Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Dangers des notifications envoyées en cas de virus

Date :22 Juin 2005

Publication: Article

Le ver Sobig-F (avis CERT-IST/AV-2003.011) apparu cet été, outre sa propagation importante, a soulevé de nombreuses interrogations sur les réactions générées par les anti-virus installés en coupure sur la messagerie des entreprises.

Aujourd'hui, la plupart des nouveaux vers de type "mass-mailer" utilisent des adresses source falsifiées. Cette propriété, en dehors du fait de duper les personnes recevant les messages infectés, trompe également le service de notification des protections anti-virales installées sur les équipements de messagerie.

Sobig-F fait partie des vers qui utilisent cette propriété.

Ainsi, lorsque le ver Sobig-F est "envoyé" à une entreprise X disposant de protections anti-virales avec une adresse d'émetteur falsifiée (ex : cert@cert-ist.com), le service de notification, s'il est configuré pour prévenir à la fois l'émetteur et le destinataire du message, enverra un message laconique à l'adresse ainsi falsifiée de type "votre système est probablement contaminé par un virus…".

Cette situation a engendré la réception de nombreux messages de ce type par des personnes n'ayant jamais été infectée, mais ayant eu leur adresse e-mail distribuée vers de nombreux contacts extérieurs (contacts qui ont, eux, été infectés). D'autres exemples de ce phénomène ont été également signalés au niveau des adresses des gestionnaires des listes de diffusion et des adresses de type "abuse" utilisées pour la gestion des SPAM.

Ce type de pollution a été rapidement assimilé à du SPAM avec les conséquences que cela peut induire vis-à-vis des messages non sollicités et des messages portant une accusation à caractère mensongère (ex : "vous êtes infecté par un ver…").

On peut également remarquer que ce type de comportement peut être utilisé à des fins malveillantes afin de créer une saturation de boite à lettre (Déni de Service) par l'intermédiaire d'un ver qui utiliserait toujours la même adresse émettrice forgée. Ainsi, cette adresse se verrait inondée de message de notification en tout genre (ex : ver "Palyh" CERT-IST/AV-2003.156 avec l'adresse du support de Microsoft).

Afin de résoudre ce problème, certaines entreprises ont mis en place des solutions palliatives. Le principal type de solution a été de configurer les outils anti-SPAM (Procmail, SpamAssassin, Spamd) de façon à bloquer ces messages de notification . Néanmoins cette tâche n'est pas aisée car les messages de notification ne sont pas tous uniformes ( ils sont généralement personnalisés par les entreprises).

Un débat s'est alors ouvert sur la nécessité des messages de notification lors de la détection de virus dans un e-mail. Bien que la notification du destinataire du message soit reconnue comme utile (pour des messages allant d'Internet vers l'entreprise), celle de l'émetteur (toujours pour les messages employant le même sens) est elle sujette à de vives discussions.

En effet, certaines entreprises sont contraintes d'utiliser la double notification émetteur/destinataire afin de suivre les directives de leur service juridique concernant la gestion du courrier électronique (qui est souvent assimilé à du courrier papier). Cette réaction semble être due à un manque de repères juridiques par rapport à ce support de communication. Cependant, le rapport de la CNIL (Cf. partie "Pour plus d'information") permet de donner quelques éléments de réponse à ce sujet.

De plus, d'un point de vue technique, il ne semble pas encore exister d'anti-virus de messagerie permettant d'identifier les adresses émettrices falsifiées ou les vers utilisant ce principe, afin de gérer l'envoi de messages de notification.

Globalement, les bonnes pratiques au niveau de la notification des systèmes anti-viraux de la messagerie sont pour nous les suivantes :

  • D'Internet vers le réseau de l'entreprise : prévenir le destinataire du message mais pas son émetteur (car l'adresse retour est le plus souvent soit invalide, soit ne correspond pas à l'émetteur réel).

    • Le destinataire pourra prévenir l'émetteur s'il s'agit d'un correspondant identifié.

  • Du réseau de l'entreprise vers Internet : prévenir l'émetteur du message (la notification du destinataire n'est pas nécessaire puisqu'il ne recevra jamais le message et que cette action pourrait ternir l'image de l'émetteur).

Pour plus d'information :