cecffabcbafaabd
cecffabcbafaabd
in

MailSploit – La faille d’usurpation d’email affecte plus de 30 clients d’email populaires

spoofing d'email

Si vous recevez un courriel qui semble provenir d’un de vos amis, méfiez-vous! Il est possible que l’e-mail ait été envoyé par quelqu’un d’autre dans le but de compromettre votre système.

Un chercheur en sécurité a découvert une série de vulnérabilités dans plus de 30 applications clientes de messagerie populaires qui pourraient permettre à n’importe qui d’envoyer des e-mails falsifiés en contournant les mécanismes anti-usurpation d’identité.

Découvert par un chercheur en sécurité Sabri Haddouche , l’ensemble des vulnérabilités, doublé MailSploit , affecte Apple Mail (macOS, iOS et watchOS), Mozilla Thunderbird, plusieurs clients de messagerie Microsoft, Yahoo Mail, ProtonMail, et d’autres.

Bien que la plupart de ces applications clients de messagerie aient implémenté des mécanismes anti-usurpation, tels que DKIM et DMARC, MailSploit profite de la façon dont les clients de messagerie et les interfaces Web analysent l’en-tête « From ».

L’usurpation de courriels est une technique de la vieille école, mais elle fonctionne bien, permettant à quelqu’un de modifier les en-têtes des courriels et d’envoyer un courriel avec l’adresse de l’expéditeur falsifiée pour persuader les destinataires de recevoir ce courriel d’une personne en particulier.

Dans un dédié site Internet Haddouche expliqua comment le manque d’aseptisation des entrées implémenté par les clients de messagerie vulnérables pouvait conduire à une attaque par usurpation d’e-mails, sans pour autant exploiter les failles de DMARC.

Pour démontrer cette attaque, Haddouche a créé une charge utile en encodant des caractères non-ASCII dans les en-têtes des courriels, envoyant avec succès un courriel falsifié à partir d’une adresse officielle appartenant au président des États-Unis.

«L’utilisation d’une combinaison de caractères de contrôle, tels que les nouvelles lignes ou les octets nuls, peut entraîner la dissimulation ou la suppression de la partie domaine de l’e-mail d’origine», explique M. Haddouche dans son article de blog.

«Nous avons vu beaucoup de logiciels malveillants se répandre via des emails, s’appuyant sur des techniques d’ingénierie sociale pour convaincre les utilisateurs d’ouvrir des pièces jointes dangereuses, ou cliquer sur des liens de phishing.L’émergence de ransomware distribué par e-mail démontre clairement l’efficacité de ces mécanismes.

Outre l’usurpation d’identité, le chercheur a découvert que certains des clients de messagerie, notamment Hushmail, Open Mailbox, Spark et Airmail, sont également vulnérables aux vulnérabilités de script intersite (XSS), qui découlent du problème d’usurpation d’e-mails.

Haddouche a rapporté ce bug de spoofing à 33 applications clientes différentes, dont 8 ont déjà corrigé ce problème dans leurs produits avant la divulgation publique et 12 sont en passe de le réparer.

mailsploit

Ici tu peux trouver la liste de tous les clients de messagerie et Web (corrigés et non corrigés) qui sont vulnérables à l’attaque de MailSploit.

Cependant, Mozilla et Opera considèrent ce bug comme un problème côté serveur et ne publieront aucun correctif. Mailbird a fermé le ticket sans répondre au problème, tandis que les 12 autres fournisseurs n’ont pas encore commenté le rapport du chercheur.

Source : https://thehackernews.com/2017/12/email-spoofing-client.html

Laisser un commentaire