On Thu, 2004-04-22 at 18:34, Alexandre Dulaunoy wrote: <couic>
> > > john doo ouvre outlook envois un mail a un de ses amis et y attache un > > > .doc/.exe qui contient un virus. Le mail a ete envoye par un humain. > > > > Mais même si ce virus se propage habituellement par le mail, il y a fort > > peu de chance pour que le mail qui le contient dans ce cas précis ait le > > format qu'il génère lorsqu'il se propage. Donc c'est détectable. > > C'est tjs détectable ? > > Quelle la différence entre un MUA qui est utilisé par une faille de > sécurité ou un MUA utilisé par un end-user ? Souvent l'échange SMTP > sera exactement le même. Il faudrait alors faire des hypthèses sur le > contenu mais alors ce sont des hypothèses... Quand un virus est connu, le contenu exact des mails qu'il génère est aussi connu. Donc c'est reconnaissable et identifiable. Je simplifie et je shématise, je ne dis pas que c'est simple et trivial, ni même que c'est faisable en pratique, ce serait même probablement très compliqué, mais c'est comme ça :-) > Un exemple : On s'échange des virus pour créer des signatures clamav > est-ce un virus qu'il a envoyé ou des gars qui font du logiciel libre > et du reverse-engineering sur des virus ? Quoi qu'il en soit, un antivirus actuel l'interprétera simplement comme un mail contenant un virus. C'est un exemple typique des limites des système actuels que je veux démontrer. Un système actuel ne peut que détecter le virus, et agir en conséquence sans granularité plus fine. Si un MUA dans la chaine est configuré pour dropper les mails contenant un virus, ton message sera supprimé sans avertissement, qu'il soit légitimement envoyé ou généré par un virus. > > Note que même sans aller jusqu'à la détection de ce cas particulier > > somme toute probablement très rare, différencier dans les mails les > > virii qui ne se transmettent pas par mail de ceux qui le font serait > > déjà un grand pas en avant, non ? Ce n'est pas parce qu'un système n'est > > pas parfait qu'il faut continuer à faire pire... > > C'est une question subtile. Préfères-tu jeter 100% du courrier avec 99 > virus dedans et un 1 mail légitime ? ou garder les 100 mails pour > retrouver ton mail légitime ? Je préfèrerais supprimer 99 virii et recevoir mon mail légitime :-) Ce n'est bien entendu pas possible, il y aura toujours des erreurs. Mais si le système actuel (pas de discrimination entre les virii) en est à 99% d'efficacité, un système imparfait mais qui pousse jusqu'à supprimer 999 virii pour un seul mail légitime me semble un grand pas en avant :-) <couic> > > > C'est pour cela que bcp de monde configure leur MTA pour envoyer un mail > > > au destinataire disant blah vous avez recu un mail qui contenait un > > > virus et provenant de <from>. > > > > Oui mais alors soit tu transmets le message, ce qui revient à > > transmettre le virus, soit tu transmets juste un avis de réception de > > virus de la part de From. Mais dans ce cas tu enlèves la possibilité au > > destinataire de distinguer entre un mail valide mais contenant un virus > > et un mail généré par un virus avec un faux From. A part remplir > > inutilement une boite mail, cette info est inutile. > > C'est en effet inutile pour l'envoyeur mais pas tjs pour le > destinataire... > > C'est comme cela que je repères les mails légitimes avec des virus > dedans. (ben oui, on peut avoir des mails légitimes avec des virus ou > avoir ses mails de la mailing-list bugtraq ;-) Comment repères-tu un mail légitime d'un mail généré par un virus si tu ne reçois pas le message complet ? Je veux dire, si je reçois un avis me disant qu'adulau m'a envoyé un mail contenant un virus, c'est réellement toi ou c'est un mail généré qui te prend comme From ? Je ne peux le savoir qu'en recevant le mail complet, non ? -- Rémi _______________________________________________________ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech