Le Mardi 09 Septembre 2003 14:34, Bruno Treguier a �crit : > On Tue, Sep 09, 2003 at 07:19:14AM +0200, Loic.B (FDUL) wrote: > > Bonjour,
bonjour, > > Plus exactement, dans le cas de Sobig.F, il prend les adresses "au > hasard" dans le carnet d'adresses de l'utilisateur de l'ordi infect�, > met l'une de ces adresses en tant qu'exp�diteur, et quelques autres en > tant que destinataires... Il utilise ensuite son propre moteur SMTP pour > s'envoyer � ces destinataires... > Il modifie �galement l'adresse "Reply-To:" > > Actuellement, tout le monde ou � peu pr�s fait l'autruche � ce niveau, > et se contente d'un boulot salop�: on prend le 1er �metteur qui vient, > celui qui est dans la ligne "From:" par exemple, et hop, on balance > l'alerte, m�me si on sait tr�s bien que dans 99% des cas ce n'est pas le > bon. R�sultat, �a emmerde tout le monde, mais les techniciens ont "la > conscience tranquille" (ou tout au moins feignent de l'avoir) vis � vis > des juristes qui leur ont impos� �a. :-( > Il prennent en g�n�ral l'adresse "Reply-To:" qui est encore plus facile � falsifier que l'adresse "From:", car, en fait, n'importe qui peut le faire en param�trant son mailer. C'est vrai que �a fait plus de mal que de bien ces r�ponses automatiques, les alertes devraient quand-m�me v�rifier la validit� de l'envoyeur (et non pas le Reply-To) avant d'envoyer le message, en faisant une correspondance d'IP par exemple ; bien qu'� mon avis, �a ne donnerait rien de probant. Les ISP devraient plut�t faire gaffe aux messages qu'il re�oivent de la part de leur clients, en filtrant les messages au d�but de la chaine SMTP quand on envoie le message, plut�t qu'� la distribution dans les boites aux lettres POP3 ! Enfin, c'est mon avis... > Bruno -- ultimateclem Debian user
