Mail-bombing : bombardement d'une boîte mail de courriels quelconques jusqu'à ce qu'elle sature et tombe en panne. Il s'agit de porter préjudice au destinataire

cr  03.12.2016      r+  05.11.2024      r-  05.11.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Le Mail-bombing est une forme d'attaque visant une personne (physique ou morale) par la mise hors service de son système de correspondances par courriers écrits (sa boîte mél. - [« boîte email »]).

Il s'agit de saturer, de faire exploser une boîte de courriers électroniques par l'envoi massif et simultané de milliers ou dizaines de milliers de courriers. Le système de messagerie peut ainsi être mobilisé et ne plus recevoir de correspondances légitimes tandis que la boîte de réception elle-même peut être saturée et rejeter de nouvelles correspondances entrantes.

Il y a donc deux types d'attaques en Mail-bombing :

1. L'envoi très rapide de courriels très courts afin de saturer (flooder) et faire « tomber » un serveur de messagerie. C'est une forme de Déni de Service. L'attaque vise alors un serveur de messagerie d'entreprise, car un serveur de messagerie d'un FAI - (Fournisseur d'Accès Internet) a une trop grande capacité d'absorption pour être attaqué de la sorte.

2. L'envoi en continu (pas besoin d'être rapide) de courriels de très grandes tailles afin de saturer l'espace de stockage de la cible. La surface disque à disposition de l'utilisateur pour stocker ses courriels peut être :

3. • Une surface disque distante (limitée de l'ordre de 1 GO à 10 ou 15 GO), ou parfois locale, s'il utilise un WebMail pour consulter/utiliser une adresse mél. poubelle avec Gmail, Yahoo!Mail, Hotmail, OutlookMail, LiveMail, AOL Mail, Mail.ru, MSN Mail, Yandex Mail, Yandex Mail.ru, etc.

4. • Une surface disque locale (dans son ordinateur) s'il utilise un client de messagerie tel qu'Outlook Express, Outlook, Thunderbird, Opera, Pegasus Mail, IncrediMail, Mulberry, Foxmail, Eudora, DreamMail, Alphine, Sylpheed, Claws Mail, i.Scribe, InScribe, Lotus Notes, Postbox, The Bat!, etc. Il est possible de saturer un disque avec cette attaque.

Parmi les victimes, il n'y a pas que l'internaute final, attaqué, en bout de chaîne. Il y a tous les intermédiaires, dont les ressources ont été exploitées à leur insu et à leur détriment dont les fournisseurs d'accès à l'Internet (les FAI ou Providers).

Les équipements des FAI transportent l'attaque d'un bout à l'autre de la chaîne. Leurs serveurs de messagerie sont exploités ainsi que leurs positions d'intermédiaires dans la progression de l'attaque sur le réseau. Le message transite au moins par le serveur de messagerie du FAI de l'expéditeur au serveur de messagerie du FAI du destinataire. Il y a souvent des intermédiaires additionnels qui servent de relais.

Sous le coup de dizaines à centaines de milliers de spams vers une unique boîte mél., leur bande passante est exploitée au maximum de sa largeur. Les services du FAI sont saturés ou, tout au moins, ralentis.

C'est l'ensemble des internautes clients du FAI exploité qui peuvent en pâtir. Le mail bombing est d'ailleurs explicitement interdit dans les clauses des FAI.

Simultanément, leurs frais d'usage des infrastructures du Web (satellites, câbles, fibres optiques, etc.), qu'ils louent aux fournisseurs de dorsales Internet (les backbones), augmentent.

L'auteur d'un mail bombing peut être identifié, surtout s'il utilise un botnet. La punition est alors sévère, avec condamnation à des paiements de dommages et intérêts.

Deux exemples de condamnations de mail bombeurs :

1. TGI de Rochefort sur Mer, le 28 février 2001.
   Mr Christophe G. contre SA France Télécom Interactive.
   Document PDF (il s'agit du spam d'un forum de discussion).

   Au niveau pénal, un « mail bombeur », victime d'un dépit amoureux, avait envoyé plusieurs milliers de messages saturant le réseau d'un fournisseur d'accès Internet. Il avait été poursuivi sur le fondement de l'entrave au fonctionnement d'un réseau réprimé par l'article 323-2 du Code pénal. Le tribunal correctionnel de Paris a, le 24 mai 2002, fait droit à la plainte déposée par « Noos » et condamne l'intéressé à quatre mois de prison avec sursis accompagnés de 20 000 € de dommages intérêts.

   
   

   
   

   TGI Paris, 15 janvier 2002, Monsieur P. V. c/ Sté Liberty Surf et Sté Free

   
   

   Les personnes physiques ou morales destinatrices de messages électroniques
   contre
   Les serveurs de messagerie de la Sté Liberty Surf et le FAI Free

   Cette affaire monte en appel au TGI du Mans, le 7 novembre 2003 : Procureur de la République et Sté Smith et Nephew c/ L.

   .../...l'analyse des courriers reçus entre octobre 2001 et juin 2002 sur les serveurs du groupe SMITH and NEPHEW et qui ont été à l'origine d'un Mail-bombing ont permis d'extraire des en-têtes de ces messages le nom de différents serveurs sur lesquels les dits messages avaient transité,.../...

   Il convient en conséquence de :

   • condamner L. à payer à la société SMITH and NEPHEW PLC, la somme de 15 413,67 euros, correspondant au montant de sa demande d'indemnisation,

   • condamner L. à payer à la société SMITH and NEPHEW SA, la somme forfaitaire de 8 000,00 euros.

   • condamner L. à lui verser une somme de 8 000,00 euros à titre de dommages intérêts.

   • condamner L. à payer à Monsieur X. B., une somme de 3 000,00 euros à titre de dommages intérêts.

   • condamner L. à payer à la société de droit anglais SMITH and NEPHEW PLC la somme de 1500,00 euros,

   • condamner L. à payer à la société SMITH and NEPHEW SA, la somme de 2 000,00 euros,

   • condamner L. à payer à Monsieur X. B., la somme de 1500,00 euros.

   TGI Rochefort-sur-mer, 28 février 2001, Christophe G. c/ SA France Télécom Interactive

   
   

2. TGI de Paris, 26 mai 2003

   
   

   
   

   TGI de Paris, 26 mai 2003, S.N.E.S. c/ "La Droite Libre"

   
   

   Opération de Mail-bombing obtenu non pas par un logiciel de Mail Bombing mais par l'appel du public à bombarder une boîte. Ce genre d'attaque se rapproche complètement d'une Joe Job Attack.

   1. La condamnons à payer au SNES, à la FSU, à l'UNSA, à M. Alain O., chacun la somme de 400 euros à titre de provision sur dommages-intérêts ;

   2. La condamnons à payer au SNES et à la FSU, ensemble, la somme de 1000 euros, à l'UNSA et M. Alain O., ensemble, la somme de 1000 euros au titre de l'article 700 du nouveau Code de procédure civile.

L'inverse du mail bombing : au lieu de bombarder quelqu'un avec le même spam, personnalisez le courrier pour une foule de destinataires.

Vous pouvez avoir besoin d'envoyer le même courrier, personnalisé ou non, à toute une liste de destinataires (membres de la famille, clients d'une entreprise, prospects d'une entreprise, employés d'une entreprise, membres d'un mouvement, d'un parti, d'une association, d'un club, cibles que vous avez en fichiers comme les membres du Parlement ou des journalistes, un corps de métier, etc.).

Vous utiliserez alors un outil d'envoi en masse d'un courriel. Les fonctions de publipostage, permettant de personnaliser un envoi massif, avec Microsoft Word et Microsoft Excel, par exemple, sont une bonne solution.

Vous n'avez pas de fichiers de cibles ? Utilisez l'une des plateformes d'e-mailling.