Pentest Corner

p. 06  Shuck Hash before trying to Crack it

Malware Corner

p. 16  Conception et implémentation d’un RAT en C#

Threat Intel Corner

p. 26  Les courtiers en accès initiaux : à la découverte d’un maillon essentiel de la matrice cybercriminelle

Réseau

p. 34  Sécuriser votre Cloud avec l’Infrastructure as code 

Système

p. 42  Techniques pour l’extraction de secrets KeePass

Code

p. 54  Scudo, un nouvel allocateur userland pour Android

Cryptographie

p. 64  Blockchain : de la preuve de travail à la preuve d’enjeu
p. 74  Attaques par canaux auxiliaires : le cas des attaques via la consommation électrique

SMTP (Simple Mail Transfer Protocol) fait partie des protocoles historiques toujours actifs et continuant d’évoluer de la même manière que HTTP, tandis que d’autres, tels que NNTP, IRC ou plus récemment FTP, ont quasiment disparu faute d’avoir su s’adapter aux usages et besoins de sécurité. Pourtant, SMTP, au même titre que la plupart des autres protocoles internet créés à cette époque repose sur la confiance mutuelle. L’expéditeur spécifié au niveau du protocole peut parfaitement être usurpé sans aucun contrôle, il peut d’ailleurs être différent de celui spécifié dans l’enveloppe du message. Quant au destinataire spécifié dans l’enveloppe, il peut n’avoir aucun lien avec le destinataire réel. Bref, tout est déclaratif sans aucun contrôle pour le plus grand bonheur des premiers virus internet, des spammeurs ou aujourd’hui des campagnes de phishing.

Pourtant, le protocole SMTP, comme d’autres protocoles historiques, a su s’adapter pour survivre dans le Far West qu’est devenu Internet. D’abord avec SPF qui a mis fin à la pratique d’utiliser n’importe quel serveur SMTP pour envoyer des messages depuis n’importe quel domaine. Bye bye smtp.(wanadoo|numericable|free|…).fr sans authentification dans Outlook Express sur le PC familial pour envoyer indifféremment des mails professionnels comme ceux depuis Caramail. S’en est suivi la différenciation des flux entre serveurs (port 25), de ceux entre un utilisateur et le serveur SMTP du fournisseur de mail (port 465 et 587) puis DKIM et DMARC ajoutant de nouveaux raffinements dans les mécanismes de protection contre l’usurpation des émetteurs.

Ces évolutions des RFC de SMTP, conjuguées à des outils sophistiqués dans le tri des e-mails et des évolutions sur le plan réglementaire qui obligent les services marketing à proposer un désabonnement facile aux messages commerciaux, ont permis de réduire considérablement la proportion de messages indésirables reçus au quotidien. Si bloquer les messages émis directement depuis une ligne DSL est une bonne idée pour réduire le nombre de messages indésirables, cela sonne aussi la fin des serveurs e-mail auto-hébergés derrière un accès internet grand public. Quand l’émission vers le port 25 reste encore possible chez quelques fournisseurs après avoir déverrouillé la politique par défaut, les messages ont au final assez peu de chance d’arriver jusqu’à une boîte e-mail. Fini les expérimentations d’auto-hébergement de messagerie pour les geeks sur un PC, il faut dorénavant dépenser quelques poignées d’euros pour l’accès à des VM chez un hébergeur.

Si le soldat SMTP semblait avoir été sauvé, c’était sans compter sur les ogres américains, Google et Microsoft, qui sont arrivés à un tel niveau d’hégémonie dans la fourniture de boîtes mail, autant pour les particuliers que pour les entreprises, qu’ils peuvent dicter leurs lois en s’affranchissant des RFC. Ainsi, tout message n’étant pas émis depuis Google ou Microsoft est considéré avec suspicion et a toutes les chances de tomber dans le répertoire indésirable chez ces fournisseurs de service… Les administrateurs auront beau respecter à la lettre toutes les bonnes pratiques, suivre la pile de RFC s’étant accumulée au fil des années, ainsi que les règles spécifiques dictées par Google et Microsoft, les messages émis vers ces fournisseurs se retrouvent régulièrement classés dans les répertoires indésirables sans explications. Étant directeur du numérique d’une structure gérant en interne ses mails, c’est un défi au quotidien de faire en sorte que les messages envoyés vers des boîtes Google et Microsoft ne soient pas considérés comme spam. Et détenteur de boîtes chez les GAFAM, comme celle pour MISC, j’ai de plus en plus régulièrement des messages tout à fait légitimes classés comme spam dont le seul tort semble être de ne pas venir d’une personne dont la messagerie n’est pas gérée par Google ou Microsoft.

En somme, nous nous trouvons aujourd’hui dans une situation où Google et Microsoft sont arrivés à un tel niveau de monopole sur la messagerie qu’ils façonnent la réalité de ce qui est ou n’est pas un courrier indésirable. Sous prétexte de lutter contre le spam et les virus, ils peuvent techniquement marginaliser n’importe quel autre fournisseur de messagerie, réduisant ainsi leur visibilité à l’échelle mondiale. Cette hégémonie donne lieu à une situation kafkaïenne où, malgré le respect scrupuleux des bonnes pratiques et des règles spécifiques dictées par ces géants, les messages émis depuis d’autres serveurs peuvent être arbitrairement traités comme suspects et ainsi être invisibilisés pour les utilisateurs. Dans ce contexte, la nécessité d’un Internet ouvert et équitable n’a jamais été aussi cruciale.

Cédric Foll / cedric@miscmag.com / @follc