Provenance des emails : savoir lire un header

emails
en-tête
header
iptracker online
messagerie

*Ce texte s'adresse aux débutants*

Lors de la présentation faite à la Nuit Du Hack 2012, il avait été rapidement expliqué qu’un simple email envoyé depuis un téléphone portable ou une tablette, pouvait déjà comporter un certain nombre d’informations.

L’header ou en-tête est parfois traduit par certains services de messageries en « code-source ». Ainsi sur Hotmail, lorsque vous recevez un email, les options vous font apparaître une nouvelle page sur laquelle vous pouvez trouver :

·         Le service de messagerie de l’expéditeur (pratique lorsque l’on ne reconnaît pas l’adresse);

·         L’IP de l’expéditeur (même si ce n’est pas systématique), dans la partie Received from ;

·         Parfois le FAI ou l’opérateur téléphonique ;

·         Le logiciel de messagerie utilisé, dans la partie X-Mailer. 

test_mathilde_codesource.jpg

A quoi servent concrètement ces informations ? Très basiquement, il y a des messages dont on a envie/besoin de s’assurer de la provenance. Lorsqu’il s’agit de mails anonymes, calomnieurs, cela peut aider. De la même façon, lorsque l’on reçoit un mail dont on doute de la légitimité – tentative de phishing par exemple – un affichage du code source permet de lever les doutes.

Dans l’exemple ci-dessous, il a été pris un mail automatique de Facebook m’informant que de nouveaux messages ont été écrits sur un groupe privé. On voit bien les différentes IP, dont celles identifiant des serveurs privés, ainsi que le système qui a permis l’envoi de ce mail automatique.

header_facebook.jpg

La façon manuelle la plus simple de comprendre un header est de sortir l’en-tête du message, de repérer tous les éléments le composant et de les chercher dans un moteur de recherche. C’est en le faisant plusieurs fois que l’on commence à comprendre la structure d’un header – qui varie d’une messagerie à l’autre.  

Parfois, la lecture des headers peut s’avérer beaucoup plus difficile. Si sur Hotmail, Yahoo, Google, la lecture est facile, les logiciels de messagerie rendent parfois la chose très compliquée, par exemple, le logiciel Lotus. On se retrouve alors avec des informations peu lisibles. Comment les lire sans y passer trois heures ?

Le logiciel proposé par le site IPTrackerOnline propose la lecture des headers. Relativement bien fait, il suffit de copier l’header dans la case prévue à cet effet. Il va ensuite lire, analyser et transcrire clairement les informations nécessaires.  On peut voir le « chemin » de l’email, les informations classées et hiérarchisées permettant de comprendre ce que l’on a sous les yeux et lorsque cela est faisable, une visualisation géographique de l’IP de l’expéditeur.

iptrackeronline.jpg

Pas mal fait, ce soft a quand même quelques ratés sur certains emails. En quoi reste-t-il pratique ? Tout d’abord parce qu’il semble qu’il existe peu d’outils permettant de lire vite et bien les header d’emails – le mieux étant de savoir le faire à la main – et que celui-ci est le plus précis et le plus graphique. Certains outils rendent la lecture tellement difficile, que la lecture de l’header est encore plus complexe après l’analyse par l’outil.

De la même façon, il ne semble pas y avoir d’outils permettant d’analyser en une seule fois tout un « bloc » d’emails reçus. Il faut donc analyser les emails un par un.

Cet outil peut servir lorsque l’on a plusieurs emails à analyser et pas forcément énormément de temps devant soi pour faire l’analyse à la main ou que le code-source est tellement désordonné que l’on n’arrive pas à y retrouver ses repères habituels – exemple avec les emails reçus via Lotus.

Si vous connaissez d’autres outils d’analyses d’header, en ligne ou à installer, sur Windows ou sur Linux, merci de les indiquer. 

Commentaires

Je n'en connais pas car sous Linux il existe assez de commande pour vérifier tout cela, mais il doit être aisé de coder un petit script ou l'ont peu copier coller le header et qu'il fasse tout le reste.
surtout que tout est là
http://xslt.alexa.com/site_stats/js/t/a?url=www.iptrackeronline.com

Ah oui, je suis juste un peu feignasse à mes heures ;)

Ajouter un commentaire