_ _______________________________________ _ -*4*- `^°*;:,.> * * * Cookiller * * * (Tobozo) * * <.,:;*°^` ___________________/¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯\_____________________ La fuite du cookie dans les emails HTML 2000 Depuis l'invention des cookies-web par netscrabe, on a toujours pretendu que l'utilisation de tels procedes etait totalement anonyme et ne pouvait etre associee a des informations personnelles sans en prevenir l'utilisateur au prealable (w3c, RFC). Dans cet article, nous allons presenter une technique par laquelle les cookies peuvent correspondre a une adresse email bien precise sans le consentement de l'utilisateur. Cette technique repose sur un trou de securite present sur MSIE comme sur Netscape (comme ca pas de jaloux). Elle peut etre utilisee par exemple pour autoriser une compagnie d'affichage de bannieres a associer une adresse Email a un profil "anonyme" créé par une personne surfant sur le web. Une fois les adresses Email repertoriees par profils types, ils peuvent proposer leurs services a des boites de SPAM. En addition a ca, certaines boites envoient carrement un Junk mail a TOUS les visiteurs de telle ou telle page selon la correspondance au profil existant, ce qui reduit considerablement la notion de privacy sur internet... En premier lieu, la synchro entre le cookie et l'adresse email doit se faire dans un message email formatté en html, et le destinataire doit avoir un lecteur de courrier avec le format html autorisé. La plupart des clients courriers ont cette fonction activée par défaut (un truc gratos ne l'est JAMAIS completement), comme outlook, outloox express, netscape messenger, eudora, etc Les systemes de mail comme caramail, hotmail, yahoo ont aussi (on s'en doute) la triste reputation de vous fournir ce type de cookies, mais ils fournissent aussi la possibilite de visualiser le message en mode texte seulement. La technique de base d'arrosage est d'inclure dans un message HTML un tag qui va charger une image depuis le web se trouvant sur un hebergeur publicitaire. Ce graphique sera appele avec le tag IMG et peut s'appeler "synchro.gif", tout en appartenant a un serveur web publicitaire. Ex :

Le tag peut apparaitre a n'importe quel endroit sur la page (un cookie ne peut etre chargé qu'avant le header), et l'image synchro.gif sera affichee en meme temps que le courrier lors de sa lecture. Si en plus les cookies sont autorises dans le web browser, et qu'un cookie de www.pubalacon.fr est deja present sur la machine, ce dernier sera automatiquement envoyé vers www.pubalacon.fr avec la requete HTTP GET pour le fichier synchro.gif. C'est un peu surprenant quand on s'attend a ce que seulement les pages web puissent se permettre de servir des cookies. Etant donné que, comme le web browser, le client mail affiche les pages en standard HTML, il peut donc aussi envoyer des cookies, ce qui represente un serieux trou de securite (tout au moins pour les versions soft de clients courrier). Okay, jusqu'ici, on a reussi a recevoir le graphique de pubalacon.fr, mais comment pouvoir recuperer l'adresse email ? La reponse est assez simple : la ligne de requete de l'url pour synchro.gif peut contenir l'adresse email comme parametre :

prennent moins de 100 octets de place, ils peuvent donc etre facilement planques dans le code html. C'est donc comme ca qu'on exlique l'arrivee du spam en meme temps que le dossier bulkmail (yahoo), les filtres anti-spam (hotmail), la caramallette (caramail), etc etc... Chacun de ces soit-disant limitateurs ne fait rien d'autre que cibler en vous deposant gracieusement une petite serie de mouchards dans votre cache, avec la benedition de votre fournisseur d'acces mail. Allez par exemple essayer d'ouvrir le repertoiree junkmail sur yahoo et listez les messages. Si le sujet vous plait, vous lisez, si le sujet vous plait pas, vous effacez. Rien que cette manoeuvre contribue a faire rentrer des infos dans les stats. Un bon conseil : desactivez vite cette merde avant qu'ils ne nous l'imposent. C'est dans les preferences... Vous devez vous demander a quoi peut bien ressembler ce fichier synchro.gif (pour en revenir a l'exemple precedent).. Le gif peut etre un point (1 pixel x 1 pixel) totalement invisible sur la page. Ce procede est deja assez vieux et permet de comptabiliser le %age de courriers lus dans un SPAM massif (notificateur de lecture). Voili un exemple de Web-bug, recu dans un junkmail :

(L'adresse email est encryptee) Vous remarquerez a quel point ces web-bugs sont similaires a l'exemple synchro.gif utilise pour recuperer une adresse email. Le difference ici est que la compagnie en question recupere directement l'adresse email du destinataire quand le message est lu (un peu comme une notification de lecture) et qu'elle heberge egalement l'image. Ce procede est egalement tres utilise sur yahoo, hotmail, caramail, et quelques autres client web-based. Si vous voulez creer un service similaire, un petit script de ma conception est créé a l'adresse suivant : http://1st-home.net/Computers/legang/notif.php3 Prevu pour servir une seule fois par email si ce dernier est lu dans les deux heures, ce petit script peut vous envoyer un mail de notification des que le courrier envoyé est lu par le destinataire, et cela en utilisant la meme methode (

). Une grosse compagnie aura besoin de plus de moyens que ca pour stocker un maximum de profils, cela peut se faire en louant de l'espace sur differentes mailing listes (lisbot par exemple?). Il faudra envoyer des millions de messages pour pouvoir generer des statistiques significatives et surtout pour recuperer un nombre assez interessant de profils a mettre dans la database client representative. En tous cas vu la taille d'un tel fichier gif, je vous invite a bien scruter le code html de vos emails en attendant que des (vrais) hackers trouvent un moyen de detourner ce moyen d'extorsion de vie privee et peut etre de le retourner a leurs destinataires. Au fait, saviez vous qu'on a le droit de se faire rembourser le temps de connexion pour telecharger un email non sollicite ? Le progres technique que cela represente dans le bizness des bannieres de pub est phenomenal et correspond avec la montee de l'integration du HTML a tous les outils de bureautique. Les societes de pub vont devenir tres precises en ciblage clientele et peuvent se tailler une place en or sur le marche de la communication et du SPAM. Il suffit d'avoir l'espace et les membres, de se mettre a vendre de l'espace pub dans une mailing liste (par exemple), d'ajouter simplement le code html dans un message et ceux qui ont le html actif dans leur client courrier vont betement telecharger l'image et le cookie, precisant d'une facon ou d'une autre a l'emetteur (ou outil de stats) par qui le courrier a ete lu et par qui il n'a PAS ete lu. Une fois écrémée avec ce procédé, cette liste devient un element tres ciblé et qualifié, et représente donc un potentiel commercial qui peut se negocier a prix d'or. A mon avis ce "trou de securite" ne disparaitra pas car en fait il n'est pas permanent (sauf sur les clients genre hotmail, yahoo, etc). Il suffit de desactiver le html dans les parametres du client courrier afin de n'afficher les messages qu'en mode txt. Mais par defaut, tous les clients courrier affichent le html comme dans un browser et telechargent n'importe quoi depuis l'internet. Le preview d'outlook, par exemple est le pire des mouchards dans ce cas, car il n'attend pas que le message soit lu pour envoyer sa puree au serveur, je dirais meme plus, il envoie la puree et recoit le cookie avant meme que le message soit affiche (pour des raisons de mise en page par exemple). Ce "progres" represente un autre pas en avant vers l'erosion de la vie privee sur le web, et comme d'habitude, pour eviter que cela arrive, ne surfez pas, ne lisez pas votre courrier, ne vous connectez pas, n'allumez pas votre ordinateur, en attendant une solution plus "technique". Tobozo