs libelles différents possible à gauche du @
par exemple vidal:
|<noreply@mail.vidal.fr>
|<vidalnews@mail.vidal.fr>
|<communication@mail.vidal.fr >
mais les banque par exemple, c'est bien pire en nombre d'expéditeurs licites.......
-----

[JPL]

Je ne connais pas les sécurité actuelles (s’il y en a) du protocole SMTP, mais autrefois c’était un jeu d’enfant de faire cela.

[jiherve]

bonjour
a mon avis c'est toujours possible, il faut aller jeter un oeil dans le code source, avec Thunderbird c'est dans l'onglet 'autres', en général le spoofing est visible.
JR

[Bounoume]

dans le code source du mail reçu, il y a bien ça:

Authentication-Results: gmail.com; spf=pass
smtp.mailfrom=bouncee@mail.vid al.fr smtp.helo=r46.mail.vidal.fr; dkim=pass
reason="good signature" header.d=mail.vidal.fr header.s=vidalfrance
header.b=LjJ7kh; dmarc=pass reason="SPF is aligned, DKIM is aligned";
arc=none smtp.remote-ip=130.248.195.46; bimi=none

ce texte (inclus dans le mail reçu) a bien été envoyé par le fournisseur de BAL mail gmail.com : je ne doute pas de son authenticité.... OK à ce niveau....
alors je crois comprendre que mon fournisseur de BAL mail a au moins un peu vérifié le domaine de provenance du mail
(domaine qui doit bien être ici: @mail.vidal.fr ???)
1)est-ce exact?
2)la dite vérification est-elle sûre?

[A voir en vidéo sur Futura]

[umfred]

mais vidal et ameli n'ont aucun rapport entre eux à ma connaissance

[Bounoume]

hé hé, ça c'est certain...
simplement dans le début du message je donnais en exemple une adresse valide.... mais sans explorer les contenus, et ensuite j'ai testé une autre adresse, d'un autre site.... dont j'avais gardé l'intégralité des mails.... et j'en ai listé quelques contenus.....
surprenant, n'est-ce pas *!!


mes interrogations demeurent cependant:
alors je crois comprendre que mon fournisseur de BAL mail a au moins un peu vérifié le domaine de provenance du mail
(domaine qui doit bien être ici: @mail.vidal.fr ???)
1)est-ce exact?
2)la dite vérification est-elle sûre?
à bientôt, cordialement

[f6bes]

Pour l'anecdote je reçois des mails (direction poubelle) d'un certain
"F6BES" qui me promet des tas de merveilles (intitulé du message).
C'est direction la balaiyette illlico.
A+

[Bounoume]

je réactive la discussion... suite à une info de (entre autres, 01.net ...)
https://www.01net.com/actualites/cyb...er-compte.html
ils signalent des attaques par droidbot, contre entre autres crédit agricole, banque populaire, Axa et autres......

vicieusement,session Linux user habituel fermée.....et alors loggé avec un compte vierge....complètement vide de toute info personnelle...
j'ai cherché (avec duckduckgo) le "crédit agricole".....
et alors en premier le joli site
https//credit-agricole.fr (de mémoire.. j'ai pas fait de copier-coller je suis méfiant..)
Et alors apparait la bannière visuellement parfaite, du crédit agricole ordinaire....
je n'ai pas eu le vice de faire la manoeuvre d'identification (que j'aurais faite bien sûr avec un numéro de compte imaginaire = ) mais j'ai simplement manipulé la banière pour rechercher...une agence de la banque à Clermont-Ferrand!
alors curieusement... ou bien ça bloquait...ou bien ça répondait zéro agence!
alors moi -> logaout!

l’adresse https proposée par le navigateur est-elle en fait compromise, n'appartenant pas à la banque, ou bien le navigateur affichait-il dans sa barre d'adresse un libellé falsifié?

























sans aucune info password contact ou autre

[umfred]

pourtant l'adresse que tu donnes ici est la bonne adresse du crédit agricole (et pour droidbot, il faut a priori passer par un store non officiel pour risquer de le télécharger)

[Bounoume]

la suite de caractères correspond bien à des morceaux des libellés d'adresse (ou de l'une des adresses..) du crédit agricole :en effet au décours d'une consultation l'adresse change et souvent il y a mention de la région comme cette url:
https://www.ca-centrefrance.fr/.......html
et on s'y perd.......
n'empêche que quand dans les villes de la demande 63000Clermont-ferrand, il apparaît Montluçon (préfecture de l'Allier..) c'est louche....
mais je suis peut-être parano....

[Bounoume]

quant à droidbot lui-même, perso, je ne le crains pas.... car je n'ai pas de téléphone sous androïd.... mais je crains comme*la peste le processus de corruption d'un système à partir d'un site contrefait, avec demande de password admin sur une bannière contrefaite par exemple.....
Alors si au départ je ne peux accorder aucune confiance au libelle de l'URL affichée initialement....la suite ....

[umfred]

si c'est toi qui la saisit le risque est minime, idem si tu passes par un favoris. En général, dans les moteurs de recherche, les vrais sites sont en bonnes positions, et les faux sites sont parfois précédé d'un avertissement de site frauduleux si tu passes par chrome (car il aura été signalé comme frauduleux) (et c'est valable aussi avec d'autres navigateurs).

Si tu veux encore plus paranoïaque, il y a le DNS Spoofing https://fr.wikipedia.org/wiki/Empois...t_du_cache_DNS (qui correspond à ta peur)

[jiherve]

bonsoir
tu auras noté que le virus en question ne concerne que les téléphone android!
JR

[Bounoume]

https://fr.wikipedia.org/wiki/Empois...t_du_cache_DNS :merci umfred;
ce rappel bienvenu (dont une partie dépasse mon niveau) me fait dire que ça peut parfois arriver...
lorsque je veux atteindre une URL distante, même si le DNS de mon fournisseur d'accès est censé vérifier la fiabilité des adresses IP qu'il demande aux autres DNS.... et que son cache contient, pour le domaine que je voudrais atteindre, une destination IP falsifiée.
cela, alors que chez moi, le nom du domaine que je CROIS appeler est valide et sincère...

mais la situation symétrique?
Lorsque le pirate m'envoie un mail ... ou répond à une requête issue d'une page HTML ou script en cours.... et que je vois soit dans le navigateur, ou dans la barre d'adresse du navigateur, un certain nom de domaine..... celui-ci pourrait provenir d'une adresse IP.... qui n'est pas celle du domaine licite..... mais d'un pirate.... si le pirate a réussi à corrompre le(s) DNS qui devait fournir l'IP du domaine officiellement affiché..... ?????

est-ce bien ça?
si oui... même si c'est peu fréquent, ça me semble imparable au niveau de l'utilisateur lambda (sauf à connaitre en temps réel toutes les usurpations en cours..... ???)

[Bounoume]

bonsoir
tu auras noté que le virus en question ne concerne que les téléphone android!
JR

Pour sûr, là tout est possible! falsification directe de l'écran, détournement du clavier, recouvrement de vraies zones écran par des mensonges, etc.... directement par détournement du système... en local, sans même avoir besoin de passer par le Net........

et bien sûr les infos falsifiées ou volées... elles sont envoyées ou exploitées à distance via le Net.....
très sympathique....

[Ikhar84]

Tu pars un peu dans tous les sens !

Pour ce qui est des emails frauduleux, c'est très facile (et détectable) de mettre ce que l'on veut dans les champs des "headers", notamment le champ "from" qui indique l'émetteur supposé de l'email (avec le champ "reply-to" qui sera la vraie destination de la réponse à cet email, hors redirections...).

Des attaques bien plus évoluées rendent ces manips beaucoup moins détectables...

Regardes avec ces mots clés :

Code:

Email headers forgery
Email headers spoofing

Pour ce qui est des DNS, le serveur (web souvent) contacté est censé fournir un certificat (ssl/tls) délivré par une autoritŕ de certifiaction reconnue par ton système. Ce qui limite les atteintes potentiels, si tu lis et suit les recommandations de ton système/navigateur...
Là encore, si ton "magasin" de certificats racines et les autorités reconnues par ton système sont compromis, pas grand chose à faire...

Cherches avec les mots clés

Code:

Man in the middle attacks
DNS spoofing
Empoisonnement de cache DNS
...

Edit :
Quand un nom de domaine te paraît suspect, le premier reflexe est de le vérifier dans une base WHOIS, avec des infos comme la date de création, et si dispo, les informations de contact (si cachées pour un grand site ou un site institutionnel : fuis)...

[Bounoume]

bien complexe et déstabilisant tout ça....

j'ai consulté WHOIS.COM.....
les domaines qui me paraissaient louches sont 'registered'.... OK.....
mais ça, en bas de page 'Whois' ..... ça signifie quoi? .... alors que sur la page DNS records il y a la ;liste des serveurs DNS .....
WHOIS data currently unavailable.
c'est par exemple pour mail.vidal.fr .... (la base des médicaments vendus en pharmacie!)

[Ikhar84]

Regardes ici :
http://www.whois-raynette.fr/whois/vidal.fr

Dans cette section :

nic-hdl: V20766-FRNIC
type: ORGANIZATION
contact: Vidal
address: Direction Juridique
address: 21, rue Camille Desmoulins
address: 92130 Issy les Moulineaux
country: FR
phone: +33.173281830
fax-no: +33.173281869
e-mail:*admin.domaines@vidal.fr
registrar: CSC CORPORATE DOMAINS INC.
anonymous: NO
obsoleted: NO
eppstatus: serverUpdateProhibited
eppstatus: associated
eligstatus: not identified
reachstatus: not identified
source: FRNIC

Et :

nic-hdl: DA44927-FRNIC
type: PERSON
contact: Domain Administrator
address: VIDAL
address: Direction Juridique
address: 21, rue Camille Desmoulins
address: 92130 Issy les Moulineaux
country: FR
phone: +33.173281830
e-mail:*admin.domaines@vidal.fr
registrar: CSC CORPORATE DOMAINS INC.
anonymous: NO
obsoleted: NO
eppstatus: associated
eppstatus: active
eligstatus: ok
eligdate: 2018-12-18T00:00:00Z
reachstatus: ok
reachmedia: email
reachsource: REGISTRAR
reachdate: 2018-12-18T00:00:00Z
source: FRNIC

Les contact "officiels" sont en France...

Et les dates clées :

Expiry Date: 2025-12-03T23:00:00Z
created: 2003-12-03T23:00:00Z
last-update: 2024-12-04T06:09:18.929729Z
source: FRNIC

Le domaine a été créé en 2003... assez ancien pour que ce ne soit pas, à prori, un site frauduleux...

Données que tu peux comparer à "vidal.com", par exemple, ici :
https://who.is/whois/vidal.com

[Bounoume]

bien sûr, je ne doute pas de l'authenticité du site!
ce qui m'étonne, c'est que l'intitulé simple 'vidal.com' permet d'avoir toutes les informations, alors que ce qui me semblait un domaine valide : 'mail.vidal.com' donne me semble-t-il,des infos incomplètes.....
quelle est l'explication? le deuxième libellé + long 'mail.vidal.com' [/I]n'est-il pas un vrai nom de domaine, mais un nom de sous-domaine? ou autre chose?
que faut-il tester pour être sûr? seulement le dernier mot juste avant le .com .fr ou autre?

[Ikhar84]

mail.vidal.fr est un sous-domaine du domaine vidal.fr.

Quand on enregistre un domaine, on ne déclare ("achète") auprès d'un "registrar" que la seconde partie en partie en partant de la fin


Les domaines se lisent en fait de droite à gauche...

Tout ce qui se situe à gauche du domaine, avnt le point séparateur est interne à l'organisation (dépend de ses dns), on peut en faire ce qu'on veut, en créer, en supprimer, modifier, sans avoir à faire de "déclaration"...

Regardes avec les mots clés "Full Qualified Domain Name" : je ne connais pas les mots clés en français qui t'amenerais aux mêmes résultats...

En clair :
mail.vidal.fr n'existe pas vraiment au niveau du web, c'est interne à ceux qui s'occupent du domaine vidal.fr (vraisemblablement le nom d'hôte du/des serveur(s) email...

Le .fr (ici) est le TLD, le "vidal" est le domaine

[Bounoume]

merci. affaire résolue.