Disonts qu'avec un script sed/grep sur le demon mail tu envoie a chaque mail une image. Cette image est mise en ligne sur un serveur, chaque image a un nom différent (nbqmzubmeg1.jpg par exemple). Chaque image est donc unique et reliée a une adresse mail. Quand ton client mail ou ton webmail, tu va aller afficher l'image, le serveur d'hébergement enregistre 2 choses : ton ip (géolocalisation) le "useragent" de ton navigateur internet (version du programme, version de l'OS, et parfois noms et prénom de l'utilisateur, en clair). Le serveur quand tu affiche l'image, vue qu'elle est unique et reliée a ton mail, valide en même temps ton mail, sans que tu n'ai rien cliqué.
L'erreur que font souvent les gens, c'est de regarder leurs mails avec le mode "http" d'activé, qui va aller charger les javascripts, les images, les liens html ...
Webmail que j'utilise pour récupérer mes mails sur la boite de mon FAI :
http://squirrelmail.org/docs/user/user-3.html
Maintenant, ils font aussi du "XSS" = cross site scripting pour aller infester les sites sur lesquels vous avez des "droits" et voir même récupérer vos données confidentielles a partir des sites que vous visitez. http://fr.wikipedia.org/wiki/Cross-site_scripting3.2 Why are pictures in my HTML e-mails replaced with ugly warning signs?
"This image has been removed for security reasons."
There are two kinds of images that come with your HTML e-mail: the ones that come attached with the e-mail itself, and others that link to remote sites. Images that are linked to remote sites are considered "unsafe" for the following reasons:
Spammers can abuse this to validate your e-mail address
The sender can know instantly if you have read their e-mail or not (privacy concern)
Finding out information about your browser, operating system, and your mailserver (security concern).
Let's look at these issues in more detail:
Validating your e-mail address
Spammers can (and do) include specially-crafted image tags that include a "web bug" (usually a 1 pixel transparant image) used to validate that your e-mail address is a live one and that you actually read e-mail sent to this address. When such image is loaded, a request is sent to the spammer's server and it notes in its database of e-mail addresses that you have, in fact, received and read the spam e-mail they sent. Such addresses are re-sold to other spammers and the amount of spam you will receive is going to grow exponentially.
Verifying that you have read your e-mail
This issue is a privacy concern - if there are images in the e-mail that link to the sender's website, they will know instantly when you have opened and read the e-mail they sent. This can be used against you if for some reason you decide to deny ever receiving that e-mail from the sender - they will have proof that you have received, opened, and read that e-mail.
Finding out information about you
Every time an image is loaded off the remote server, it leaves a "log" message about what type of system you are using, including the version of your browser, your internet IP address, as well as information about your mail server and the software running on it. This information can be used to carry out attacks on your computer or the server where SquirrelMail runs.
Malicious tags
Images in email can also be used to auto-execute cross-site scripting code in a attempt to trick your browser into revealing your account information to crackers with malicious intent.
Conclusion
For these reasons SquirrelMail does not display these "unsafe" images by default, but instead shows you a warning sign. A link is provided to show the images for that particular mail. If you know that the e-mail came from a trustworthy source, you can use the Unsafe Image Rules plugin to always images from that source.
C'est pas ici pour vous faire peur mes informations hein, mais juste que vous puissiez prendre conscience que la sécurité informatique ne se mesure pas en binaire (mon système est-il inviolable ? la réponse sera systématiquement "non") mais en temps qu'il faudra a un spammeur/infesteur/pirate pour pénétrer le système. Au delà d'un certain temps, le pirate/spammeur/infesteur préfère abandonner. (pour récupérer des informations personnelles et les revendre, généralement après 10 minutes sur un système, la personne abandonne, puisque c'est la quantité des informations plus que leurs qualité qui est recherchée ici. En gros, si ils arrivent a "toucher" 1% de leurs cibles potentielles, c'est déjà rentabilisé.)
Pareil pour les pubs téléphoniques etc ... Plus vous leurs faites perdre de temps, moins c'est rentable pour eux : utilisez l'affichage du nom et du numéro ainsi qu'un service de type "stop secret". Si vous "tombez" sur un call center, faites leurs perdre du temps, deux méthodes :
-le "allo, allo" et prétexter une mauvaise ligne. Ensuite 3 questions importantes a poser : "vous êtes qui ?" "vous travaillez pour quelle entreprise ?" "quel est le sujet de votre appel ?" : c'est a celui qui appel de se présenter, pas a vous, si il a votre numéro, il doit vous connaitre. Si ils pretextent appeler de la part de votre FAI c'est très certainement faux, un FAI ne passe JAMAIS par une entreprise extérieur et ne sous traitent JAMAIS. Discours classique pour les "vendeurs" de matériel ensuite c'est de noyer les personnes sous un jargon pseudo techniques : la réponse a leurs faire est que vous n'avez pas sollicité l'appel, en ce sens vous avez le droit de réfléchir, qu'ils vous recontactent plus tard, voir "jamais".
-La méthode de la pizza : demander si ils vendent des pizza, ou offrent des pizza sans se soucier du discours mercantile. "oui mais vous avez des pizza ?" "moi je veux une pizza" ça a le mérite de déstabiliser la personne au bout du fil. J'ai réussi a faire perdre 25 minutes a un call center.
Notez que les techniques de social engeneering fonctionnent de toute façon très mal sur les aspie. Voir que les aspie sont des bon social engeneer ou reverse social engeneer quand ils sont formés pour ça, parce qu'ils ne sont pas sensibles aux mêmes approches qu'un NT et qu'ils sont difficilement déchiffrables. En revanches leurs habitudes peuvent leurs causer du tord (une technique de SE se basant sur l'analyse routinière le fera chuter, mais c'est très peu utilisé tant la proportion d'aspie est faible comparée aux NT). Les plus gros socials engeneers actuels sont asperger (ou ont des gros traits : Kevin Mitnick, Adrian Lamo, Gary McKinnon et John Draper) : ils pourraient voler les clefs de voiture d'un psychiatre, que celui-ci leurs donne sa CB et les codes allant avec sans que celui-ci ne puisse se défendre (ok, j'abuse peut être un peu dans la description mais on en est pas loin
)http://www.pcworld.com/article/182180/t ... iques.html
http://en.wikipedia.org/wiki/Social_eng ... l_science)
http://en.wikipedia.org/wiki/Social_eng ... (security)
http://www.amazon.fr/Social-Engineering ... 0470639539 (si vous le trouvez en français, c'est un très bon ouvrage pour l'aspie en monde hostile, puisque tout le monde fait du SE a plus ou moins grande échelle)
Pour l'histoire du gourou, pratiques sectaires, coach sociaux, c'est du SE aussi, il faut savoir décoder le code dans le code, très certainement dans le code.
