Piratage boite mail Orange

Compte supprimé · Le 01/09/2016, à 21:44

C'est juste que n'importe qui possédant l'environnement nécessaire peut téléphoner en appelant 'apparemment' avec n'importe quel numéro. Pas besoin de piratage physique.

C'est un peu ce que font tous les jours les professionnels du phonning qui vous téléphonent à midi ou le soir pour vous vendre une super isolation thermique.

Dernière modification par Compte supprimé (Le 01/09/2016, à 21:49)

LeoMajor · Le 05/09/2016, à 00:33

Piratage boite mail Orange

il manque l'essentiel.
donne le message suspecté, le contenant (les entêtes, enveloppe, ...) , le contenu (code source html)
Ce que tu donnes est insuffisant.

Alex Ample · Le 06/09/2016, à 13:19

Bonjour,

Pourquoi tourner autour du pot ?

Pitmix a été victime d’une infection « drive par download » lors d’une campagne qui a ciblé récemment avec beaucoup d’efficacité Orange.

Tout le monde sait que les cordonniers sont les plus mal chaussés, les banques, les antivirus, et les FAI par exemple, mais aussi les sites de vente par correspondance, comme ce type de campagne imparable rapporte beaucoup d’argent, il utilise les meilleurs malwares… ceux qu’on ne détecte pas ( avec les antivirus de Windows ou Apple ), ceux qu’on n’évite pas, surtout Linux, qui, en raison de son manque de pénétration du parc de PC ( un peu plus de 2 % récemment ), n’est pas souvent attaqué et donc non pourvu en logiciel de protection sérieux, ces virus utilisent une ou plusieurs failles non connues, d’où leur surnom « zéro day », après quelques mois d’existence la proactivité des antivirus les reconnaît, mais ils changent leur apparence et peuvent atteindre une existence d’à peu près 1 an.

Alors j’entends déjà quelques cerbères locaux clamer « oui mais Linux et son extraordinaire code root... », pas de chance ! Ce genre de malwares multiplateforme se sert aussi de la couche applicative pour se propager, pour que l’infection se fasse, il faut des failles à deux niveaux différents, le site où l’on s’est connecté, Orange mail dans le cas présent, et une faille sur le PC, que ce soit sur le navigateur, ses modules, ou l’OS, Linux compris.

Un peu de lecture.

https://www.ebas.ch/fr/liens/8-ihr-sich … y-download

« Protection
Il n’existe à l’heure actuelle aucune mesure de sécurité efficace à 100%. Pour se protéger, il convient d’utiliser toujours la dernière mise à jour du navigateur et des plugins (assistants d’application qui étendent les capacités du navigateur). »

Bonne digestion.

grandtoubab · Le 06/09/2016, à 13:26

Alex Ample a écrit :

Bonjour,

Pourquoi tourner autour du pot ?

Pitmix a été victime d’une infection « drive par download » lors d’une campagne qui a ciblé récemment avec beaucoup d’efficacité Orange.
Tout le monde sait que les cordonniers sont les plus mal chaussés, les banques, les antivirus, et les FAI par exemple, mais aussi les sites de vente par correspondance, comme ce type de campagne imparable rapporte beaucoup d’argent, il utilise les meilleurs malwares… ceux qu’on ne détecte pas ( avec les antivirus de Windows ou Apple ), ceux qu’on n’évite pas, surtout Linux, qui, en raison de son manque de pénétration du parc de PC ( un peu plus de 2 % récemment ), n’est pas souvent attaqué et donc non pourvu en logiciel de protection sérieux, ces virus utilisent une ou plusieurs failles non connues, d’où leur surnom « zéro day », après quelques mois d’existence la proactivité des antivirus les reconnaît, mais ils changent leur apparence et peuvent atteindre une existence d’à peu près 1 an.
Alors j’entends déjà quelques cerbères locaux clamer « oui mais Linux et son extraordinaire code root... », pas de chance ! Ce genre de malwares multiplateforme se sert aussi de la couche applicative pour se propager, pour que l’infection se fasse, il faut des failles à deux niveaux différents, le site où l’on s’est connecté, Orange mail dans le cas présent, et une faille sur le PC, que ce soit sur le navigateur, ses modules, ou l’OS, Linux compris.

Un peu de lecture.
https://www.ebas.ch/fr/liens/8-ihr-sich … y-download
« Protection
Il n’existe à l’heure actuelle aucune mesure de sécurité efficace à 100%. Pour se protéger, il convient d’utiliser toujours la dernière mise à jour du navigateur et des plugins (assistants d’application qui étendent les capacités du navigateur). »

Bonne digestion.

qui nous dit que ton lien va pas nous infecter!! avec ton langage pseudo geek je clic pas

Dernière modification par grandtoubab (Le 06/09/2016, à 13:27)

nam1962 · Le 06/09/2016, à 13:36

On a trouve un compétent lá !
(je l'ai presque volée a Pierre Dac celle-ci !)

grandtoubab · Le 06/09/2016, à 13:42

nam1962 a écrit :

On a trouve un compétent lá !
(je l'ai presque volée a Pierre Dac celle-ci !)

et s'il est content .... mieux

Dernière modification par grandtoubab (Le 06/09/2016, à 13:42)

Nasman · Le 06/09/2016, à 13:52

Oh un troll tout neuf (inscrit aujourd'hui)

Compte supprimé · Le 06/09/2016, à 14:44

Hé Ho les Tux !!!
D'accord, l'article cité ne fait qu'affirmer sans jamais expliquer comment cela peut se faire. Mais notre crédibilité n'en serait que meilleure avec quelques arguments bien étayés.

Dernière modification par Compte supprimé (Le 06/09/2016, à 14:45)

nam1962 · Le 06/09/2016, à 14:54

Ben on revient quand même au cheval de trait, gros balourd qui écrase les ordis, la !

(sur ce fil, a aucun moment je n'ai vu une trace de soupçon que l'ordi concerne soit infecte, au passage - la boite orange peut être, mais pas l'ordi)

pitmix · Le 06/09/2016, à 21:47

Bonjour les amis
J'avais lâché le fil mais je vois qu'il s'est passé des choses ici.
Effectivement l'ordi n'est nullement atteint par un virus. Je pense effectivement qu'il s'agit d'un piratage de Orange. Il y a eu 1,3 millions de compte Orange dont les identifiants et mots de passe ont été volés en 2014 et mon père en faisait peut être partit.
Son mot de passe étant le même depuis cette date, le problème vient peut être de là.
Ceci étant je commence à devenir parano et du coup j'ai activé l'envoi d'e-mail provenant du firewall de ma box (chez moi, pas chez mon père, je n'ai pas trouvé cette fonction sur la livebox2).
Voilà 3 jours qu'il est actif et je reçois des rapports de scan des ports de ma box venant des adresses :
IP 50.30.37.27 (Server4you USA) ; 80.82.65.120 ( QUASINETWORKS aux Seychelles et geoloc aux Pays bas) ; 89.163.135.97 (Myloc Allemagne)
J'ai tapé http://80.82.65.120 et http://89.163.135.97 et je tombe sur des pages web Serveur HTTP Apache pour ubuntu ???!!! je n'ai rien avec la première adresse IP 50.30.37.27.
Je n'y comprend rien !! C'est quoi ça ?

Dernière modification par pitmix (Le 06/09/2016, à 22:28)

pitmix · Le 06/09/2016, à 22:19

LeoMajor a écrit :

il manque l'essentiel.
donne le message suspecté, le contenant (les entêtes, enveloppe, ...) , le contenu (code source html)
Ce que tu donnes est insuffisant.

Voici ce que je peux donner je ne sais pas si c'est suffisant :

Delivered-To: pitmix@gmail.com
Received: by 10.202.xxx.xxx with SMTP id u1x1cspxxxxxoif;
        Tue, 23 Aug 2016 22:31:53 -0700 (PDT)
X-Received: by 10.28.xxx.xxx with SMTP id o198mrxxxx260wme.87.xxxxxxxx13270;
        Tue, 23 Aug 2016 22:31:53 -0700 (PDT)
Return-Path: <andre.xxx@orange.fr>
Received: from smtpout08.lasotel.net (smtpout08.lasotel.net. [178.18.56.11])
        by mx.google.com with ESMTP id li10si6845360wjb.23.2016.08.23.22.31.53
        for <pitmix@gmail.com>;
        Tue, 23 Aug 2016 22:31:53 -0700 (PDT)
Received-SPF: neutral (google.com: 178.18.56.11 is neither permitted nor denied by best guess record for domain of andre.xxx@orange.fr) client-ip=178.18.xx.xx;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 178.18.xx.xx is neither permitted nor denied by best guess record for domain of andre.xxx@orange.fr) smtp.mailfrom=andre.xxx@orange.fr
Received: from webmail.wibox.fr (unknown [10.11.254.30])
	by smtpout08.lasotel.net (Postfix) with ESMTPA id E88DE20077F
	for <pitmix@gmail.com>; Wed, 24 Aug 2016 07:31:52 +0200 (CEST)
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8;
 format=flowed
Content-Transfer-Encoding: 8bit
Date: Wed, 24 Aug 2016 07:31:52 +0200
From: =?UTF-8?Q?Andr=C3=A9_xxx?= <andre.xxx@orange.fr>
To: pitmix@gmail.com
Subject: Sollicitation de ton aide
Message-ID: <adff20d07dba598565c78ea4bcc71b9d@wibox.fr>
X-Sender: andre.xxx@orange.fr
User-Agent: Roundcube Webmail/1.1.0

Pitmix,merci pour ta réponse,en effet je suis en voyage en Irlande ou 
j'ai quelques soucis en ce moment, je me suis fais voler mon sac de 
voyage contenant mon téléphone et l'argent liquide, je dispose de ma 
carte Prépayée PCS MasterCard mais il n' y a aucun centime,j'ai besoin 
que tu m'achètes 6 coupons-recharges PCS Mastercard de 250 € ( 1500 
euros ) afin de recharger ma carte prépayée, je te rembourserai dès mon 
retour. Si tu es disposé à  m'aider ,je te dirai ou tu pourras les acheter

André

Dernière modification par pitmix (Le 08/09/2016, à 16:43)

LeoMajor · Le 08/09/2016, à 16:12

1/ Il y a 1 seule reference message-ID. Soit c'est la message d'origine, soit il a été modifié comme nouveau message, au niveau du client de messagerie. (**B)

2/ le mail_from, rcpt to, correspondent à l'enveloppe, les adresses routables.
mail_from andre.xxx@orange.fr
rcpt_to pitmix@gmail.com

Le sender_domain est orange.fr (andre.xxx@orange.fr, mailfrom, le return_path est normalement autodéduit du mailfrom)

3/ ce qui est affiché à l'écran n'est pas forcément en rapport avec l'enveloppe
From: andre.xxx@orange.fr
To: pitmix@gmail.com

jusque là, tout est normal.

4/ 1er évènement; l'envoi

Received: from webmail.wibox.fr (unknown [10.11.254.30])
by smtpout08.lasotel.net (Postfix) with ESMTPA id E88DE20077F
for <pitmix@gmail.com>; Wed, 24 Aug 2016 07:31:52 +0200 (CEST)

l'émetteur réel utilise un webmail, semble-t-il, (sous-classe IP 10.11.254.30, donc IP inexploitable, pour les logs admin, ou géolocalisation. id E88DE20077F est viable
il utilse une AUTHentification (ESMTPA) sur le smtpout08.lasotel.net.
Il n'y a pas de sous-traitement de la requête (pas de relais, pas de MTA orange, pas de smtpd_sasl_authenticated_header). (**A)
--> 1er soupçon de spam, d'usurpation d'identité. la machine smtpout08.lasotel.net n'a pas autorité pour le domaine de courrier orange.fr.

5/ 2ème évènement ; la réception, livraison

Received: from smtpout08.lasotel.net (smtpout08.lasotel.net. [178.18.56.11])
by mx.google.com with ESMTP id li10si6845360wjb.23.2016.08.23.22.31.53
for <pitmix@gmail.com>;
Tue, 23 Aug 2016 22:31:53 -0700 (PDT)
Received-SPF: neutral (google.com: 178.18.56.11 is neither permitted nor denied by best guess record for domain of andre.xxx@orange.fr) client-ip=178.18.xx.xx;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 178.18.xx.xx is neither permitted nor denied by best guess record for domain of andre.xxx@orange.fr) smtp.mailfrom=andre.xxx@orange.fr

le rcpt_to correspond à pitmix@gmail.com. permit_auth_destination valide la session chez les mx.google.com.
cependant gmail met des réserves spf, qui sont toutefois assez courantes.

host -t spf orange.fr
orange.fr has no SPF record
host -t txt orange.fr
orange.fr descriptive text "google-site-verification=c4OfrczLMSJm4DyV_ROkN-H3IoVB-up0QI0FfErDj2Y"
->référencement google mais sans rapport dns txt spf.

Lorsque qu'il n'y pas de spf pour un domaine de courrier, aussi équivalent à ?all, le MTA qui réceptionne, accepte le message avec ou sans réserves, selon sa sensibilité (yahoo, laposte, gmail, orange..., n'auront pas forcément la même vision en politique de spam), de la simple alarme, notification, à un classement spam, à la suppression du message. gmail affiche par webmail, un truc du genre "la source du message n'est pas vérifié".
Le softfail spf (~all) et hardfail (-all), donnent des consignes plus franches et claires, mais cependant le MTA, qui réceptionne, est libre de les appliquer, les interprêter. softfail, c'est le message accepté mais classé spam. hardfail, est proche de discard (supprimer), conceptuellement, ou classé spam, certainement, par conservatisme.

" is neither permitted nor denied " est normal pour ?all ou spf absent pour sender_domain orange.fr
en revanche 178.18.56.11 (Received-SPF ... Authentication-Results ...), est incongru, incohérent, à cause de **A, et aussi selon la logique MX.

dig -x 178.18.56.11 +short
smtpout08.lasotel.net

autorisé pour les domaines de courrier lasotel.net, wibox.fr.

host -t mx lasotel.net
lasotel.net mail is handled by 10 mx1.lasotel.net.
lasotel.net mail is handled by 20 mx2.lasotel.net.host -t mx wibox.fr
wibox.fr mail is handled by 10 mx1.lasotel.net.
wibox.fr mail is handled by 20 mx2.lasotel.net.

wibox.fr renvoie aussi http://www.wibox.fr/
Leur webmail est roundcube, comme l'indique aussi ton message (User-Agent: Roundcube Webmail/1.1.0).
C'est plutôt peu commun d'utiliser un webmail pour faire du phising. Bizarre. cas (**B) (message modifié comme nouveau message ??)

est-ce que tu connais quelqu'un qui a une wibox ?

ensuite dans l'hypothèse ou wibox.fr, lasotel.net, incorporent, dans leur spf respectif, ceux d'orange.fr

host -t txt lasotel.net
lasotel.net has no TXT record
host -t spf lasotel.net
lasotel.net has no SPF record
host -t spf wibox.fr
wibox.fr has no SPF record
host -t txt wibox.fr
wibox.fr descriptive text "v=spf1 include:spf.mailjet.com include:smtp.lasotel.net ~all"
host -t spf spf.mailjet.com
spf.mailjet.com has no SPF record
host -t txt spf.mailjet.com
spf.mailjet.com descriptive text "v=spf1 ip4:178.33.111.144 ip4:178.33.137.208/28 ip4:178.33.221.0/24 ip4:37.59.69.128/25 ip4:37.59.249.0/24 ip4:87.253.232.0/21 ip4:5.135.24.0/24 ?all"
host -t mx orange.fr
orange.fr mail is handled by 10 smtp-in.orange.fr.
host  smtp-in.orange.fr
smtp-in.orange.fr has address 193.252.22.65
smtp-in.orange.fr has address 80.12.242.9
host -t a smtp.orange.fr
smtp.orange.fr has address 193.252.22.84
smtp.orange.fr has address 193.252.22.86
host -t a smtpauth.orange.fr
smtpauth.orange.fr has address 193.252.22.84
smtpauth.orange.fr has address 193.252.22.86

il n'y a rien qui correspond. wibox.fr, lasotel.net ne sont pas autorisés nativement à utiliser les smtp d'orange. martin.pierre@wibox.fr ne peut pas les utiliser.

6/ Mon hypothèse est que spam.com@wibox.fr, authentifié sur smtpout08.lasotel.net et change les enveloppes . permit_sasl_authenticated valide la session. le message part. Le spammeur profite des confusions de la politique SPAM en messagerie (sujet très vaste où il n'y pas vraiment de consensus, d'obligations, et de "loi cadre" ), en particulier celle d'Orange.fr, et de la candeur des utilisateurs. C'est du phising.
ou **B, tu as mal rapporté le message d'origine ?!

Tu peux te plaindre chez orange, qui a un service online anti-spam .

pitmix · Le 08/09/2016, à 17:00

Merci pour cette réponse très complète et qui t'as demandé beaucoup de temps.
Je n'ai rien fais d'autre que du copier/coller et mis des xxx à la place des choses que je voulais cacher, non pas par rapport à la communauté mais aux Trolls.
Effectivement sur ma messagerie Google j'ai un petit cadena rouge ouvert m'avertissant que lasotel.net n'a pas chiffré ce message. Les messages habituels de mon père sont chiffrés TLS par Orange.

grandtoubab · Le 08/09/2016, à 17:38

finalement ce qui pose problème

Return-Path: <andre.xxx@orange.fr>
et
From: =?UTF-8?Q?Andr=C3=A9_xxx?= <andre.xxx@orange.fr>
l'utilisation de ces références (récupérées sur un forum ou dans une liste par exemple) et si le mot de passe est trop simpliste il est vite hacké.
le b.a ba Utilisez obligatoirement des chiffres, des lettres majuscules et minuscules et des caractère spéciaux.
https://www.securiteinfo.com/conseils/c … asse.shtml
meme chez orange il y a de bons conseils
http://www.orange-business.com/fr/blogs … s-de-passe
utiliser une page en favori pour se connecter au webmail limite aussi les risques de fausse adresse

http://www.ssi.gouv.fr/uploads/IMG/pdf/ … teTech.pdf

Dernière modification par grandtoubab (Le 08/09/2016, à 17:57)

jlmas · Le 08/09/2016, à 18:26

pitmix a écrit :

Voilà 3 jours qu'il est actif et je reçois des rapports de scan des ports de ma box venant des adresses :
IP 50.30.37.27 (Server4you USA) ; 80.82.65.120 ( QUASINETWORKS aux Seychelles et geoloc aux Pays bas) ; 89.163.135.97 (Myloc Allemagne)
J'ai tapé http://80.82.65.120 et http://89.163.135.97 et je tombe sur des pages web Serveur HTTP Apache pour ubuntu ???!!! je n'ai rien avec la première adresse IP 50.30.37.27.
Je n'y comprend rien !! C'est quoi ça ?

C'est des bots qui scannent le réseau, majoritairement à partir de serveurs compromis (sous linux d'ailleurs) à la recherche d'ordinateurs ou d'équipements vulnérables
Si tu es OK sur ta sécurité, tu ne risque pas grand chose car c'est pas la NSA qui t'attaque, mais des script kiddies qui ont copié ou acheté des scripts d'attaque sur internet.

En gros il faut traiter par le mépris, se défendre en ayant une sécurité convenable, et se garder de contre attaquer.

pitmix · Le 09/09/2016, à 08:58

Merci Jlmas merci aussi grangtoubab. Je prends note et je vais faire en sorte que mes parents utilisent keepass x pour securiser au mieux leurs mots de passe.

pitmix · Le 09/09/2016, à 09:31

J'ai une autre question.
J'ai lu sur Keepass que l'on pouvait se créer des mots de passes sous forme de phrase. Effectivement cela forme des mots de passe très long et avec des caractères speciaux des chiffres et majuscules/minuscules.
Pensez vous que c'est une bonne technique car plus facile à créer et retenir que le mot de passe " Xy',=÷%Plavgh545iiu" par exemple. Pour un logiciel pirate est-ce vraiment compliqué à décrypter ?

nam1962 · Le 09/09/2016, à 09:53

Tu utilises la phrase comme clef pour keepass !

pitmix · Le 09/09/2016, à 12:23

Oui mais connaissant mes parents, ils n'utiliseront pas Keepass donc je me disais, est-ce une bonne idée d'appliquer cette méthode pour un mot de passe de messagerie ou autre ?

nam1962 · Le 09/09/2016, à 13:07

Ça peut toujours aider.
Genre :
(Jesuisnele2decembre1952)
Mieux que rien

grandtoubab · Le 09/09/2016, à 14:21

nam1962 a écrit :

Ça peut toujours aider.
Genre :
(Jesuisnele2decembre1952)
Mieux que rien

on dit plus haut dans les recommandations, que l'utilisation de caractères accentué du clavier azerty (é, à, è, ê, ù ou ç) est un plus car déjà ça embête ceux qui utilisent un clavier qwerty ou autre. Vrai ou pas??
donc Jesuispasnéle2décembre3024! est encore plus sécurisé

Dernière modification par grandtoubab (Le 09/09/2016, à 14:24)

nam1962 · Le 09/09/2016, à 14:45

...avec les parenthèses encore plus

gl38 · Le 09/09/2016, à 14:49

Tout ça c'est bien joli, mais si on mord au premier phishing venu c'est bien se casser la tête pour rien !
Cordialement,
Guy

grandtoubab · Le 09/09/2016, à 15:58

gl38 a écrit :

Tout ça c'est bien joli, mais si on mord au premier phishing venu c'est bien se casser la tête pour rien !
Cordialement,
Guy

comme déja dit plus haut
"utiliser une page en favori pour se connecter au webmail limite aussi les risques de fausse adresse"
c'est valable aussi pour l'accès a son site bancaire par exemple, ne jamais cliquer sur tout autre lien, utiliser son favori

Dernière modification par grandtoubab (Le 09/09/2016, à 16:03)

pitmix · Le 15/09/2016, à 13:54

grandtoubab a écrit :

l'utilisation de ces références (récupérées sur un forum ou dans une liste par exemple) et si le mot de passe est trop simpliste il est vite hacké.
le b.a ba Utilisez obligatoirement des chiffres, des lettres majuscules et minuscules et des caractère spéciaux.

Bonjour,
Une dernière petite question à ce sujet, si mon père c'est fait cracker son mot de passe, pourquoi le pirate l'a-t-il remplacé ?
Mon père c'est aperçu du piratage dans un premier temps, parce qu'il ne pouvait plus entrer son mot de passe, puisque le pirate l'avait changé.
Peut être que les logiciels de piratage décodent les mots de passes sans toutefois les divulger ??!!

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#51 Le 01/09/2016, à 21:44

Re : Piratage boite mail Orange

#52 Le 05/09/2016, à 00:33

Re : Piratage boite mail Orange

#53 Le 06/09/2016, à 13:19

Re : Piratage boite mail Orange

#54 Le 06/09/2016, à 13:26

Re : Piratage boite mail Orange

#55 Le 06/09/2016, à 13:36

Re : Piratage boite mail Orange

#56 Le 06/09/2016, à 13:42

Re : Piratage boite mail Orange

#57 Le 06/09/2016, à 13:52

Re : Piratage boite mail Orange

#58 Le 06/09/2016, à 14:44

Re : Piratage boite mail Orange

#59 Le 06/09/2016, à 14:54

Re : Piratage boite mail Orange

#60 Le 06/09/2016, à 21:47

Re : Piratage boite mail Orange

#61 Le 06/09/2016, à 22:19

Re : Piratage boite mail Orange

#62 Le 08/09/2016, à 16:12

Re : Piratage boite mail Orange

#63 Le 08/09/2016, à 17:00

Re : Piratage boite mail Orange

#64 Le 08/09/2016, à 17:38

Re : Piratage boite mail Orange

#65 Le 08/09/2016, à 18:26

Re : Piratage boite mail Orange

#66 Le 09/09/2016, à 08:58

Re : Piratage boite mail Orange

#67 Le 09/09/2016, à 09:31

Re : Piratage boite mail Orange

#68 Le 09/09/2016, à 09:53

Re : Piratage boite mail Orange

#69 Le 09/09/2016, à 12:23

Re : Piratage boite mail Orange

#70 Le 09/09/2016, à 13:07

Re : Piratage boite mail Orange

#71 Le 09/09/2016, à 14:21

Re : Piratage boite mail Orange

#72 Le 09/09/2016, à 14:45

Re : Piratage boite mail Orange

#73 Le 09/09/2016, à 14:49

Re : Piratage boite mail Orange

#74 Le 09/09/2016, à 15:58

Re : Piratage boite mail Orange

#75 Le 15/09/2016, à 13:54

Re : Piratage boite mail Orange

Pied de page des forums