Comment se prémunir contre les attaques de piratages d’annuaire

L’idée de base sous-jacente à un piratage d’annuaire est qu’il existe de nombreux noms répandus. Si votre entreprise compte beaucoup d’employés, il est fort probable que certains s’appelleront Jean, Robert, Marie, etc. Les spammeurs ont, par conséquent, compilé de longues listes contenant ces types de noms. Un programme de génération de courriers associe chaque nom de la liste à un nom de domaine commun. Par exemple, si un spammeur cible le domaine contoso.com et que sa liste comporte les prénoms Jean, Robert et Marie, des spams seront envoyés à jean@contoso .com, robert@contoso.com et marie@contoso .com.

Ayez à l’esprit qu’il n’y a pas forcément d’employé Jean, Robert ou Marie chez Contoso. Le spammeur envoie malgré tout des messages à ces adresses, car il utilise des noms répandus afin d’identifier les adresses de messagerie valides. Outre les noms, le spammeur se servira aussi de mots fréquents dans les adresses de messagerie, par exemple ventes@contoso.com, service@ contoso.com ou info@contoso.com.

Lorsque les spammeurs lancent des attaques DHA, ils savent que la majorité des adresses testées ne sont pas valides. Toutefois, ils savent aussi qu’en essayant suffisamment de noms, certains messages arriveront à destination et leurs listes comportent souvent des milliers de noms. Dans l’exemple du spam envoyé à Jean, Robert et Marie, j’ai indiqué comment le nom de la liste peut être associé à un nom de domaine cible. Dans le monde réel, les sociétés utilisent rarement le prénom d’un employé comme seule base d’une adresse de messagerie.

Plus fréquemment, les adresses électroniques sont constituées d’une combinaison du prénom et du nom de l’employé. Les spammeurs le savent et ils essaient d’envoyer des messages à de nombreuses combinaisons différentes de noms de leurs listes. Par exemple, si un spammeur veut cibler le nom Jean Dupuis, certaines combinaisons possibles pourront être du type JDUPUIS, Jean.Dupuis ou JeanD. Si la liste du spammeur contient des milliers de noms, vous pouvez imaginer le nombre de messages envoyés avant que toutes les combinaisons possibles soient épuisées.

En général, les prénoms et les noms figurent sur des listes distinctes, ce qui décuple le nombre global de combinaisons à tester. Une attaque DHA produit parfois les mêmes symptômes qu’une attaque de refus ou de service (DoS). Le spammeur peut inonder le serveur de messagerie des destinataires avec un nombre de messages tellement important que les messages valides ne peuvent plus passer.

Naturellement, cette technique se décline en de nombreuses variantes. Certains spammeurs ne s’encombrent pas de listes de noms, mais effectuent une attaque de type « force brute » en essayant toutes les combinaisons possibles de chiffres et de lettres au sein d’une longueur de nom d’utilisateur prédéterminée et en les associant à un nom de domaine connu. Cette technique est fortement consommatrice de ressources et est très longue pour le spammeur, de par sa nature dite de « force brute ». Certains spammeurs lui préfèrent une méthode moins exhaustive, mais plus rapide.

D’autres spammeurs utilisent des bases de données de spam pour identifier quelques adresses connues associées au domaine, l’objectif étant de déterminer le format d’adresse de messagerie employé par une entreprise. Dès qu’ils connaissent ce format, ils peuvent lancer une attaque DHA nettement plus efficace. Mais comme il existe des millions de domaines, les spammeurs passent de moins en moins de temps à affiner les attaques contre des domaines individuels et préfèrent envoyer des millions de messages à une multitude de formats d’adresse pour en trouver quelques-uns valides.

 L’envoi de messages à un nombre incalculable d’adresses de messagerie ne représente que la moitié de l’attaque DHA. Rappelez-vous que sa finalité est de déterminer les adresses électroniques valides afin de leur envoyer plus de spams. Les spammeurs disposent de deux méthodes pour identifier des adresses valides. Les techniques les plus courantes pour trouver des adresses valides consistent à examiner les rapports de nonremise (NDR) générés.

Comme vous le savez probablement, la majorité des serveurs de messagerie sont configurés de telle sorte qu’ils renvoient un rapport NDR à l’expéditeur en cas d’adresse inexistante. Les spammeurs établissent une référence croisée entre les rapports de non-remise et la listes d’adresses auxquelles ils ont envoyé des messages. Toute adresse pour laquelle un rapport NDR a été retourné est considérée comme non valide et est, par conséquent, supprimée de la liste. A l’origine, les spammeurs traitaient l’absence de rapport NDR comme une confirmation de la validité de l’adresse.

Toutefois, à l’heure actuelle, l’absence de rapport de non-remise n’apporte pas la certitude qu’une adresse est valide. Si un spammeur inonde un domaine avec des attaques DHA, mais qu’il ne reçoit aucun rapport NDR en retour, il sait que l’entreprise a désactivé ce type de rapport. Les spammeurs pourront toujours identifier des adresses électroniques valides, mais pas autant que si les rapports NDR avaient été activés. Pour cela, ils examinent des indices tels que les messages d’absence du bureau. Ils peuvent aussi inclure une demande d’accusé de réception dans des messages DHA.

En raison du mode de fonctionnement des attaques DHA, il est même possible que des adresses nouvellement créées, mais pas encore utilisées, reçoivent des spams dans les heures qui suivent leur mise en service. Heureusement, il existe plusieurs moyens de combattre ce type d’attaque. Les techniques décrites ici concernent uniquement Exchange Server 2003, mais la plupart fonctionnent également avec Exchange Server 2000.