Outils pour utilisateurs

Outils du site


sysadmin:securite:virus:alert

Les fausses alertes

ou pourquoi il faut être vigilant avec le courrier…

Le 27 septembre 2005, un utilisateur a reçu un message de admin@eila.jussieu.fr dont le sujet était Account Alert dont voici une capture d'écran :

Il y a plusieurs points à noter pour ne pas se faire avoir ; j'ai encadré ou souligné les plus parlants ci-dessus et voici ce que l'on peut en dire :

  • L'expéditeur du message : le message est — soit-disant — envoyé par admin@eila.jussieu.fr. Or nous n'envoyons aucun message depuis cette adresse (ni depuis admin@eila.univ-paris-diderot.fr ou admin@crl.univ-paris-diderot.fr). Il est très facile d'usurper une adresse électronique, il ne faut jamais y faire confiance.
  • La langue du message : le message est rédigé en anglais. Étant tenu par loi à nous exprimer en français, nous ne rédigeons de message en anglais qu'en cas de nécessité (réponse à un message en anglais et/ou à destination de non-francophones).
  • Le format du message : le message est en HTML. Nous n'envoyons de message qu'en texte seul (text/plain).
  • Le contenu du message : le ton est ferme mais poli, fait état de raisons de sécurité (affirmation gratuite puisqu'elles ne sont pas exposées) et menace de fermer votre compte si vous ne vous exécutez pas sur le champ. Nous donnons toujours des raisons à nos actes sans quoi nous ne serions ni crédibles ni légitimes. Et ce message n'est pas crédible.

Enfin, nous n'avons pas les moyens humains de prétendre avoir une équipe de sécurité, tout au plus est-ce une préoccupation permanente.

  • Le lien dans le message : pour ce que l'on en voit, c'est :
  	http://www.mXXXXXn@eila.jussieu.fr/confirm.php?email=eila.jussieu.fr

il pointe vers le serveur eila.jussieu.fr (c'est un domaine, pas un serveur… ce lien n'est donc pas valide !), il faut se connecter sous l'identité de www.mXXXXXn (qui est-ce ?) et il s'agit d'un script PHP qui est supposé guérir tous vos maux, vous assurer le retour de l'être aimé, la repousse des cheveux, etc.
Si on positionne la souris sur le lien, on s'aperçoit en regardant dans la barre en bas que l'adresse du lien affiché dans le message n'est pas l'adresse réelle ! Le lien pointe vers l'adresse

  	http://152.3.79.27:90/Confirmation.pif

Ça n'a rien à voir avec celle affichée (comme c'est bizarre !). En outre, il ne s'agit pas d'un script PHP mais d'un fichier PIF qui est un programme Windows. On s'apprête donc à cliquer sur un virus. Voilà où l'auteur du message voulait en venir.

Voir aussi Usage sécurisé de Mozilla Thunderbird.

Moralité

Les intentions de l'auteur du message ne font pas de doute : il voulait infecter une (des) machine(s), probablement pas les notres en particulier. Pour quoi faire ? Le virus n'a pu être analysé (le serveur avait été fermé avant) mais dans ces cas là, classiquement il cherche à installe un programme furtif à l'insu de l'utilisateur et bien évidemment de l'administrateur. Ce programme aurait pu servir à lancer des attaques vers d'autres machines, à installer un programme serveur ou pair à pair (Peer to Peer aka P2P) par exemple pour servir de relai de spam.

Pour ce faire, il a tenté de jouer sur la crédulité du destinataire en cherchant à se faire passer pour un membre de l'équipe système de l'UFR EILA, en le menaçant de fermer son compte dans les 24 heures s'il ne suivait pas les instructions du message. Ce jeu sur la crédulité a un nom tant il est répandu :

l'ingénierie sociale

Cette technique d'« hameçonnage » (aussi appelé « filoutage » ou “phishing” en anglais) est très courante, les banques alertent leurs clients régulièrement. En effet, les banques n'envoient pas de mail à leurs clients, surtout sur ce ton. Consultez Phishing pour en savoir plus.

Le virus a été déjoué par notre serveur mandataire Squid dont la configuration interdit le téléchargement de fichiers PIF. Heureusement, car l'utilisateur a eu pour premier réflexe de cliquer dessus pour ouvrir le lien… et donc le virus !

Autre exemple d'ingénierie sociale : un jour vous recevez un coup de téléphone. Votre interlocuteur à l'autre bout du fil prétend être policier et procéder à une enquête (pédophilie sur Internet ou que sais-je). Pour cela, il aurait besoin de vos identifiants de connexions, login et mot de passe. Évidemment, il ne faut pas les donner, les forces de l'ordre s'adressent dans ces cas-là aux administrateurs et à leur hiérarchie directement.

sysadmin/securite/virus/alert.txt · Dernière modification: 2009/04/03 22:16 par Pascal Cabaud

Outils de la page