@free.fr: l'expéditeur est maquillé depuis mes contacts ?!

bobneurone · Hobbit de L'Univers Inscrit le: 25 Aoû 2012 Messages: 50

Bonjour,

Je reçois récemment des mails anonymes sur une adresse Free où l'expéditeur est maquillé avec des destinataires utilisés récemment. Chacun de ces mails contient une photo privée. Ces mails suspects sont visibles uniquement sur Thunderbird (Windows) et pas sur le mail dans un navigateur ni sur le mail de mon smartphone !

Comment voir l'entête et/ou l'adresse IP de l'expéditeur de ces messages? Le fait qu'ils contiennent une photo privée m'interroge.

Il semble que les mails soient modifiés localement dans Thunderbird car je vois les mails d'origine valides de mes expéditeurs depuis un navigateur ou depuis un smartphone. Je soupçonne donc un malware qui trafique mon mail dans Thunderbird. Norton ne détecte aucun malware sur mon PC.

Bob

*** Modération *** Titre édité *** Modération ***

Curtis Newton

Bidule532 · Esprit de L'Univers Inscrit le: 06 Juin 2012 Messages: 333

Bonjour,

Avec Thunderbird (Windows), ouvrir le message pour le lire et, dans la fenêtre supérieure, à côté de "répondre", "transférer"... etc... cliquer sur "Autres" et "Afficher la source" : vous verrez l'en-tête.

PS: ne publiez pas sur un forum public comme celui-ci une copie d'écran montrant l'image privée

bobneurone · Hobbit de L'Univers Inscrit le: 25 Aoû 2012 Messages: 50

Merci !

J'avais déjà essayé ça et je ne vois pas l'entête non plus juste le binaire de l'image qui se trouve dans le corps du message.

Bidule532 · Esprit de L'Univers Inscrit le: 06 Juin 2012 Messages: 333

Très étonnant !

Cela ressemble à une intrusion externe se faisant passer pour un mail... Afficher l'image elle-même pourrait peut-être conduire à l'installation d'un virus/cheval de Troie/...

Je pense que vous devriez:

1) isoler votre PC de tout réseau local ou Internet, et de tout disque dur externe
2) faire une analyse complète (virus, malware) de tout votre PC (pas seulement les fichiers de démarrage)

CurtisNewton · Modérateur UF Inscrit le: 25 Juil 2008 Messages: 57916

Bonjour,

J'ai déjà eu ça sur certaines boites, c'était des spams évidement, mais comme je ne lis qu'en mode texte, je ne risquais rien.

C'est parti à la corbeille directement depuis les serveurs, car en plus du mode uniquement texte, je ne relève que la liste des messages.

Parano Inside ©

bobneurone · Hobbit de L'Univers Inscrit le: 25 Aoû 2012 Messages: 50

bobneurone · Hobbit de L'Univers Inscrit le: 25 Aoû 2012 Messages: 50

Bidule532 · Esprit de L'Univers Inscrit le: 06 Juin 2012 Messages: 333

Pour Norton : hors connexion Internet, une analyse complète est possible : il utilisera les définitions chargées lors de la dernière mise à jour.

Je recommande aussi un examen complet (gratuit) avec Malwarebytes : https://www.malwarebytes.com/fr/

Pour la photo : ne pas oublier qu'un cheval de Troie peut être inclus dans seulement une dizaine de pixels d'une photo. 10 pixels piégés sont indétectables à l'œil nu dans une image de 1 Mpixels.

Une chose certaine : une photo qui se retrouve interprétée comme un mail alors qu'il n'y a aucune trace de son envoyeur et de son parcours, c'est suspect.

Curtis a raison : dans ce genre de situation... Parano Inside © !

bobneurone · Hobbit de L'Univers Inscrit le: 25 Aoû 2012 Messages: 50

Bidule532 · Esprit de L'Univers Inscrit le: 06 Juin 2012 Messages: 333

Si vous pensez que Thunderbird a été infecté (puisque lui seul peut ouvrir ce "mail"), désinstallez le complètement après avoir exporté vos messages, contacts et agendas, puis réinstallez le à partir du site officiel:

https://www.Thunderbird.net/fr/

Ensuite, et avant de réimporter vos exports (que vous aurez scannés avec Norton et Malwarebytes), vérifiez dans les paramètres de Thunderbird, section "vie privée et sécurité", que l'analyse des messages est activée : "détection de contenu frauduleux" et "antivirus".

Bonne chance !

CurtisNewton · Modérateur UF Inscrit le: 25 Juil 2008 Messages: 57916

Bonjour,

Là, oui, c'est très suspect tout ça !

Dans Thunderbird, désactiver l'affichage des photos/images depuis le Net et aussi en local (il me semble que c’est possible).

Et ça ne serait pas un email bugué par Thunderbird lors de la création d'un message ?

Bidule532 · Esprit de L'Univers Inscrit le: 06 Juin 2012 Messages: 333

Bonjour,

Tout ça fait penser à un cheval de Troie dans une image vérolée, cheval qui ne s'attaque qu'à Thunderbird avec sans doute pour objectif de récupérer des adresses mail de contact chez la personne visée, pour pouvoir ensuite propager le cheval à ces contacts en usurpant l'adresse mail de la personne qui a été atteinte.

Peut-être devriez-vous signaler votre problème directement sur le site de Thunderbird ?

CurtisNewton · Modérateur UF Inscrit le: 25 Juil 2008 Messages: 57916

Si c'est ça... il ne sait pas passer inaperçu ce malware... à moins d'un bug quelque part qui a fait faire ça et l'a fait repérer...

Outlook avait déliré il y a 20 en gros chez un collègue de boulot. Il renvoyait des emails que j'avais déjà eu quand ce collègue m'en envoyait de nouveaux, sauf qu'ils avaient été effacés avant ses nouveaux envois ?!

Les bugs...

Bidule532 · Esprit de L'Univers Inscrit le: 06 Juin 2012 Messages: 333

Si le but est simplement de collecter un maximum d'adresses mail pour ensuite pouvoir en faire (... je n'en sais rien), l'image piégée soi-disant envoyée par un contact connu n'a pas besoin de passer inaperçu.

Au contraire ! Puisque c'est en la visionnant que le cheval de Troie se met à fonctionner.

Mais, j'ignore au fond si c'est bien de cela qu'il s'agit. Hyper parano !

(édité une fois : orthographe)

CurtisNewton · Modérateur UF Inscrit le: 25 Juil 2008 Messages: 57916