Club de la Sécurité Informatique à l INSAT Dans le cadre de la 3ème édition de la journée nationale de la sécurité informatique SECURIDAY 2013 Cyber War SECURINETS Présente Atelier : Mail Threats Formateurs: 1. Siwar JENHANI RT3 2. Hadhami SAMALI RT2
Table des matières 1) Introduction... 1 2) Attaque web : Mail Threats :... 1 I. Présentation :... 1 II. Type :... 1 a) Le phishing :... 2 b) Mail spoofing :... 2 c) Le Mail Bombing :... 2 3) Simulation :... 3 1. Premier scénario de test :... 3 2. Deuxième scénario de test :... 6 ii. Configuration des outils :... 9 4) Conclusion : Comment se protéger contre les mails threats?... 10 Page 1
1) Introduction Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque. Une «attaque» est l'exploitation d'une faille d'un système informatique (système d'exploitation, logiciel ou bien même de l'utilisateur) à des fins non connues par l'exploitant du système et généralement préjudiciables. Afin de contrer ces attaques il est indispensable de connaître les principaux types d'attaques afin de mettre en œuvre des dispositions préventives. Les motivations des attaques peuvent être de différentes sortes : voler des informations, tels que des secrets industriels ou des propriétés intellectuelles ; glaner des informations personnelles sur un utilisateur ; récupérer des données bancaires ; s'informer sur l'organisation (entreprise de l'utilisateur, etc.) ; troubler le bon fonctionnement d'un service ; Parmi les menaces d attaque les plus connu, on citera l attaque web : Mail Threats 2) Attaque web : Mail Threats : I. Présentation : Ces attaques sont des attaques sociales sophistiquées et soigneusement élaborées conçues pour contourner les défenses informatiques des entreprises et tromper les utilisateurs, même les plus perspicaces. Ces attaques utilisent des courriers électroniques hautement ciblés prétendant être une correspondance professionnelle provenant d'une organisation de confiance (telle qu'une banque), une correspondance personnelle de confiance provenant d'un ami ou d'un collègue ou de fausse publicité pour des produits de pharmacie ou des produits de luxe. Les liens de ces messages vous redirigent vers un site Web infecté par un malice (pouvant être un site légitime périodiquement compromis) ou bien un site qui demande une identification bancaire qui sera volé. II. Type : Parmi les types des menaces qu'on peut avoir sont : Phishing Mail Spoofing Le Mail Bombing Page 1
a) Le phishing : Le "phishing" (la pêche à l'information) est une technique consistant pour une personne malveillante à récupérer sous une forme déguisée vos informations personnelles notamment le numéro de votre carte de crédit, de votre compte courant ainsi que le mot de passe, votre numéro de sécurité sociale, votre code PIN, etc dans le but de perpétrer une usurpation d'identité. Comment procède le pirate? Grâce à un logiciel spécialisé, le pirate vous envoie par e-mail un formulaire dont l'entête et le texte ressemblent à s'y méprendre au courrier officiel d'une institution avec laquelle vous avez des chances de travailler (ebay, VISA ou une banque de votre pays). Le document vous explique que vos informations personnelles doivent être vérifiées et notamment le numéro de votre carte de crédit et votre mot de passe. Vous avez compris : confiant et naïf, si vous y répondez, vous tombez dans la toile du pirate! b) Mail spoofing : Mail Spoofing (Usurpation de courrier) est une activité dans laquelle l'adresse de l'expéditeur et d'autres parties de l'en-tête de messagerie sont modifiés pour apparaître comme si le courriel provient d'une source différente. Parce que SMTP ne fournit aucune authentification, il est facile d'usurper l'identité et de créer des messages électroniques. c) Le Mail Bombing : Le Mail Bombing consiste à envoyer un nombre faramineux d emails (plusieurs milliers par exemple) à un ou plusieurs destinataires. L objectif étant de : - Saturer le serveur de mails - Saturer la bande passante du serveur et du ou des destinataires - Rendre impossible aux destinataires de continuer à utiliser l adresse électronique. Page 2
3) Simulation : 1. Premier scénario de test : On va simuler le Mail Bombing. i. Présentation des outils utilisés : On a utilisé pour la simulation du Mail Bombing une application C# sous le nom «E-mail Bomber» qui consiste à envoyer massivement à une destination un nombre choisi à l avance par l utilisateur d email qui sert généralement pour des publicités. ii.. Configuration des outils : L utilisateur doit saisir son adresse mail et l adresse de destination. Il faut indiquer le mot de passe du compte mail de l émetteur, le serveur SMTP et le port. Le mail : sujet et contenu Page 3
Enfin, l utilisateur doit indiquer le nombre voulu d e-mail à envoyer à la destination Après l envoi, le nombre d email qui a été envoyé sera indiqué ici : Envoi réussi : On va maintenant exécuter l application : Page 4
On vérifie la boite de réception de la victime : Page 5
2. Deuxième scénario de test : On va simuler le Mail Spoofing et le Phishing comme suit : On va envoyer un mail avec une adresse émetteur erronée (Spoofing) du créateur de réseau social Facebook ««mark zuckerberg» qui contient un lien de phishing qui mène la victime à ouvrir la page d authentification de Facebook pour s authentifier et accéder à son profil. Une fois la victime est authentifiée, son adresse mail et son mot de passe seront enregistrées sur le serveur de la page de phishing qui est accessible par son créateur, donc on a réussi à voler ses informations personnelles i. Présentation des outils utilisés : On va utiliser pour le Mail spoofing, une application en ligne qui sert à envoyer un email à la victime avec une fausse identité. On va utiliser pour le Phishing, un hébergeur de site qui permet de rendre notre site accessible sur internet, 1. creer un site web avec un hébergeur de site : 2. Télécharger tous les fichier dans public_html : Page 6
3. creation de la base de données avec le nom mentionné dans le fichier steal.php : Une foi la base de données est créé chaque foi quelqu un essai de se connecter son email et sont mots de passe seront envoyés a cette base. Page 7
Dans la base de données on trouve : Page 8
ii. Configuration des outils : Pour l application de spoofing on va compéter les champs : On indique le nom de l émetteur qu on souhaite que la victime le voir On indique l adresse erronée de l émetteur qu on souhaite que la victime la voir On indique ici l adresse mail de la victime : Sujet : Pièce jointe : Type de contenu : Contenu : Enfin, envoyer l email : Page 9
4) Conclusion : Comment se protéger contre les mails threats? La simple lecture, attentive, permet déjà de mettre en doute certains mails : fautes d orthographes, absence d accents, formulations bizarre, Mais les pirates s améliorent, méfiance!! Ne répondez pas à un mail qui vous demande des infos confidentielles!!!!! Un établissement sérieux utilise encore le courrier classique ou le passage au guichet ou son site sécurisé. Le lien sur lequel il faut cliquer, ensuite. Si c est une banque, votre banque, vous connaissez son adresse internet, vérifiez. Si c est votre fournisseur d accès internet, idem vous connaissez son adresse web, comparez. De plus pour modifier des données supposées personnelles et confidentielles, vous êtes obligés de vous connecter à votre compte et d entrer votre nom de compte et votre mot de passe. Or, ici, souvent, vous vous retrouvez directement sur un formulaire à remplir. Bizarre, vous avez dit bizarre!!?? Enfin les accès à des comptes sont protégés, sécurisés et cela se reconnait dans le type d adresse internet au lieu du typique http:// vous observerez le https// pour une adresse sécurisée. Page 10