Plusieurs applications de messagerie populaires sont vulnérables à une faille de sécurité nommée Mailsploit

Le 4 décembre 2017, le chercheur en sécurité de chez la société de messagerie sécurisée Wire, Sabri Haddouche, a rendu publique une vulnérabilité nommée Mailsploit.

Le chercheur a découvert qu'un attaquant pouvait facilement usurper l'adresse de l'expéditeur dans un e-mail, et même contourner les filtres anti-spam et les mécanismes de protection de DMARC, une norme visant justement à empêcher l'usurpation d'identité. Plus de 30 applications de messagerie électronique sont concernées, notamment Apple Mail, Mozilla Thunderbird, Outlook ainsi que d'autres applications de Microsoft, Yahoo Mail, Hushmail et ProtonMail.

Une liste complète, mais non exhaustive des différents services de mails affectés est également disponible sur ce lien : https://docs.google.com/spreadsheets/d/1jkb_ZybbAoUA43K902lL-sB7c1HMQ78-fhQ8nowJCQk/htmlview?sle=true

Cette vulnérabilité permet lors de l'envoi d'un courriel de falsifier le champ émetteur qui sera affiché au destinataire et d'ainsi usurper l'identité de l'expéditeur.

En effet, il est possible de tirer parti de la représentation des caractères et de leur encodage dans le champs "From" de l'entête d'un courriel pour amener un client de messagerie à n'interpréter qu'une seule partie des informations fournies. La différence entre la valeur du champ "From" et ce qui est affiché peut alors permettre à un utilisateur malveillant de falsifier les informations sur l'émetteur qui seront présentées au destinataire.

D'autre part, la vulnérabilité Mailsploit rend possible l'injection de code dans le champ "From" qui pourra dans certains cas être interprété par le client de messagerie.

Dans certains cas, les attaquants peuvent également exécuter du code JavaScript. Le code qu'ils veulent exécuter est positionné dans le paramètre de l'en-tête. Celui-ci sera exécuté soit lorsque l'email malveillant sera ouvert ou soit lorsque certaines actions seront effectuées (création d'une nouvelle règle, réponse à un email), en fonction de l'application.

Tous les fournisseurs concernés ont été avertis au cours des derniers mois. Yahoo, ProtonMail et Hushmail ont déjà publié des correctifs, alors que d'autres sont encore en cours de développement d'une solution.