Modifier un mail après envoi, c’est possible

Alexandre PAULSON
Publié le 27 août 2017 à 14h59
Peut-être l'ignorez-vous, mais la plupart des services de messagerie permettent de modifier un e-mail que l'on a déjà expédié. Mais si le message est modifié dans la messagerie de l'expéditeur, le destinataire, lui, n'en est aucunement informé. Un chercheur en sécurité est parvenu, en exploitant une faille du format HTML, à modifier un message dans la boîte du destinataire.

Une faille du format HTML

Message imprécis, envoyé trop tôt, sans relecture, sous le coup de l'émotion ... Il vous est sûrement déjà arrivé d'expédier un mail que vous avez aussitôt regretté. Et vous vous êtes alors demandé s'il n'était pas possible de le modifier à distance, directement dans la messagerie du destinataire. Un chercheur en sécurité informatique de la société Mimecast est parvenu à réaliser cet exploit.

Francisco Ribeiro a en effet exploité une particularité de la mise en forme des mails. Pour des questions d'esthétique, ces derniers sont presque toujours envoyés au format HTML qui, à la différence du format texte basique, autorise l'ajout d'image ou un travail sur la police ou la taille des caractères. Ces modifications sont rendues possibles par des feuilles de style, que vous modifiez à votre guise généralement dans un menu déroulant. Ces feuilles de style, ou CSS (cascading style sheets), sont souvent hébergées sur un autre serveur que votre serveur mail.

01F4000008742248-photo-hack-mail.jpg


Les clients webmail épargnés

Et c'est là que réside la vulnérabilité dans laquelle s'est engouffrée Francisco Ribeiro. En modifiant la feuille de style (technique appelée « switch exploit »), il est d'abord parvenu à modifier l'URL d'un lien figurant dans un message déjà expédié. On imagine d'emblée l'usage d'une telle technique : renvoyer depuis une adresse sûre un internaute vers de potentielles arnaques. Plus diabolique encore, l'autre technique baptisée « matrix exploit » : Francisco Ribeiro prend alors le contrôle du texte lui-même, réécrivant partiellement ou dans sa totalité le message déjà arrivé dans la messagerie du destinataire.

Assez simple dans sa mise en oeuvre, ce hack que Francisco Ribeiro a nommé « Ropemaker » (le cordier) rend possible des attaques ciblées susceptibles de passer sous le radar des contrôles de contenus des services de messagerie. L'attaque a parfaitement réussi sur Microsoft Outlook, Apple Mail et Mozilla Thunderbird. Elle a en revanche échoué sur les webmails Gmail, outlook.com et icloud.com.

Alexandre PAULSON
Par Alexandre PAULSON

Aucun résumé disponible

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles