Il y a un petit risque de bug inconnu - ou connu mais non corrigé - dans votre client de messagerie permettant une attaque en affichant simplement un message.

Je pense, cependant, ce conseil très large est également donné comme une défense contre certains types d'escroqueries par hameçonnage . Les attaques d'ingénierie sociale sont courantes et peuvent entraîner de graves problèmes. S'assurer que les gens sont au moins suspects est une première ligne de défense. C'est comme dire à un grand-parent âgé de ne jamais donner les informations de sa carte de crédit par téléphone - d'accord, bien sûr, il y a de nombreuses circonstances où cela est relativement sûr, mais quand ils continuent de se faire arnaquer encore et encore, il est plus facile de dire simplement: ne le faites pas.

De même, ne pas ouvrir de courrier vous empêche de lire sur le sort d'un orphelin dans une région déchirée par la guerre qui a a trouvé de manière inattendue une cache d'or nazi et a juste besoin de 500 $ pour le faire sortir clandestinement et ils en partageront la moitié avec vous, et votre cœur s'éteindra, et cet argent ne ferait pas de mal ... Ou, pendant que vous Connaissez la règle sur les pièces jointes, celle-ci dit que ce sont des photos des chatons les plus mignons de tous les temps, et comment cela peut-il être dangereux - je clique dessus et d'accord maintenant, il y a ces boîtes disant est-ce que je veux l'autoriser, ce qui est ennuyeux parce que bien sûr je le fais parce que je veux voir les chatons ....

Pas pour Gmail, mais pour Outlook , il y a eu un certain nombre d'exploits du "volet de prévisualisation" où le simple fait de regarder l'e-mail suffit pour compromettre: Les logiciels malveillants peuvent-ils être activés en prévisualisant l'e-mail dans Volet de prévisualisation d'Outlook?

Même si rien de vraiment mauvais ne se produit, de nombreuses choses passivement mauvaises peuvent se produire. Par exemple, vous pouvez afficher une image transparente d'un pixel avec votre adresse e-mail qui vous indique comme le type de personne qui ouvre et lit des e-mails suspects. Ce sont des listes sur lesquelles vous ne voulez pas figurer.

Prenons l'exemple de Gmail. Les e-mails entrants sont transférés via des filtres de messagerie ou des milters. Chacun de ces milters évalue l'e-mail en fonction de ses caractéristiques. Par exemple, l'état de l'expéditeur, le SPF, le DKIM, la réputation du domaine, la liste grise, les listes de spam, le contenu, etc. Si le mail n'est pas déjà rejeté à ce stade, il atteindra le scanner antivirus.

L'analyseur détache simplement les fichiers dans le contenu de l'e-mail et les associe aux définitions de virus. Dans le cas de Gmail, les archives sont également décompressées pour analyser des fichiers individuels. Lorsqu'aucune menace n'est détectée, l'e-mail sera stocké dans votre dossier de messagerie.

Cependant, cela fonctionne très bien, mais Gmail ne peut pas vous protéger de toutes les menaces. Des formats de compression étranges ou des fichiers cryptés peuvent encore passer. XSS est hautement improbable car ce type d'exploits est reconnu assez rapidement, que ce soit par Gmail ou par le navigateur. La meilleure chance d'infection est un client de messagerie local utilisant des extensions (par exemple CVE-2015-6172) pour charger le contenu joint.

En général, il devrait être sûr de consulter un e-mail, mais le logiciel est complexe et très rarement parfait.

Bien que les bons fabricants de logiciels essaient de s'assurer qu'ils affichent tous les e-mails de manière sûre, ils ont certainement créé des erreurs. Lorsque ces bogues sont découverts, les gens enverront des e-mails spécialement conçus qui exploitent les bogues d'une certaine manière et peuvent installer des logiciels malveillants sur votre ordinateur ou faire d'autres choses désagréables.

Un nouveau bogue pourrait être découvert aujourd'hui dans Gmail ou dans le le navigateur Web que vous utilisez, et quelqu'un peut envoyer un e-mail qui exploite ce bogue avant que vous n'obteniez une mise à jour qui corrige le bogue.

Le danger augmente considérablement si vous utilisez un navigateur Web ou un client de messagerie ancien ou non entretenu.

Il existe des façons de savoir que vous avez ouvert un e-mail (par exemple, Mixmax est une extension Chrome qui suit les e-mails envoyés via Gmail en intégrant une image masquée de longueur 0 dans le le corps de l'e-mail).

Même lorsque vous n'autorisez pas le chargement automatique des images (lorsque dans Gmail vous voyez en haut de l'e-mail un lien avec "Afficher les images ci-dessous"), si le code HTML est chargé, vous permettent aux exploiteurs potentiels de savoir que vous les lisez, ce qui est un feu vert pour le bombardement de courriers indésirables.

Par conséquent, répondre à la question «pourquoi» par une autre question: est-il risqué d'ouvrir et charger un e-mail inconnu contenant du HTML intégré?

OUI, il suffit d'ouvrir un e-mail dans Gmail , vous pouvez envoyer des données à des attaquants potentiels.

Autre Les clients de messagerie qui ne bloquent pas complètement les images d'e-mails ouverts enverront également les données lorsque vous les ouvrirez.

Les liens malveillants représentent aujourd'hui la majorité de l'exploitation. Le code malveillant (principalement javascript) est spécialement conçu pour exécuter du code indésirable via votre navigateur. La semaine dernière, nous avons vu les 3 jours iOS 0 (voir Trident / Pegasus) qui ont commencé à partir d'un e-mail malveillant et sont peut-être dans la nature depuis 2014 (de sécurité maintenant) ) Ces liens étaient même des liens «à usage unique», avaient un support pour tous les iOS depuis 7 et étaient capables de «jailbreaker» l'iOS à distance. Ce que je veux dire, c'est que je ne m'inquiéterais pas autant du «contenu» réel du message que de cliquer sur des images ou des liens dans l'e-mail. Bien que oui, il existe des astuces pour charger des scripts via le chargement d'image (ou autre), les navigateurs modernes et les clients de messagerie ont la capacité d'empêcher le script, vous pouvez donc simplement désactiver cela. Résolu.

La réalité est que les programmes traitent les données. Ces programmes peuvent contenir des bogues entraînant un comportement complètement différent du programme prévu. Habituellement, ce qui se passe dans de telles circonstances est que le programme sera soit arrêté par le système d'exploitation, soit simplement adopter un comportement aléatoire non nuisible. Cependant, tout ce qu'un programme fait est techniquement encore déterministe (à moins que le caractère aléatoire ne soit impliqué) - donc ce qu'un programme fait réellement lorsqu'il rencontre des données qu'il traite mal est déterministe, donc les attaquants sont capables de construire des données de manière à contrôler exactement ce que fait le programme.

Lors de la réception d'e-mails, votre client de messagerie traite déjà des données, il y a donc de bonnes chances qu'un attaquant puisse prendre le contrôle de votre programme de messagerie simplement en vous envoyant un e-mail - peu importe si vous le regardez réellement. Le programme de messagerie téléchargera l'e-mail et, par exemple, vous affichera le sujet. Lorsque vous ouvrez l'e-mail, votre client de messagerie fera probablement encore plus de choses, comme analyser le HTML dans l'e-mail, afficher le contenu, afficher des images, etc. Dans tout ce qu'il fait (de l'analyse HTML, au rendu images, rendre du texte, télécharger des e-mails, afficher le sujet), il peut y avoir un bogue.

Ouvrir un e-mail suspect est seulement plus risqué car plus de données sont traitées lorsque vous l'ouvrez.

Lorsque vous visitez un site Web (tel que Gmail) et y ouvrez un e-mail, les choses sont très différentes car Gmail n'est qu'un site Web comme les autres ... sauf qu'il affiche des e-mails. Le problème est que les sites Web doivent prendre en compte le fait que vous ne pouvez pas simplement envoyer le contenu de l'e-mail brut au navigateur, car il pourrait y avoir du HTML malveillant et / ou du JavaScript malveillant. Techniquement, ce n'est pas très différent de sites comme Wikipédia où les utilisateurs peuvent écrire des articles contenant une mise en forme.

Bien sûr, votre navigateur utilisera également des bibliothèques pour rendre le texte, traiter les polices, traiter les images, etc. donc s'il y a un bogue dans une bibliothèque d'images et que l'e-mail contient une image malveillante, vous n'avez pas de chance et c'est pas la faute de Gmail. Vous pouvez vous attendre à ce que les vulnérabilités de sécurité possibles avec Gmail soient les mêmes que celles du navigateur, plus le problème de XSS et d'autres vulnérabilités de sécurité spécifiques au Web.

C'est également la raison pour laquelle vous serez infecté par des éléments même lorsque vous ne visitez aucun site suspect (et que les gens parlent généralement de sites pornographiques, de streaming, de warez par là), c'est parce que même des sites non suspects diffusent des publicités provenant de différents réseaux, donc si un attaquant infecte un réseau publicitaire d'une manière ou d'une autre, même le non- les sites suspects vous serviront de logiciels malveillants. Techniquement, il est non sécurisé d'utiliser du contenu tiers que vous ne contrôlez pas. Pensez à ce qui se passe lorsqu'un attaquant parvient à contrôler un CDN qui sert jquery ou bootstrap ou autre, là où des milliers de sites l'utilisent. Ensuite, tous ces sites contiendront du javascript malveillant. Pour éviter que cela ne se produise, il y a SRI, mais je ne sais pas dans quelle mesure cela est bien pris en charge pour le moment.

Ouvrir un e-mail suspect n'est que plus risqué car plus de données sont traitées lorsque vous l'ouvrez. Par exemple, un traitement qui peut:

1. suivre votre adresse IP

2. effectuer une injection XSS / CSRF / de commande si le site Web est vulnérable.

3. ou dans un processus d'attaque avancé, un exécutable backdoor pour gagner le terminal ou la racine

L'ouverture d'e-mails suspects peut être dangereuse selon la configuration de votre client de messagerie. Si ces paramètres permettent au code de s'exécuter pendant que vous essayez simplement de bien visualiser le contenu textuel, la même chose peut se produire SI vous avez ouvert une pièce jointe ou cliqué sur un lien. C’est ce qui se passerait dans les coulisses. Un code non intentionnel s’exécute parce que vous avez cliqué sur quelque chose pour l’autoriser, à moins que votre client de messagerie, votre navigateur ou votre système d’exploitation l’arrête.

C'est pourquoi la réponse à votre question dépend si fortement du client de messagerie utilisé et des paramètres que vous avez sur ce client.

Gmail utilise certains outils pour minimiser ce risque tels que les filtres, l'analyse antivirus, même l'analyse des archives, mais ne pas cliquer sur ces "images d'affichage" ou cliquer sur quoi que ce soit dans l'e-mail réduira votre risque au niveau le plus bas possible.

Même si vous faites quelque chose d'aussi simple que de cliquer sur "afficher les images" sur un e-mail, dans Gmail, cette demande Get peut envoyer des informations passives aux méchants, ce qui vous rapproche un peu plus d'être une cible parce qu'ils savent que vous faites des erreurs comme cliquer dans des e-mails, vous ne devriez pas. Ce qui est juste un peu dangereux? Mais toujours dangereux.

Contrairement aux anciennes versions d'Outlook, en novembre 2019, je ne connais aucune vulnérabilité basée sur Gmail qui rendrait la consultation du contenu textuel dans Gmail dangereux. Cliquer DANS l'e-mail est la partie non sécurisée.

Je me demande si cela doit être dit: le simple fait d'ouvrir l'e-mail pour lire le contenu est DANGEREUX si vous ÊTES LE TYPE DE PERSONNE à être PERSUADÉ par l'e-mail, ce qui en vous-même en cliquant sur le lien ou la pièce jointe.