PaperGeek, actu geek et high tech

Actu geek

  •  Tendances
  • Codes secrets Netflix
  • Disney Plus
  • Xbox Series X
  • PS5
  • News
    • Apps et Logiciels
    • Bons plans
    • Culture Geek
    • Guide d’achat
    • Hardware
    • Insolite
    • Jeux video
    • Mobilité
    • Objets connectés
    • Opérateurs télécom
    • Sécurité
    • Science
    • Sport
    • Transport
    • Web
  • Comment faire
Accueil / Sécurité / Un hacker montre comment modifier un email après l’avoir envoyé

Un hacker montre comment modifier un email après l’avoir envoyé

Par David Igue le 24 août 2017

Un hacker white hat vient de découvrir une faille qui permet de modifier le contenu d’un email, même après que celui-ci ait été envoyé et reçu par son destinataire. La faille repose sur la manipulation des feuilles de style CSS et pourrait être exploitée de plusieurs manières.

Email hackerAvec Gmail, il est possible de rappeler des emails envoyés par erreur. Cette astuce très utile repose en réalité sur une fonction de retardement de la délivrance des messages. La modification d’un email déjà parvenu à son destinataire paraissait impossible à réaliser, mais Francisco Ribeiro, un chercheur en sécurité de la société Mimecast, vient de prouver le contraire.

Piratage : comment on peut modifier un email après l’avoir envoyé

À l’instar des pages web, la plupart des emails envoyés aujourd’hui sont au format HTML, ce qui permet de leur donner plus d’attrait comparativement aux messages affichés dans un simple format texte. Cette mise en forme plus flexible est possible grâce à la liaison d’une feuille de style CSS (Cascading Style Sheets) qui permet de contrôler n’importe quel aspect de l’affichage des emails.

Selon le billet de blog de Mimecast, les messages électroniques au format HTML posent un problème : les feuilles de style sont hébergées sur des serveurs autres que ceux des clients de messagerie. L’expert en sécurité Francisco Ribeiro a mis la main sur une faille qu’il a nommée ROPEMAKER. Elle permet de manipuler des fichiers CSS de manière à modifier l’affichage des emails déjà envoyés, et même lus par leurs destinataires.

Cette faille est exploitable de deux manières. La première a été baptisée « Switch Exploit ». Elle permet d’utiliser la commande CSS « display » pour afficher du contenu variable. Dans son exemple, le chercheur montre comment il est possible de référencer deux URL différentes.

Au moment de l’envoi, l’attaquant peut afficher un lien « sain » qui lui permettrait de contourner les filtres de sécurité des clients mail. Grâce à la fonction « Display », il peut a posteriori décider de masquer le bon lien et d’afficher une adresse malicieuse qui pourrait par exemple servir à des attaques de type phishing.

Le deuxième exemple est un peu plus compliqué. Baptisé « Matrix Exploit », il consiste à intégrer chaque lettre de l’alphabet dans le code HTML de l’email par le biais d’une balise <div>. Il est ensuite possible grâce à la feuille de style CSS hébergée à distance d’afficher n’importe quel texte voulu, et cela inclut les URL vers des sites malveillants.

Afin d’éviter ce genre d’attaque, le chercheur recommande d’utiliser les clients de messagerie dans leur version web (Gmail.com, Outlook.com etc.). Les clients web ne sont apparemment pas affectés par les exploits CSS de type Ropemaker. Par contre, les versions desktop et mobile de Microsoft Outlook, Apple Mail et Mozilla Thunderbird sont toutes vulnérables.

Article précédent

Voici 4 faux virus pour faire des blagues à vos amis

août 16, 2017

faux virus blague
Article suivant

Facebook Messenger : un dangereux malware Windows, Mac et Linux se répand via l’application de messagerie

août 25, 2017

Facebook messenger malware
Notifications

Abonnez-vous pour recevoir les notifications sur smartphone, tablette ou pc selon vos préférences !

Newsletter

Abonnez-vous et recevez nos dernières actus & bons plans directement dans votre boite email.

Vérifiez votre boite de réception ou votre répertoire d’indésirables pour confirmer votre abonnement.

Barre latérale 1

Derniers articles
  • xAI : OpenAI et Anthropic taclent l’entreprise d’IA d’Elon Musk
    xAI : OpenAI et Anthropic taclent l’entreprise d’IA d’Elon Musk
    Fondée par Elon Musk, xAI est bien connue pour son chatbot Grok, qui a récemment défrayé la chronique. Mais selon certains responsables d’Anthropic et d’OpenAI, la gestion de la sécurité…

    Il y a 1 semaine et 5 jours

    Apps et Logiciels, Sécurité

  • Tesla condamné par la justice à cause de son système de conduite “autonome”
    Tesla condamné par la justice à cause de son système de conduite “autonome”
    Le fabricant du Cybertruck rencontre de nouveaux ennuis à cause de son système de pilotage automatique. En effet, un propriétaire d’une voiture Tesla n’a pas réussi à utiliser le Full…

    Il y a 2 semaines et 5 jours

    Sécurité, Voiture

  • Tesla : les erreurs d’Elon Musk vont-elles avoir raison du Robotaxi ?
    Tesla : les erreurs d’Elon Musk vont-elles avoir raison du Robotaxi ?
    Le lancement des taxis autonomes de Tesla, sobrement baptisés Robotaxi, ne serait pas une réussite. Et, selon certains spécialistes, cet échec serait dû au refus du propriétaire de l’entreprise, Elon…

    Il y a 4 semaines et 6 heures

    Sécurité, Voiture

  • Le “parrain de l’IA” s’inquiète toujours plus de son évolution
    Le “parrain de l’IA” s’inquiète toujours plus de son évolution
    Yoshua Bengio, considéré par beaucoup comme le “parrain de l’IA”, s’inquiète. En effet, ce dernier déplore l’évolution de cette technologie, qui serait capable de mentir et de tromper les utilisateurs.…

    Il y a 1 mois et 2 semaines

    Apps et Logiciels, Sécurité

Newsletter Papergeek

Inscrivez-vous et recevez gratuitement nos meilleures actus !

Vérifiez votre boite de réception ou votre répertoire d’indésirables pour confirmer votre abonnement.

© 2025 papergeek.fr : actus geek et high tech

  • Préférences cookies
  • Nous Contacter
  • Mentions légales
  • confidentialité
  • CGU
loading gif ×
Notifications

Recevoir les notifications

Réglages

Actualité
Bon plan