Le dimanche 29 septembre 2024, tout allait pour le mieux sur le serveur CLUB1, quand tout à coup, à 13h01, Nicolas nous informe sur le canal Matrix des membres :

Bon, on a eu un petit soucis avec les emails

Le mot de passe d'un compte CLUB1 a visiblement été récupéré par un attaquant. Il a été utilisé pour envoyer environ 1 mail par seconde sur environ 24h.

Bref, On s'est fait hackeeerrr!!!! 😱😱😱😱😱 Surtout, ne pas céder à la panique !!!! 🥴 On respire un bon coup et on essaye de comprendre ce qui s'est passé.

La cause

C'est difficile de savoir exactement comment cela s'est passé, mais on a tout de même des suppositions. On soupçonne une installation de CMS en friche : Un logiciel prévu pour le Web (forum, wiki, blog...) dont l'installation est incomplète, qui a été mal configuré ou qui n'est plus à jour depuis trop longtemps. Le Web est une porte ouverte sur le serveur. Hors nous ne somme pas les seuls à traîner sur le Web, il y a aussi des quantités de robots (des logiciels) qui parcourent le Web jour et nuit à la recherche de la moindre faille à exploiter. Ils toquent à toute les portes en espérant qu'on leur ouvre par erreur. En accédant à l'administration d'un CMS, on peut accéder à des codes et identifiants qui servent, par exemple, à configurer l'envoi de mail. C'est le scénario que l'on imagine.

Une entité à donc eu accès aux identifiants de connexion au service de mail.
Elle en a profité pour envoyer direct un MAX de SPAM !!!! Letzzgoo 📨 📨 📨 📨 📨 📨 📨

Comme les identifiants CLUB1 sont les mêmes pour les différents services, cela donne également accès à tout l'espace personnel ! Heureusement, rien n'a été tenté de ce côté. l'intention n'était donc pas de mettre le bazar sur le serveur ou d'essayer d'en prendre le contrôle. La stratégie était peut-être plutôt la discrétion. Bon, sauf qu'à l'échelle de CLUB1, c'est cramé rapidement quand on envoie 3600 emails par heure.

La Découverte

C'est grâce au tableau de bord, qui permet de suivre le travail des serveurs emails, que l'envoi en masse a été repéré.

Ce graphique indique le nombre de messages dans la file d'attente au cours du temps. D'habitude, il n'y en a aucun (le volume d'email de CLUB1 est plutôt tranquille). Puis la quantité d'email envoyé est devenu trop forte et une belle file d'attente s'est crée.

La première réaction a donc été de changer le mot de passe pour bloquer l'accès au service de mail à ce compte. Et dans un second temps, de supprimer tous les messages de la file d'attente. C'est toujours ça de gagné !

Effet secondaires

Le mail est une activité difficile sur internet. En lançant ce service, on savait qu'on allait avoir des galères. La question était plutôt : quand est-ce que ça va arriver ?

En fait, toute la difficulté vient de la grande guerre du SPAM. Cette dernière a justifié la création de nombreuses mesures pour écarter les fournisseurs d'emails jugés "à risque". Par exemple, si un serveur reçoit du mail identifié comme SPAM, il peut faire en sorte de bloquer l'adresse qui l'envoie. Mais souvent, c'est carrément tout le serveur qui est bloqué !

Et ça n'a pas manqué ! Microsoft, le deuxième fournisseur d'email mondial, a bloqué l'adresse IP associée à club1.fr. Ce qui a pour effet de bloquer tout les emails qui ont pour destinataire une adresse ...@outlook.com ou ...@hotmail.com. Le serveur de Microsoft renvoie alors un message expliquant que le mail n'est pas arrivé (au moins on est au courant !)

On a donc contacté le support pour leur demander de sortir l'adresse IP de leur liste de blocage. Cela s'est passé sans encombre, même s'il a fallu insister un petit peu pour que la demande soit prise en compte.

💡 Pour plus d'information, voir le suivi du problème sur le forum

Il faut aussi se dire que, même s'il n'y a pas eu de blocage frontal avec les autres fournisseurs d'emails, cet envoi en masse a potentiellement eu un effet négatif. Par exemple, Google, le premier fournisseur mondial, attribue un score de réputation aux serveurs qui envoient des mails. Ce genre d'incident est typiquement ce qui fait baisser la réputation d'un serveur. Augmentant le risque pour les emails provenant de club1.fr d'aller dans le dossier SPAM de Gmail.

Conclusion

C'est un cas intéressant car il illustre bien les enjeux d'entretien d'un espace sur le Web, ainsi que la relation inégale entre les fournisseurs d'emails.

Ce n'est pas la facette la plus amusante d'Internet : Des robots qui cherchent la moindre faiblesse pour attaquer et des fournisseurs de mails qui peuvent nous rayer de la carte en un clin d'oeil.

Mais bon, ça permet de nous rendre compte des réalités d'Internet et de les partager ! 😊 Et puis c'était intéressant de se rendre compte de la procédure pour sortir d'une liste de blocage. Pour le coup, ce n'est pas une action nécessitant des connaissances techniques. Elle peut donc facilement être effectuée par n'importe qui. Une note : Sortir des Blacklist a été créée pour documenter les procédures traversées. En cas de futur problème, cela pourra aider à se répartir les tâches.

Tous les articles CLUB1 concernant les emails :

• Le(s) serveur(s) emailLes membres de CLUB1 ont enfin une adresse email perso27/07/2021
• Transfert d'email & Sender Policy FrameworkSoit la configuration de SRS pour réparer ce que SPF a cassé28/08/2022
• Rapport d'incident #005La journée aux 30000 mails20/10/2024