L'usurpation d'adresse email, un jeu d'enfant.

Ma mémoire ne me permet pas de vous dire à quel age j'ai réussi cette "prouesse" (a titre privé), mais je peux vous confirmer qu'un enfant de 12 ans en est capable. Pour peu qu'il sache lire une doc. L'idée de cet article n'est pas de vous apprendre à finir en prison, de toute façon il suffit de savoir lire une doc, mais simplement de réfléchir sur la sécurité d'Internet.

Explications :

Explication sur les serveurs SMTP, POP et IMAP

Ici note amis CLIENT2 croit qu'il a un message de Mickey Mouse. Il a tort pour deux raisons : Les emails de Mickey Mouse ne sont réceptionnables qu'avec le protocole IPOT, ou en vous rendant à Mickeyville. De plus, les serveurs SMTP, et POP ne vérifient pas l'adresse de l'émetteur. Car, comme on peut le voir sur l'infographie (j'utilise le mot infographie : il parait que "ça fait bien", mais c'est "un schéma" en fait !), il n'y a aucun lien entre les serveurs POP/IMAP de chaque fournisseur de boite mail. Donc aucun moyen pour eux de vérifier si l'adresse c'est bien un abonné mariobross.net qui a envoyé l'adresse, ni même si elle existe.
Voilà d'où vient le problème !

Des solutions ?

La solution principal est : la signature numérique. Il y a pas mal d'explications sur Internet, rien de bien compliqué. Depuis 2000, elles ont autant de valeur que les "lettres papiers" non recommandées, rien de plus !
Notez que, juridiquement, les courriels non signés ne constituent pas des preuves irréfutables (et heureusement), mais il sont déjà utilisés comme "début de preuve".

Faut-il corriger le problème ?

Bien sûr, comme tous les problèmes ! Si nous vérifions auprès du serveur de réception (POP/IMAP) l'existence de l'adresse email d'envoi, cela limiterait les SPAMs, car les adresses qui envoient des SPAMs n'existent pas réellement. Mais, à moins de nommer une agence de régulation des emails (qui ne serait ni possible, ni souhaitable), il resterait toujours la possibilité de faire passer ces fausses adresses pour des vraies, en créant son propre serveur de réception.

En somme, les emails ne sont, ni plus, ni moins sécurisés que les courriers papier. Les protéger donnerait une fausse impression de sécurité qui serait, dans tous les cas contournable, et ne laisserait plus aucun bénéfice du doute en cas de problème. Il existe le même problème pour les SMS, bien que moins évident à mettre en œuvre.

Pour terminer, il faudra encore de longues années avant qu'Internet finisse de faire passer les lettres papiers dans l'oubli. À part quelques recommandations de bon sens (ne pas communiquer vos données personnelles tout ça... tout ça).

Bonnes fêtes de fin d'année !

Je suggère aussi

1 commentaire

#1 mercredi 12 décembre 2012 @ 00:07 François a dit :

"Il existe le même problème pour les SMS" Tiens j'savais pas... j'me coucherais moins bête ce soir ^^
Bon ok je ne m'étais jamais penché sur le sujet aussi...

Écrire un commentaire

Quelle est la troisième lettre du mot mzhp ? :