Menu Fermer

Mail et Phishing : Pourquoi il faut se méfier de l’adresse de l’expéditeur

Pas forcément bien connu par les internautes mais il ne faut pas se fier à cette adresse lorsque vous recevez un mail.
En effet, le mail de l’expéditeur n’est pas une information véridique.
Cela est même utilisé dans des campagnes de phishing et hameçonnage.

Dans cet article vous trouverez des explications sur le fonctionnement des mails et pourquoi il faut se méfier de l’adresse email de l’expéditeur.

Le fonctionnement des mails

Les protocoles de transport de mail

Pour bien comprendre le contenu de l’article, il faut connaître un minimum sur le fonctionnement et le transport des mails.
Le fonctionnement des mails reposent sur trois protocoles internet :

  • SMTP (Simple Mail Transfer Protocol) qui a pour charge de faire transiter les mails d’un serveur à l’autre et donc d’un hébergeur à l’autre.
  • POP (Post Office Protocol) : Protocole de consultation des mails. Un client mail utilise ce protocole pour télécharger des mails sur ce dernier.
  • IMAP (Internet Message Access Protocol) qui est un autre protocole de consultation des mails.

L’envoi et la consultation de mails peut se faire de deux manières différentes :

  • webmail : c’est un site internet qui permet de consulter et envoyer des mails. C’est le cas d’Hotmail, Gmail ou les portails des fournisseurs d’accès internet.
  • Un client mail : c’est un logiciel que l’on installe sur un ordinateur ou smartphone. Ce dernier permet de consulter les mails selon divers protocoles.

La transmission SMTP

Voici un schéma qui donne un exemple d’envoi de mails entre un utilisateur Orange qui envoie un mail vers une adresse gmail.

Mail et Phishing : Pourquoi il faut se méfier de l'adresse de l'expéditeur

Pour résumer le processus :

  • L’utilisateur Orange envoie un mail en utilisant le serveur SMTP d’Orange.
  • Ce dernier identifie qu’il s’agit d’un mail Gmail puisque l’adresse se termine par @gmail.com
  • Le serveur SMTP d’Orange fait une requête DNS afin d’identifier les serveurs SMTP gmail.com pour envoyer le mail.
  • Enfin ce dernier identifie l’utilisateur et place le mail dans le dossier de ce dernier pour consultation.

Lorsque vous utilisez un client mail comme Thunderbird, Outlook ou Courrier de Windows 10.
La configuration des comptes et la déclaration des serveurs SMTP et POP3 est donc importante pour la transmission de mail.
Ces paramètres sont transparents lors de l’utilisation un Webmail.

Avec un client mail, la consultation des mails via le protocole POP3 demande une authentification.
Vous devez fournir un nom d’utilisateur et un mot de passe afin de protéger l’accès à ces mails.
Ce n’est en général pas le cas de l’envoi via SMTP qui se fait souvent sans authentification.

Mail : Pourquoi il faut se méfier de l’adresse de l’expéditeur

Les faiblesses du protocole SMTP

Longtemps le protocole SMTP n’a vu que très peu d’évolution.
Or ce dernier possède des faiblesses très vite utilisés pour tromper les internautes.

En effet, les serveurs SMTP n’ayant aucune authentification lorsque vous envoyez un mail, il est assez difficile de vérifier la véracité des informations de l’expéditeur.
Initialement, un serveur SMTP pouvait très bien faire transiter des mails d’un autre domaine.
Ainsi un serveur SMTP xxxxx.com pouvait envoyer des mails yyyyyy.com
Mais des mécanismes existent maintenant pour limiter cela.

Le protocole SMTP ne comporte aucune méthode de vérification des informations de l’expéditeur.

De même lorsque vous envoyez un mail à un domaine, sans authentification, vous ne pouvez pas vérifier la véracité des informations de l’expéditeur.
En utilisant le SMTP d’Orange, vous pouvez envoyer un mail avec n’importe quelle adresse en @orange.fr existante ou inexistante.
C’est un peu comme avec La Poste, vous pouvez signer votre lettre avec n’importe quel nom.
Au moment de faire transiter votre lettre, La Poste n’a aucune moyen de vérifier si ces informations sont correctes.

Par exemple ci-dessous, on envoie un mail à travers le SMTP d’orange avec l’adresse [email protected]

Mail et Phishing : Pourquoi il faut se méfier de l'adresse de l'expéditeur

On reçoit bien le mail avec cette adresse email.

Mail et Phishing : Pourquoi il faut se méfier de l'adresse de l'expéditeur

De même vers une adresse Gmail qui ne peut classer le mail comme SPAM puisque :

  • Le domaine est orange et a bien été envoyé par le serveur SMTP d’orange
  • Gmail ou tout autre serveur de mail destinataire n’a aucun moyen de vérifier si ‘adresse de l’expéditeur existe bien.
Mail et Phishing : Pourquoi il faut se méfier de l'adresse de l'expéditeur

Il semblerait toutefois que le serveur SMTP d’Orange n’autorise que l’envoi de mail existant.

Attaque via phishing ou spam

Voici un exemple de phishing qui tire partie de l’adresse email de l’expéditeur pour tromper l’internaute.
Il s’agit de campagne hameçonnage vous faisant croire que votre ordinateur a été piraté.
L’attaquant se sert d’un malware pour contrôler votre PC.
Ce dernier a pris des vidéos de vous devant des sites pornographiques et le pirate demande à être payé en bitcoin contre son silence.
Ces campagne sont très fréquentes dernièrement, on en parle sur la page :

Mail et Phishing : Pourquoi il faut se méfier de l'adresse de l'expéditeur
Mail et Phishing : Pourquoi il faut se méfier de l'adresse de l'expéditeur

Pour vous faire croire à un piratage, l’attaquant envoie un mail avec votre adresse email.
Ainsi, la campagne de phishing tente de tirer partie des faiblesses de transmissions de mails pour vous tromper.

Cet autre exemple avec un phishing Paypal qui utilise ensource, la vrai adresse Paypal.
Le lien WEB dans le mail s’avère faux.

Phishing Paypal avec usurpation de mails source

Les spammeurs peuvent aussi utiliser ces techniques.
Lorsqu’un pirate utilise votre adresse email comme source alors vous pouvez recevoir des messages d’erreur “Mail Delivery System”
La page suivante évoque ce phénomène que l’on nomme aussi rétrodiffusion : Erreur Mail delivery system

Les contre-mesures: SPF et DKIM

Le protocole SMTP a beaucoup évolué pour limiter ces abus.
De nouvelles normes sont apparus dont deux en particuliers :

  • DKIM est une méthode d’authentification d’un mail. On utilise pour cela une signature électronique liée au domaine. Cela limite l’envoie de mail d’un domaine à partir d’un serveur SMTP non prévu.
  • SPF méthode de vérification des serveurs autorisés à envoyer un mail d’un domaine. Là aussi, il s’agit de limiter l’envoie de mail provenant de serveurs SMTP non autorisés.

La mise en place sur un serveur de mail est expliqué sur l’article :

Ci-dessous le mail de phishing précédemment présenté est considéré comme SPAM.
Un bref coup d’oeil dans les vérifications SpamAssassin montre que le mail ne passe pas la vérification SPF.

Mail et Phishing : Pourquoi il faut se méfier de l'adresse de l'expéditeur

En effet le mail est envoyé à partir de l’adresse IP 95.65.177.117 qui correspond à une connexion ADSL en Turquie.
Clairement ici, il s’agit d’un ordinateur infecté faisant partie d’un botnet et utilisé pour envoyer des mails de phishing et SPAM.

Cette adresse IP 95.65.177.117 n’est pas autorisée par le mécanisme SPF pour envoyer des mails ayant pour source @malekal.com

Mail et Phishing : Pourquoi il faut se méfier de l'adresse de l'expéditeur

Pour se protéger de ces usurpations, il faut donc que le serveur de mail intègre ces vérifications.
C’est notamment le cas de gmail.

Conclusion

Longtemps, il était assez facile d’envoyer un mail avec n’importe quelle adresse email.
Depuis, de nouvelles normes permettent de détecter et limiter ces attaques.
Toutefois, il est quand même recommandé de se méfier de l’adresse de l’expéditeur.
Nous vous recommandons donc de ne pas prendre cette information comme sûre à 100%.