Forum Linux.général la prise de B.E.C, sortez les tatamis

Posté par  . Licence CC By‑SA.
Étiquettes :
-3
3
juil.
2026

Mais quelle époque !

Je ne sais pas s’il existe actuellement un concours, ou si l’arrivée de Factur-X et la perspective d’un meilleur contrôle des flux de facturation et financiers excitent certaines vocations, mais les tentatives de fraude au changement de RIB semblent se multiplier.

On peut disposer d’un serveur correctement configuré, d’antivirus et de diverses couches de sécurité : les postes clients restent souvent la proie la plus facile, notamment selon la version du firmware du module installé entre le siège et l’écran.

Les domaines jetables, créés le jour même puis disparus le lendemain, constituent déjà une signature qui devrait alerter. On retrouve aussi de vrais-faux numéros de téléphone et, surtout, des messageries parfaitement propres sur elles, présentant des SPF, DKIM et DMARC irréprochables et franchissant tranquillement les protections censées nous prémunir contre tout.

Autrement dit, certaines personnes utilisent des outils propres pour faire du sale, voire du très sale, aux entreprises.

Les méthodes permettant d’accéder à un poste sont nombreuses. Elles profitent de failles, de logiciels insuffisamment corrigés ou d’outils qui restent vulnérables pendant parfois très longtemps.

Avec tout cela, les ingrédients nécessaires au désastre sont réunis.

Un poste observé ou télécommandé à l’insu de son utilisateur, et la fête peut commencer. Il n’y a pas si longtemps, des lecteurs PDF largement utilisés ont encore été concernés par des failles sévères, documentées notamment par Cybermalveillance.gouv.fr.

À partir de là, soit nous acceptons une course sans fin, soit nous essayons de raisonner autrement en nous posant quelques questions simples.

Que cherche réellement l’intrus ?

Sans même parler de destruction du système d’information :

  • quelle est sa motivation ?
  • de quoi a-t-il besoin une fois les documents convoités entre les mains ?
  • comment peut-il les faire sortir sans bruit et sans être découvert ?

Dans les affaires d’exfiltration, on apprend régulièrement que des intrusions silencieuses ont duré plusieurs mois et avec des degrés de sophistication brillantes.

Tout dépend évidemment de ce qui est recherché et de l’adversaire : groupe étatique, organisation criminelle, opportuniste ou simple escroc.

À mon niveau, je ne prétends évidemment pas répondre à toutes ces attaques, aussi différentes soient-elles. Il existe des personnes extrêmement compétentes dans les domaines de l’intrusion, de la détection et de la réponse à incident.

Je propose seulement une contribution à mon échelle.

Un outil volontairement simple

L’outil dont je parle n’est :

  • ni un antivirus ;
  • ni un antispam ;
  • ni un SIEM ;
  • ni un EDR ;
  • ni une solution fondée sur une intelligence artificielle.

Il vient simplement compléter un serveur Postfix.

C’est un système frugal, déterministe, et que j’espère efficace.

Il est écrit en Bash et vise les distributions Linux courantes disposant de Postfix, SQLite et des quelques outils Unix nécessaires à son fonctionnement.

Son principe est simple : il se place à l’un des endroits les plus stratégiques de la chaîne, au moment où le courrier sortant est remis au serveur.

Il se soucie assez peu de savoir si la machine émettrice est saine ou compromise.

Il ne juge pas l’intention.

Il n’analyse pas le contenu du message.

Il ne repose ni sur une usine à gaz, ni sur une accumulation d’heuristiques, ni sur un score comportemental plus ou moins mystérieux.

Il pose une question beaucoup plus simple :

Ce message est-il en train de partir vers une destination extérieure qui appartient réellement au paysage habituel de l’entreprise ?

Ce que nous voulons éviter, c’est que des documents quittent silencieusement l’entreprise à destination d’un inconnu.

Et c’est déjà pas si mal.

La suite

L’outil s’appelle TOEH — The Tomb of Every Hope.

Il est encore à l’atelier, même si une première version fonctionne déjà en production.

Si le sujet vous intéresse, je reviendrai avec davantage de détails sur son fonctionnement avec Postfix

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.