Oui, on peut modifier un email après l'avoir envoyé (mais c'est compliqué)

Le par  |  14 commentaire(s) Source : mimecast (pdf)
email-logo

Tout le monde ou presque s'est un jour demandé s'il était possible de modifier le contenu d'un email après envoi. Et si certains logiciels de messagerie permettent des modifications tant que l'email n'a pas été récupéré par le correspondant, la situation est bien plus compliquée lorsque le destinataire a déjà récupéré le message.

Francisco Ribeiro, expert en sécurité de Mimecast vient de présenter une manipulation qui permet de modifier le contenu d'un email et de choisir ainsi, après envoi, ce qui s'affichera dans le client de messagerie du destinataire.

Attention, on ne parle pas ici uniquement de modifier un email qui serait stocké sur les serveurs en attente de réception, mais également de changer le contenu d'un email après que celui-ci a été réceptionné (et même éventuellement lu).

Matrix exploit

Les emails sont généralement envoyés au format HTML et ils sont ainsi dépendants de feuilles de style CSS. Or, ces CSS peuvent parfois être stockés sur des serveurs qui ne sont pas liés au serveur mail, de fait elles peuvent éventuellement être manipulées pour modifier l'affichage du message.

Il faut alors jongler avec les tag <div> pour choisir ce qui s'affiche ou pas chez le destinataire. On peut ainsi masquer facilement une partie du texte, ou en créer un totalement nouveau à condition de créer du code HTML en associant chaque lettre avec un tag <div>

La mise en oeuvre est relativement fastidieuse, mais elle pourrait se montrer rentable pour les cybercriminels. En effet, en modifiant du texte via les feuilles CSS, le contenu affiché chez l'utilisateur n'est pas soumis au contrôle de contenu des messageries, ce qui pourrait permettre de renvoyer vers des URL comportant du contenu indésirable.

Reste que cette "faille" qui n'en est pas vraiment une ne concerne que les logiciels de client messagerie. Les utilisateurs de webmails n'ont pas à s'inquiéter de ce type de détournement.

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #1977469

En effet, en modifiant du texte via les feuilles CSS, le contenu affiché chez l'utilisateur n'est pas soumis au contrôle de contenu des messageries, ce qui pourrait permettre de renvoyer vers des URL comportant du contenu indésirable.



Cette méthode modifié seulement le texte affiché. Le lien cliquable reste inchangé, il ne peut pas modifier sa destination. Donc les clients peuvent toujours analyser le href du lien.
Le #1977471
"...Allez, quoi, vous voyez bien que c'est pas secure vot'truc..."

Bah, non, je ne changerai pas pour un webmail uniquement...
Le #1977472

Ca modifie en rien l'eamil envoyé.


C'est comme dire que si on envoit une URL par mail, on peut modifier l'URL... bah non, on peut pas, par contre, on peut modifier le contenu du site sur lequel arrive l'URL
Le #1977474
Les logiciels de messagerie bloque systématiquement les liens externes, tout ceci n'a rien de nouveau.
Le #1977486
Premièrement : Le chargement de CSS en external est bloqué sur beaucoup de client mail et webmail, si au moins le chargement de feuille de style (même inner!) était déjà une possibilité universelle ca se saurait ! En 2017 il y a encore beaucoup de inline pour assurer une compatibilité 99.99%

Deuxièmement : la propriété CSS "content" ne peux que modifier le contenu inner d'une balise et non des attributs (ex: href) et donc la destination d'un lien.

Troisièmement : Les webmail mettent en cache les ressources externes (lors qu'elles sont autorisées) une fois que le destinataire a reçu une fois et chargé les assets il ne le refait pas une seconde fois et donc le CSS est inchangé et donc le contenu également.

La seule chose que je vois et ca c'est a cause d'une très mauvaise idée des clients mail c'est d'interpréter du texte et de le parser pour en générer des liens, exemple le texte "http://google.fr" est parsé et transformé en élément Html <a>donc si je mets mon texte dans un élément que j'utilise la combine du CSS chargé en externe et que j'utilise content alors le lien pourrait être changé. Trois conditions peu probables réunie ca fait un peu gros pour parler d'une faille et encore moins nouvelle ...

Bref, ne vous en faites pas les amis il n'y a rien à craindre pour le moment.
Le #1977487
Tirnon a écrit :

Les logiciels de messagerie bloque systématiquement les liens externes, tout ceci n'a rien de nouveau.


Pas toujours. Il me semble qu'incredimail permet de mettre des images de fond et des animations dans les mails, et ils sont sur leurs serveurs je crois. Donc une modif de dns pour charger l'image depuis un autre serveur devrait être possible
Le #1977514
Moralité, envoyez vos mails en mode texte seulement.

Anonyme
Le #1977538
Pyraah a écrit :


En effet, en modifiant du texte via les feuilles CSS, le contenu affiché chez l'utilisateur n'est pas soumis au contrôle de contenu des messageries, ce qui pourrait permettre de renvoyer vers des URL comportant du contenu indésirable.



Cette méthode modifié seulement le texte affiché. Le lien cliquable reste inchangé, il ne peut pas modifier sa destination. Donc les clients peuvent toujours analyser le href du lien.


Je me suis dit la même chose.
Anonyme
Le #1977539
FFFeu a écrit :

Premièrement : Le chargement de CSS en external est bloqué sur beaucoup de client mail et webmail, si au moins le chargement de feuille de style (même inner!) était déjà une possibilité universelle ca se saurait ! En 2017 il y a encore beaucoup de inline pour assurer une compatibilité 99.99%

Deuxièmement : la propriété CSS "content" ne peux que modifier le contenu inner d'une balise et non des attributs (ex: href) et donc la destination d'un lien.

Troisièmement : Les webmail mettent en cache les ressources externes (lors qu'elles sont autorisées) une fois que le destinataire a reçu une fois et chargé les assets il ne le refait pas une seconde fois et donc le CSS est inchangé et donc le contenu également.

La seule chose que je vois et ca c'est a cause d'une très mauvaise idée des clients mail c'est d'interpréter du texte et de le parser pour en générer des liens, exemple le texte "http://google.fr" est parsé et transformé en élément Html <a>donc si je mets mon texte dans un élément que j'utilise la combine du CSS chargé en externe et que j'utilise content alors le lien pourrait être changé. Trois conditions peu probables réunie ca fait un peu gros pour parler d'une faille et encore moins nouvelle ...

Bref, ne vous en faites pas les amis il n'y a rien à craindre pour le moment.


J'allais demander pourquoi les webmails moins que les clients, mais tu l'as expliqué.

Mais j'ai rien compris mdr
Anonyme
Le #1977564
Dragonslayer a écrit :




Lui, c'est encore pire, il vient de faire un avc sur le clavier !
Suivre les commentaires
Poster un commentaire
Anonyme