Étiquette : expert

Protection de son carnet d’adresse

Je viens de tomber sur un article reprenant une vieille « astuce » pour protéger son carnet d’adresses des virus.

Cette « astuce » prétend que le fait de créer un contact aaaaaaa@aaa.aaa  (d’autres proposent 000000@0000.000, peu importe l’idée est que ce soit la première entrée de votre carnet).

Cela permet :

1- de stopper l’envoi de mail à vos contacts: le ver/virus/ »truc-pas-sympa-ware »  va envoyer des mails à tous vos contacts par le début de la liste alphabétique. Comme il ne sera pas possible d’acheminer le premier, il s’arrêtera de lui même

2- Comme il y a eu erreur d’acheminement, vous recevrait une notification d’erreur sur l’adresse aaaaa (ou 0000) et vous saurez que vous êtes infecté!

C’est pas beau la vie !  😉

Pourtant je m’interroge …

sur le point 1:

– un virus est un code « minimaliste », je ne suis pas certains que beaucoup soit capable de voir qu’une adresse est erronée. Cela signifierai qu’il  soit capable de recevoir les mails et de les comprendre un « minimum ». Cela alourdirait d’autant son code.

– De nombreux badwares savent se propager aux adresses contenues dans des fichiers bureautiques ou du cache de votre navigateur, en plus de votre simple carnet d’adresse. Donc, cette astuce ne garantie peut être pas grand chose.

– Rien n’indique que le parcours du carnet ce fait dans l’ordre alphabétique. Il aurait même toute intérêt à se faire dans un ordre anti-chronologique. Il est raisonnable de penser que les dernières adresses entrées soient plus « actives » que celles entrées il y a plusieurs années.  (On est tous pareil! On garde tous des adresses qui ne fonctionnent plus). Dans les faits,  je n’ai pas la moindre idée de l’ordre utilisé mais rien n’indique qu’il correspondent à l’ordre alphabétique tel qu’affiché par votre carnet.

Le point 2 aussi me laisse perplexe…

– Depuis longtemps,  les badwares savent usurper les adresses des destinataires comme celles des expéditeurs… J’ai un peu de mal à accorder un crédit particulier à la réception de ce type de notification.

– Je  n’ouvre les notifications d’erreur que si je viens d’envoyer un courriel, parce que sinon je sais que c’est souvent du spam. Donc, je ne remarquerai rien. Et vous?

Je crains que la vigilance (et un bon antivirus)  reste la meilleure des protections.

Si cette astuce a fonctionné un jour, ce n’est que dans un cas précis, pour une famille de vers en particulier.

un site indiscret

A force de discuter à droite à gauche, il faut constater que beaucoup de sites Internet sont très indiscret.

Je vous propose ici une petite démonstration « grandeur nature » du problème posé par une configuration un peu « faible » d’un serveur comme Apache.

Au départ, nous avons une site web proposant une zone d’accès restreint sur authentification (un Intranet par exemple)

J’utiliserai ici IE comme client identifié (donc ayant accès au contenu secret et protégé) et Opéra representer un visiteur quelconque (sans droit sur le site).

Ma petite démonstration fonctionne quelque soit le navigateur! C’est juste parce que plus pratique pour moi.

En arrivant sur le site, tout le monde voit la même chose:

visiteur

Une fois identifié, nous voyons apparaître un nouvel article (appelé « article secret »)

identifie

On accède donc librement au l’article et aux fichiers joints qu’il contient

article-secret

 

Même si  notre visiteur ne peux pas accéder à l’article confidentiel, il n’a aucune difficulté à accès au document en remontant simplement les sous-dossiers de site.

Il tombe d’abord sur  la liste des fichiers du répertoire courant

liste

 

Il n’a plus qu’à choisir le fichier pour l’ouvrir simplement ou le télécharger…

acces-au-fichier

Bien entendu, ce visiteur lambda peut être le robot de Google et votre super fichier secret devient très largement accessible avec encore moins d’effort.

Avec un simple de réglage du serveur, on interdit tout bêtement le parcours des dossiers et le visiteur indiscret trouve au minimum un message d’erreur.

acces-403

Si votre administrateur est un semi Dieu (s’il a ouvert un jour les howtos d’Apache), il saura rediriger ces erreurs vers soit votre page d’accueil soit un formulaire  destiné à l’informer du problème.

Sachez aussi qu’en cherchant si votre site comporte une page toto permet très souvent de récupérer la version de votre serveur et son système d’exploitation. (essayez l’adresse votresite.com/toto)

Fort de ces éléments il suffit de compulser les bases de vulnérabilités connus pour trouver des failles exploitables.

Si vous êtes dans le cas de figure que je décris ici virer votre administrateur ou votre prestataire! Etant à la recherche d’un emploi,  je me ferai un devoir de sécuriser votre site et votre parc. 😉

Merci à l’association CapSudOuest de m’avoir permis d’utiliser son site pour ma démonstration