Jump to content
Free-reseau.fr - Les forums

CoinCoin88

Member
  • Content Count

    10
  • Joined

  • Last visited

Community Reputation

1 Normal

About CoinCoin88

  • Rank
    Petit nouveau

Abonnement ADSL

  • Modem
    Freebox révolution
  • Offre
    Dégroupage total
  • Répartiteur
    GUT75
  1. Sur le principe, il n'y a rien à faire à part prévenir tous les contacts de votre boîte que cette adresse est caduque, et en changer. Il n'y a aucune chance pour que ce spam s'arrête: il est probablement alimenté par un réseau de botnets un peu partout dans le monde, et les envois auront toujours lieu. Je n'ai pas eu d'autre choix que de prévenir mes contacts que j'arrêtais d'utiliser cette adresse et qu'idéalement ils pouvaient la blacklister pour éviter de recevoir des mails menant vers du contenu vérolé... Free ne peut pas réagir pour les adresses déjà compromises, mais comprendre comment cela a eu lieu serait un bon début. Dans mon cas comme dans celui d'autres personnes, il n'y a jamais eu de changement de mot de passe par quelqu'un d'autre que le propriétaire du compte, donc l'intrusion semble s'être faite autrement...
  2. @Patclash: votre problème semble différent car quelqu'un accède à votre boîte si je comprends bien (en envoyant des messages qui se retrouvent dans vos "éléments envoyés") ? Nous parlons ici seulement de notifications de non-distribution (recevoir d'un coup plein de messages type "votre mail XXX n'a pas pu être remis à YYY"). Ou alors j'ai mal saisi. J'ai eu aujourd'hui une réponse du support mail, complètement à côté de la plaque, à une question que je leur ai posé en... Décembre dernier. Si ce n'est pas de l'amateurisme... Evidemment aucune information utile dedans.
  3. Bonjour, Il n'y a aucun lien entre vos différents éléments... Les mails de spams ne sont pas vraiment envoyés par vous, donc aucun rapport entre votre redirection mail, votre IP (que vient-elle faire là?) et votre compte mail Free. Dans votre config, tous les mails arrivants sur @free.fr étaient redirigés vers @hotmail.com. Là, le constat que l'on fait concernant ce spam est qu'il est toujours destiné à "des personnes du carnet d'adresse": cad qu'à un moment, votre compte mail Free a été compromis (la grande question est : comment ?), et parmi les informations volées il y avait notamment l'ensemble des adresses des personnes qui vous avaient déjà envoyé un mail, à qui vous en aviez déjà envoyée, et qui étaient cc sur des mails. Pour voler ces infos, on peut envisager plusieurs scenarii: 1) Fishing bête, bruteforce car password trop simple, ou coup de chance sur des essais de password (social engineering), les pirates volent votre password et parcourent votre boîte mail directement. Peu probable (en tous cas dans mon cas je sais que ce n'est aucun des trois) 2) Faille de sécurité sur les échanges client/serveur (au hasard, avec un certificat SSL expiré sur zimbra.free.fr ou sur un serveur smtp, ce qui permet possiblement de décrypter tous les échanges et d'intercepter le mot de passe). Autre possibilité de ce type de faille, une attaque type man-in-the-middle sur un Wifi public. 3) Faille de sécurité sur l'infrastructure mail chez Free (et d'autres FAI probablement), qui permettent d'identifier le mot de passe 4) Faille de sécurité sur l'infrastructure mail de Free qui permet de s'introduire dans des comptes sans même leur mot de passe Toujours est-il qu'il faut considérer qu'il ya dans la nature une grande collection de contacts, liés à votre identifiant free. Un réseau de botnet spam régulièrement ces contacts, en falsifiant les champs "expéditeur" pour faire croire qu'il s'agit de vous... Alors qu'en fait non. C'est juste du spam ciblé, pour faire croire aux victimes que le mail est légitime, puisqu'il vient de qqun qu'ils sont supposés connaître (avec qui ils ont déjà échangé par le passé). Je viens juste de recevoir une 40aine de nouvelles notifs... Expéditeur initial en Corée du Sud. La dernière fois c'était en Italie, une autre fois en Russie de mémoire... Bref, il n'y a a priori AUCUNE solution. Même en supprimant votre compte, le botnet continuera de faire croire qu'il envoie à partir de cette adresse. La seule chose à faire est de prévenir les personnes dans votre carnet d'adresse que ce compte a été compromis...
  4. Comme je m'y attendais... Rebelotte aujourd'hui autour de 17h20. Aucun ordinateur ni phone ni tablette n'avait accès à mes mails. Un peu moins de 15 jours entre les vagues. C'est bien un spoof de l'expéditeur, mais adressé à des contacts qui ont été leakés pour correspondre à l'expéditeur...
  5. Bonjour, Pour le moment, aucun nouveau retour. Depuis la vague du 21/12 je n'ai pas enregistré mon nouveau password nulle part (aucun client mail ni sur phone, tablette, ou sur mes ordis). Histoire d'exclure définitivement l'hypothèse d'un keylogger, même si je n'y crois pas du tout. Pareil, j'ai contacté l'assistance mail le 21/12, aucune réponse à ce jour. L'absence de communication (ici alors qu'il y a une personne qui semble bosser chez Free et intervient pour des pas de password piratés; ou par l'assistance "officielle") est très agaçant, et nourrit mon idée que la brèche de sécurité est (a été ?) sur les backbone de Free. C'est regrettable. Pour les personnes qui se trouvent dans le même cas, sans être trop intrusif, le password de votre boîte compromise était-il "facile" à deviner ? Nombre et types de chr...? Pour ma part, c'était plutôt improbable.
  6. Rien reçu depuis le 21/12, mais c'est encore un peu tôt pour crier victoire, et je en vois aucune raison pour que ça ne recommence pas. L'espace entre les vagues a l'air variable, de ce que je lis à droite à gauche, c'est entre 3j et 10-15j, donc... Noreto, vraiment, aucune communication ?
  7. Je me suis mal exprimé en effet, mais les destinataires des spams sont bien "toute personne avec qui j'ai pua voir une correspondance, entrante ou sortante ou les deux". A en juger par le nombre de cas similaires rapportés (ici, ainsi que dans de nombreux pays, cf le blogpost très bien fait chez wardinewrock que j'ai posté dans mon premier message), je ne pense pas qu'il s'agisse d'un piratage "côté client" (les gens qui "comprenne" ce qui se passe, globalement, ont une assez bonne culture de la sécurité, et n'utilisent pas de password faciles à deviner. Bruteforcer, c'est peu probable), mais plutôt côté service (Free). Malheureusement, je m'arrête au même constat: "le mal est fait", car il y a quelque part dans la nature un gros set de (logins/carnet d'adresse), et masquer un header "from" dans un mail est un jeu d'enfant... Donc ça risque fort de continuer. Bloquer le smtp authentifié se fait sur la console d'admin de votre compte (bloqué par défaut, c'est qqch qui permet d'accéder à smtp.free.fr par identifiants depuis une connexion non Free, car le smtp est par défaut inaccessible depuis une connexion qui n'a pas une IP Free). Cela dit ça ne sera utile que si nos identifiants sont bels et biens utilisés pour envoyer ces spams, ce qui semble de plus en plus improbable. Je vois qu'une personne de Free semble assez active ici, un peu de communication pourrait faire du bien. Je reste aussi convaincu que les problèmes avec les certifs SSL expirés qui reviennent en place de temps en temps peuvent être liés à cette brèche de sécurité.
  8. Je n'ai pas l'impression de pouvoir éditer mon message précédent. Toutefois pour rebondir sur ma remarque sur les certif SSL invalides (évoqué ici même quelques threads plus bas : https://www.free-reseau.fr/forum/topic/2958-certificat-expir%C3%A9-ssl-imap/?hl=certificat, https://www.free-reseau.fr/forum/topic/2954-pas-dacc%C3%A8s-au-serveur-imap-via-thunderbird-depuis-3-jours/?hl=certificat#entry22365 ethttps://www.free-reseau.fr/forum/topic/4356-connexion-imap-impossible-cert-ssl-depuis-1812/ parmi d'autres threads). Ce que je note, c'est que régulièrement le serveur SMTP (et/ou IMAP et/ou les deux??) recycle des vieux certificats, expirés soit en mai 2013 soit en mai (juin?) 2015. Ces dates correspondent aux renouvellement effectif des certificats en question, mais il reste anormal que des vieux certificats désormais caduques reviennent en place "de temps en temps". Pour peu qu'un de ceux-là soit compromis, autant faire tout transiter en clair. Ca expliquerait assez facilement que des identifiants puissent être leakés !! Pourquoi courant nov 2015 le certif expiré en mai (juin?) 2015 est-il de nouveau en place, même pendant quelques heures ? Même question pour décembre 2015, où le certif de mai 2013 a fait son apparition (je dirais, autour du 15-18 décembre, de tête) ?
  9. Bonjour, Après un coup de fil à la hotline qui m'a conseillé de contacter le SAV via assistance.free.fr, je suis tombé sur ce forum qui pourra peut-être compléter mes recherches (je vois que du personnel Free y répond assez rapidement, en plus!). J'ai eu deux fois en 10 jours des "envois" de spam depuis mon mail perso. En réalité, je pense que ce les mails ne sont pas partis de mon adresse, mais plutôt que le spam est truqué pour faire croire que je suis l'expéditeur. Le scenario était les 2 fois le même: réception tout du'n coup d'un grand nombre (20, 30, 50?) de failed delivery notifications. A chaque fois, le mail envoyé était sans équivoque: objet: "Fw: important message", et contenu "please read" suivi d'une URL probablement vérolée. Première remarque, le 11 décembre au matin (vers 9h) puis rebelotte aujourd'hui 12h39. A chque fois, j'ai évidemment changé mes passwords immédiatement... Password qui n'étaient pas si mauvais (le premier n'était "pas très fort", le second (ajd) c'était 16 car, alphanumériques + char spéciaux): j'ai peine à croire que mon compte ait vraiment été piraté. Aujourd'hui, j'en ai profité pour bloquer le service de smtp authentifié sur fond de "on sait jamais", histoire de limiter la casse. Après beaucoup de lecture, ça ressemble à ce qui est décrit ici: http://wardinewrock.blogspot.fr/2015/09/email-sent-under-my-name-not-from-me.html Encore de la lecture sur le même pb: https://www.reddit.com/r/24hoursupport/comments/3k4y3t/something_is_sending_spam_emails_through_my_edu/ Le problème est que la liste des destinataires correspond à des personnes de mon carnet d'adresse, dont certaines y sont depuis au plus tard cet été (fin-juillet voire début août): soit mon compte a été piraté récemment (ce dont je doute), soit il y a eu des fuites d'une autre façon (j'y reviens plus après). Ma première question, est-il possible de faire vérifier le trafic sortant SMTP de mon compte mail sur les horaires indiqués (l'assistance téléphonique me dit qu'ils ne peuvent pas chez eux). ? Ma seconde question devient plus technique: j'ai "récemment" (je dirais, autour de mi-novembre) aidé de la famille qui n'arrivait plus à envoyer de mail depuis son client sur desktop, et me souviens d'avoir remarqué un pb de certificat SSL invalide (expiré au cours de l'année 2015 de mémoire) à ce moment pour smtp.free.fr. Beaucoup plus récemment (semaine dernière? en tous cas après mon premeir épisode de spam) je ne pouvais plus envoyer de mails depuis mon téléphone (client mail configuré en smtp authentifié + ssl). En faisant un nouveau setting, j'ai eu un avertissement de sécurité "certificat expiré" (je dirais, certif expiré en 2013), et j'ai (à tort) accepté de passer outre. Je me demande au final si ce n'est pas là que j'ai pu me faire intercepter des échanges... ? Dernière remarque, commune dans toutes les descriptions de ces attaques (que j'ai postées en lien plus haut), les victimes reçoivent des notif pour des envois vers des personnes avec qui ils ont déjà échangé par mail. Il y a donc une collection "login/carnet d'adresse" qui a été établie à un moment dans cette chaine de spam. Est-il possible qu'il y ait une faille sur un backbone qui gère tout ou partie des mails, et que les spammeurs scrap directement à partir de là (ou "aient pu scrap" si ce genre de faille a depuis été identifié/patché) ? Nota, j'ai un grand nombre de machines, et aucune ne semble vérolée (il y a de l'android, ios, osx, windows). Les headers des mails revenus en erreur aujourd'hui me laissent à croire que c'est bien un spoof du sender et pas un "vrai" piratage de mes credentials... La grande question demeure: quand/comment a été récupéré mon address book? Je peux fournir des headers si besoin, juste besoin de les anonymiser un peu. Merci de votre aide !
×
×
  • Create New...