On Thu, 2004-04-22 at 18:34, Alexandre Dulaunoy wrote: <couic>
> > > john doo ouvre outlook envois un mail a un de ses amis et y attache un > > > .doc/.exe qui contient un virus. Le mail a ete envoye par un humain. > > > > Mais m�me si ce virus se propage habituellement par le mail, il y a fort > > peu de chance pour que le mail qui le contient dans ce cas pr�cis ait le > > format qu'il g�n�re lorsqu'il se propage. Donc c'est d�tectable. > > C'est tjs d�tectable ? > > Quelle la diff�rence entre un MUA qui est utilis� par une faille de > s�curit� ou un MUA utilis� par un end-user ? Souvent l'�change SMTP > sera exactement le m�me. Il faudrait alors faire des hypth�ses sur le > contenu mais alors ce sont des hypoth�ses... Quand un virus est connu, le contenu exact des mails qu'il g�n�re est aussi connu. Donc c'est reconnaissable et identifiable. Je simplifie et je sh�matise, je ne dis pas que c'est simple et trivial, ni m�me que c'est faisable en pratique, ce serait m�me probablement tr�s compliqu�, mais c'est comme �a :-) > Un exemple : On s'�change des virus pour cr�er des signatures clamav > est-ce un virus qu'il a envoy� ou des gars qui font du logiciel libre > et du reverse-engineering sur des virus ? Quoi qu'il en soit, un antivirus actuel l'interpr�tera simplement comme un mail contenant un virus. C'est un exemple typique des limites des syst�me actuels que je veux d�montrer. Un syst�me actuel ne peut que d�tecter le virus, et agir en cons�quence sans granularit� plus fine. Si un MUA dans la chaine est configur� pour dropper les mails contenant un virus, ton message sera supprim� sans avertissement, qu'il soit l�gitimement envoy� ou g�n�r� par un virus. > > Note que m�me sans aller jusqu'� la d�tection de ce cas particulier > > somme toute probablement tr�s rare, diff�rencier dans les mails les > > virii qui ne se transmettent pas par mail de ceux qui le font serait > > d�j� un grand pas en avant, non ? Ce n'est pas parce qu'un syst�me n'est > > pas parfait qu'il faut continuer � faire pire... > > C'est une question subtile. Pr�f�res-tu jeter 100% du courrier avec 99 > virus dedans et un 1 mail l�gitime ? ou garder les 100 mails pour > retrouver ton mail l�gitime ? Je pr�f�rerais supprimer 99 virii et recevoir mon mail l�gitime :-) Ce n'est bien entendu pas possible, il y aura toujours des erreurs. Mais si le syst�me actuel (pas de discrimination entre les virii) en est � 99% d'efficacit�, un syst�me imparfait mais qui pousse jusqu'� supprimer 999 virii pour un seul mail l�gitime me semble un grand pas en avant :-) <couic> > > > C'est pour cela que bcp de monde configure leur MTA pour envoyer un mail > > > au destinataire disant blah vous avez recu un mail qui contenait un > > > virus et provenant de <from>. > > > > Oui mais alors soit tu transmets le message, ce qui revient � > > transmettre le virus, soit tu transmets juste un avis de r�ception de > > virus de la part de From. Mais dans ce cas tu enl�ves la possibilit� au > > destinataire de distinguer entre un mail valide mais contenant un virus > > et un mail g�n�r� par un virus avec un faux From. A part remplir > > inutilement une boite mail, cette info est inutile. > > C'est en effet inutile pour l'envoyeur mais pas tjs pour le > destinataire... > > C'est comme cela que je rep�res les mails l�gitimes avec des virus > dedans. (ben oui, on peut avoir des mails l�gitimes avec des virus ou > avoir ses mails de la mailing-list bugtraq ;-) Comment rep�res-tu un mail l�gitime d'un mail g�n�r� par un virus si tu ne re�ois pas le message complet ? Je veux dire, si je re�ois un avis me disant qu'adulau m'a envoy� un mail contenant un virus, c'est r�ellement toi ou c'est un mail g�n�r� qui te prend comme From ? Je ne peux le savoir qu'en recevant le mail complet, non ? -- R�mi _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
