Un entrepreneur néerlandais, à qui a été confiée la gestion du domaine malien .ml en 2013, tente d'alerter les autorités états-uniennes qu'il reçoit des millions de mails envoyés à des adresses de type .ml au lieu du .mil de l'armée US. Et ce, alors que la gestion du .ml va être rétrocédée au Mali, dirigé par une junte militaire pro-russe.
Johannes « Joost » Zuurbier, le créateur et gestionnaire néerlandais de Freenom, « le premier et unique fournisseur de domaines gratuits », explique au Financial Times (FT) qu'il cherche, semble-t-il en vain, depuis dix ans, d'alerter les autorités militaires états-uniennes.
L'Agence des Technologies de l'Information et de la Communication (AGETIC), chargée d'améliorer l'utilisation de l'internet au Mali et la visibilité du Mali dans le monde, lui avait en effet confié la gestion du domaine de premier niveau national .ml en 2013.
Après avoir remarqué des requêtes pointant vers des noms de domaine inexistants de type army.ml ou navy.ml, il avait initialement « mis en place un système pour intercepter toute correspondance de ce type », mais qui fut rapidement submergé au point d'arrêter de collecter ces messages adressés à des militaires états-uniens.
Zuurbier explique avoir consulté un avocat, et tenté de contacter à plusieurs reprises des responsables américains, notamment par l'intermédiaire d'un attaché de défense au Mali, d'un conseiller principal du service national de cybersécurité américain et même de responsables de la Maison Blanche, mais sans que le problème ne semble avoir été pris en considération, note le FT :
« Ses efforts pour sonner l'alarme comprenaient sa participation à une mission commerciale des Pays-Bas en 2014 pour obtenir l'aide de diplomates néerlandais. En 2015, il a fait un nouvel effort pour alerter les autorités américaines, en vain. Zuurbier a recommencé cette année à collecter des e-mails mal adressés dans le but ultime d'alerter le Pentagone. »
Les détails d'un voyage du chef d'état-major de l'armée américaine
Rien que depuis janvier dernier, il aurait reçu près de 117 000 emails envoyés, à tort, à des adresses en .ml, y compris des documents diplomatiques, déclarations de revenus, mots de passe et détails de voyages d'officiers supérieurs.
Si la majeure partie des e-mails relèvent de la catégorie spam, Zuurbier n'en a pas moins et notamment reçu des radiographies et données médicales, dossiers fiscaux et financiers, informations sur des documents d'identité, listes des personnels déployées dans des bases, cartes et photos d'installations militaires, rapports d'inspection, contrats, plaintes pénales et enquêtes internes, itinéraires, réservations et autres détails de voyages officiels...
L'un de ces e-mails comprenait par exemple les plans de voyage du général James McConville, chef d'état-major de l'armée américaine, et de sa délégation pour une visite en Indonésie en mai dernier :
« L'e-mail comprenait une liste complète des numéros de chambre, l'itinéraire pour McConville et 20 autres, ainsi que des détails sur la remise de la clé de la chambre de McConville au Grand Hyatt Jakarta, où il a reçu un surclassement VIP dans une grande suite. »
Des mots de passe et documents du FBI « For Official Use Only »
Les agences de voyage et prestataires privés seraient semble-t-il particulièrement susceptibles de mal orthographier les noms de domaine en .mil, tout comme les militaires états-uniens quand ils écrivent depuis leurs adresses mail « civiles », explique le FT :
« Un agent du FBI jouant un rôle dans la marine a cherché à transmettre six messages à sa messagerie militaire, mais les a accidentellement envoyés au Mali. L'une comprenait une lettre diplomatique turque urgente adressée au département d'État américain concernant d'éventuelles opérations du parti militant des travailleurs du Kurdistan (PKK) contre les intérêts turcs aux États-Unis. »
Ce même agent du FBI avait aussi transmis une série de notes d'information sur le terrorisme intérieur américain portant la mention « For Official Use Only », une évaluation mondiale de la lutte contre le terrorisme intitulée « Non communicable au public ou aux gouvernements étrangers », ainsi qu'un briefing « sensible » sur les efforts déployés par le Corps des gardiens de la révolution islamique d'Iran pour utiliser des étudiants iraniens et l'application de messagerie Telegram pour mener des activités d'espionnage aux États-Unis.
Une douzaine de personnes avaient par ailleurs demandé par erreur que des mots de passe de récupération pour accéder à un système de la communauté du renseignement soit envoyé à des adresses .ml. D'autres avaient envoyé les mots de passe nécessaires pour accéder aux documents hébergés sur la plateforme sécurisée d'échange de fichiers du ministère de la Défense.
La gestion des .ml va être rétrocédée au Mali, un pays... pro-russe
Le lieutenant-commandant Tim Gorman, porte-parole du Pentagone, répond au FT que le ministère de la Défense « est conscient de ce problème et prend au sérieux toutes les divulgations non autorisées d'informations contrôlées sur la sécurité nationale ou d'informations non classifiées contrôlées ».
Il précise que les e-mails envoyés directement depuis le domaine .mil aux adresses maliennes « sont bloqués avant qu'ils ne quittent le domaine .mil et l'expéditeur est informé qu'il doit valider les adresses e-mail des destinataires prévus ».
Ce qui n'empêche pas, cela dit, les e-mails envoyés depuis d'autres domaines que ceux contrôlés par l'armée états-unienne de pouvoir être acheminés, à tort, vers des .ml. Techniquement parlant, l'armée US ne peut pas empêcher les utilisateurs de mails en .com, .net ou autre de faire ce genre d'erreurs de typo et de taper .ml au lieu de .mil...
Dans un courrier adressé aux autorités début juillet, Zuurbier les prévient que « le risque est réel et pourrait être exploité par des adversaires des États-Unis ». Or, déplore le FT, la gestion des .ml sera rétrocédée lundi prochain au Mali, un pays qui a connu deux coups d'État depuis 2020, dont la junte militaire au pouvoir s’est depuis tournée militairement et politiquement vers la Russie, au point de faire appel à la milice Wagner, et de pousser l'armée française à se retirer du pays.
Dans sa FAQ, point.ml, le registrar malien, précise que « les domaines gratuits doivent renvoyer vers une page ou un site web actif », que « les pages ou sites vides ne sont pas admis afin d'empêcher le squattage de domaine », mais également que « les domaines payants ne sont pas soumis à cette restriction ». On imagine facilement les dégâts que pourraient causer ce type de cybersquatt.
Deux sites au moins plagient l'identité de l'armée US : l'un redirige vers celui de la Defense Intelligence Agency (cf l'image de tête de cet article, sans que nous ayons réussi à identifier s'il était malintentionné), un autre propose aux soldats états-uniens de s'identifier afin de remplir un formulaire de demande de congés en se faisant passer pour le site web d'une unité qui, d'après un vétéran, n'existerait pas.
Commentaires (42)
#1
#2
Le volume de mail avec l’erreur de typo est quand même incroyable 😮.
Merci pr ce super article 👌
#3
Je ne sais pas ce qui est le plus inquiétant entre le fait qu’il y ait autant d’envoi à de mauvaises adresses ou le fait qu’apparemment des mails censés être confidentiels ne sont pas chiffrés…
#4
Chouette article 🙂
#5
Ben le problème est qu’il n’y a jamais eu de standard dès le départ de chiffrement pour les mails.
Aujourd’hui il y a des tas de solutions…. incompatibles entre elles à commencer par celle de Microsoft.
Dans le problème décrit dans l’article le problème n’est pas en intra-domaine , mais lorsqu’un tiers essaie de communiquer avec une adresse en .mil.
Je ne vois pas tellement de solution : Si les serveurs du .mil rejettent les mails non chiffrés , les militaires vont s’ouvrir des adresses gmail pour leur réservation d’hôtel…
#6
Ce qu’il est impressionnant c’est le nombre de mails malgré les alarmes.
#7
On comprend mieux l’enjeu du Mali, d’ailleurs, Mali / mail … Tout est lié.
Les dyslexiques sous le feu des accusations. Doit-on encore leur permettre d’utiliser Internet ?
#8
Et bien ce n’est pas rassurant… Après là comment couvrir l’erreur humaine ? J’imagine que les US ne peuvent pas réclamer/acheter les noms de domaine au mil/ml près pour que les erreurs tombent dans sa besace !
#9
Ils contrôlent l’ICANN…. et les root servers .
Donc ils peuvent savoir quel serveur(s) est responsable de la zone .ml .
Ils peuvent le changer (et passer par des serveurs à eux au préalable).
Ou imposer un routage spécifique aux FAI chez eux pour “intercepter” les accès à ce serveur (ça marcherais qu’aux US mais c’est déjà ça).
Je suis pas sur que les protestations du mali , au niveau international, seraient vraiment audible.
#9.1
Techniquement faisable, politiquement risqué car cela entamerait la confiance dans l’ICANN et alimenterait le discours de ceux qu’ils veulent leur propre DNS comme la Chine ou la Russie favorisant une balkanisation d’Internet.
Et la manipulation se verrait par les spécialistes du réseau, difficilement à cacher ou à taire.
#10
#11
Envoyer des secrets par mail, sérieusement c’est une faute grave non ? limite de la trahison ?
À moins que ce soit du contre-espionnage : on envoie une fausse info en faisant croire à une erreur de typo.
Si t’achètes un nom de domaine .ml ça passe d’abord par le Mali pro-russe avant de revenir aux USA, du coup pour un espionnage / phishing ça ne protège rien si le Mali était complice : le nom de domaine .ml pourrait être redirigé vers le serveur de leur choix.
#12
Autant qu’un fournisseur de service externe fasse une erreur de typo, bon c’est quand même pas fameux, mais qu’un agent veuille transférer des documents confidentiels depuis une adresse personnelle vers son adresse en .mil, il y a un soucis, pour couronner le tout ne sache pas écrire correctement sa propre adresse
#13
Je comprends pas trop bien. Si l’adresse email n’existe pas xxx.yyy@ml , l’email n’est pas reçu bien évidemment et normalement l’email non délivrable doit être automatiquement effacé, non?
Rien d’anormal aussi puisque la lecture d’une adresse email par les routers se fait de droite à gauche: top domain et ensuite sous domaines (pour le courrier papier, du bas vers le haut
):
.
[email protected]
.
Donc si on tape @ml, et bien ca part chez ml d’abord. Le router de départ est bien incapable de savoir s’il existe vraiment une adresse mail xxx@ml vu de chez lui.
.
Je me trompe?
#13.1
Un e-mail n’est pas transmis par des routeurs mais par des serveurs (SMTP). La partie avant le @ n’a rien à voir avec le nom de domaine. Ça peut être n’importe quoi, ce qui compte c’est après, l’adresse du serveur. Le serveur de destination reçoit TOUS les mails quoi qu’il y ait avant le le @ et c’est ensuite son taf d’en faire ce qu’il veut (souvent ça consiste à distribuer ça dans les bonnes boites correspondant au bon utilisateur).
Donc si tu contrôles un serveur, tu recevras tout ce qui est adressé à [email protected]
D’ailleurs pour reprendre ton analogie, le @ se dit « at » en anglais qui est une traduction de « chez ». Donc pour une adresse [email protected] ton analogie ce serait plutôt d’envoyer un courrier à
Monsieur xXx-r0x0r-xXx-du-69, <- partie avant le @
Chez Monsieur Gmail, <- partie après le @
1600 Amphitheatre Parkway <——/
Mountain View, CA 94043, USA <-/
Le courrier d’un domaine arrive toujours au même endroit quoi qu’il y ait avant le @ et il y a une petite secrétaire robot qui met l’enveloppe dans une petite boîte que l’utilisateur peut venir consulter.
#13.4
Ok, bien compris, merci pour les explications !
Oui serveurs SMTP, j’avais oublié, mais bon techniquement un email est bien transmis par un routeur, en fait plutôt par: “une série de routeurs”
#13.2
Dans le protocole SMTP, la communication se fait par états/étapes. Le corps message n’est pas forcément transmis/lu par le serveur de destination. En effet, lors de la négociation de la communication, les entêtes contiennent déjà des informations qui permettent d’invalider un mail dans son cheminement. Par ailleurs, le destinataire est validé avant d’accepter la réception du corps de texte. Dès lors, si il n’y a pas de destinataire xxx.yyy, la communication doit être abandonnée avec un code d’erreur adapté (ou pas si la politique est ainsi faite)
En ce qui concerne les sous-domaines, c’est pareil. Si on envoie un mail à [email protected], le serveur (Mail eXchanger) du nom de domaine ‘com’ ne voit pas l’échange de mail car c’est directement au MX de mail.com que la communication se fera. Pareil pour [email protected], c’est d’abord une résolution DNS via ‘.’, ‘com’, ‘mail’ et, enfin ‘sub’; avant un échange SMTP directement avec la réception du record MX dans le NS de ‘sub’.
La seule possibilité est de passer par un MX intermédiaire mais la règle doit être la même que pour le serveur final; si le destinataire n’est pas reconnu, alors rejet du mail entrant sans réception du corps de message. Dans les fait, je pense que cela n’est pas forcément le cas; j’imagine les serveurs relais qui doivent simplement faire du routage/de la ventilation. La règle voudrait que ces serveurs négocient étapes par étapes avec le serveur final et retourne les codes d’erreurs au fur et à mesure que ceux-ci apparaissent. Mais je n’ai jamais pratiqué la gestion de MTA à grande échelle et je ne peux pas garantir que cette règle s’applique réellement ou qu’il n’existe pas de pratiques qui la contredisent.
En revenant, à la news et en m’appuyant sur ce que je viens de dire précédemment. J’ai été surpris qu’un gestionnaire de nom de domaine puisse avoir consulté le contenu des mails. A moins qu’il ne fasse également gestionnaire relay de mail, je ne voyais pas bien comment il aurait pu faire pour voir le contenu de l’échange SMTP entre un serveur et une autre machine. Si l’un ou l’une d’entre vous a des idées, je suis preneur.
#13.3
C’est plutôt simple :
Y’a pas plus simple
#14
:facepalm:
#15
Je trouve le titre de cette news trompeur et “putaclic”.
Si je comprends bien, le gestionnaire du l’extension .ml a mis un “catch-all” pour récupérer et peut être lire tous les mails qui arrivent à une adresse .ml qui ne correspond pas à un domaine enregistré. Et ils se trouve que les auteurs de nombre de ces mails pensaient viser en fait le domaine .mil.
Il n’a donc pas “reçu par erreur” ces mails. Il a reçu ce qu’il souhaitait recevoir, à savoir des mails mal adressés.
Mais de quel droit a-t-il fait ça ? Qu’est ce qui l’autorise à recevoir des mails qui ne lui sont manifestement pas destinés ?
#15.1
Je m’étais posé la même question. Mais j’ai vite relativisé en me disant que si ces noms de domaine n’appartenaient à personne; ils peuvent donc être à n’importe qui les réclament. Et ces derniers deviendraient de fait les destinataires légitimes et auront donc le droit de consulter les prochains emails qui leur parviennent.
Un peu comme si on t’envoyait un courrier postal à ton nom (ou un homonyme), mais à une autre adresse. Et qu’un jour tu déménage à cette adresse. Tu seras le légitime destinataire alors que l’expéditeur s’attend à l’envoyer à une tierce personne.
C’est un cas farfelu juste pour illustrer cet exemple.
Et un cas d’homonymie n’est pas si anodin qu’on croit. Perso, ma compagne avec sa gynécologue qui avait pour patiente une autre dame avec le même nom et prénom de famille. Et la doctoresse n’avait pas tilté que ça allait posé problème de prévoir une opération chirurgicale le même jour dans le même hôpital pour ma compagne et l’autre dame. Heureusement que le personnel de l’hôpital pose systématiquement des question sur la raison et le type d’intervention que doit recevoir un patient. C’est la chose qui a fait tiquer ma compagne; autrement, elle était partie pour une tout autre opération que celle prévue. Sorry pour la digression.
#15.2
hummm dans les dossiers médicaux (et pas que) l’identifiant d’une personne est nom/prénom/date de naissance, justement pour éviter les homonymes.
ce qui n’empêche pas non plus à 100% si les deux ont la même date de naissance, on est d’accord.
après si les gens ne lisent que nom + prénom, effectivement ça peut partir en sucette. ^^
#15.3
Pas forcément, il avait tenté de signaler le soucis en vain en 2015, et laissé tombé car aucune réponse.
Le sujet reviens sur la table, car la gestion du domaine .ml va être rétrocédé au Mali, et si le registrar actuel n’avais pas d’intention malveillante en ayant accès à cette mine d’information, quel sera l’attitude du Mali ?
On peu effectivement se poser la question, maintenant que c’est de notoriété public, et que techniquement on ne peu pas empêcher les gens de faire une faute dans une adresse, les chances que cela soit exploité augmente fortement.
Que ça soit par le Mali ou pas d’ailleurs, des petits malins vont probablement se jeter la dessus pour squatter des nom de domaine dans l’espoir de tomber sur une info croustillante.
#15.4
C’est tout le problème des titres, censés résumer des informations évidemment plus subtiles…
En l’espèce, l’erreur en question émane bien des personnes qui envoient les mails à des adresses qui sont (donc) erronées ; et si le registrar a fini par les recevoir, c’est effectivement parce qu’il a configuré son système à cet effet, d’abord (en 2013) pour comprendre ce dont il était question puis, depuis janvier dernier, afin d’alerter les autorités US en vue de la rétrocession du .ml au Mali, & comme précisé dans l’article.
#16
Mais du coup, il y a une solution face à ce genre de problèmes ?
Par ce que je serai surpris d’apprendre que ça n’arrive qu’avec le .mil. En Belgique l’armée c’est .mil.be (je crois).
Du coup je suppose qu’il y a eu des oublis de .be et du coup des emails qui sont parti vers le .mil
Le .il c’est israel, ils ont certainement des trucs aussi.
#16.1
Non il n’y a pas de solution à part éduquer les gens.
La seule solution possible c’est si tu contrôle le serveur d’envoi (genre l’envoi depuis une adresse …@usarmy.mil => tu contrôle le serveur => tu peux mettre des règles de flux), mais depuis un gmail ou tout autre boite perso c’est zeubi
#17
On est d’accord que ce serait visible - Et ça m’étonnerais même pas qu’ils le fassent au grand jour.
Vu la situation géopolitique, les russes et la chine ont probablement déja une racine alternative ne serait-ce que pour leur propre usage. Et oui ça sera une balkanisation des domaines …
(Et pas qu’en domaine : tu te rapelles de l’histoire de Hamachi qui utilisais les plages IP 5.xxx et 25.xxx pour leurs VPN et que c’étais parfois bien galère….)
A mon avis les US se fichent un peu de ça - ca peux même être une stratégie de démonstration de force pour eu, si trump reviens :-)
Même je me suis fait mon .ob en local parceque….why not ? il est bien sur pas officiel..
En effet il y a le pb des échanges de clé.
Mais même là, le support des logiciels clients est parcellaire. Sous thunderbird il fallait une extension (enigmail) je sais pas si c’est tj le cas.
La plupart des webmail ne le supportent pas. J’ai jamais vérifié mais je me demande pour gmail (en mode web, utilisé par beaucoup malgré tout)
#17.1
Sous Thunderbird, l’extension Enigmail est intégré dans le logiciel depuis plusieurs années.
#18
Vision très résumée… Au minimum, un changement des NS de .ml se verrait, et il n’y aurait pas que le gouvernement malien qui gueulerait. Une telle manœuvre ferait sauter tout le système ICANN/racine.
#19
Précisons aussi que le titre de l’article est faux, Freenom n’est pas registrar.
#20
Merci de la précision, je m’étais basé sur https://icannwiki.org/FreeNom pour qui “Freenom, formerly known as Freedom Registry, is a registry operator that administers the .tk and .ml ccTLDs”, mais n’avais pas relevé la différence entre registrar et registre, c’est corrigé.
#21
“Sauter” comment ? Techniquement ? Si oui je veux bien une petite explication, cat dernièrement il y a eu des tas de nouveaux TLS donc de nouveaux NS.
) . Mais sinon…
Le seul problème que j’y vois c’est si tu touche au fichier root.hint , que personne ne met à jour (à commencer par moi
Si tu parles de “sauter” politiquement…. moi j’y crois moins. Ca ferais un peu de bronca sur le moment , puis les gens retourneraient vite à leur vie. Le mali c’est stratégique pour peu de gens (en tous cas ce n’est que mon avis, bien sur).
#22
On ne parle pas de M. Michu mais des États. Cela fait pas mal d’années que la Russie et la Chine sont à l’affut d’un prétexte pour quitter ce système. Jusqu’à présent, ils ont toujours reculé, car ils ont autant besoin d’un Internet unifié que les autres. Mais une manipulation aussi grossière que celle suggérée dans l’article serait sans doute la goutte d’eau qui fait déborder le vase.
#23
Donc si je comprends bien, le gestionnaire d’un top domain peut lire tous les emails qui passent par lui si ça lui chante ? J’avoue que je n’avais pas conscience de ça :-/
#23.1
Non, du tout (et heureusement !)
Si je résume la situation qui a amené à “pouvoir” accéder aux mails :
#24
Le plus simple aurait été que le gouvernement US réserve les army.ml, navy.ml, et autres, puis y mette un auto-responder bien senti. Dommage de ne pas l’avoir fait à l’époque, maintenant ça va être plus compliqué.
#24.1
Si c’est pour le .fr, il faut peut-être être résident malien pour enregistrer un .ml ?
#24.2
Pas sous la gestion Freenom, n’importe qui pouvait déposer n’importe quoi, voir même gratuitement avec quelques limitations. Mais ça peut en effet changer sous la gestion Malienne, il faudra peut être être résident Malien (où Russe :-) )
#25
Euh non, il n’y a pas de serveur avec un nom de domaine (sauf offre avec hébergement compris). Tu peux très bien avoir un domaine en .ml et héberger ton serveur de courriel chez toi, ça ira direct de l’expéditeur à chez toi.
Après oui, le Mali doit pouvoir assez facilement rediriger les requêtes à un .ml vers leurs serveurs…
#25.1
Oui, c’est exactement ce que j’ai écris, non ?
#25.2
Non, tu as dis que ça passait par le Mali. C’est faux (sauf s’ils interceptent le nom de domaine mais ça se verra sur les entrées DNS).
#26
Solution techniquement simple : changer le domaine des emails de @navy.mil en @navy.mil.us ou @navy.gouv.us par exemple. Ainsi plus de risque de confusion.
Évidemment, ça foutra un bordel pas possible dans le carnet d’adresse de toute l’armée… une redirection temporaire, puis un auto-responder personnalisé pour désactiver définitivement le .mil.