Des pirates peuvent mettre la main sur des données confidentielles en récupérant des e-mails mal adressés. C’est ce que démontrent deux chercheurs qui sont parvenus à intercepter 120 000 messagesen quelques mois.

Une bête faute de frappe. Au moment d’entrer l’adresse e-mail de votre correspondant, vous oubliez une lettre. xyz@edipress. ch au lieu de xyz@edipresse. ch. Lorsque vous vous en apercevez, le message est déjà parti. Aucun problème, il suffit de renvoyer le message à la bonne adresse, pensez-vous. L’histoire pourrait s’arrêter là.
Mais il se pourrait aussi qu’un inconnu récupère le message que vous pensiez perdu dans les tréfonds du web. Pour cela, il lui suffit d’avoir acheté le nom de domaine edipress. ch. Improbable? Pas forcément. Deux spécialistes en sécurité informatique ont tenté l’expérience. «Nous avons loué trente noms de domaines proches de ceux de multinationales», explique l’un d’entre eux, Garrett Gee. Et ensuite? «Nous avons simplement attendu six mois. »
Le résultat est impressionnant. «Nous-même sommes surpris de la quantité de messages égarés auxquels nous avons eu accès. » En un semestre, 120 000 e-mails pesant au total plus de 20 gigas leur sont parvenus. Certains contenaient des données sensibles, comme des noms d’utilisateurs et des mots de passe. «Il y avait aussi des documents internes aux entreprises, comme cette liste de toutes les cargaisons transportées par les navires d’une grande compagnie pétrolière», raconte Garrett Gee.
«On connaissait déjà les dangers du typosquatting, cette technique qui consiste à créer un site dont l’adresse ressemble à celle d’un autre, généralement très fréquenté», explique Candid Wüest, spécialisé dans l’identification de nouvelles menaces chez Symantec. Certains de ces domaines squattés affichent simplement de la publicité, d’autres tentent d’infecter l’ordinateur de l’internaute distrait avec un logiciel malveillant. «Mais grâce à cette nouvelle recherche, nous pouvons maintenant mesurer l’ampleur des risques liés aux fautes de frappes dans les courriers électroniques. »
Et ce n’est pas tout: Garrett Gee et son collègue Peter Kim ont fait une autre découverte. Au cours de leur recherche, ils se sont aperçus qu’un nombre conséquent de noms de domaines proches de ceux de grandes firmes étaient déjà enregistrés par des entités basées en Chine. Autrement dit, certaines personnes n’ont pas attendu pour se mettre au typosquatting. Et contrairement aux chercheurs qui assurent avoir dûment détruit toutes les données en leur possession, rien ne garantit que des personnes malintentionnées ne se servent des informations récoltées pour pirater des ordinateurs ou faire de l’espionnage industriel. «Attention toutefois à ne pas accuser trop vite les Chinois, tempère Candid Wüest de Symantec. Enregistrer un nom de domaine en Asie est moins contraignant qu’en Europe ou aux Etats-Unis. Il est possible de le faire sans avoir à révéler sa véritable identité. Il est donc tout à fait plausible que derrière des serveurs enregistrés en Chine se cachent en réalité des entreprises basées ailleurs dans le monde. »
Cette pratique est-elle légale? «La difficulté réside dans le fait qu’il s’agit d’un vol passif, analyse Nicolas Capt, avocat spécialisé dans les nouvelles technologies. Il n’y a pas de démarche active pour intercepter les e-mails. C’est comme un piège que l’on tend en espérant que quelqu’un tombe dedans. » Si le vol n’est donc pas forcément punissable, l’usage qui est fait des données peut en revanche être illégal. «On peut imaginer qu’une société porte plainte pour concurrence déloyale, mais la procédure risque de s’enliser en raison de la difficulté qu’on aura à dénicher les véritables responsables à l’étranger. »
Pour se protéger, mieux vaut donc agir en amont. «C’est aux entreprises de surveiller les noms de domaines proches de leur raison sociale. L’Organisation mondiale de la propriété intellectuelle prévoit des procédures accélérées qui leur permettent de récupérer tout nom de domaine similaire au point d’entraîner la confusion, souligne Nicolas Capt. En attendant que l’on trouve un moyen d’empêcher les internautes de faire des fautes de frappes, c’est la meilleure solution. »

Article d'Alexandre Haederli paru dans Le matin Dimanche du 18 septembre 2011