Mensonges & technologies

Bonsoir à tous et à toutes !

Travaillant actuellement sur un projet d’analyse de gros flux d’adresses IP j’ai eu l’idée, en réfléchissant sur les mensonges de mélanger, les deux. Cela n’a rien à voir avec les articles précédents mais je me suis dit que cela pouvait toujours être utile et à défaut permettrait de terminer l’été sur une note de fun.

L’objectif de cet article vous apportera tout de même la capacité de vérifier si l’on vous ment ou non.

Dans quel contexte ? Prenons un exemple.

Votre conjoint vous déclare qu’il part en déplacement disons à Marseille. Vous, vous habitez Paris. Il prend le train le matin et arrive le soir à Marseille. Il vous appelle en vous disant que tout va bien qu’il est bien arrivé.

Piège : vous lui demandez s’il a internet, ce qu’il confirme et vous lui demandez de vous envoyer un mail. Peut importe le prétexte, vous voulez récupérer un fichier, bref un truc sur son ordinateur portable. Il vous envoie le mail. Après analyse vous mettez à jour la supercherie ! Il n’est pas à Marseille mais  à Paris !

Comment procéder pour analyser un mail ? D’abord quelques explications techniques. Ne vous inquiétez pas je vais tenter de vulgariser la chose au maximum, nous ne sommes pas sur un blog de sécurité informatique.

Lorsque vous vous connectez sur internet votre modem se connecte chez votre fournisseur d’accès. Celui-ci vous attribue un identifiant unique pour que vous puissiez circuler librement sur internet (toujours en passant par votre fournisseur bien entendu). C’est que l’on appelle l’adresse IP. L’adresse IP est un peu comme l’adresse que l’on mettrait sur une enveloppe pour communiquer avec quelqu’un. Cette adresse sert bien entendu à vous retrouver aussi, car sinon, comment vous répondre ? Lorsque vous vous connectez sur un site internet, celui-ci vous répond en vous envoyant le contenu du site internet. Comment pourrait-il donc vous répondre si votre adresse IP ne figurait pas dans la discussion entre vous et le site ?

Il existe plusieurs protocoles dans ce monde de communication internet. Celui pour les sites web est le protocole HTTP et pour le courrier c’est le protocole SMTP. Un protocole est une sorte de façon de discuter entre vos logiciels et les services que vous trouvez sur internet. Vos logiciels sont votre navigateur comme internet explorer, firefox ou chrome ou votre logiciel de courrier, outlook par exemple.

Pour communiquer sur internet il existe une série de protocoles qui sont les mêmes pour tout le monde, sinon comment feriez-vous pour communiquer si vous étiez sous Linux ou Mac par exemple. Sachant qu’un site web est en gros, une machine avec lui aussi un système d’exploitation comme windows ou linux. Vous avez donc certainement déjà vu traîner quelque part sur internet ce que l’on nomme TCP/IP.

Comment marche très grossièrement le courrier ?

Lorsque vous envoyez un mail, avec l’adresse du destinataire, le sujet et le message, votre logiciel de messagerie va fabriquer un paquet. C’est comme si vous preniez une boite, au fond cette boite votre logiciel va y déposer votre message, l’adresse, etc mais en l’ayant transformé au préalable en langage courrier (en langage SMTP). Il va y poser ensuite un couvercle pour y mette une autre couche, qui contiendra des données servant à dire comment sera transporté votre colis. Il y posera à nouveau un couvercle pour ajouter une nouvelle couche qui contiendra elle votre adresse IP et celle de destination. Il se passe des choses beaucoup plus complexes mais schématiquement c’est ça.

Votre mail est envoyé. Il va alors transiter par d’autres machines de courrier, par des relais jusqu’à ce qu’il arrive sur le serveur de courrier de votre destinataire.

Vous êtes-vous déjà demandé comment un mail arrivait à destination ? Comment se fait-il qu’il n’atterrisse pas à New-York par exemple au lieu de Paris. Il existe pour cela tout un gigantesque réseau de machines, de routeurs qui vont aiguiller votre paquet dans la bonne direction. Chaque « relais de courrier », par lequel votre paquet va passer, va apposer une sorte de tampon de passage à votre colis. Ces tampons vont êtres empilés les uns au dessus des autres dans votre message.

Lorsque vous consultez vos mails, votre logiciel de messagerie se connecte sur les machines de courrier de votre fournisseur d’accès et télécharge les derniers mails.

Vous lisez votre mail comme vous le faites d’habitude. Votre logiciel de messagerie récupère ce qu’il y a au fond de votre colis et comme il comprend le langage SMTP il vous met tout ça en bon ordre et de manière intelligible par l’humain. Mais saviez-vous que les données qui ne sont pas visibles, toute la machinerie qui s’exécute en coulisse figure toujours dans le message que vous êtes en train de lire ? Et donc les tampons qui ont été apposés ? Et donc le tout premier tampon, celui qui contient l’adresse IP de la personne qui vous a envoyé le mail ?

Regardons l’action au ralenti (je l’avais pas fait depuis longtemps celle-là)

L’expéditeur vous envoie un mail en utilisant son logiciel de messagerie. Son logiciel envoie le mail et donc contacte la machine responsable du courrier chez son fournisseur. Et comme il a une adresse IP, qu’il a eu en se connectant à internet, la machine responsable du courrier tamponne donc le mail avec son IP (celle de l’expéditeur). En recherchant cette IP en utilisant ce que l’on appelle la géolocalisation on peut donc avoir à peu près l’endroit d’où est partit le mail. Il existe des sites web qui permettent de faire ces recherches et en fonction de la complexité de la carte qu’il possèdent dans leur base de données on peut avoir une idée de quelques centaines de mètres à quelques kilomètres. Bon ce n’est pas l’objectif mais vous pouvez tout de même faire la différence entre Paris et Marseille !

Il ne reste plus pour vous qu’à savoir comment analyser ces données cachées. Elles ne sont pas cachées en fait mais étant donné qu’elles n’ont aucune utilité pour l’utilisateur elle ne sont juste pas affichées par votre logiciel.

Pour afficher le contenu de ces données il faut que vous trouviez dans votre logiciel ou votre webmail préféré une option qui vous permette de lire ou d’afficher « le source » du mail. N’utilisant plus Windows depuis plus de dix ans je ne saurai vous dire comment afficher le source sous outlook, fouillez dans les toutes les options ou avec un click droit sur le message peut-être. Sous Gmail, cliquez sur votre message pour l’afficher puis à coté du bouton répondre se trouve une petite flèche. En cliquant dessus vous avez l’option « afficher l’original ». Avec hotmail, en faisant un click droit sur le message, l’option « afficher le source » apparaît.

Une fois ceci fait vous vous retrouvez avec ce charabia :

Return-Path: <test@orange.fr>
Delivered-To: contacts@detecter-les-mensonges.fr
Received: from b0.ovh.net (HELO queue) (213.186.200.51)
by b0.ovh.net with SMTP; 2 Aug 2011 17:23:16 +0200
Received: from smtp01.smtpout.orange.fr (HELO smtp.smtpout.orange.fr) (80.12.242.123)
by mx1.ovh.net with SMTP; 2 Aug 2011 17:23:14 +0200
Received: from CL_HP ([186.98.153.224])
by mwinf5d24 with ME
id FTPE1h0054qlF2m03TPEQh; Tue, 02 Aug 2011 17:23:14 +0200
X-ME-engine: default
Message-ID: <A7D1B3A3998B4F8580F6A89E8C0B6BE2@CLEAHP>
From: =?iso-8859-1?Q?Cl=E9a_Obled?= <test@orange.fr>
To: <contacts@detecter-les-mensonges.fr>
Subject:
Date: Tue, 2 Aug 2011 17:22:36 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary= »—-=_NextPart_000_008D_01CC5138.C5EB1C80″
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416
X-Antivirus: avast! (VPS 110802-0, 02/08/2011), Outbound message
X-Antivirus-Status: Clean
X-Ovh-Tracer-Id: 1612851616724751043
X-Ovh-Remote: 80.12.242.123 (smtp01.smtpout.orange.fr)
X-Ovh-Local: 213.186.33.29 (mx1.ovh.net)
X-Spam-Check: DONE|U 0.5/N

Ce message est composé et au format MIME.

——=_NextPart_000_008D_01CC5138.C5EB1C80
Content-Type: text/plain;
charset= »iso-8859-1″
Content-Transfer-Encoding: quoted-printable

Bla bla bla, message de l’expéditeur ici……
——————————————————————

Bon, ce mail est en fait une mine d’informations très importantes pour un pirate. Je ne parle pas  que de celui-ci, mais de tous les mails en général.

Les tampons qui sont apposés à chaque passage d’un relais sont contenus chacun dans un champ de données qui comment par Received :

Donc voici la portion qui nous intéresse :

Received: from b0.ovh.net (HELO queue) (213.186.200.51)
by b0.ovh.net with SMTP; 2 Aug 2011 17:23:16 +0200
Received: from smtp01.smtpout.orange.fr (HELO smtp.smtpout.orange.fr) (80.12.242.123)
by mx1.ovh.net with SMTP; 2 Aug 2011 17:23:14 +0200
Received: from CL_HP ([186.98.153.224])
by mwinf5d24 with ME
id FTPE1h0054qlF2m03TPEQh; Tue, 02 Aug 2011 17:23:14 +0200

Comme je l’ai spécifié tout à l’heure, les tampons sont empilés les uns sur les autres. Donc, si nous voulons retrouver l’IP de l’expéditeur de ce message nous devons prendre cette liste à l’envers. Le premier champ Received étant le dernier relais par lequel est passé le mail. Le champ Received qui nous intéresse contient deux données :

  • « by mwinf5d24 » et « from CL_HP ([186.98.153.224]) »

Le message a été reçu par la machine du fournisseur internet nommée mwinf5d24 (Received by) depuis (from) la machine ayant l’adresse IP 186.98.153.224 (et en plus que la personne a appelé chez elle CL_HP) . Vous avez noté aussi la présence de la date dans ce « tampon ».

Le nom d’une machine dans un réseau informatique peut donner des informations à des pirates. Certains gestionnaires de réseaux pourraient utiliser par exemple le nom des planètes du système solaire pour nommer toutes les machines gérant leur réseau. Un pirate pourrait alors essayer les autres noms de planètes et toucher ainsi une machine qui ne serait pas forcément visible à tout le monde. Je ne vous donne pas cet exemple au pif, croyez-moi vous seriez surpris de l’état de certains réseaux informatiques appartenant à des organismes sensibles !

Vous avez noté aussi plus bas dans le charabia la version du logiciel de messagerie utilisé, très pratique si quelqu’un a décidé de vous envoyer un cheval de Troie qui utiliserait une faille de votre logiciel parce que vous ne le mettez à jour que tous les 6 mois. On peut voir que cette personne utilise aussi un certain antivirus avec la date à laquelle la base antivirale a été mise à jour !

Bref, une fois que vous avez cette adresse IP vous pouvez vous rendre sur un site que je trouve pratique (pour des raisons de programmation essentiellement) qui est :

http://whatismyipaddress.com/

Vous allez voir apparaître, quand la page sera affichée,  votre adresse IP  ainsi que sa localisation sur une carte. Cela vous donne une petite idée de la précision:

Vous avez donc récupéré l’adresse IP : 186.98.153.224 qu’il ne vous reste plus qu’à la copier coller dans le petit champ où figure actuellement votre adresse IP puis de cliquer sur « Additional IP details »

Vous obtiendrez une page où figurera la localisation de cette adresse IP avec une carte sur laquelle vous pouvez bien sur zoomer:

Voilà, si quelqu’un vous envoie un mail de Strasbourg et qu’en fait son adresse IP est dans le sud-ouest de la France c’est que quelque chose cloche.

Attention cependant si le site vous déclare que l’adresse IP que vous recherchez passe par un proxy. Cela veut dire que la personne passe par une sorte de « relais » pour surfer sur internet. Cela ne concerne pas dans notre exemple les adresses IP issues des courriers électroniques.

Ce sujet est très vaste et complexe, avec ce système vous pouvez, si un jour vous recevez un mail de votre banque qui vous demande des informations personnelles, analyser les tampons comme dans l’exemple que nous venons de voir. Et si l’adresse IP provient de Russie par exemple, c’est que ça sent pas bon !

Sur ces mots je terminerai ce petit article. J’espère qu’il vous a plu. Ça change un peu, c’est fun et ça peut vous sensibiliser un peu sur la sécurité informatique. Et ça permet quand même de détecter les mensonges dans un sens. N’oubliez-pas que la précision du point affiché sur la carte est approximatif.

Mon nouveau livre sera disponible début à mi-septembre je le présenterai donc sous forme d’un mini article.  Rendez-vous donc dans quelques semaines !

Bonne journée à vous,

Bien cordialement

Philippe

8 thoughts on “Mensonges & technologies

  1. Bonjour Philippe,
    J’ai une une question sur les réactions limbiques que vous abordez dans vos articles ainsi que dans les livres de Navarro. Est-ce comme ca que ca marche ? Je veux dire, y’a t-il eu des travaux sur la question ou est-ce une réflexion personnelle ?
    Merci pour vos articles que je suis attentivement !
    Xavier

  2. Bonjour phillipe avant de vous envoyer le mail d emon amie j’ai recommencé l’expérience et cette fois l’addrese ip etait bien marquée dans les bouches du rhone.

    Je pense que j’avais séléctionné une partie de l’acheminement du mail ( comme si il partait à ou de dublin pour revenir sur marseille.
    Je ne suis pas tres forte en informatique : )

    Qoi qu’il en soit ca marche !

    Merci pour vos bonnes idées et votre disponibilté

    a bientot

    manon

  3. Bonsoir Cyril,
    Merci pour le commentaire, en effet on a plus tendance à employer des webmails. Cependant cela dépend de ceux-ci, si j’utilise par exemple le webmail de mon hébergeur, c’est l’adresse IP de celui-ci qui figurera. Si j’utilise un webmail grand public comme hotmail par exemple, l’adresse IP sera bien celle de l’utilisateur. Je n’ai pas testé tous les webmails non plus 🙂
    Bonne soirée à vous
    Cordialement,
    Philippe

  4. Article très intéressant.
    Une chose de plus est, en revanche, à savoir selon moi. A l’heure du « cloud », on a plutôt tendance, de nos jours, à utiliser des webmail.
    Ainsi, le traçage d’un mail utilisant ces services n’est pas du tout représentatif de la position de l’envoyeur.
    On peut voir dans les en-têtes le protocole utilisé, s’il est écrit HTTP pour le premier « Received » on peut alors se dire que la personne a utilisé un webmail et que donc on ne peut la tracer de cette manière.
    Je tenais juste à préciser cela. 🙂

    Encore une fois très bon article, et qui rajoute un peu de fun ce qui permet de diversifier le blog.

    Merci et à très bientôt,
    Cyril

  5. Bonjour Manon,
    Merci pour votre compliment, si vous voulez envoyez-moi le « source » du mail sur mon adresse mail figurant en haut du blog. Je prendrai le temps d’y jeter un oeil. Peut-être votre amie utilise t’elle un proxy ou logiciel pour masquer ses traces. Cela restera entièrement confidentiel bien sur.
    Je vous souhaite une bonne journée,
    Cordialement
    Philippe

  6. Bonjour Mike !
    Merci pour votre commentaire, tor permet effectivement de passer par d’autres pays mais cela concerne le web essentiellement. Si vous allez sur le site que j’ai cité vous aurez une autre dresse ip. Et donc en vous connectant sur un webmail votre IP pourrait être modifiée.
    Il y aurait de quoi écrire plusieurs livres sur ce sujet 🙂
    Bonne journée,
    Philippe

  7. Bonjour, je lis vos articles avec assiduité depuis vos premieres publications et j’ai toujours autant de plaisir à venir ici.

    C’est la première fois que je laisse un message. Etant d’un naturel assez curieux j’ai voulu vérifier votre test d’adresse IP.

    J’ai fait le test avec un mail recu aujourd’hui, il m’a été envoyé par une amie avec qui je travaille, nous habitons toutes les deux les bouches du rhone.

    Lorsque j’ai fait la vérification l’analyse disait bien que mon adresse IP etait des bouches du rhone en revanche la sienne est indiquée en irelande !!
    Pourtant elle était bien chez elle puisque je l’ai eu au téléphone et que nous avons travaillé ensemble.

    J’ai fais une erreur?

    J’aimerai bien maitriser cette simple technique qui pourra me servir prochainement.

    Merci encore pour votre travail, j’attends votre prochain livre avec impatience

    A bientot
    Manon

  8. bonsoir philippe
    merçi pour cet excellent article effectivement on peut
    etre victime des escrocs d’internet cette vérification peut éviter bien des déboires
    et si on utilise tor brownser?

    CORDIALEMENT

Comments are closed.