Vous êtes sur le site public du Cert-IST
Espionnage et e-mail

Date :11 Juillet 2005

Publication: Article

The Privacy Foundation, association américaine, a repris ce mois-ci un problème datant de 1998, et a montré qu'il pouvait être utilisé pour "pister" le parcours d'un email lorsque celui-ci est transmis de correspondant en correspondant.

En s'appuyant sur le concept du Web bug (Cf. Bulletin n°36 du mois de septembre 2000 "La saga Office"), il est en effet possible de créer un e-mail contenant du code JavaScript "invisible" pour le destinataire. Ce code JavaScript s'exécute dès que l'e-mail est affiché (lu), et il peut par exemple envoyer une copie de tout le texte du message vers un serveur quelconque. Dans le cas où ce message ainsi piégé est transféré ("forwardé") de personne en personne avec des commentaires, l'initiateur du message pourra alors suivre le cheminement du message, et avoir connaissances des différents commentaires qui y sont apportés.

Cette situation ne peut néanmoins avoir lieu qu'à partir des clients de messagerie interprétant le format HTML et les scripts JavaScript. C'est le cas pour Outlook, Outlook Express et Netscape Messenger.

Nota : Ce problème ne s'appuie sur aucune vulnérabilité des clients de messagerie, mais sur une utilisation "judicieuse" des scripts JavaScript.

Protection :

Les solutions antivirales ne pouvant pas gérer ce type de menaces, la seule protection possible est d'interdire l'exécution des scripts JavaScript dans le client de Messagerie ou d'utiliser des scanners de messagerie. Nous examinons ci-dessous chacun de ces deux cas.

Clients de messagerie :

Il est important de noter tout d'abord que pour rendre totalement inefficace l'exploitation de ce problème, il est essentiel que toute la chaîne des clients de messagerie dans laquelle est transmise le message soit sécurisée. En effet, il suffit d'un client de messagerie non protégé pour fournir au créateur du message malicieux de précieuses informations.

- Sécurisation de Outlook Express et Outlook :

La sécurité des clients de messagerie Microsoft est basée sur celle du navigateur Internet Explorer. Dans le bulletin n°37 (octobre 2000) du CERT-IST, un article de la partie "Informations intéressantes" proposait une démarche de sécurisation de ce dernier ("Configuration sécurisée d'Internet Explorer") empêchant notamment l'exécution des scripts JavaScript.

L'utilisation du correctif d'Outlook 2000 (Outlook SR-1) est également conseillée. Il permet, entre autres, d'empêcher l'exécution des scripts JavaScript contenus dans les e-mails (Cf. l'article suivant).

Ce correctif est disponible à l'adresse http://office.microsoft.com/2000/downloaddetails/Out2Ksec.htm

- Sécurisation de Netscape Messenger :

  • 1. Sélectionner "Preferences..." dans le menu "Edition" de Netscape.
  • 2. Cliquer sur l'option "Advanced" dans la liste "Category" de la boite de dialogue "Preferences".
  • 3. S'assurer que l'option "Enable Javascript for Mail and News" n'est pas sélectionnée.
  • 4. Cliquer sur le bouton "OK" de la boite de dialogue "Preferences".

Scanners de messagerie :

Baltimore (anciennement "Content Technologie"), éditeur du scanner de messagerie MimeSweeper, propose un outil permettant d'intercepter ce type de message sur son scanner.

Cet outil est disponible à l'adresse : http://www.mimesweeper.com/support/threatlab/default.asp (et http://www.mimesweeper.com/support/threatlab/vbstool.asp)

Pour plus d'information :

Privacy Foundation : http://www.privacyfoundation.org/advisories/advemailwiretap.html