Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2000-INF-005

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 14 juin 2000
No CERTA-2000-INF-005

Affaire suivie par :

CERTA

NOTE D'INFORMATION DU CERTA

Objet : Les canulars par messagerie


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-005

Résumé
Ce document s'adresse à tous les utilisateurs de la messagerie. Il met en garde contre certaines formes de rumeurs diffusées par Internet et apprend à les reconnaître. Ce document pourrait être repris par les responsables informatiques sous la forme d'une note interne.

Gestion du document


Tableau 1: gestion du document
Date de la première version 29 mai 2000
Date de la dernière version -
Source(s)
http://www.hoaxbuster.com

Une gestion de version détaillée se trouve à la fin de ce document.

1 Systèmes concernés

  • la messagerie ;
  • les forums de discussions.

2 Risque

  • divulgation de l'organisation interne, voire de la liste des personnes les plus crédules ;
  • déni de service sur les outils de messagerie ;
  • participation à son insu à une attaque de déni de service ;
  • banalisation du risque de sécurité ;
  • recommandations de fausses mesures de sécurités pouvant causer des dégats.

3 Description

Des messages circulent sur la messagerie qui invitent le lecteur à les faire suivre au plus grand nombre de destinataires possible. Ces messages diffusent des rumeurs parfois fondées souvent non fondées.

3.1 Incitation à la propagation

Ces messages canulars jouent sur les sentiments du destinataire pour le pousser à faire suivre le message au plus grand nombre de personne possible. Ils poussent le destinataire à faire une « bonne action » : aider un enfant malade, être le héros qui arrêtera la prochaine épidémie de virus informatiques, ... ou bien à acquérir à bon compte des objets convoités (un téléphone portable, une image attrayante, ...).

Les messages jouent souvent d'arguments d'autorités pour inciter les destinataires à le propager. Par exemple, le message prétend ne pas être un canular (ou hoax en anglais), il prétend que l'information a été vérifiée par une autorité reconnue (FBI, éditeur d'antivirus, hôpital, fournisseur d'accès à Internet, le service informatique, Microsoft ou tout autre grand éditeur de logiciel, etc.)

Une autre méthode classique pour laisser croire à la véracité du message est de le présenter comme le témoignage direct d'une personne impliquée.

Pour paraître vrai le message peut citer des éléments d'actualité. Le destinataire sera d'autant plus enclin à croire au bien fondé de la démarche à laquelle il est poussé si il peut la rattacher à un contexte d'évènements qu'il connaît par ailleurs.

Le message invite le destinataire à le propager le plus rapidement possible en invoquant l'urgence de la situation. Le destinataire est invité à prendre une décision rapide concernant l'envoi du message. Tout est fait pour qu'il juge que le meilleur choix est d'envoyer rapidement (il vaut mieux diffuser une fausse nouvelle plutôt que de laisser arriver une catastrophe).

Le message vient de quelqu'un qui a été lui-même victime de la rumeur et qui vous connaît. Ce mode de diffusion du message tend à faire baisser votre niveau de vigilance. « Puisque je reçois une invitation à propager un message de la part de quelqu'un que je connais, je suppose qu'il s'est assuré du bien fondé de la démarche et je me dispense de le faire ».

3.2 Danger de ce type de messages

3.2.1 Surcharge de votre réseau

Le premier risque concerne la surchage de vos réseaux et de vos serveurs de messagerie. Lorsqu'un message est diffusé à n personnes qui chacune le diffusent à n personnes. Pour n = 10 et 4 niveaux de redirection on peut aller jusqu'à 10 000 messages.

3.2.2 Diffusions de messages parasites

Lorsque le texte du message est exprimé en HTML par le biais de balises malveillantes, il est possible d'envoyer systématiquement un message à la réception du canular.

Parfois ce même mécanisme se fait de façon manuelle lorsque le destinataire est invité à ajouter un destinataire particulier à la liste de diffusion (l'argumentaire du message vise à justifier pourquoi il est nécessaire d'ajouter ce destinataire).

Ceci peut avoir de nombreux effets, dont :

  1. lorsque le destinataire de ce message est une victime, il est noyé sous un flot de messages qui lui sont envoyés automatiquement. Dans ce cas, le fait de lire le message et de le faire suivre s'apparente à de la complicité dans une opération de déni de service sur un tiers ;
  2. lorsque le destinataire de ce message envoyé automatiquement est la personne malicieuse, elle reçoit la liste de vos correspondants ce qui lui permet d'imaginer la structure de votre entité et les réseaux de personnes à l'intérieur.

    De surcroît, elle reçoit la liste des personnes les plus crédules (celles qui font suivre les mèls). Cette information pourrait être exploitée ultérieurement pour obtenir à moindre risque des informations plus sensibles.

    Il faut noter qu'il existe une variante, où l'on obtient l'organigramme de votre entité en vous demandant d'envoyer vos carte de visites à un enfant gravement malade dont c'est la seule passion. Quelqu'un malintentionné peut, par exemple, avec vos carte de visite prétendre vous connaître et avoir travaillé avec vous voire se faire passer pour vous.

3.2.3 Autres effets nuisibles

Parfois le message vous demande de faire des actions réputées être les seules pertinentes étant donné l'urgence. Ces actions sont dangereuses. Par exemple, vous êtes invités à :

  • débrancher l'ordinateur sans l'éteindre proprement pour éviter d'être contaminé par un virus ;
  • effacer tous vos documents de bureautiques probablement déjà contaminés ;
  • isoler votre réseau sans précaution. En vous isolant totalement vous perdez toute possibilité d'apprendre qu'il s'agit d'un canular.

3.3 Exemples

Fausses alertes de virus
Un message annonce la propagation éclair d'un nouveau Virus aux propriétés destructrices extraordinaires. Le message se présente comme une information issue d'un éditeur d'antivirus bien connu. Par exemple :
*========================================*
COMMUNIQUE DU SERVICE INFORMATIQUE
*=======================================*

IBM et Aol ont annonc� l'arriv�e d'un nouveau virus : � wobbler �
Semblable � � I love You �, d'apr�s IBM il peut �tre encore plus
dangereux car il arrive � d�truire toutes les donn�es du disque dur
ainsi que celles de Netscape et Microsoft Internet explorer. Il
n'existe pas � ce jour d'antivirus capable de le d�truire.  Il peut
vous parvenir sous la forme suivante : � How to Give a Cat a Colonic �.
Si vous recevez par Mail un message avec comme fichier joint un �cran
de veille screensaver intitul� BUDDLY SIP ne l'ouvrez en aucun cas.
Annulez le imm�diatement.  En l'ouvrant, vous allez perdre toutes les
donn�es de votre disque dur.  Tout ce que l'on sait, c'est que ce
virus a �t� lanc� il y a 10 jours et il s'agit d'un tout nouveau virus
extr�mement dangereux.  Faites suivre ce message � tout votre carnet
d'adresse. Si tout le monde est au courant, le lancement de ce virus
aura �t� un �chec.  MICROSOFT, LINUX, AOL ainsi que WANADOO a confirm�
jusqu'� quel point ce virus est dangereux. Aucun programme ne peut le
d�truire.  Veuillez prendre toutes les pr�cautions et communiquer ce
message � un maximum de personnes.

Ci-dessous une liste de virus qui sont particuli�rement virulents si
vous les recevez surtout ne pas ouvrir il peuvent venir en annexe de
l'un de vos e-mails

      1)  buddylst.exe
      2)  calcu18r.exe
      3)  deathpr.exe
      4)  einstein.exe
      5)  happ.exe
      6)  girls.exe
      7)  happy99.exe
      8)  japanese.exe
      9)  keypress.exe
      10) kitty.exe
      11) monday.exe
      12) teletubb.exe
      13) The Phantom Menace
      14) prettypark.exe
      15) UP-GRADE INTERNET2
      16) perrin.exe

      17) EAT SHIT (c'est le plus dangereux
      il attaque le syst�me (notament "Regegit")
      il se pr�sente sous la forme d'un message
      intitul� "FreePizza"

On voit dans cet exemple que :

  • argument d'autorité : l'information est vraie puisqu'elle viendrait du service informatique et qu'elle serait confirmée par MICROSOFT, AOL, WANADOO et LINUX suggéré ici comme étant une improbable société.
  • rôle gratifiant : les spécialistes ne savent rien faire, il faut donc prévenir tout le monde. Je participe à l'éradication d'un virus ;
  • référence à l'actualité : on parle d'I LOVE YOU, dont on a entendu parler par la presse. C'est donc grave.
  • Urgence : au vu de la vitesse de propagation et des dégâts occasionnés il faut faire suivre le plus rapidement possible.
Action généreuse vers un enfant malade
Un message informe du drame vécu par un jeune enfant devant se faire opérer ou bien étant traité pour une longue maladie. Le destinataire du message est invité à réaliser une action qui vise à permettre le succès de l'opération ou bien à combler un souhait qui semble anodin de cet enfant. Par exemple :
=================================================================
MESSAGE IMPORTANT A TRANSMETTRE AU PLUS GRAND NOMBRE DE PERSONNE
=================================================================
Mesdames, Messieurs,

Il y a actuellement, une petite fille de 12 ans, � l'h�pital Necker, 
qui doit se faire op�rer pour la seconde fois du foie mi-juin.

Elle recherche du sang B-, en quantit� importante. Je ne peux h�las 
pas lui donner le mien, ayant accouch� il y a 4 mois. Le don du sang 
�tant anonyme et le receveur aussi, la d�marche � suivre est donc la 
suivante : le donneur doit aller dans un h�pital qui a un service 
"Don du sang anonyme". Donnez son sang. Appelez la maman de la petite 
fille (dont vous trouverez le N� de t�l, ci-dessous) pour lui indiquer 
le lieu du don.

Elle contactera Necker, qui contactera l'h�pital en question pour 
r�cup�rer le sang. C'est un peu compliqu�, mais c'est comme �a.

Pour confirmation, vous pouvez contacter sa maman au 06.70.02.41.75.
LE SANG B- EST RARE, VOUS QUI EN AVEZ, DONNEZ-LE, MERCI.


Merci de renvoyer ce message au plus grand nombre de personne possible

       Emmanuelle FLAHAULT

On voit dans cet exemple que :

  • argument d'autorité : L'information est vraie puisqu'elle provient d'un grand hôpital ;
  • témoignage direct : le message provient d'une personne qui aurait bien voulu donner son sang, mais qui n'a pas pu. De plus la mère de la petite fille a fourni son numéro de téléphone. Imagine-t-on que quelqu'un ait pris le risque de bluffer en donnant son numéro de téléphone ?
  • rôle gratifiant : En envoyant ce message à tous vos correspondants on augmente la chance de trouver des donneurs de sang du groupe B- et de sauver la petite fille ;
  • urgence : L'opération de la petite fille a lieu mi-juin, il faut trouver rapidement le plus grand nombre de donneurs étant donné les démarches à entreprendre.

Ce type de message est assez courant. Il gêne le travail des hôpitaux qui ont bien d'autres choses à faire que de répondre à des canulars.

On peut imaginer que le propriétaire du téléphone va recevoir plusieurs appels qui le dérangeront puisque toute cette histoire est inventée.

Acquisition d'un objet attrayant
Un message vous invite à le faire suivre à 8 ou 20 de vos amis afin de gagner un téléphone portable. Ce canular a débuté avec un message venant soit disant de Nokia. Un second message de même type à suivi mais cette fois ci avec le constructeur Ericsson. Une troisième version cite maintenant Alcatel.
Cher client,


Nos concurrents Nokia et Ericsson, donnent des mobiles gratuits sur
leur site Internet et nous, ALCATEL, voulons r�sister � leur offre.


Donc nous donnons aussi nos t�l�phones One Touch VIEW DB derniers 
mod�les qui sont tout particuli�rement d�velopp�s pour l'internet 
et nos heureux clients trouvent ces appareils tr�s avanc�s 
technologiquement. En donnant des t�l�phones gratuits, nous obtenons 
donc de la part de nos clients de bons retours et des effets
importants de bouche � oreilles.

Tout que vous devez faire, c'est exp�dier ce message � 8 amis. Apr�s
un d�lai de livraison de deux semaines, vous recevrez un 
ALCATEL One Touch MAX DB.

Si vous l'envoyer � 20 amis, vous recevrez le tout dernier 
ALCATEL One Touch CLUB DB.

N'oubliez juste pas d'envoyer une copie � : jean.market@alcatel.com ;
c'est, pour nous, la seule fa�on de v�rifier que vous avez exp�di� ce 
message � 20 personnes.


                            Bonne chance
                            Jean market
                            Directeur marketing
On voit dans cet exemple que :
  • témoignage direct : l'information est vraie puisqu'elle vient du directeur marketing (jean.market@alcatel.com) (sic) qui ne prendrait pas le risque de donner son mèl si toute cette affaire était fausse ;
  • référence à l'actualité : des messages identiques ont circulé sur Nokia et Ericsson. C'est donc une pratique courante de cette industrie que de donner les objets qu'elle fabrique ;
  • attrait du gain : on va obtenir un objet que l'on imagine très convoité (le tout dernier modèle de la marque) sans trop d'effort puisqu'il suffit de transmettre ce message à 20 amis.
  • urgence : Plus tôt le message est envoyé, plus on a de chance d'obtenir son gain. Cette opération pourrait ne pas durer.

Il n'y a qu'une chose dont on peut être sûr, c'est que le serveur de courrier de chez Alcatel va être saturé. Le votre aussi.

4 Solution

Il ne faut jamais chercher à savoir si de tels rumeurs véhiculées par la messagerie sont fondées ou non. C'est une fausse piste. La décision doit se prendre de façon objective sur ce que le message veut vous pousser à faire.

Dès que vous recevez un message :

  1. avec beaucoup de destinataires ;
  2. dont le texte véhicule une forte charge émotive ;
  3. qui inspire un sentiment d'urgence ;
  4. qui vous invite à faire quelque chose que vous ne faites pas spontanément
vous êtes en droit de supposer que vous êtes en présence d'un canular.

Que la rumeur soit fondée ou non, la diffusion massive d'un message par tous les usagers de la messagerie, ne constitue jamais la bonne démarche.

Il faut faire suivre le message à son responsable de la sécurité informatique qui est le seul habilité à juger des suites à donner.

Gestion détaillée du document

29 mai 2000
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-09-22