Email bombing

En jargon Internet, le email bombing (aussi appelé whamming ; en français, bombardement de messagerie ou encore bombarderie) est une cyberattaque consistant à envoyer de grand nombre de courriers électroniques à une adresse électronique pour tenter de saturer sa boîte de réception^[1],[2], de submerger le serveur où l'adresse électronique est hébergée par une attaque par déni de service (attaque DoS)^[3] ou comme un écran de fumée pour détourner l'attention de messages électroniques importants indiquant une faille de sécurité^[4].

On utilise les termes email-bomber pour caractériser l'action de faire du email-bombing et email-bomb pour désigner le courrier reçu sous cette forme et dans ce but.

Le terme bombarderie a été proposé par l'Office de la langue française du Québec pour désigner cette notion (décembre 1996). C'est un mot-valise fabriqué à partir des mots BOMBARDer et messagERIE.

Lorsque l'attaque réussit, le serveur hébergeant l'adresse électronique visée arrive à court d'espace disque, ou, si l'espace des boîtes de réception est limité (ce qui est le plus souvent le cas pour les boîtes de réception des particuliers), la boîte de réception devient pleine et son utilisateur ne peut plus recevoir de messages avant de l'avoir vidée. Dans le premier cas, la bombarderie peut provoquer un déni de service. La taille des messages n'a qu'une importance technique : plus ils sont petits, plus on peut en envoyer à la seconde pour saturer le serveur sous un déluge de messages jusqu'à saturation.

En janvier 2015, Yann Barthès, présentateur de l'émission Le Petit Journal, a demandé aux téléspectateurs d’inonder la boîte de réception de la directrice de communication, puis du directeur de la rédaction de la chaîne Fox News qui avait dressé un faux portrait de certains quartiers de Paris, présentés comme des no-go-zones^[5]. La directrice de la communication de Fox News aurait alors reçu 20 000 messages en moins de cinq minutes^[6].

Techniques

Il existe trois techniques pour perpétrer une bombarderie : l'envoi massif de courriers électroniques, l'abonnement à des listes et la bombe de compression.

Envoi massif de courriers électroniques

L'envoi massif de courriers électroniques consiste à envoyer de nombreux courriers à la même adresse électronique. Ce type de bombarderie est simple à concevoir, mais son extrême simplicité permet de le détecter facilement au moyen de filtres antipourriels. La bombarderie par envoi massif est couramment effectuée comme une attaque DDoS en utilisant des botnets, c'est-à-dire des réseaux d'ordinateurs compromis par des logiciels malveillants et sous le contrôle de l'attaquant. Comme pour l'envoi de pourriels, l'attaquant demande au botnet d'envoyer des millions, voire des milliards de courriels, mais contrairement à l'envoi de pourriels où une seule copie d'un message est envoyé à chaque destinataire, les courriels sont tous adressés à une ou à quelques adresses que l'attaquant souhaite inonder. Cette forme de bombarderie a un objectif similaire à celui d'autres attaques par inondation de DDoS. Comme les cibles sont souvent les serveurs qui gèrent le site web et les comptes de courrier électronique d'une entreprise, ce type d'attaque peut être dévastateur pour les deux services de l'entreprise.

Abonnement à des listes

L'abonnement à des listes consiste à abonner une adresse électronique à plusieurs listes servant à envoyer des infolettres ou d'autres informations^[7]. La victime doit ensuite se désabonner manuellement de ces envois indésirables. L'attaque peut être réalisée automatiquement à l'aide de simples scripts : c'est facile, il est presque impossible de retrouver l'auteur de l'attaque et l'attaque peut être très dérangeante^[8]. Une attaque massive de ce type visant les adresses électroniques .gov a été observée en août 2016^[9].

Une grande quantité de courriels générés par ce genre d'attaque peut être utilisée pour détourner l'attention de courriels importants indiquant qu'une faille de sécurité s'est produite ailleurs. Par exemple, un pirate ayant compromis un compte Amazon peut envoyer un flot de courriels à l'adresse électronique associée au compte afin de masquer le fait que l'adresse de livraison Amazon a été modifiée et que des achats ont été effectués par le pirate^[4].

Bombe de décompression

La bombe de décompression est une bombarderie associée au traitement des fichiers archives joints à des messages électroniques. Lorsque les logiciels de messagerie ont commencé à vérifier les courriels avec des logiciels antivirus et à filtrer certains types de fichiers malveillants comme les fichiers .exe, les logiciels de messagerie ont dû décompresser les fichiers archives pour en vérifier le contenu pour s'assurer que ces fichiers archives ne contenaient pas de fichiers indésirables.

On pouvait alors construire une bombarderie en joignant à un courriel un fichier texte, ne contenant, par exemple, que la lettre z se répétant des millions de fois. Un tel fichier se comprime en un fichier .zip relativement petit, mais son déballage (surtout par les premières versions des serveurs de messagerie) nécessitait un traitement important, ce qui pouvait entraîner un déni de service si un grand nombre de tels courriels était acheminé au serveur. Un fichier .zip ou .tar.gz peut même contenir une copie de lui-même, ce qui peut entraîner une récursion infinie si le serveur vérifie les fichiers d'archives imbriqués^[10].

Bombe SMS

Une bombe SMS est une variante de la bombarderie qui consiste à envoyer un grand nombre de messages SMS au même numéro de téléphone. C'est une technique de cyberintimidation ou de harcèlement en ligne. Les nombreux SMS ainsi générés peuvent également entraîner des frais de téléphone élevés sur certains forfaits de téléphonie mobile^[11].

Références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Email bomb » (voir la liste des auteurs).

1. (en-GB) Silverbug, « 10 Types Of Cyber Crimes... And Another 10 You've Never Heard Of », sur www.silverbug.it (consulté le 25 avril 2019)
2. (en) « The Return of Email Flooding », sur Dark Reading (consulté le 25 avril 2019)
3. (en-US) « Email Bombing and ways to protect yourself », sur The Windows Club, 4 mai 2017 (consulté le 25 avril 2019)
4. Dima Bekerman: How Registration Bots Concealed the Hacking of My Amazon Account, Application Security, Industry Perspective, December 1st 2016, In: www.Imperva.com/blog
5. « Le "Petit Journal" fait plier Fox News », sur TéléObs (consulté le 31 janvier 2019)
6. « "No go zones": après une campagne au bazooka du Petit Journal, Fox News s'excuse », sur LExpress.fr, 18 janvier 2015 (consulté le 31 janvier 2019)
7. Markus Jakobsson et Filippo Menczer, « Untraceable Email Cluster Bombs », ;login, vol. 28, n^o 6,‎ décembre 2003 (lire en ligne, consulté le 23 août 2016)
8. (en) Markus Jakobsson et Filippo Menczer, Web Forms and Untraceable DDoS Attacks, Springer US, 1^er janvier 2010, 77–95 p. (ISBN 9780387738208, DOI 10.1007/978-0-387-73821-5_4, arXiv cs/0305042)
9. « Massive Email Bombs Target .Gov Addresses — Krebs on Security », sur krebsonsecurity.com (consulté le 23 août 2016)
10. « research!rsc: Zip Files All The Way Down », sur research.swtch.com
11. (en-US) Ann Brenoff, « Why Every Parent Needs To Know About Text Bombs », Huffington Post,‎ 1^er novembre 2013 (lire en ligne, consulté le 30 décembre 2017)

Voir aussi

Articles connexes

• Photobombing, une intrusion accidentelle ou intentionnelle d'une personne au premier plan ou à l'arrière-plan d'une photographie en train d'être prise
• Zoombombing, une intrusion non désirée et perturbatrice, généralement effectuée par des trolls ou des pirates informatiques, dans une vidéoconférence
• Griefer, un joueur qui, dans un jeu vidéo multijoueur, irrite volontairement et harcèle les autres joueurs
• Troll, un individu qui vise à générer des polémiques
• Spambot
• Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques

• Portail de la sécurité informatique
• Portail des télécommunications