Journal Un email authentifie-t-il une personne ?

Posté par  (site web personnel) .
Étiquettes :
3
24
déc.
2008
Bonjour

J'ai été, disons très étonné, de voir que le New York Times a publié sans vérifier un email d'une personne se faisant passer pour le maire de Paris. Ce texte critiquait la candidature de Caroline Kennedy au poste de gouverneur de New York, que va laisser vacant Hillary Clinton, nommé "secretary of state" (ministre des affaires étrangères).

http://www.nytimes.com/2008/12/22/opinion/l22kennedy.html?_r(...)

Bon apparemment, il y a eu boulette sur boulette dans cette histoire.

Je n'ai pas réussi à savoir si l'email du plaisantin reproduisait le vrai email, ou si il était proche et vraisemblable.

Dans tous les cas, nous savons bien qu'un mail qui semble venir de sarkozy@elysee.gov ne garantit rien.

L'examen des RFC822 headers est un minimum.

Je me demande quelle est la procédure dans les journaux (Le Monde, Le Figaro, Libé...), à savoir, si ils ont l'habitude de recevoir des emails d'homme politiques réagissant sur des sujets. Dans ces cas, ils publient ou ils recontactent par téléphone la personne pour confirmation ?

  • # ils signent pas tous ?

    Posté par  (site web personnel) . Évalué à 8.

    je croyais que tout bon politique qui se respecte signait ses emails par GPG...


    ------------>[]

  • # On discute après

    Posté par  (site web personnel) . Évalué à 5.

    Je me demande quelle est la procédure dans les journaux (Le Monde, Le Figaro, Libé...)
    Vue les dernières publications de cette années de certains journaux et journalistes (papier et tv) je pense que la politique est :

    - On publie et on vérifiera après.

    Bien sûr, certains journalistes et rédacteurs font bien leurs bouleaux en vérifiant les informations avant de publier.

    Born to Kill EndUser !

    • [^] # Re: On discute après

      Posté par  (site web personnel) . Évalué à 5.

      Bien sûr, certains journalistes et rédacteurs font bien leurs bouleaux en vérifiant les informations avant de publier.

      Oui, surtout les corses.

    • [^] # Re: On discute après

      Posté par  . Évalué à 10.

      Je ne savais pas qu'ils étaient aussi bucherons ;)

    • [^] # Re: On discute après

      Posté par  (site web personnel) . Évalué à 10.

      Ironie du sort: le NYtimes se moquait il y a quelques mois de Palin qui avait reçu un faux appel de Nicolas Sarkozy.

      L'appel était plus difficilement vérifiable, je trouve.

      • [^] # Re: On discute après

        Posté par  . Évalué à 3.

        Il était immédiatement vérifiable tu veux dire, l'autre n'a même pas essayé de truquer sa voix et ça s'entend dès la première seconde que ce n'est pas la personne qu'il prétend être.

    • [^] # Re: On discute après

      Posté par  . Évalué à 3.

      J'au plutot dit :
      - On publie maintenant pour être les premiers et on vérifiera après.

  • # Bien sûr

    Posté par  . Évalué à 10.

    L'authentification et sûr et certaine !


    $ mail -a "From: Nicolas Sarkozy <nsarkozy@gov.fr>" bobama@gov.us
    Subject: Dear futur president...
    Dear obama,

    I send m3dics for $5/u. You can find cialias/viagra/valium... or softwares..
    Please contact me for more informations.

    Regards.
    Cc:

    Oups... Je me suis trompé de console... :)

    • [^] # Re: Bien sûr

      Posté par  (site web personnel) . Évalué à 1.

      Il ne se laissera pas avoir, car le terme exact serait plutôt "Dear elected president..."

      Et bon réveillon de Noël à tous ! :D

      • [^] # Re: Bien sûr

        Posté par  . Évalué à 4.

        Perdu :)

        C'est "president elect" le bon terme.

        Pareil itou pour le réveillon.

      • [^] # Re: Bien sûr

        Posté par  . Évalué à 10.

        C'est bien des médicaments pour avoir de plus grosses élections ?

    • [^] # Re: Bien sûr

      Posté par  . Évalué à 0.

      Oui enfin il y a toujours le nom de domaine ou l'IP du serveur smtp d'où provient le mail qui est transmit au lecteur du mail et je doute que tu puisse faire croire que le mail provient de smtp.gov.fr ...

      • [^] # Re: Bien sûr

        Posté par  . Évalué à 4.

        Il suffit juste d'empoisonner le serveur DNS du destinataire avec une entrée smtp.gov.fr dirigeant vers l'adresse IP du serveur mail expéditeur usurpateur. Mais de toute façon le domaine gov.fr n'existe pas (contrairement à gouv.fr). Aussi bien SPF (spécification des serveurs mails autorisés pour un domaine d'expédition en DNS) que DomainKeys (signature cryptographique du mail avec la clé publique publiée en entrée DNS du serveur SMTP expéditeur) sont soumis à la sécurité du protocole DNS. Finalement la meilleure solution reste la signature (+ le chiffrement) du mail (avec OpenPGP ou S/MIME) avec échange physique des empreintes des clés publiques.

  • # Peur et ignorance

    Posté par  . Évalué à 10.

    Ce qui est agaçant, c'est que si l'on envoie une lettre anonyme ou usurpée par La Poste, personne ne se fait prendre mais s'il s'agit d'e-mail, là, personne ne pense à vérifier si l'expéditeur est bien celui qu'il prétend et si ce n'est pas le cas, alors c'est qu'il s'agit d'un maichan pirate qu'il faut mettre en prison. Marre de la chasse aux sorcières, quoi.

    Pourtant, avec un tout petit peu de bon sens, on comprend que seul l'utilisateur de la messagerie (quand ce n'est pas en entreprise) est à même de remplir les champs Nom, Prénom, etc. et Adresse de Retour, comme sur n'importe quel autre formulaire. Si cela lui chante de mettre n'importe quoi, je ne vois pas de quelle manière on pourrait le détecter automatiquement.

  • # Question

    Posté par  . Évalué à 1.

    Sur ma boite gmail je reçois des spams, qui ont mon adresse (par exemple moi@gmail.com), dans le champ 'from'.
    Comment ils font ?
    Et comment on peut vérifier, à part avec une signature numérique, que cet email ne vient pas de gmail etc... ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.