SPAM ultra précis, et pour cause !
Le spam que je reçois est en général assez facile identifier et ne me cible pas particulièrement. Toutefois, j'ai récemment reçu un mail étrange dans la mesure où j'en aurait été l'expéditeur. Étrange aussi et surtout parce que les autres adresses mail destinataires, une vingtaine au total, sont les adresses de personnes de mon entourage. Ce sont toutes des adresses que j'ai utilisé il y a un certain temps et la moitié n'est d'ailleurs plus valide aujourd'hui.
Bref, il ne s'agit pas de tentative de spam ou de pishing faite au hasard mais de quelque chose de plus ciblé et de plus travaillé. Passé le moment d'étonnement, il a fallu chercher à comprendre d'où provenaient les informations utilisées dans ce mail et agir rapidement.
Avant d'aller plus loin j'ai envoyé un mail aux contacts personnels encore valides et en destinataires de ce spam, en indiquant que je n'en était pas l'auteur et qu'il ne fallait surtout pas suivre le lien inclut dans le mail.
J'ai aussi temporairement supprimé le virtualhost apache renvoyant à mon webmail, de sorte que mes mails ne soient accessible que depuis mon réseau local, avec un client lourd ou directement sur le serveur. C'est préventif, sans doute disproportionné, mais au moins je suis plus serein le temps de comprendre.
Lorsque j'ai lu le mail, j'ai souhaité vérifier que les contacts n'avaient pas été pris sur l'une de mes boites mail active (mon mail est aujourd'hui auto-hébergé). la moitié des destinataires n'ont jamais été traités par mes boites mails actuelles (messages envoyés, reçus, carnets d'adresses). Comme je présume que la fuite provient d'une source unique, je peux donc exclure cette possibilité.
A ce stade, je respire déjà un peu mieux :D . Reste alors l'éventualité d'un webmail externe, mais lequel ?
J'ai d'abord pensé à une vieille boite mail que j'avais chez Tiscali. En effet, les destinataires de ce spam me font remonter à une période où j'utilisais ma boite mail chez Tiscali. J'ai changé de FAI et cette boite mail est fermée depuis des années. Rien ne m'assure que la liste de destinataire provienne de cette boite mail.
Hypothèse plus plausible, une autre boite mail externe assez ancienne et toujours ouverte. J'en identifie une en particulier chez Yahoo! (ce qui est amusant puisque je parlais justement de Yahoo! récemment). Je n'utilise plus cette boite mail depuis plusieurs années et je pensais même l'avoir fermée. Il semble en fait que non. A priori, c'est bien cette boite mail qui est à la source des adresses mail valides car j'ai retrouvé la trace de tous les destinataires dans la liste des messages envoyés.
Il reste un chose que je n'explique pas : je ne trouve pas de trace d'une quelconque activité récente ou ancienne sur cette boite ni de notifications de connexion d'aucune sorte. Rien non plus dans une autre boite mail qui est censée recevoir les notifications de connexion à mon compte yahoo! . Il a donc été possible à un tiers d'accéder à cette boite mail sans laisser la moindre trace.
Comme je n'ai plus l'utilité de cette boite mail, le plus simple a été de la fermer (page pas trop difficile d'accès à partir de la page des CGU Yahoo! ). J'ai au préalable supprimé manuellement les mails dans cette boite. Je n'ai à présent pas d'autre choix que de croire Yahoo! sur parole quand ils écrivent sur leur site que les données seront effacées sous 90 jours de leurs serveurs. Ça aurait été plus problématique si j'utilisais toujours la boite mail en question.
Toutefois, je suis le premier fautif car cette boite délaissée, mais toujours ouverte, avait un mot de passe faible et contenait des données permettant d'usurper mon identité (nom, prénom, date de naissance, des contacts, des mails persos, pseudo sur les sites de yahoo! , et j'en oublie certainement...). Premier fautif aussi parce qu'à une époque, j'avais placé ma correspondance privée sur la machine d'un tiers. Heureusement, cela n'a pas été très grave mais ça aurait pu être bien pire.
Cela me fait dire que l'affichage de l'entête complet des mails est utile (mon réglage par défaut dans thunderbird) car cela ma permit de voir immédiatement l'usurpation d'identité.
Cela me conforte aussi dans ma démarche actuelle qui consiste à garder autant que possible la main sur mes données et à faire plus attention à mes mots de passe. Les boites mails à tout faire et les comptes uniques sont autant quelque chose de simple qu'un vrai trou de sécurité pour l'utilisateur.
Bref, il ne s'agit pas de tentative de spam ou de pishing faite au hasard mais de quelque chose de plus ciblé et de plus travaillé. Passé le moment d'étonnement, il a fallu chercher à comprendre d'où provenaient les informations utilisées dans ce mail et agir rapidement.
Informer du problème et fermer quelques portes
Avant d'aller plus loin j'ai envoyé un mail aux contacts personnels encore valides et en destinataires de ce spam, en indiquant que je n'en était pas l'auteur et qu'il ne fallait surtout pas suivre le lien inclut dans le mail.
J'ai aussi temporairement supprimé le virtualhost apache renvoyant à mon webmail, de sorte que mes mails ne soient accessible que depuis mon réseau local, avec un client lourd ou directement sur le serveur. C'est préventif, sans doute disproportionné, mais au moins je suis plus serein le temps de comprendre.
Essayer de comprendre
Lorsque j'ai lu le mail, j'ai souhaité vérifier que les contacts n'avaient pas été pris sur l'une de mes boites mail active (mon mail est aujourd'hui auto-hébergé). la moitié des destinataires n'ont jamais été traités par mes boites mails actuelles (messages envoyés, reçus, carnets d'adresses). Comme je présume que la fuite provient d'une source unique, je peux donc exclure cette possibilité.
A ce stade, je respire déjà un peu mieux :D . Reste alors l'éventualité d'un webmail externe, mais lequel ?
J'ai d'abord pensé à une vieille boite mail que j'avais chez Tiscali. En effet, les destinataires de ce spam me font remonter à une période où j'utilisais ma boite mail chez Tiscali. J'ai changé de FAI et cette boite mail est fermée depuis des années. Rien ne m'assure que la liste de destinataire provienne de cette boite mail.
Hypothèse plus plausible, une autre boite mail externe assez ancienne et toujours ouverte. J'en identifie une en particulier chez Yahoo! (ce qui est amusant puisque je parlais justement de Yahoo! récemment). Je n'utilise plus cette boite mail depuis plusieurs années et je pensais même l'avoir fermée. Il semble en fait que non. A priori, c'est bien cette boite mail qui est à la source des adresses mail valides car j'ai retrouvé la trace de tous les destinataires dans la liste des messages envoyés.
Il reste un chose que je n'explique pas : je ne trouve pas de trace d'une quelconque activité récente ou ancienne sur cette boite ni de notifications de connexion d'aucune sorte. Rien non plus dans une autre boite mail qui est censée recevoir les notifications de connexion à mon compte yahoo! . Il a donc été possible à un tiers d'accéder à cette boite mail sans laisser la moindre trace.
Conclusion
Comme je n'ai plus l'utilité de cette boite mail, le plus simple a été de la fermer (page pas trop difficile d'accès à partir de la page des CGU Yahoo! ). J'ai au préalable supprimé manuellement les mails dans cette boite. Je n'ai à présent pas d'autre choix que de croire Yahoo! sur parole quand ils écrivent sur leur site que les données seront effacées sous 90 jours de leurs serveurs. Ça aurait été plus problématique si j'utilisais toujours la boite mail en question.
Toutefois, je suis le premier fautif car cette boite délaissée, mais toujours ouverte, avait un mot de passe faible et contenait des données permettant d'usurper mon identité (nom, prénom, date de naissance, des contacts, des mails persos, pseudo sur les sites de yahoo! , et j'en oublie certainement...). Premier fautif aussi parce qu'à une époque, j'avais placé ma correspondance privée sur la machine d'un tiers. Heureusement, cela n'a pas été très grave mais ça aurait pu être bien pire.
Cela me fait dire que l'affichage de l'entête complet des mails est utile (mon réglage par défaut dans thunderbird) car cela ma permit de voir immédiatement l'usurpation d'identité.
Cela me conforte aussi dans ma démarche actuelle qui consiste à garder autant que possible la main sur mes données et à faire plus attention à mes mots de passe. Les boites mails à tout faire et les comptes uniques sont autant quelque chose de simple qu'un vrai trou de sécurité pour l'utilisateur.
tags :
spam
