Je poste ce message sur ce forum et sur d'autre car je vous fait partager mon coup de gueule contre free!
 
Depuis 2 mois et malgré mes multiples demandes à Free de supprimer mes comptes mails ces derniers sont toujours en cours! Je suis dégouté par la non réactivité de free. Mes ordinateurs ont tous été réinialisés et les mots de passe changés mais l'attaque persiste toujours. Il y a clairement un soucis sur la sécurité des serveurs mails de free.
Free ne semble pas réactifs face à ces attaques car plutôt que de faire une étude, ils ont tendance à supposer que nous avons un virus installé chez nous.
La lenteur de free et la non réacitivé montre un sérieux problème de compétence!
 
Après mon n-ième appel, il me propose une n-ième procédure mais toujours pas de suppression d'email en cours. Cela doit être trop compliqué pour eux!

Euh, on s'en fou ?  

Pas la bonne catégorie, pas de bonjour/au revoir, juste un mec qui vient gueuler alors que t'as sûrement un problème chez toi et c'est pas chez eux (j'ai des comptes mails chez Free depuis des années, je sais de quoi je parle)  

Oui désolé.  
Je viens de discuter avec eux au téléphone pour la n-ième fois et je suis en pétard! Cela n’empêche pas le bonjour. Sincèrement après avoir tout desinstallé et réinstallé les OS, réinialisé les passwrds chez eux. Je ne vois plus ce que je peux faire. Ils m'ont confirmé que le soucis pouvait venir de chez eux. Jusqu'à maintenant je n'avais pas de soucis chez eux mais celui là c'est le ponpon!

 
C'est peut-être le cas.
 
Sinon, tu pourrais (mais dans la bonne catégorie, si possible) aussi nous en dire un peu plus sur la nature de "l'attaque" que tu penses subir d'un serveur mail, parce balancer "Free c'est pas sécurisé j'ai réinitialisé mes ordinateurs mais l'attaque persiste" ça ne veut pas dire grand chose (voir rien du tout, en fait).
 
Concrètement, quel est ton problème ?

Dans quel catégorie dois déplacer le sujet?

Mon problème est que depuis 2 mois je reçois des undelivered sur un de mes comptes email free. En regardant les undelivered je me suis apperçu que je ne connais pas les emails. Par la suite je ne recevais pas les bounces mais mails étaient envoyé à mes contacts. Un de mes contact m'a retourné une réponse à un mail que je n'avais pas envoyé. J'ai changé le mot de passe. Réinitalisé les ordianteurs. Puis rechanger de mot de passe. En allant sur les forums, on m'a informé que cela pouvait être une sorte de virus de contact. J'ai supprimé tous mes contacts, purgé mon compte mais voilà je reçois de nouveau des bounces.

 
Oui alors je sais qui tu as eu au tel, mais le mec qui s'occupe des mails chez Free c'est une pointure, donc je pense pas que ça soit les compétences le problème.Là ou a mon avis la qualité a baissé c'est sur la partie hébergement.

 
Si tu as changé plusieurs fois ton mot de passe, c'est probablement que quelqu'un intercepte ton mdp au moment où tu le tapes.  
 
Ça peut être fait soit au moyen d'un virus sur ton PC (peu probable si tu l'as formaté et réinstallé), ou de quelqu'un qui intercepte ton trafic réseau. Te connectes-tu bien en mode sécurisé sur le serveur mail ?
 
Dans tous les cas, ça me paraît peu probable que le problème vienne de chez Free, sans quoi tu ne serais pas le seul utilisateur impacté.

En lisant les posts sur d'autres forum je me suis apercu que je ne suis pas le seul impacté. Mon trafic réseau est sécurisé et seul un compte est piraté. Les autres comptes n'ont rien. Si cela avait été un virus mais j'en doute car j'ai réinitialisé ubuntu. Par contre, ce compte email est le seul ou j'ai accepté la maintenance et la migration sur le serveur Zimbra.
De plus, en créant un filtre sur les messages sortants, je m’aperçois que je m'envoie des bounces???

Ce sujet a été déplacé de la catégorie Hardware vers la categorie Windows & Software par TotalRecall

Quel est ton mode de fonctionnement ?
Tu as des ordinateurs chez toi avec des clients de messagerie Outlook ou thunderbird ?
Tu utilises que le webmail sans client de messagerie ?
 
Est ce que le contact que tu connais a reçu un email de spam de ta part ?
Dans ce cas il faudrait regarder l'entête du message pour voir d'où il provient.

A vue de nez ça ressemble à du spoofing bête et méchant et si c'est bien le cas, ton compte n'a jamais été "piraté" et il n'y a pas grand chose à faire.
 
+1 avec l'analyse de l'entête des messages, cherche l'ip du client et fait un nslookup.

En fait, j'ai supprimé Outlook dès la première attaque. Maintenant je passe par l'interface de free directement.

Je ne comprends pas le spoofing ne permettrait pas d'envoyer des emails à mes contacts.

J'ai bien l'adresse mail de celui qui attaque. Je pense l'avoir lu dans un des mails tronqué mais cela donne cela donne une personne lambda. Je ne vais pas envoyé un gentil mail lui demandant d'arreter ....

Ce n'est pas utile de supprimer Outlook, car un malware est autonome et peut aussi envoyer des mails sans logiciel de messagerie.
 
il faut que tu donnes des détails sur ta config, nombre de postes, OS, antivirus, mises à jour.
Et que tu demandes à ton contact de renvoyer un message de spam en pièce jointe (ne pas faire répondre).
Comme cela, on peut voir si c'est du spoofing ou pas.

2 postes en dual boot windows 10 et ubuntu 16. Pas de logiciel de messagerie. Aucune mise à jour accepté
 
Voici un mail détecté comme SPAM et envoyé à mes contacts et +. Dans ce cas c'est du spoofing mais cela n'explique pas la collecte d'email dans les contacts
 
Return-path: <damian.owen87@btinternet.com>
Received: from serre.XXXXXXX ([unknown] [172.30.142.34]) by storea.in.XXXXXXX(Sun Java(tm) System Messaging Server 7.3-11.01 32bit (built Sep 1 2009)) with ESMTP id <0OBM00LSH5XIZQ10@storea.in.XXXXXXX for XXXXXXXXXXXXX; Tue, 09 Aug 2016 01:15:18 +0200  
Original-recipient: rfc822;XXXXXXXXX
 
X-Greylist: delayed 489 seconds by postgrey-1.34 at pruille; Tue, 09 Aug 2016 01:15:18 XXXX
Received: from rgout0304.bt.lon5.cpcloud.co.uk (rgout0304.bt.lon5.cpcloud.co.uk [65.20.0.210]) by pruille.XXXXXXX (Postfix) with ESMTP id 5A0A1A0018 for <XXXXXXXXXXXX>; Tue, 09 Aug 2016 01:15:18 +0200  
X-OWM-Source-IP: 73.239.180.126 (US)
X-OWM-Env-Sender: damian.owen87@btinternet.com
X-Junkmail-Premium-Raw: score=95/50,refid=2.7.2:2016.8.8.210316:17:95.791,ip=73.239.180.126,rules=__HAS_FROM, __FRAUD_WEBMAIL_FROM, FROM_NAME_ONE_WORD, __TO_MALFORMED_2, __TO_NAME, __TO_NAME_DIFF_FROM_ACC, __MULTIPLE_RCPTS_TO_X5, __SUBJ_ALPHA_START, __SUBJ_ALPHA_END, __DATE_TZ_RU, __HAS_MSGID, __SANE_MSGID, __MIME_VERSION, __CT, __CTYPE_MULTIPART_ALT, __CTYPE_HAS_BOUNDARY, __CTYPE_MULTIPART, __HAS_X_MAILER, __OUTLOOK_MUA_1, __USER_AGENT_MS_GENERIC, __ANY_URI, __URI_WITH_PATH, __URI_NO_MAILTO, __URI_NO_WWW, __CP_URI_IN_BODY, __HTML_MSWORD, __URI_IN_BODY, __HTML_AHREF_TAG, __HAS_HTML, BODYTEXTP_SIZE_400_LESS, BODYTEXTP_SIZE_3000_LESS, BODY_SIZE_2000_2999, BODYTEXTH_SIZE_10000_LESS, __MIME_HTML, __TAG_EXISTS_HTML, __STYLE_RATWARE_NEG, __RDNS_POOLED_7, __RDNS_BROADBAND_3, RDNS_GENERIC_POOLED, __URI_NS, SXL_IP_DYNAMIC[126.180.239.73.fur], SXL_IP_PROXY[126.180.239.73.fur], HTML_90_100, BODY_SIZE_5000_LESS, RDNS_SUSP_GENERIC, RDNS_BROADBAND, RDNS_POOLED, RDNS_SUSP_SPECIFIC, __FRAUD_WEBMAIL, __OUTLOOK_MUA, MULTIPLE_RCPTS, RDNS_SUSP, FORGED_MUA_OUTLOOK, BODY_SIZE_7000_LESS, NO_URI_HTTPS, __TO_REAL_NAMES
X-RazorGate-Suspect: true
X-RazorGate-Suspect: true
X-RazorGate-Suspect: true
X-RazorGate-Suspect: true
X-RazorGate-Suspect: true
Received: from pipubu.com (73.239.180.126) by rgout03.bt.lon5.cpcloud.co.uk (8.6.122.06) (authenticated as damian.owen87@btinternet.com) id 57A8FD2B00022B93; Tue, 09 Aug 2016 00:07:04 +0100
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=btinternet.com; s=btcpcloud; t=1470698118; bh=bwbmh4KgJAJ5gCO/LXtgl8e2LFgLCqIR7XFSRX9U3/A=; h=From:To:Subject:Date:Message-ID:MIME-Version:X-Mailer; b=MnXbtrqTM+uByVmouRURXdea0i5uXcJOBczUhwIqmcjJ9PWQS/5IBZNDudqQ94Y72CT9tyJ+N+Zcp0+VFWf7c8cBm81g+hLXwvvVeU4ogiH3DKU1rk5EkPEjf4fMXUNmzjHGCCOrtANgejQSVKBIybDAFwbrv0ajvfsy+O7oj6c=
From: XXXXXXXX <damian.owen87@btinternet.com>
To: XXXXXXXXXX,  XXXXXXXXXX, XXXXXXXXXXX, XXXXXXXXXXXXX
Subject: [** SPAM **]ceci compte vraiment
Date: Tue, 09 Aug 2016 02:06:25 +0300
Message-id: <0000bb7fc1ca$50aa3633$f40bb528$@free.fr>
MIME-version: 1.0
Content-type: multipart/alternative; boundary="----=_NextPart_000_0001_1AD975A6.0C216843"
X-Mailer: Microsoft Outlook 15.0
Thread-index: AdHuiPP/oRf+RpV/lnQHXht6wSs5TA==
Content-language: fr
X-TM-AS-MML: disable
X-TM-AS-Product-Ver: IMSS-7.1.0.1679-8.0.0.1202-22500.004
X-TM-AS-Result: Yes-55.413-5.0-31-11
X-imss-scan-details: Yes-55.413-5.0-31-11
X-TMASE-MatchedRID: NARuLmqwtS1jgqhtvCacCkim+3pSpOPv31asM/gsp2nHtB+yzAhXFcEa uLbH4aQcbgqpvRqEHYl/pbK05rJl29ZXwwpvfhGVWCjDJRYeAZ2H7D1bP/FcOhHyswgJ7SqQ8zG z65yndkzJLhr/DX0y76OzLgjJhC8IcBTC9SlEjKoiPTMUjkOgki1RIwMdx4yuIW0Uk+MayvLw/t HGAPWkSAK3RA+xNNAe0rsEAXoPv7bUWmhW04Msci893BHg4F1HixMX9uM9Zs6bKItl61J/yZUdX E/WGn0FfeZdJ1Xsorg2Ui8BbfuMjev6NUx6CQX0ExAtD/T72EY7AFczfjr/7OyvONWilshEdRo6 WqJa529O20N5TxrY4nIjMlqVVsUY8PxpYGLApgI=

Pour tes contacts, c'est un autre problème, ils ont bien été récupérés quelque part à un moment donné.
 
En cherchant un peu sur le net, vous êtes effectivement très nombreux dans ce cas là.
 
Free parle de phishing, les utilisateurs imaginent plutôt une faille qui a permis à un groupe de spammers de récupérer des listes de contacts.
 
Certains utilisateurs ont décortiqué les entêtes des fameux messages et confirment bien que les envoi ont bien été effectués par des machines qui n'ont rien à voir avec Free.
 
En bref, si tu as changé ton mot de passe, que tu n'utilises ce dernier que pour ce compte et que tu te connectes sur l'interface Zimbra de manière sécurisée (via le site https par exemple), tu peux être sûr qu'à l'heure actuelle ta messagerie n'est pas "piratée".
 
Si tu es bien victime de rétrodiffusion (ce qui semble être effectivement le cas), demander la suppression de la boîte n’empêchera pas le spammeur de continuer à envoyer des merdes à ton ancienne liste de contacts avec cette adresse.
 
Bon, par contre tu n'aura plus à t'occuper d'une BAL tartinée d'échecs de diffusions (mais à la limite pour ça tu pourrais faire une filtre).

Sincèrement je pense plutôt à une faille car Free ne permet pas le password complexe. A chaque fois, que je reçois un mail d'un de mes contacts une campagne de spam se relance et rajoute les contacts en copie en mettant le nom de la dernière personne qui a envoyé comme signataire de l'email. Ici, je ne suis pas sure que le damien en question soit le propriétaire du spam....

Apparemment une énorme quantité de comptes BT/Yahoo se sont fait torpiller et sont désormais utilisés par des spammeurs.
 
Le compte damian.machin sert bien à envoyer un mail avec ton identité. Tu vois bien que ce n'est pas envoyé depuis ton compte Free.

Je suis d'accord avec toi mais je n'arrive pas à comprendre comment les mails de contacts ont été récupéré... Et cela me turlupine...

A ce titre la page d'explication sur la compromission des comptes mise en ligne par Free fournit de nombreuses pistes crédibles:
 
On y retrouve le vol des identifiants par phishing, le piratage éventuel de la base de données d'un site sur lequel tu étais inscrit avec les mêmes identifiants que ceux que tu utilisais pour te connecter à ta messagerie ou l'interception de paquets lors d'une connexion non chiffrée à ta messagerie.
 
Cela dit un problème de leur côté n'est pas non plus à exclure, un vilain spyware sur un poste interne ou un employé qui se tire avec des listes de contacts, ce n'est pas complètement impossible (pas d'accusations, hein, simple suppositions basées sur mon xp).
 
'Fin bref, il y a pas mal de scénarios envisageables et celui du mec qui cracke régulièrement ton mot de passe pour récupérer ton carnet d'adresse "parce que Free c'est pas sécurisé" me paraît le moins plausible.
 
Encore une fois, demander la suppression de ton compte ne changera pas grand chose puisque le mal est fait : ta liste de contacts est déjà dans la nature et ton adresse mail est usurpée par des spammeurs.
 
Au pire, ne te sers simplement plus de cette BAL, qu'elle existe encore ou pas ne fera de toute façon plus aucune différence puisque ce n'est pas par elle que transitent tes pourriels.

Bonjour,  
 
Les piratages de mails comme on l'entend souvent (des mails qui ne partent pas, des mails reçus pourtant jamais rien envoyé ... )
 
Explication :
 
En programmation il est possible d'envoyer un mail à la place d'une autre personne. Il suffit d'avoir quelques notions de programmation (php, c++ , vba , ligne de commande). Cela reviendrai à envoyer un courrier papier d'une adresse qui n'existe pas ou en usurpant une autre.
 
Il suffit qu'un robot collectent votre mail sur page web ou bien un "brouteur" (humain qui cherche des adresses mails) tombent sur la votre. Sans parler des bases de données volées , c'est une autre histoire.  
 
Donc oui il est techniquement possible d'envoyer un mail à la place de quelqu'un. Il existe 3 types "d'utilités" aux pirates :
 
- générer du spam avec beaucoup d'adresses pour que des "pigeons cliquent"
- saturer des serveurs smtp (black lister des fai)
- mails bombing dans le cas d'une attaque ciblé.
 
Pour se prémunir pour , pas beaucoup de chose à faire , communiquer peu son adresse. Quitte à avoir des adresses "poubelles".
 
C'est comme le stop pub sur la boite au lettre. Quand on le met et qu'il y a une pub c'est qu'un gusse à réussi à passer ...

 
Euh.. tu peux le faire à partir de n'importe quel client mail...

Les seules "notions" à avoir sont les différents champs d'un header de mail et leur signification.

Il semble dans ce cas que le problème soit plus un piratage des serveurs zimbra de Free et que les pirates ont exploités les carnets d'adresses des utilisateurs.

Ce sujet a été déplacé de la catégorie Windows & Software vers la categorie Réseaux grand public / SoHo par Wolfman

 
Tel était le cas on l'aurait entendu parlé depuis longtemps ^^  
 
Free , au même titre , que Orange , Miscrosoft , Yahoo et consort on quand même un minimum en matière de sécurité de leur serveusr. Donc non très peu probable , voir impossible.
 
Il suffit qu'un robot "broute" les pages web à la recherche d'adresse mail et autre fichiers indexés par google. Le mal est fait , les adresses sont ramassés de la sorte...

Je pense au contraire que c'est très probable.
Les grands groupes ne disent pas facilement qu'ils se sont fait piratés.
Ils disent souvent que ce serait bien de changer de mot de passe pour des questions de sécurité, mais sans en dire plus.
 
Il suffit de voir le mal qu'à eu Sony pour se débarrasser de leur piratage pour se rendre compte de la difficulté de sécuriser un système malgré les moyens.
 
Ou quand OVH s'est fait piraté leurs documents, ils disaient qu'ils étaient en mode parano pour la sécurité mais qu'ils allaient passaient en mode parano ++.
 
il n'y a aucun système qui est impossible à pirater.

 
Ça, les robots qui parsent des milliers de pages par jour pour ramasser des adresses, c'est aussi vieux que les Internets.
 
Maintenant ça n'explique pas comment le bot connaît le répertoire de contacts de l'adresse dont il tente d'usurper l'identité puisque ça ce n'est pas censé être publique.
 
Ou alors, ça veut dire que l'intégralité des contacts de la "victime" ont déjà été ramassé de la même manière.
 
Si c'est peu probable que Free se soit fait "pirater", ce n'est pas non plus complètement impossible. Le vol et la diffusion de données confidentielles nié en bloc par des DSI qui jouent les autruches, ou grossièrement maquillé en "piratage magique" quand ça commence à se voir, je l'ai déjà vu chez des grands comptes
 
Des RSSI complètement aux fraises qui valident des procédures se torchant avec les règles les plus élémentaires en matière de sécurité Informatique, j'en ai même connu dans le bancaire...

Non mais c'est hyper classique, free n'a fort probablement rien à voir dans l'histoire
1. tu te fais pirater *une fois* ton compte (virus, keylogger, réseau wifi non sécurisé, etc...), voir ça se trouve quelqu'un d'autre qui partage beaucoup de contacts avec toi. Par ailleurs, ça se trouve ils n'ont pas été jusqu'au serveur de free pour récupérer les contacts si tu as un client lourd. Suffit de regarder outlook/thunderbird/etc...
2. l'attaquant récupère le carnet d'adresse et également ton adresse mail
3. ils spamment depuis n'importe où dans le monde sans utiliser free, derrière ils se moquent bien que tu changes ton mot de passe, ils ont déjà eu ce qu'ils voulaient
4. en envoyant ils spoofent la source en mettant ton adresse
5. si dans leur spam ils tapent sur une mauvaise adresse le message d'erreur te revient à toi, normal

Bref, welcome on the internet