Dakarmidi – Peut-être l’ignorez-vous, mais la plupart des services de messagerie permettent de modifier un e-mail que l’on a déjà expédié. Mais si le message est modifié dans la messagerie de l’expéditeur, le destinataire, lui, n’en est aucunement informé. Un chercheur en sécurité est parvenu, en exploitant une faille du format HTML, à modifier un message dans la boîte du destinataire.
Une faille du format HTML
Message imprécis, envoyé trop tôt, sans relecture, sous le coup de l’émotion … Il vous est sûrement déjà arrivé d’expédier un mail que vous avez aussitôt regretté. Et vous vous êtes alors demandé s’il n’était pas possible de le modifier à distance, directement dans la messagerie du destinataire. Un chercheur en sécurité informatique de la société Mimecast est parvenu à réaliser cet exploit.
Francisco Ribeiro a en effet exploité une particularité de la mise en forme des mails. Pour des questions d’esthétique, ces derniers sont presque toujours envoyés au format HTML qui, à la différence du format texte basique, autorise l’ajout d’image ou un travail sur la police ou la taille des caractères. Ces modifications sont rendues possibles par des feuilles de style, que vous modifiez à votre guise généralement dans un menu déroulant. Ces feuilles de style, ou CSS (cascading style sheets), sont souvent hébergées sur un autre serveur que votre serveur mail.
Les clients webmail épargnés
Et c’est là que réside la vulnérabilité dans laquelle s’est engouffrée Francisco Ribeiro. En modifiant la feuille de style (technique appelée « switch exploit »), il est d’abord parvenu à modifier l’URL d’un lien figurant dans un message déjà expédié. On imagine d’emblée l’usage d’une telle technique : renvoyer depuis une adresse sûre un internaute vers de potentielles arnaques. Plus diabolique encore, l’autre technique baptisée « matrix exploit » : Francisco Ribeiro prend alors le contrôle du texte lui-même, réécrivant partiellement ou dans sa totalité le message déjà arrivé dans la messagerie du destinataire.
Assez simple dans sa mise en oeuvre, ce hack que Francisco Ribeiro a nommé « Ropemaker » (le cordier) rend possible des attaques ciblées susceptibles de passer sous le radar des contrôles de contenus des services de messagerie. L’attaque a parfaitement réussi sur Microsoft Outlook, Apple Mail et Mozilla Thunderbird. Elle a en revanche échoué sur les webmails Gmail, outlook.com et icloud.com.
La Rédaction