Outils

Provenance des emails : savoir lire un header

*Ce texte s’adresse aux débutants*

Lors de la présentation faite à la Nuit Du Hack 2012, il avait été rapidement expliqué qu’un simple email envoyé depuis un téléphone portable ou une tablette, pouvait déjà comporter un certain nombre d’informations.

L’header ou en-tête est parfois traduit par certains services de messageries en « code-source ». Ainsi sur Hotmail, lorsque vous recevez un email, les options vous font apparaître une nouvelle page sur laquelle vous pouvez trouver :

·         Le service de messagerie de l’expéditeur (pratique lorsque l’on ne reconnaît pas l’adresse);

·         L’IP de l’expéditeur (même si ce n’est pas systématique), dans la partie Received from ;

·         Parfois le FAI ou l’opérateur téléphonique ;

·         Le logiciel de messagerie utilisé, dans la partie X-Mailer. 

 

A quoi servent concrètement ces informations ? Très basiquement, il y a des messages dont on a envie/besoin de s’assurer de la provenance. Lorsqu’il s’agit de mails anonymes, calomnieurs, cela peut aider. De la même façon, lorsque l’on reçoit un mail dont on doute de la légitimité – tentative de phishing par exemple – un affichage du code source permet de lever les doutes.

Les informations contenues dans un emailheader_facebook.jpg

Dans l’exemple ci-dessous, il a été pris un mail automatique de Facebook m’informant que de nouveaux messages ont été écrits sur un groupe privé. On voit bien les différentes IP, dont celles identifiant des serveurs privés, ainsi que le système qui a permis l’envoi de ce mail automatique.

L'header d'un mail envoyé par Facebook

La façon manuelle la plus simple de comprendre un header est de sortir l’en-tête du message, de repérer tous les éléments le composant et de les chercher dans un moteur de recherche. C’est en le faisant plusieurs fois que l’on commence à comprendre la structure d’un header – qui varie d’une messagerie à l’autre.  

Parfois, la lecture des headers peut s’avérer beaucoup plus difficile. Si sur Hotmail, Yahoo, Google, la lecture est facile, les logiciels de messagerie rendent parfois la chose très compliquée, par exemple, le logiciel Lotus. On se retrouve alors avec des informations peu lisibles. Comment les lire sans y passer trois heures ?

Le logiciel proposé par le site IPTrackerOnline propose la lecture des headers. Relativement bien fait, il suffit de copier l’header dans la case prévue à cet effet. Il va ensuite lire, analyser et transcrire clairement les informations nécessaires.  On peut voir le « chemin » de l’email, les informations classées et hiérarchisées permettant de comprendre ce que l’on a sous les yeux et lorsque cela est faisable, une visualisation géographique de l’IP de l’expéditeur.

IpTracker Online

Pas mal fait, ce soft a quand même quelques ratés sur certains emails. En quoi reste-t-il pratique ? Tout d’abord parce qu’il semble qu’il existe peu d’outils permettant de lire vite et bien les header d’emails – le mieux étant de savoir le faire à la main – et que celui-ci est le plus précis et le plus graphique. Certains outils rendent la lecture tellement difficile, que la lecture de l’header est encore plus complexe après l’analyse par l’outil.

De la même façon, il ne semble pas y avoir d’outils permettant d’analyser en une seule fois tout un « bloc » d’emails reçus. Il faut donc analyser les emails un par un.

Cet outil peut servir lorsque l’on a plusieurs emails à analyser et pas forcément énormément de temps devant soi pour faire l’analyse à la main ou que le code-source est tellement désordonné que l’on n’arrive pas à y retrouver ses repères habituels – exemple avec les emails reçus via Lotus.

Si vous connaissez d’autres outils d’analyses d’header, en ligne ou à installer, sur Windows ou sur Linux, merci de les indiquer. 

9 réflexions sur “Provenance des emails : savoir lire un header

  • Anonyme

    Je n’en connais pas car sous

    Je n’en connais pas car sous Linux il existe assez de commande pour vérifier tout cela, mais il doit être aisé de coder un petit script ou l’ont peu copier coller le header et qu’il fasse tout le reste.
    surtout que tout est là
    http://xslt.alexa.com/site_stats/js/t/a?url=www.iptrackeronline.com

  • Tris Acatrinei

    Ah oui, je suis juste un peu

    Ah oui, je suis juste un peu feignasse à mes heures 😉

  • keyHeader

    Excusez moi j’abuse un peu mais qu’es ce que le « key header » et pouvait vous me le situé dans le code svp merci bonne journée a bientôt …
    Feignasse !!! ???? Je ne crois pas que tu le sois !!!
    Bravo toi et humble avec ca mais j’avais déja remarqué !!!

  • C bon j’ai trouvé ma « key header »

    Il fallait que je cherche le code source du message et non celui de la page entière mais je ne connaissais pas cette option sous outlook.

    Ps: Windows et Linux ca même pas comparable !!!

    tu peux donc effacer ce message et aussi le précédent, merci pour tout dsl pour la lecture enplus que je t’impose 😛

  • Tris Acatrinei

    Réponse pour Claire

    Bonjour, 

    j’ai supprimé votre commentaire car :

    1. si c’est effectivement un jeu, à vous de vous débrouiller;

    2. copier-coller les headers sans prendre la peine de cacher les nombreuses adresses emails des destinataires, c’est très limite comme comportement. 

  • Ah ok..

    Ah ok..
    Un « comportement très limite » c’est un peu abusif pour qualifier ma requête..Un geste maladroit, ça c’est sûr!
    Désolée de mon intrusion dans votre communauté, je cherchais juste quelqu’un pour m’aider à traduire ce charabia (suis pas du tout calée dans tout ça). J’ai pas parlé de jeu, on a juste envie de trouver qui est celui de la bande qui nous envoie ces messages masqués. Mais jai compris, je vais me débrouiller.
    Surtout, merci de rien

  • Tris Acatrinei

    Dévoiler des adresses emails

    Dévoiler des adresses emails personnelles ainsi que d’autres informations de tes camarades, oui, pour moi, c’est un comportement abusif. Apprécierais-tu que tes camarades balancent sur un site ton adresse email personnelle avec des informations susceptibles de donner encore plus d’informations personnelles comme ta localisation géographique ? 

    Tu aurais même pu prendre la peine de m’envoyer ces informations par message privé, via le formulaire de contact mais même cela, tu n’as pas pris la peine de le faire. 

    Dans l’article que tu commentes, il y a déjà pas mal d’information, ainsi que sur d’autres articles de ce site. Tu ne voulais pas de l’aide, tu voulais que je résolve l’énigme à ta place et si tu n’es pas capable de te creuser un tout petit la cervelle pour cela, alors oui clairement, tu as un comportement abusif. 

  • Ok ok

    Ok ok
    Mais comme tu l’as compris je manque de jugeotte,
    J’ai passé une partie de l’après midi à essayer seule avant de soumettre ma requête. Je ne suis pas faineante, juste limitée. Tout le monde n’a pas les mêmes facilités que toi par exemple. Quant à la bourde des emails perso, j’en suis navrée, effectivement je m’en serais bcp voulu de cette conséquence, que je n’avais pas du tout réalisé. Merci donc de ne pas avoir diffusé publiquement ma question. Je n’avais meme pas vu que je pouvais t’envoyer un msg privé, cela aurait été bien plus adapté.
    J’ai trouvé ton ton très impertinent, dans la mesure ou tu ne t’es même pas dit que je pouvais etre simplement une personne non pas mal intentionnee, mais juste nulle en la matière. C’est souvent le problème des gens qui ne sortent pas la tete de leur guidon. J’ai un certain âge, certaine compétence, mais pas du tout en informatique. Pourtant, il est écrit en haut de la page que ça s’adresse aux débutants. Inutile de préciser cela si c’est pour etre aussi désagréable avec la novice absolue que je suis. Enfin, mea culpa pour ma part, je me suis trompée en m’adressant ici, sur tous les plans. Poursuivons donc nos chemins respectifs, et n’en parlons plus.

  • Tris Acatrinei

    Je ne te reproche pas ton

    Je ne te reproche pas ton manque de connaissance, loin de là, je te reproche ta paresse, nuance. Et juste pour info, je ne viens pas du monde de l’informatique. 

Commentaires fermés.