1

Microsoft Edge: Attention à Votre Carte de Crédit ou Débit !

Bonsoir le Monde !

Une brève et rapide pour vous prévenir d’un risque sérieux pour vote carte de crédit sur un PC Windows avec plusieurs utilisateurs !

Lorsque vous installez Windows 10, l’installation vous demande un compte Microsoft pour y relier votre PC.
Jusque là rien d’anormal ! Discutable mais pas vraiment anormal (Microsoft et Apple, même combat) ! Vous n’avez besoin d’aucun compte avec Linux !

Windows 10 vous permet de créer plusieurs utilisateurs sur un PC, chacun ayant normalement son propre environnement !
Toujours rien d’anormal jusqu’à présent !

Mais … Microsoft Edge semble parfois s’emmêler les pinceaux !

Je vous explique:

  • j’ai installé mon Windows 10 sur mon PC en tant qu’utilisateur « Eric » et j’ai utilisé mon compte [email protected] pour y relier mon PC.
  • j’ai utilisé mon PC pour faire des achats sur Internet en tant qu’utilisateur « Eric » et c’est le navigateur Internet Microsoft Edge que j’utilise pour mes achats (aucune confiance en Google Chrome et pas envie de casser Firefox)
  • déjà, sans rien me demander, il semble que Edge ait enregistré les informations de ma carte de crédit Mastercard dans mon compte Microsoft !
    Ici, il y a déjà un problème, Edge ne m’a pas demandé si il pouvait enregistrer ces informations !
  • j’ai récemment été engagé par la société française Atempo et en attendant d’avoir un PC fourni par mon nouvel employeur, j’utilise mon PC privé et j’ai donc créé un nouvel utilisateur « Atempo » sur mon PC.
  • j’utilise cet utilisateur « Atempo » pour faire mon télétravail et cela se passe très bien

Mais !!!!!

  • alors que j’étais connecté comme utilisateur « Atempo », j’ai effectué une réservation pour un voyage en train et au moment du paiement, Microsoft Edge m’a proposé d’utiliser la carte de crédit Mastercard enregistrée pour l’utilisateur « Eric » !!!!!!
    Je n’ai jamais utilisé ma carte de crédit en tant qu’utilisateur « Atempo » !

Là, on a un sérieux problème !!!!!

En clair, si vous avez créé des utilisateurs séparés sur votre PC pour chaque membre de votre famille, ceux-ci pourraient se voir proposer par Microsoft Edge tous les moyens de paiement que vous avez utilisés sous votre propre compte utilisateurs !!!!

Les autres utilisateurs d’un PC utilisent en effet par défaut, au niveau PC Windows 10, le même compte Microsoft utilisé lors de l’installation du PC !

Peut-être qu’il s’est passé quelque chose de spécial sur mon PC mais il n’en reste pas moins qu’il y a un risque d’utilisation d’une carte de crédit de l’utilisateur initial du PC par un autre utilisateur du même PC !!!!!

Conclusion:

  1. Effacez vos moyens de paiement enregistrés sur votre compte Microsoft !
  2. N’utilisez pas Microsoft Edge pour faire des achats sur Internet à cause de ce soucis, pas non plus Google Chrome ou Safari à cause du pistage et pas Firefox à privilégier pour votre banque ! Il nous reste Opera, Brave , Vivaldi ou autres
  3. Utilisez toujours, TOUJOURS, une carte de débit genre N26, bpaid ou Revolut pour vos achats (seulement ce que vous avez préalablement chargé dessus pourrait être « volé ») !
    N’utilisez JAMAIS ni une carte de crédit, ni votre carte de banque (Bancontact, Maestro) pour faire des achats sur Internet !
    J’en ai déjà parlé sur « Sécurisez vos achats Internet ! » et sur « Carte de débit, oui ! Carte de crédit, non ! »
    (pour N26, j’ai un lien de parrainage mais il n’y a aucune obligation, bien évidemment)

Ne venez pas me dire que je ne vous aurai pas prévenu !

Li P’ti Fouineu vous salue bien !

 




Achat hors Union Européenne ? TVA à payer même pour les petites valeurs !

Coût de la vie

Bonsoir le Monde !

À partir du 1er juillet 2021, vous devrez vous acquitter de la TVA pour tout achat effectué sur un WebShop situé hors Union Européenne qui n’est pas enregistré sur IOSS (Import One-Stop Shop), même si votre achat est inférieur à 22€ !
Les sites non-européens enregistrés vous factureront la TVA et les frais de douane lors de la vente (comme le font déjà les sites européens) ce qui évitera des frais et délais supplémentaires lors de l’importation…

Même si votre achat a été effectué avant le 1er juillet mais qu’il arrive en Belgique le ou après le 1er juillet, la TVA sera due.

Les sites web des pays de l’Union Européenne et les sites enregistrés sur IOSS incluent automatiquement la TVA et les frais d’importation dans vos factures lors de l’achat.

La TVA et les frais de douane (ou d’importation) sont deux choses différentes.

Ce site de bpost vous explique (presque) tout en détail. Il y a aussi le site officiel européen mais faites-moi signe si vous vous y retrouvez !
Si vous voulez vraiment, je pourrais vous mettre le site du SPF Finances mais il ne parle même pas du changement du 1er juillet 2021 !

Mais quels sont donc ces pays faisant partie de l’Union Européenne (et donc ceux qui n’en font pas partie) ? La solution facile est de demander à vos enfants … Sinon il y a Wikipédia (il y a un chouette diagramme cliquable en milieu de page qui répond assez vite à la question)…
Bonne chance !

Un acheteur averti, compulsif ou non, en vaut deux !

Li P’ti Fouineu vous salue bien !

 

 

 




FLoC Off Google !

FLoC Off

Bonjour le Monde !

Nous nous sentons tous plus ou moins concernés par le respect de notre vie privée sur Internet et soit vos navigateurs (Chrome, Firefox, Safari, Opera, Vivaldi, …) intègrent déjà un anti-pub et/ou beaucoup installent un anti-pub (comme uBlock Origin sur Firefox par exemple).

En plus de cela, le GDPR/RGPD a rendu beaucoup de gens un peu plus conscients de ce qu’il se passait avant à leur insu en ayant rendu l’acceptation des cookies obligatoire en Europe.
De plus en plus de sites, dont ceux de votre serviteur, proposent même de gérer très exactement ce que vous acceptez ou refusez comme cookies.

Tout ça va dans le bon sens pour que chacune et chacun garde un peu de contrôle sur sa vie privée même si ça ne fait qu’agacer ceux qui s’en fichent, c’est leur droit, et cliquent sur « Tout accepter » en pestant sur cette étape qui leur fait juste perdre du temps. En effet nous ne sommes pas des geeks et beaucoup ne comprennent pas la portée de cette petite bataille ni même de quoi il s’agit exactement. Dites-vous simplement que si tant de gens consacrent une telle énergie pour cela c’est qu’il ne doit pas y avoir de fumée sans feu !

Les pas encore assez nombreux qui essaient de gérer leur navigation sur Internet et donc leur cookies sur les différents sites finissent quand même par influencer/fausser les algorithmes de collecte d’information et de pistage des GAFAM au point que Google développe une nouvelle technologie de pistage pouvant se passer des cookies appelée FLoC (Federated Learning of Cohorts) qui prend un instantané d’un lot d’information provenant de votre navigateur et de votre PC pour en faire une signature unique vous représentant (qu’on appelle parfois fingerprint en anglais) et vous rendre donc reconnaissable sur les sites que vous visitez et tout ça à l’insu de votre plein gré, bien entendu !

FLoC est déployé depuis peu dans tous les pays non « protégés » par le RGPD car il semble que FLoC soit illégal au regards du RGPD pour l’instant mais gageons que Google va trouver le moyen de faire fonctionner cela partout !
C’est évidemment le navigateur Google Chrome qui permet tout ça ! Il est peut-être temps d’abandonner cette usine à espionner toutes vos habitudes de surf qui ne regardent normalement que vous pour un navigateur alternatif plus respectueux !

La résistance s’organise déjà parmi les navigateurs alternatifs à Google Chrome comme par exemple Vivaldi qui annonce que FLoC ne fonctionne pas sur Vivaldi et qui s’en prend assez rudement à Google avec sa campagne FLoC Off ! DuckDuckGo, Brave, l’ONG Electronic Frontier Foundation (EFF)  et bien d’autres sont aussi déjà montés aux créneaux pour bannir FLoC, WordPress, qui anime 41% des sites web dans le monde, étudie la possibilité de bloquer FLoC par défaut en considérant que c’est quasi un problème de sécurité ! D’autres acteurs sont plus silencieux et se posent en observateurs comme Microsoft Edge, Safari, Opera et Firefox (qui ne survit actuellement que grâce au fait que son moteur de recherche par défaut est … Google) et n’envisagent actuellement pas d’intégrer cette technologie à leur navigateurs…

Il faut quand même aussi savoir que, à part Firefox, tous les autres navigateurs cités ici sont basés sur Chromium qui est la version Open Source de Google Chrome (Chrome n’est PAS Open Source, seulement Chromium) mais Chromium est quand même maintenu par Google !!! Il y a donc un sérieux risque de ce côté…

Vous trouverez un article en français donnant la position actuelle de plusieurs acteurs du Web (mais pas tous) sur https://www.blogdumoderateur.com/google-floc-reponse-wordpress-mozilla-safari-opera-microsoft-edge/
Toujours en français, un article bien foutu (comme toujours) du blogueur Korben sur https://korben.info/empecher-tracking-google-floc.html

Il n’y a que très peu d’utilisateurs faisant actuellement partie des essais faits par Google (et normalement aucun en Europe) mais l’EFF a mis en place un site (en anglais) permettant de tester si vous êtes « FLoCé » (prononcez « floqué ») sur « Am I FLoCed ? »

Vous vous doutez que je suis contre cette technologie. Je ne vous demande pas de me croire mais de vous faire votre propre opinion en tapant FLoC dans votre moteur de recherche favori pour vous informer !
Mes sites WordPress (https://ecollart.xyz et https://ecollart.info) implémentent déjà le blocage de FLoC au niveau WordPress !

Après WhatsApp (Facebook) et ses nouvelles conditions d’utilisation, c’est au tour de Google d’écorner un peu plus le peu de respect de la vie privée qui existe encore sur Internet avec FLoC. Curieux de voir qui sera le prochain tout en sachant que ce sera bien évidemment un GAFAM !

Pour en rajouter une couche, j’aimerais signaler les pratiques un peu semblables à la méthode de pistage par cookies utilisées par … les cartes de fidélité de vos magasins préférés et la diminution constante de vos avantages alors qu’ils en savent de plus en plus sur vous !
Par exemple Carrefour vous envoie des bons de réduction sur des produits que vous avez déjà achetés ou similaires. Colruyt fait juste l’inverse et vous propose des réductions pour des produits que vous n’avez pas encore achetés. L’efficacité des ces campagnes publicitaires (car c’est de cela qu’il s’agit) sont bien évidemment corroborées par les statistiques d’achats collectées à votre nom par votre carte de fidélité.
Vous avez tellement de cartes de fidélité qu’il vous faut un portefeuille spécial pour les mettre ou … une appli qui les contienne toutes dans votre Smartphone et qui peut donc … faire des statistiques nominatives à votre insu des achats que vous faites et où vous les faites.
Imaginez un instant que toutes ces informations soient croisées (mises ensemble) et disponibles aux acteurs économiques et vous aurez une petite idées des possibilités offertes…

Pourquoi donc les prix au Colruyt de Wavre ne sont-ils pas les mêmes qu’au Colruyt de Grez-Doiceau à 8 Km de distance ? Idem pour le prix des carburants DATS, ils sont moins chers à Grez-Doiceau toujours à 8 Km de distance alors que la pompe est plus facile d’accès qu’à Wavre (et c’est encore moins cher à Tirlemont). C’est pareil pour presque tous les autres supermarchés sauf quelques rares exceptions comme Aldi chez qui des prix identiques semblent couvrir une plus grande région. Moi je trouve ça dingue !

Bon je diverge un peu avec cette histoire de cartes de fidélité des supermarchés qui mériterait un article séparé (et que je publierai un jour) mais tout ça existe aussi grâce à des info collectées qui ne devraient pas l’être !

À propos de prix dans les supermarchés, jetez donc un coup d’œil sur ma page « Idée de prix » où je liste quelques prix constatés dans les supermarchés de mon coin (Hesbaye Brabançonne) et dont le but est de vous montrer une image un peu plus globale de la répartition des prix dans les supermarchés et de voir où c’est globalement moins cher… Vous pouvez y faire une recherche d’un produit mais aussi télécharger le fichier Excel complet qui reprend plusieurs années (depuis 2011) et voir ainsi l’évolution des prix.

Et donc FLoC Off à Google et aux cartes de fidélité !

Li P’ti Fouineu vous salue bien !

 

FLoC Off



SPAM: Analyser vous-même une En-tête de Mail – Partie 2

Stop SPAM

Bonjour le Monde !

3e article d’une série de 4 sur le sujet (le 4e sera un résumé-conclusion), nous allons cette fois analyser l’en-tête d’un vrai SPAM !

Pour afficher l’en-tête d’un mail avec votre programme, reportez-vous au 1er article section « Comment détecter un SPAM vous-même ? »
Tous les programmes ne permettent malheureusement pas d’afficher l’en-tête d’un mail sans l’ouvrir (ce qui devrait pourtant être un « must ») et je fournis donc un exemple de SPAM au format texte complètement inoffensif à télécharger au bas de cet article ou depuis le 1er article pour pouvoir l’afficher et suivre les explications fournies ici.

Le SPAM analysé ici semble avoir été envoyé par Colruyt; voyons voir si c’est bien vrai !

Veuillez noter que j’ai remplacé manuellement le “@” de mes adresses mail par ” at ” pour ne pas que ces adresses soient capturées par des robots automatiques.

Voici comment ce message apparaît dans le dossier SPAM de ma boîte mail Gmail (vue depuis Thunderbird):

Déjà l’objet est en néerlandais, écrit bizarrement avec des « _ » et mon nom n’est pas celui que connaît Colruyt (supermarché) chez qui je suis effectivement client et où j’ai une carte de fidélité.

Si je devais voir un tel mail dans ma boîte de réception, je l’efface immédiatement ou le déclare comme SPAM (je reparlerai de cela dans le 4e et dernier épisode).

Analysons ce message pour le plaisir de lire et comprendre les entrailles d’un mail douteux:

Pour savoir extraire juste l’en-tête du message complet utile pour l’analyse, reportez-vous au 2e article où j’explique comment faire.

Voici l’en-tête du message soi-disant de Colruyt que nous allons analyser:

Delivered-To: ecollart at gmail.com
Received: by 2002:a19:550d:0:0:0:0:0 with SMTP id n13csp1102833lfe;
Sat, 17 Apr 2021 04:23:58 -0700 (PDT)
X-Google-Smtp-Source: ABdhPJxpjuBKol13YAHXd55j3+wyH/qpBVrvt1GMe2PjWP03DqkyYgcI3nFZkfp1aLGvxdGJydIF
X-Received: by 2002:adf:d228:: with SMTP id k8mr3861554wrh.341.1618658637916;
Sat, 17 Apr 2021 04:23:57 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1618658637; cv=none;
d=google.com; s=arc-20160816;
b=Y6xE6mRPdsJF/VNChrgbT5dGBYvPbr1aHhgWkxCLX6zLjV4P/uE+hyVVHdSt8Sh6hu
BPvDhtBTLhdqAubFbBFC4RhGcNKw4LmiYFLPrtRQ/NLJ5JskAMZzS+Fdm4HszdHkpLeH
D8fqROytL1sXu5mYFaxX4+LeHczkNW78QA9T+hdYTvsZuMiKCKZ0m7mI0NiQoFLsGBA/
2DF5mcWtSDKSyI+JknljTPF3EXddD4HRN1PuzlsuajFQXFGkxtgubgwa9aQ0pDdHb39m
JUYdryYyDDLB9XjjEk8BKlj5uppzWpn5EWDXZGF/6c6xF7MHGYwwrZxuekdTHzyIGKYG
9X6w==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=mime-version:subject:message-id:to:reply-to:from:date
:dkim-signature;
bh=9v7h5TRshvd7prTbAzKv9TB3K0txb0BUX3pkbQntuck=;
b=VjzU9LPMwsdGiGiuNY8oQ8etDymHh1Xmnbf6Yibe9Uv7duFGHsGWj3rYQIxEvwoKcc
Yu2qNRdRSuwUwkbmRgNH2sG51vyjD30jFM8DW/SqLNX+KFdDefSx3aUjy4aa1pXTBs57
FLkykyWWX0uWAq2C33vosKVXlekmiKWQmj/+D9mPAMq5CcZ8P45vYO3Op2UIDSZtB6gO
0uhyIbyuUrwUnZW5b28x9680yY3Dbhgab0Os1h4iHYaWBxETPhE8hE7fKg1sQzWJoZWS
dISp9/309x+R5FznxmBZqEq2Xzg99S0srZ1QahtbXuI5yRiqNXZz1fFw3L8DaL9jb0J8
ln4g==
ARC-Authentication-Results: i=1; mx.google.com;
dkim=neutral (body hash did not verify) [email protected] header.s=Sailthru header.b=R9YCG6WN;
spf=pass (google.com: best guess record for domain of [email protected]————————–.193-169-20-19.ip323.fastwebnet.it designates 193.169.20.19 as permitted sender) [email protected]————————–.193-169-20-19.ip323.fastwebnet.it
Return-Path: <[email protected]————————–.193-169-20-19.ip323.fastwebnet.it>
Received: from missogirldrive.fr (193-169-20-19.ip323.fastwebnet.it. [193.169.20.19])
by mx.google.com with ESMTP id e12si4977936wrg.67.2021.04.17.04.23.57
for <[email protected]>;
Sat, 17 Apr 2021 04:23:57 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of [email protected]————————–.193-169-20-19.ip323.fastwebnet.it designates 193.169.20.19 as permitted sender) client-ip=193.169.20.19;
Authentication-Results: mx.google.com;
dkim=neutral (body hash did not verify) [email protected] header.s=Sailthru header.b=R9YCG6WN;
spf=pass (google.com: best guess record for domain of [email protected]————————–.193-169-20-19.ip323.fastwebnet.it designates 193.169.20.19 as permitted sender) smt[email protected]————————–.193-169-20-19.ip323.fastwebnet.it
Received: from njmta-53.sailthru.com (173.228.155.53) by dailybeast-a.sailthru.com id h1t86m1qqbs3 for <[email protected]>; Fri, 3 Jan 2020 09:30:14 -0500 (envelope-from <[email protected]>)
Received: from nj1-madbrick.flt (172.18.20.7) by njmta-53.sailthru.com id h1t7vc1qqbsf for <[email protected]>; Fri, 3 Jan 2020 09:30:10 -0500 (envelope-from <[email protected]>)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; t=1578061810; s=Sailthru; d=thedailybeast.com; h=Date:From:Reply-To:To:Message-ID:Subject:MIME-Version:Content-Type:List-Unsubscribe; bh=R9YCG6WN+R9YCG6WN=; b=R9YCG6WN+PSEEOFBXSF/R9YCG6WN+CKSDKET9OO3 CYA1P7IYL/VXDYPRM9LUVKTJ5O7ZAT/NFWKGSUGFV59UD9+ 1ZRPW5VCED7WX+MXUVJ8C+R9YCG6WN=
From: =?UTF-8?B?Q29seXJ1dA==?= <[email protected]>
Reply-To: <[email protected]>
To: [email protected]
Message-ID: <[email protected]>
Subject: =?UTF-8?B?R2VmZWxpY2l0ZWVyZF9FY29sbGFydCxfamVfYmVudF9lZW5fZmluYWxpc190YWxzX2plX2JldmVzdGlndF8h?=
MIME-Version: 1.0
Content-Type: multipart/alternative;boundary= »281567-751592091m163265-S54AVBPTFE15-2N5NP35-XEW1SIWG »


 

Rappelez-vous qu’une analyse d’en-tête commence par sa dernière ligne:

MIME-Version: 1.0
Content-Type: multipart/alternative;boundary= »
281567-751592091m163265-S54AVBPTFE15-2N5NP35-XEW1SIWG« 

Ici tout est normal, MIME est utilisé pour encoder le message (voir 1er article) et le corps du message commence à partir de la ligne contenant « 281567-751592091m163265-S54AVBPTFE15-2N5NP35-XEW1SIWG » précédé de quelque traits-d’union « – »


 

Ligne suivante:

Subject: =?UTF-8?B?R2VmZWxpY2l0ZWVyZF9FY29sbGFydCxfamVfYmVudF9lZW5fZmluYWxpc190YWxzX2plX2JldmVzdGlndF8h?=

L’objet du mail est encodé en UTF-8 (ce qui est normal) mais on ne sait pas repérer un seul mot en clair ! C’est déjà moins normal même si possible et voici un premier indice faisant penser que ce message est peut-être un SPAM !


 

On continue:

To: [email protected]
Message-ID: <[email protected]sailthru.com>

Ce message m’est bien adressé ([email protected]) et semble avoir été créé par un serveur mail du domaine « sailthru.com » qui ne doit sans doute pas avoir grand-chose à voir avec Colruyt.

Une petite recherche dans un WHOIS (« qui c’est » en anglais) permet d’en savoir plus sur le domaine « sailthru.com »; vous pouvez faire ça par exemple sur https://www.whois.com/whois

Voici un extrait de la réponse du WHOIS:

Registrant Name: Finance Team
Registrant Organization: Sailthru, Inc.
Registrant Street: 1 World Trade Center, Suite 48A
Registrant City: New York
Registrant State/Province: New York
Registrant Postal Code: 10007
Registrant Country: US
Registrant Phone: +1.8778128689
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: [email protected]

Ici on commence par le haut et on voit que c’est l’entité juridique « Finance Team » de la compagnie « Sailthru Incorporated » qui a acheté le domaine sailthru.com.

Comme on ne trouve aucune autre indication se référant à Sailthru Inc dans l’en-tête ni avec Colruyt, nous sommes devant un indice fort que le message soit un SPAM !

L’information de l’en-tête du mail peut avoir été falsifiée pour faire croire qu’un serveur de mail valide a été utilisé.
Il se peut aussi que ce serveur njmta-53.sailthru.com ait été compromis et soit sous contrôle d’un pirate qui l’utilise pour envoyer ses SPAMs
L’information fournie par un WHOIS est en principe exacte mais on peut faire une vérification croisée sur plusieurs WHOIS différents pour être certain (oui, ce serveur WHOIS pourrait être contrôlé par des pirates mais il est fort peu probable que tous les WHOIS soient contrôlés par des pirates).


 

Ligne suivante:

Reply-To: <[email protected]>

Le « Reply-To » n’a rien à voir avec la compagnie Sailthru Inc. comme un check WHOIS pour le domaine « cellsmutations.com » peut le confirmer (le registrant du domaine cellsmutations.com serait Islandais).

Toujours rien à voir avec Colruyt. Voilà un autre indice fort indiquant que ce message est probablement un SPAM.
Si en plus le Reply-To et le « From » sont différents, c’est plus que probablement un SPAM !


 

Voyons voir la suite:

From: =?UTF-8?B?Q29seXJ1dA==?= <[email protected]>

Et voilà un « From » complètement différent du « Reply-To » (même pas le même domaine qui est le nom après le « @ ») et toujours rien à voir avec Colruyt ce qui est une très forte indication de SPAM !


 

Continuons l’analyse:

Received: from njmta-53.sailthru.com (173.228.155.53) by dailybeast-a.sailthru.com id h1t86m1qqbs3 for <[email protected]>; Fri, 3 Jan 2020 09:30:14 -0500 (envelope-from <[email protected]>)
Received: from nj1-madbrick.flt (172.18.20.7) by njmta-53.sailthru.com id h1t7vc1qqbsf for <[email protected]>; Fri, 3 Jan 2020 09:30:10 -0500 (envelope-from <[email protected]>)
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; t=1578061810; s=Sailthru; d=thedailybeast.com; h=Date:From:Reply-To:To:Message-ID:Subject:MIME-Version:Content-Type:List-Unsubscribe; bh=R9YCG6WN+R9YCG6WN=; b=R9YCG6WN+PSEEOFBXSF/R9YCG6WN+CKSDKET9OO3 CYA1P7IYL/VXDYPRM9LUVKTJ5O7ZAT/NFWKGSUGFV59UD9+ 1ZRPW5VCED7WX+MXUVJ8C+R9YCG6WN=

Rien à dire à la date sinon que le serveur qui a envoyé ça a son horloge réglée sur le fuseau horaire EDT en GMT-4.
Le DKIM m’a l’air un peu alambiqué mais je ne m’y connais pas suffisamment pour en dire plus.
Il y a 2 « Received: » et même encore un troisième plus haut ! C’est aussi une indication que quelque chose ne va sans doute pas même si ça peut être aussi dû à un serveur de mail ayant un souci. On y voit aussi que l’expéditeur supposé est [email protected] qui n’a à nouveau pas grand-chose à voir avec Colruyt.

Lorsque vous envoyez un mail, il y a 1,2 ou 4 serveurs impliqués suivant que votre destinataire est chez le même fournisseur de messagerie que vous ou pas.
Disons que vous êtes chez Gmail et que votre destinataire est chez Yahoo, les serveurs mail impliqués seront celui de Gmail sur lequel est située votre boîte aux lettres électronique, le serveur Gmail qui expédie ce message à l’extérieur de Gmail, celui d’entrée de Yahoo et enfin celui de Yahoo qui contient la boîte aux lettres électronique de votre destinataire. Il y en donc 2 chez l’expéditeur et 2 chez le destinataire.
Si vous en voyez plus que cela ou si ils sont de différents domaines, c’est très louche !


 

Essayons de voir plus loin:

Received-SPF: pass (google.com: best guess record for domain of [email protected]————————–.193-169-20-19.ip323.fastwebnet.it designates 193.169.20.19 as permitted sender) client-ip=193.169.20.19;
Authentication-Results: mx.google.com;
dkim=neutral (body hash did not verify) [email protected] header.s=Sailthru header.b=R9YCG6WN;
spf=pass (google.com: best guess record for domain of [email protected]————————–.193-169-20-19.ip323.fastwebnet.it designates 193.169.20.19 as permitted sender) [email protected]————————–.193-169-20-19.ip323.fastwebnet.it

Dans la ligne « Authentication-Results », on voit que Gmail n’a pas réussi à analyser le DKIM et indique un « dkim=neutral » au lieu de « dkim=pass » ce qui n’est paaaas bon !
Par contre on voit aussi que l’autre protection SPF a été validée comme non-spammeur par un serveur fastwebnet.it et que Gmail lui fait confiance car on voit « spf=pass ».


 

Mais encore:

Return-Path: <[email protected]————————–.193-169-20-19.ip323.fastwebnet.it>
Received: from missogirldrive.fr (193-169-20-19.ip323.fastwebnet.it. [193.169.20.19])
by mx.google.com with ESMTP id e12si4977936wrg.67.2021.04.17.04.23.57
for <ecollart at gmail.com>;
Sat, 17 Apr 2021 04:23:57 -0700 (PDT)

Et voilà le 3e « Received: » très louche car il y a fort peu de chance que ce serveur soit légitime avec un nom de domaine pareil (missogirldrive.fr) semblant être situé en France (.fr) mais avec une horloge réglée sur le fuseau horaire PDT en GMT-7 !
Le « Return-Path » rajoute une couche aux doutes précédents car semblant renvoyer le message en cas d’erreur vers ce serveur fastwebnet.it…


Voilà, le reste des informations ont été rajoutées par Gmail et sont tout-à-fait valides.

Je peux vous dire que Gmail a directement versé ce message dans le dossier SPAM de ma boîte mail où j’ai été le récupérer pour les besoin de cette série d’articles qui vous aideront, je l’espère, à décider si SPAM ou non en cas de doute et qui ont un peu démystifié le fonctionnement du courrier électronique sur Internet.

Li P’ti Fouineu vous salue bien !

Ressources:

 

Ouvrir En-tête SPAM Colruyt reçu sur Gmail dans un nouvel onglet
ou le télécharger:

 




SPAM: Analyser vous-même une en-tête de mail – Partie 1

Stop SPAM

Bonjour le Monde !

Dans le premier article de cette série, j’ai essayé de vous expliquer ce qu’est un SPAM, ce que font les fournisseurs de service mail pour le combattre et comment régler vos programmes de mails pour gérer les différents modes de prévisualisation des messages afin de minimiser les risques dus aux SPAMs !

Vous savez déjà faire un bon tri entre SPAM et mail légitime en regardant si vous connaissez l’expéditeur et si l’objet du mail est cohérent avec cet expéditeur, si l’objet du mail n’est pas dans votre langue, etc…

Comme promis, je vais essayer de vous apprendre à analyser un message que vous soupçonnez être un SPAM quand vos méthodes habituelles de détection n’ont pas permis de décider si c’était vraiment un SPAM ou non !

Pour l’apprentissage, je vous fournis un exemple d’une de mes newsletter qui n’est donc pas un SPAM (qui a dit « un peu quand même » ?) ! Le fichier s’appelle « En-tete-Newsletter-Li-Pti-fouineu-Gmail.txt »

Ce fichier texte peut être téléchargé depuis le bas de cet article (mais aussi depuis le premier article) et vous pouvez donc l’ouvrir séparément pour comparer avec ce que je vais vous expliquer ici !

La première chose à faire est d’isoler la partie en-tête du corps du message; le début du texte est la fameuse en-tête recherchée, le reste est le message lui-même en langage HTML et encodé en MIME (voir plus loin) le plus souvent mais il peut aussi être en texte simple (et donc plus facilement lisible mais nettement moins joliment présenté):

De la 1ère ligne de texte jusqu’au dernier « From« , il s’agit de l’en-tête que nous allons analyser.

Dès la ligne contenant « —-_SiB-b9e2b1a74c63c10b-Part_1« , il s’agit du début du message lui-même qui n’est pas très compréhensible mais votre navigateur ou programme mail sait quoi faire avec tout ça et vous afficher ma très jolie newsletter !!!

Veuillez noter que j’ai remplacé manuellement le “@” de mes adresses mail par ” at ” pour ne pas que ces adresses soient capturées par des robots automatiques.

Notre en-tête à analyser est donc:

From – Wed Mar 24 14:19:54 2021
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Delivered-To: ecollart at gmail.com
Received: by 2002:ac2:5223:0:0:0:0:0 with SMTP id i3csp1865229lfl;
Sat, 20 Mar 2021 02:46:43 -0700 (PDT)
X-Google-Smtp-Source: ABdhPJyunsaf4BTo5uPrj5PRhPaqShjfKKXGeV2yvLG2b91GsEnXWAzRJBLeMhOchKmVUb/FxHoJ
X-Received: by 2002:a5d:6ca6:: with SMTP id a6mr8501914wra.179.1616233603805;
Sat, 20 Mar 2021 02:46:43 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1616233603; cv=none;
d=google.com; s=arc-20160816;
b=lbiP+sZliEGfTV+JsfOIch1FLFU98N+pGFIgqTEsmvLJcq9o7/zkDgRHRq8fBzFduJ
nl6g/P+k5YtcdhfDNZT1u1ts5XojXn+i2JUaNEz0osTFDgcqe24VjKBieZe+6WyyBPtd
VsHedPuaOHmCzEllQRHWEexUS49SRYYODtjvcbwtcUNyfSwypVAHzG6TIWXpde5kmFi2
cDDnNvZSgmu63yiWWtdzmzYGENfZMCU2IIZBveeHJ7CCmutl/Ur2FJsnOxYZ0bJlyhoB
0DQmYPCgEGHZWDJQL+ZQpRXGyQvjLnYZhPLF1KeqBSh84TA/bxpCOMWh0bz8DyDV2k5S
DfYg==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
h=from:feedback-id:mime-version:reply-to:list-unsubscribe-post
:list-unsubscribe:precedence:origin-messageid:message-id:subject
:date:to:dkim-signature;
bh=UU+U3sdvC9zoej27S/yyN6OJLhA6PJXhy1KPAg7JP0U=;
b=Epr9X2ikj4kaNDjYe6SPDwRo3X5+/I89xezlbhPAvJfNKgYLMoyzomePSEJv+JFfN5
+C8gunqjxVYMtmotj6afGIqBHETfuMA9hSr99yoL2LI7XyhKabO2KpkR9xpljeogp4Qd
7bkVLhcNG5e1G0v/3DbQYwyViwF++POL1fE2g6RAYtiHYHz66C6Eg/MkstTNdyYlmHjm
w355WgJAkuhamEhiFdbG7ICBwkqe+K1OBWHKveKymM1JiviM3ORPsbh7BAI0zuhrTevA
pK2sqOqlJSUFmXTWTrQxrvMKJ14orowkscgt4WboX0F6w4uSaNDd76RyECioa47BEe/B
I4MQ==
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass [email protected] header.s=mail header.b=spob+wMu;
spf=pass (google.com: domain of [email protected] designates 185.41.28.5 as permitted sender) smtp.mailfrom= »[email protected] »
Return-Path: <[email protected]>
Received: from ae.d.mailin.fr (ae.d.mailin.fr. [185.41.28.5])
by mx.google.com with ESMTPS id 88si7529256wrn.466.2021.03.20.02.46.43
for <ecollart at gmail.com>
(version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
Sat, 20 Mar 2021 02:46:43 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 185.41.28.5 as permitted sender) client-ip=185.41.28.5;
Authentication-Results: mx.google.com;
dkim=pass [email protected] header.s=mail header.b=spob+wMu;
spf=pass (google.com: domain of [email protected] designates 185.41.28.5 as permitted sender) smtp.mailfrom= »[email protected] »
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sendinblue.com;
q=dns/txt; s=mail; bh=UU+U3sdvC9zoej27S/yyN6OJLhA6PJXhy1KPAg7JP0U=;
h=from:reply-to:subject:date:mime-version:content-type:list-unsubscribe:x-csa-complaints:list-unsubscribe-post;
b=spob+wMuYyi7rjEc+TUKm+JyEfmk1ZreLl8LVRID4X6Bx08Nz1OeYyvLDT8BuU7FthiCDyiVZv2s
7N/BB+ksl8Aw1xW5LFtDjTNqu03psbpVp3Or/y8to3fQSOHsyualvZ2B2mhXrgyykqIMEH3dXs8M
/GxyPLFnk1BL/0Qyohc=
X-Mailin-EID: MTEzNzI3MjYyfmVjb2xsYXJ0QGdtYWlsLmNvbX48MjAyMTAzMjAxMDQ2Ljg4MzIyMTk4ODgyQHNtdHAtcmVsYXkubWFpbGluLmZyPn5hZS5kLm1haWxpbi5mcg%3D%3D
To: <ecollart at gmail.com>
Date: Sat, 20 Mar 2021 09:46:43 +0000
Subject: =?UTF-8?Q?Li_P’ti_Fouineu_-_Je_me_suis_fait_virer_de_mon_boulot_=E2=80=93_=C3=89pisode_3?=
Message-Id: <[email protected]>
Origin-messageId: <[email protected]>
Content-Type: multipart/alternative; boundary= »–_SiB-b9e2b1a74c63c10b-Part_1″
Precedence: bulk
X-Newsletter-Email-ID: 64
X-Auto-Response-Suppress: OOF, AutoReply
List-Unsubscribe: <https://ecollart.xyz/?na=uc&nk=103-f92464eb84&nek=64->
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Reply-To: info at ecollart.xyz
MIME-Version: 1.0
X-sib-id: hAi3jun64DFqP3HToivmmiBLf5DJzMgCzxa6R-taaDY8WH8RqUSJPYWF98f-z1Lvf2acUlA78CL5d2Zyo4lbPXeTgnzcKt60VQg-lXLtherFhpYGRvaSj_EUHOfj4WiUj-lCu03Abm3IkD6nMbY4a1D1Rrw1Y7SWZaeIa5c3aC4
X-CSA-Complaints: [email protected]
Feedback-ID: 185.41.28.5:3210647_-1:3210647:Sendinblue
From: « Li P’ti Fouineu » <info at ecollart.xyz>


Pour savoir de qui ce message vient, par où il est passé et qui va recevoir la réponse si on répond, il faut commencer par la dernière ligne de l’en-tête qui est donc:

From: « Li P’ti Fouineu » <info at ecollart.xyz>

Cette ligne indique l’expéditeur probable (et oui, un pirate peut tricher ici)


On remonte ensuite:

Feedback-ID: 185.41.28.5:3210647_-1:3210647:Sendinblue

Cette ligne vous informe que cette newsletter est envoyée par le service SendinBlue qui collecte feedback et statistiques pour ce message qui a reçu un numéro d’identification (ID) unique pour cela.
Toutes mes newsletters sont envoyées par SendinBlue et tout est donc normal jusque-là. Il ne faut pas hésiter à comparer un message sur lequel on a un doute avec un ou plusieurs précédents venant de la même source.


On continue de remonter:

MIME-Version: 1.0
X-sib-id: hAi3jun64DFqP3HToivmmiBLf5DJzMgCzxa6R-taaDY8WH8RqUSJPYWF98f-z1Lvf2acUlA78CL5d2Zyo4lbPXeTgnzcKt60VQg-lXLtherFhpYGRvaSj_EUHOfj4WiUj-lCu03Abm3IkD6nMbY4a1D1Rrw1Y7SWZaeIa5c3aC4
X-CSA-Complaints: [email protected]

Ces 3 lignes ne nous intéressent pas et concernent la popote interne de la messagerie d’envoi.
MIME est le système utilisé pour encoder les différentes composantes du message comme les pièces jointes qui ne sont pas du texte. Un mail encodé n’utilise QUE des lettres non-accentuées, des chiffres et quelques rares signes spéciaux ! Les pièce jointes qui ne sont pas du texte sont donc encodées selon le format MIME. Cet encodage fait que la taille d’une pièce jointe dans un mail encodé fait en moyenne 1,33x la taille originale de la pièce jointe. C’est pour cette raison que si votre messagerie est limitée à 10MB par message que celui-ci peut être refusé si la pièce jointe que essayez d’envoyer a une taille de 9MB car 9 x 1,33 = 11,97MB !


On remonte encore:

Reply-To: info at ecollart.xyz

Cette ligne est très importante et nous apprend vers qui sera envoyée une réponse éventuelle au message reçu.
Pour ne pas risquer d’être considéré comme SPAM, les bonnes pratiques demandent que le « Reply-To » soit identique au « From » précédemment noté ou au moins que ce soit une adresse mail du même domaine (qui est ici « ecollart.xyz ») !
Ici, ma newsletter respecte donc les bonnes pratiques et les outils anti-spam ne m’attribueront pas de mauvais score.


Remontons toujours plus haut:

Precedence: bulk
X-Newsletter-Email-ID: 64
X-Auto-Response-Suppress: OOF, AutoReply
List-Unsubscribe: <https://ecollart.xyz/?na=uc&nk=103-f92464eb84&nek=64->
List-Unsubscribe-Post: List-Unsubscribe=One-Click

Ces lignes sont des informations ajoutées par mon plugin WordPress qui crée automatiquement une nouvelle newsletter lorsque je publie un article; ce plugin s’appelle Newsletter
Les 2 lignes où vous voyez « Unsubscribe » sont utilisée pour vous désinscrire de la bonne liste d’envoi (ben oui, je pourrais en faire plusieurs) si vous deviez cliquez sur le lien de bas de page de la newsletter intitulé « Pour modifier ou annuler votre abonnement, cliquez ici. »
La ligne « X-Newsletter-Email-ID: 64« est l’identification unique (ID) de la newsletter crée par le plugin.
Je ne sais pas à quoi correspondent les autres lignes mais elles sont utilisées par le plugin.


Vous êtes toujours là ? Et bien on continue de remonter dans le texte:

Content-Type: multipart/alternative; boundary= »–_SiB-b9e2b1a74c63c10b-Part_1« 

Cette ligne indique où commence le corps du message. Maintenant que vous le savez, vous pourrez utiliser cette information pour une prochaine analyse de message douteux qui sera peut-être plus complexe que mon exemple.


Continuons vers le haut:

Message-Id: <[email protected]>
Origin-messageId: <[email protected]>

Ces 2 lignes fournissent l’identification unique (ID) assignée par chaque serveur de SendinBlue. Mailin.fr fait partie de SendinBlue mais vous ne pouvez savoir cela que si vous êtes un utilisateur de SendinBlue qui, je le rappelle, est le fournisseur de messagerie de mon site web.
Dans les cas complexes, ces identifications sont recherchées sur tout le parcours du message entre SendinBlue qui l’envoie et votre serveur de mail qui va le recevoir.


Mais encore:

To: <ecollart at gmail.com>
Date: Sat, 20 Mar 2021 09:46:43 +0000
Subject: =?UTF-8?Q?Li_P’ti_Fouineu_-_Je_me_suis_fait_virer_de_mon_boulot_=E2=80=93_=C3=89pisode_3?=

Là on voit à qui le message est envoyé (To:); c’est là que vous verrez votre propre adresse mail si vous analysez un de vos messages reçus.
La date et l’heure de création du message, souvent mais pas toujours à l’heure GMT ou UTC (c’est la même chose, c’est le « +0000 »). L’utilisation de l’heure GMT permet de comparer plus facilement les log des serveurs quelque soit le pays où est situé le serveur.
L’objet du message indique l’encodage du texte (UTF-8) mais n’aime ni les espaces (remplacés ici par « _ ») ni les accents, apostrophes et autres  (remplacés ici par leur code UTF-8)


Le morceau qui suit est moins intéressant:

ARC-Seal: i=1; a=rsa-sha256; t=1616233603; cv=none;
        d=google.com; s=arc-20160816;
        b=lbiP+sZliEGfTV+JsfOIch1FLFU98N+pGFIgqTEsmvLJcq9o7/zkDgRHRq8fBzFduJ
         nl6g/P+k5YtcdhfDNZT1u1ts5XojXn+i2JUaNEz0osTFDgcqe24VjKBieZe+6WyyBPtd
         VsHedPuaOHmCzEllQRHWEexUS49SRYYODtjvcbwtcUNyfSwypVAHzG6TIWXpde5kmFi2
         cDDnNvZSgmu63yiWWtdzmzYGENfZMCU2IIZBveeHJ7CCmutl/Ur2FJsnOxYZ0bJlyhoB
         0DQmYPCgEGHZWDJQL+ZQpRXGyQvjLnYZhPLF1KeqBSh84TA/bxpCOMWh0bz8DyDV2k5S
         DfYg==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=from:feedback-id:mime-version:reply-to:list-unsubscribe-post
         :list-unsubscribe:precedence:origin-messageid:message-id:subject
         :date:to:dkim-signature;
        bh=UU+U3sdvC9zoej27S/yyN6OJLhA6PJXhy1KPAg7JP0U=;
        b=Epr9X2ikj4kaNDjYe6SPDwRo3X5+/I89xezlbhPAvJfNKgYLMoyzomePSEJv+JFfN5
         +C8gunqjxVYMtmotj6afGIqBHETfuMA9hSr99yoL2LI7XyhKabO2KpkR9xpljeogp4Qd
         7bkVLhcNG5e1G0v/3DbQYwyViwF++POL1fE2g6RAYtiHYHz66C6Eg/MkstTNdyYlmHjm
         w355WgJAkuhamEhiFdbG7ICBwkqe+K1OBWHKveKymM1JiviM3ORPsbh7BAI0zuhrTevA
         pK2sqOqlJSUFmXTWTrQxrvMKJ14orowkscgt4WboX0F6w4uSaNDd76RyECioa47BEe/B
         I4MQ==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass [email protected] header.s=mail header.b=spob+wMu;
       spf=pass (google.com: domain of [email protected] designates 185.41.28.5 as permitted sender) smtp.mailfrom= »[email protected] »
Return-Path: <[email protected]>
Received: from ae.d.mailin.fr (ae.d.mailin.fr. [185.41.28.5])
        by mx.google.com with ESMTPS id 88si7529256wrn.466.2021.03.20.02.46.43
        for <ecollart at gmail.com>
        (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
        Sat, 20 Mar 2021 02:46:43 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 185.41.28.5 as permitted sender) client-ip=185.41.28.5;
Authentication-Results: mx.google.com;
       dkim=pass [email protected] header.s=mail header.b=spob+wMu;
       spf=pass (google.com: domain of [email protected] designates 185.41.28.5 as permitted sender) smtp.mailfrom= »[email protected] »
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sendinblue.com;
 q=dns/txt; s=mail; bh=UU+U3sdvC9zoej27S/yyN6OJLhA6PJXhy1KPAg7JP0U=;
 h=from:reply-to:subject:date:mime-version:content-type:list-unsubscribe:x-csa-complaints:list-unsubscribe-post;
        b=spob+wMuYyi7rjEc+TUKm+JyEfmk1ZreLl8LVRID4X6Bx08Nz1OeYyvLDT8BuU7FthiCDyiVZv2s
        7N/BB+ksl8Aw1xW5LFtDjTNqu03psbpVp3Or/y8to3fQSOHsyualvZ2B2mhXrgyykqIMEH3dXs8M
        /GxyPLFnk1BL/0Qyohc=
X-Mailin-EID: MTEzNzI3MjYyfmVjb2xsYXJ0QGdtYWlsLmNvbX48MjAyMTAzMjAxMDQ2Ljg4MzIyMTk4ODgyQHNtdHAtcmVsYXkubWFpbGluLmZyPn5hZS5kLm1haWxpbi5mcg%3D%3D

Tout ce fatras concerne l’identification, la validation de la réputation et l’autorisation des serveurs de SendinBlue à envoyer des messages en masse (certains sites ont des milliers de membres) et de Google (dans ce cas-ci) à recevoir des mails pour ne pas être considéré comme spammeurs !

Ce sont les paramètres DKIM et SPF que j’ai dû ajouter manuellement dans le serveur DNS maître pour le nom de domaine de mon site. Ça, c’est un truc de geek.

Il y a aussi les paramètres ARC qui sont ajoutés par les systèmes antivirus et anti-spam (ici de Google)


Qu’est-ce qu’il nous reste:

Delivered-To: ecollart at gmail.com
Received: by 2002:ac2:5223:0:0:0:0:0 with SMTP id i3csp1865229lfl;
        Sat, 20 Mar 2021 02:46:43 -0700 (PDT)
X-Google-Smtp-Source: ABdhPJyunsaf4BTo5uPrj5PRhPaqShjfKKXGeV2yvLG2b91GsEnXWAzRJBLeMhOchKmVUb/FxHoJ
X-Received: by 2002:a5d:6ca6:: with SMTP id a6mr8501914wra.179.1616233603805;
        Sat, 20 Mar 2021 02:46:43 -0700 (PDT)

N’oubliez pas que ceci se lit du bas vers le haut.
Le « X-Received«  indique quel serveur a reçu votre message en entrée chez Google; Google n’est pas indiqué sur cette ligne mais on peut vérifier en utilisant l’adresse IPv6 (2002:a5d:6ca6::) dans un outil de recherche spécialisé (non, je ne vais pas vous infliger ça).
Il peut arriver que vous trouviez plusieurs « X-Received » ce qui pourrait être une indication que votre message passe par un serveur intermédiaire et il y a donc un risque de capture/modification de votre message. Dans un tel cas, il est intéressant d’essayer de savoir s’il s’agit bien d’un serveur de l’expéditeur ou du destinataire et pas un truc anormal ! Les outils anti-spam font ce genre de vérifications.
Le « X-Google-Smtp-Source » confirme que c’est bien chez Google que c’est arrivé (normal puisque le destinataire est « ecollart at gmail.com » et que Gmail appartient à Google).
Le « Received: by 2002:ac2:5223:0:0:0:0:0 » indique quel serveur qui gère ma boîte mail chez Google a reçu le message et quand. PDT est le nom de la « timezone » ou le fuseau horaire  = Pacific Daylight Time, c’est donc aux États-Unis où l’heure est GMT-7 (le « -0700 »).
Le « Delivered-To » confirme le destinataire final qui doit en principe être identique au « To: » vu plus haut. Si ce n’est pas le cas, il pourrait aussi y avoir problème. Cette ligne est la dernière de l’en-tête d’un message.

Voilà pour ce qui est de l’étude de l’en-tête d’une newsletter légitime qui n’est pas un SPAM et où tout semble OK.

Le prochain article de la série essayera de montrer l’analyse d’un vrai SPAM; comme déjà dit dans le 1er article, les impatients peuvent télécharger l’en-tête de ce SPAM depuis la page du premier article, le fichier s’appelle « En-tete-SPAM-Colruyt-recu-sur-Gmail.txt »

Li P’ti Fouineu vous salue bien !

 

Ouvrir En-tête Newsletter Li P’ti Fouineu Gmail dans un nouvel onglet
ou le télécharger:




À la Recherche d’un Moteur de Recherches ? Pourquoi pas Youcare.com ?

Recherche

Bonsoir le Monde !

Youcare.com est un moteur de recherche qui aide les associations !

Pour chaque 45 recherches que vous faites, Youcare offre par exemple un repas pour les animaux dont s’occupe une ASBL ! Vous verrez qu’on y est très vite !

Voilà une très chouette initiative !

C’est super simple, il suffit de faire de Youcare.com votre page de démarrage, de choisir l’association que vous souhaitez aider et c’est parti !
Vous pouvez aussi faire de Youcare le moteur de recherche par défaut de votre navigateur Internet préféré ! Cela vous sera proposé lors de votre première visite de Youcare.com.
Vous pouvez tester Youcare et aider l’association « Jack et Louna ASBL » de mes amis en utilisant directement le lien de parrainage suivant: https://youcare.page.link/qFmi (l’association Jack et Louna ASBL est alors directement sélectionnée).
Ajout du 07-mai-21: C’est Jack et Louna ASBL qui m’a fait découvrir Youcare.com ! Mais pourquoi j’ai oublié de le dire dans la première mouture de cet article, moi ? Et personne ne me dis rien, sapristi ! Il va falloir que je me surveille !

Youcare n’est en fait pas un vrai moteur de recherche mais ce qu’on appelle un meta-moteur de recherche.
Cela veut dire qu’il utilise un vrai moteur de recherche pour exécuter vos requêtes et vous retourner les résultats !

Dans le cas de Youcare, c’est Bing, le moteur de recherche de Microsoft, qui est utilisé !
Si les résultats présentés par Youcare provenant de Bing ne vous satisfont pas, il suffit de cliquer sur le bouton « Google » pour refaire la même recherche sur Google et voir les résultats fournis cette fois par Google !

Youcare vit de ses revenus publicitaires mais en reverse la moitié aux associations qui s’y inscrivent  et c’est là que c’est chouette !
En pratique, 45 recherches génèrent un revenu d’environs 20 cents et 10 cents sont reversés à l’association de votre choix !
On estime que 10 cents représentent, en moyenne, un repas pour un animal domestique et voilà comment vous pouvez offrir un repas aux animaux de l’association de votre choix pour chaque 45 recherches effectuées via Youcare !

Bing est un moteur de recherche qui vous piste et collecte plein d’info sur vous (tout comme Google) mais comme Youcare joue les intermédiaires, il y a bien moins d’info collectées sur vous (mais il y en a quand même).
Youcare ne collecte rien pour lui-même mais utilise les outils statistique de Google (Google Analytics) qui eux se font plaisir ! Tout est clairement expliqué sur le site de Youcare !
Rien à voir donc avec la confidentialité offerte par Startpage.com ou de DuckDuckGo mais c’est un chouette compromis en ce sens que Google et Bing ne sont plus les seuls à profiter de vos recherches !

Voilà, je pense que Youcare.com est une très chouette initiative pour ceux qui ne sont pas trop parano avec le pistage systématique fait par les GAFAM (que Youcare limite un peu quand même).

Bonne exploration et dites-moi ce que vous en pensez via les commentaires (voir sous cet article) !

Au fait, il y a plein de moteurs de recherche alternatifs et autres meta-moteurs de recherche et voici un article récent qui en liste 31 d’entre eux !
Il faut aussi savoir que Google ne sait indexer que bien moins de 50% de l’Internet et que donc la majorité des informations ne vous est pas accessible… à méditer !

Li P’ti Fouineu vous salue bien !

Ressources:

 




SPAM, l’arme des cybercriminels mais pas que !

Stop SPAM

Bonsoir le Monde !

Mis à jour le 25 avril 2021 (Merci à Sergei)

Un SPAM c’est un message non-sollicité !

C’est juste au cas où vous ne le sauriez pas encore ! Rien que la taille de l’article Wikipédia ci-dessus en dit long sur cette sale bestiole !

Jusque là, ça n’a pas l’air bien grave mais en fait:

  • Le trafic mail mondial est actuellement composé de plus de 90% de SPAMs et de moins de 10% de mails légitimes => la pollution causée par les mails ? Ce n’est pas à cause de vous !
  • 90% des SPAMs sont arrêtés par les protections anti-spam de votre fournisseur de messagerie électronique (GMX, Gmail, Hotmail/MSN/Outlook.com, Yahoo, Skynet, Voo ou autres)
  • Dans les 10% restant qui arrivent dans votre boîte mail, il reste malheureusement encore des SPAMs
  • Le SPAM ou sa pièce jointe est très (trop) souvent infecté par un malware qui peut passer inaperçu pendant très longtemps avant de s’activer et quand il s’active:
    • il peut s’agir de vol d’information personnelle (mot de passe, carte de crédit, téléphone, mails de vos contacts, …) – C’est du phishing ou hameçonnage !
    • il peut s’agir d’encrypter vos fichiers et de vous demander de payer pour les décrypter – C’est du ransomware ou rançongiciel
    • il peut s’agir de faire de votre PC un zombie aux ordres d’un hacker (ou plus souvent d’une organisation criminelle) et qui risque donc d’être utilisé pour d’autres attaques de plus grande ampleur
      En 2007, on considérait déjà qu’un PC sur cinq était un zombie ! À part parfois un ralentissement, vous ne savez pas que votre PC est un zombie.
    • il peut s’agir de « miner » (fabriquer) de la crypto-monnaie comme le Bitcoin. Dans ce cas le ralentissement du PC est souvent plus perceptible…
    • ici, il n’y a pas de limite à l’imagination des cybercriminels !

Le malware éventuellement contenu dans un SPAM ne peut généralement s’activer QUE SI VOUS OUVREZ LE MESSAGE (cliquer dessus sur Windows/MAC/Linux ou le toucher sur Smartphone/Tablette et écrans tactiles) !
Je dis « généralement » car si votre prévisualisation de mail est active, il peut parfois s’activer tout seul comme un grand !

Je dois aussi préciser qu’un malware peut infecter votre PC via d’autres moyens que le mail (nouveau programme, mise à jour, clé USB et disque externe infectés, script reçu en visitant un site web,…) mais le SPAM est de loin le plus courant.
Le futur verra probablement très vite les objets connectés s’ajouter à cette liste…

Si vous poursuivez la lecture, préparez-vous un plateau TV, mettez de la musique douce d’ambiance et accrochez-vous à vos chaussettes ! Ça va fumer !

[Update] Il faut savoir existe plusieurs prévisualisations dans vos interfaces mail !

  • La Prévisualisation des messages affiche le contenu du message simplement sélectionné (simple-clic ou case à cocher); il ne faut donc pas « l’ouvrir » (double-clic). Cette prévisualisation devrait être désactivée.
  • La Prévisualisation des pièces jointes affiche le contenu des pièces jointes après le contenu du message sans devoir cliquer sur chacune d’elle pour en voir le contenu. Cette prévisualisation devrait être désactivée.
  • La Prévisualisation des 2 ou 3 premières lignes du message s’affiche sous le titre dans la liste des messages. C’est la moins risquée des visualisations mais très peu d’interfaces mail la permettent.
  • La visualisation des images externes (pas en pièces jointes) n’est pas activée par défaut car c’est la plus risquée des fonctions d’affichage des contenus de vos messages. Une image externe peut en effet être infectée et n’est pas passée à travers toutes les protections mises en place par votre fournisseur de service mail. Cette visualisation devrait rester désactivée par défaut et activée seulement manuellement après avoir vérifié le message et pour autant que cet affichage apporte quelque chose à la compréhension du message. Ces images externes sont normalement utilisées à des fins statistiques et on les trouve en général dans les newsletter (celle du blog ne fait pas exception)

1er conseil: fermer/désactiver la prévisualisation des messages ! (cliquez ici pour voir comment faire)

[Update] 2e conseil: fermer/désactiver la prévisualisation des pièces jointes ! (cliquez ici pour les explications)

[Update] 3e conseil: désactiver l’affichage des images externes ! (suivez le guide)

[Update] 4e conseil: activer l’aperçu texte court des messages ! (on y va ?)

Il faut savoir que 98% des attaques informatiques sont causées par l’ouverture d’un mail contenant un malware ! Vous avez bien lu: 98% !

[Update] Les différentes prévisualisations doivent ouvrir le message et/ou les pièces jointes pour vous en prévisualiser le contenu et il y a donc un risque de se faire infecter par un malware si vous les utilisez.

Il n’est pas toujours facile de savoir si un mail est un SPAM ou non et il faut bien dire que les interfaces d’accès à votre boîte aux lettres électronique ne vous facilitent pas la tâche que ce soit les interfaces Web que vous utilisez via votre navigateur Internet (Firefox, Chrome, Edge, Safari, Opera, Vivaldi, …) ou les interfaces de programmes de mail (Outlook, Thunderbird, Courrier, …)

Si vous avez le moindre doute, n’ouvrez pas le message et menez l’enquête ! J’essaye de vous aider dans cette tâche difficile un peu plus loin dans l’article…

Il y a vraiment TRÈS peu de chance qu’un illustre inconnu ou même une connaissance vous fasse gagner des millions via un mail !
Je sais bien que vous n’avez pas plus de chance de gagner à la loterie mais le ticket de loterie ne vous fera pas plus d’ennui que l’argent perdu pour l’acheter tandis que le mail … The Sky is Not The Limit But Just The Beginning !

Comment désactiver la prévisualisation des messages ?

La prévisualisation des messages peut aussi être appelée l’aperçu ou le volet de lecture ou je ne sais trop quoi d’autre pour désigner la même chose.
Le truc, c’est de désactiver cette trop dangereuse fonctionnalité même si c’est comme par hasard bien confortable [Update] et que les fournisseurs de service mail ont fait de très gros progrès dans la chasse aux cochonneries !

Je vous mets des liens qui expliquent ça pour les cas les plus courants pour ne pas que cet article fasse 200 pages.

Sur PC et tablette, il y a 2 situations (cliquer pour voir les instructions):

  1. Vous lisez vos mails depuis votre navigateur internet (Firefox, Chrome, Edge, Safari, Opera, Vivaldi, …):
    • Gmail (volet d’aperçu)
    • Yahoo: Paramètres – Mise en page des messages – Liste
    • Hotmail/MSN/Live/Outlook.com: Paramètres – Volet de lecture – Masquer
    • GMX
    • Cherchez dans l’aide en ligne pour les autres…
  1. Vous lisez vos mails avec un client de messagerie (programme Windows, Linux, macOS, …):
    • Outlook (volet de lecture)
    • Windows 10 Mail (prévisualisation de message)
    • Thunderbird (panneau d’affichage des messages ou F8)
    • Mail (Mac 10.11): Cliquer sur la ligne séparant la liste des mails et le message prévisualisé et la tirer à fond vers la droite ou le bas (suivant la vue)
    • Cherchez dans l’aide du programme pour les autres…

Sur Smartphone (Android, IOS et autres), il n’y a pas de prévisualisation car l’écran est trop petit.

[Update] Comment désactiver la prévisualisation des pièces jointes ?

Cette fonctionnalité pourtant bien confortable également reste un risque non-négligeable de se faire infecter par un malware. La plupart des « visualiseurs » n’autorise pas l’exécution de code actif mais de nouvelles méthodes d’infection sont inventées tous les jours par ces emmerdeurs de « hackers black hat » !

  1. Vous lisez vos mails depuis votre navigateur internet (Firefox, Chrome, Edge, Safari, Opera, Vivaldi, …):
    • Gmail: n’affiche qu’une vignette représentant la pièce jointe; il faut cliquer dessus pour l’ouvrir, on ne sait pas désactiver cela.
    • Yahoo: n’affiche qu’une vignette représentant la pièce jointe; il faut cliquer dessus pour l’ouvrir, on ne sait pas désactiver cela.
    • GMX: ne permet pas la prévisualisation des pièces jointes y compris sous forme de vignette.
    • Hotmail/MSN/Live/Outlook.com: n’affiche qu’une vignette représentant la pièce jointe; il faut cliquer dessus pour l’ouvrir, on ne sait pas désactiver cela.
    • Infomaniak Mail: n’affiche qu’une vignette représentant la pièce jointe; il faut cliquer dessus pour l’ouvrir, on ne sait pas désactiver cela.
  2. Vous lisez vos mails avec un client de messagerie (programme Windows, Linux, macOS, …):
    • Outlook: menu « Fichiers – Options – Centre de gestion de la confidentialité – Paramètres du Centre de gestion de la confidentialité… – Gestion des pièces jointes – Désactiver l’aperçu des pièces jointes » ! Ouf !
    • Windows 10 Mail: « Paramètres – Liste des messages – Afficher l’aperçu des images jointes »
    • Thunderbird: menu « Affichage – Afficher les pièces jointes dans les messages »
    • macOS Mail: je n’ai pas trouvé comment désactiver cela sur macOS Mail (10.11)

[Update] Comment désactiver l’affichage des images externes ?

La plupart du temps cet affichage est désactivé par défaut car le risque d’infection est plus élevé qu’avec les pièces jointes qui sont passées à la moulinette des protections en tout genre mises en place par votre fournisseur de service mail.

Je vous conseille de n’activer cet affichage qu’après avoir vérifié le message et si cela apporte quelque chose à la compréhension du message.

  1. Vous lisez vos mails depuis votre navigateur internet (Firefox, Chrome, Edge, Safari, Opera, Vivaldi, …):
    • Gmail: « Paramètres – Voir tous les paramètres – Général – Images – Demander confirmation avant d’afficher des images externes »
    • Yahoo: « Paramètres – Autres paramètres – Affichage d’un mail – Afficher les images dans les messages – Demander avant d’afficher les images externes »
    • GMX: « Paramètres – Contenu Externe – Désactiver le contenu externe dans les e-mails – Sauvegarder »
    • Hotmail/MSN/Live/Outlook.com: je n’ai pas trouvé ce réglage.
    • Infomaniak Mail: « Paramètres – Réception – Images dans le contenu du message – Me demander »
  2. Vous lisez vos mails avec un client de messagerie (programme Windows, Linux, macOS, …):
    • Outlook: menu « Fichiers – Options – Centre de gestion de la confidentialité – Paramètres du Centre de gestion de la confidentialité… – Téléchargement automatique – Ne pas télécharger les images … (2 réglages) »
    • Windows 10 Mail: « Paramètres – Volet de lecture – Télécharger automatiquement les images et formats de style externes…(2 réglages) »
    • Thunderbird: menu « Outils – Options – Vie privée et sécurité – Contenu des messages », décocher « Autoriser le contenu distant dans les messages »
    • macOS Mail: menu « Mail – Préférences – Présentation », décocher « Charger le contenu distant des messages »

[Update] Comment activer la prévisualisation des premières lignes du message ?

Cette prévisualisation est la moins risquée de toutes et permet un tant soit peu de vérifier un message avant de l’ouvrir. Il est dommage que toutes les interfaces mail ne possèdent pas ce réglage.

  1. Vous lisez vos mails depuis votre navigateur internet (Firefox, Chrome, Edge, Safari, Opera, Vivaldi, …):
    • Gmail: « Paramètres – Général – Aperçus »; affiche les premiers mots suivant la largeur de l’écran.
    • Yahoo: « Paramètres – Autres paramètres – Personnaliser la boîte de réception – Aperçu des messages »; affiche les premiers mots suivant la largeur de l’écran.
    • GMX: ce réglage n’est pas présent.
    • Hotmail/MSN/Live/Outlook.com: « Paramètres – Afficher tous les paramètres d’Outlook – Courrier – Disposition – Texte d’aperçu des messages »; affiche les premiers mots suivant la largeur de l’écran.
    • Infomaniak Mail: ce réglage n’est pas présent.
  2. Vous lisez vos mails avec un client de messagerie (programme Windows, Linux, macOS, …):
    • Outlook: menu « Affichage – Aperçu du message », choix de 0 à 3 lignes
    • Windows 10 Mail: « Paramètres – Liste des messages – Texte d’aperçu – Afficher l’aperçu du texte d’un message »; affiche les premiers mots suivant la largeur de l’écran.
    • Thunderbird: ce réglage n’est pas présent.
    • macOS Mail: menu « Mail – Préférences – Présentation – Aperçu en mode liste », choix de 0 à 5 lignes.

Comment un SPAM est-il détecté ?

Votre fournisseur de mail (Gmail, GMX, Yahoo, Microsoft, Apple, Proximus et autres …) fait de son mieux pour éliminer un maximum de SPAM, chacun a sa petite recette et vous n’êtes donc pas tous égaux devant les SPAMs !
Tous les fournisseurs utilisent des anti-spam basés sur une détection automatique s’appuyant sur les SPAMs déjà connus (un peu à la manière des antivirus) mais aussi en évaluant les paramètres les plus courants que l’on trouve dans un SPAM comme le mail de réponse qui ne correspond pas à l’expéditeur (vous recevez un mail de « [email protected] » et quand vous répondez le destinataire est [email protected]) , le domaine d’expédition ne correspondant pas à celui de l’expéditeur (votre correspondant semble être « [email protected] » mail le mail a en fait  été envoyé par un serveur s’appelant « saloperie.fauxdomaine.com » qui n’a rien à voir avec Gmail) et d’autres moins faciles à expliquer.

Cet exercice est très compliqué et délicat à effectuer et il arrive que certains messages légitimes soient déclarés SPAM alors qu’il n’en sont pas et inversement !

Certains services de mail comme Microsoft (Hotmail, MSN, Live, Outlook.com) choisissent la solution facile et déclarent d’office comme SPAM tout mail d’un nouveau correspondant qui ne soit pas un contact existant ! C’est un peu gênant car chaque fois qu’on communique avec un nouveau correspondant, ces mails sont déclarés comme SPAM et il faut penser à aller les rechercher dans le dossier des indésirables !
Si vous ne voulez pas que cela arrive, il faut créer le contact et/ou marquer le message comme acceptable au niveau de l’interface Web de votre messagerie (créer le contact dans Outlook 2013/2016/2019 ne suffit pas pour Microsoft; je n’ai pas testé avec Outlook 365).
Thunderbird fait son possible pour notifier votre fournisseur de mail quand vous marquez un message comme acceptable dans le programme vous épargnant la tâche de le faire dans l’interface web…
Thunderbird, encore lui, intègre un filtre anti-spam utilisant « SPAM Assassin » mais il n’est pas activé par défaut.

Chez Gmail et quelques autres, on mouille un peu plus sa chemise et on détermine un score de probabilité de SPAM basé sur l’analyse de l’en-tête du mail (combien de paramètres semblent indiquer qu’il s’agit d’un SPAM) sur base duquel le message vous est:

  • soit transmis tel quel (considéré par l’analyse comme non-SPAM)
  • soit transmis mais avec [SPAM] ajouté au sujet (l’outil n’est pas certain qu’il s’agisse bien d’un SPAM)
  • soit versé au dossier des indésirables (considéré comme SPAM par l’analyse)

L’intelligence artificielle trouve ici un excellent terrain d’application en ajoutant des paramètres comportementaux au calcul du score (ex: l’utilisateur a-t-il déjà ouvert un mail similaire ?) …

Si vous êtes toujours là, bravo et respect ! Je vous offre un peu de détente avec Arobase et les Monty Python qui sont pour quelque chose dans le choix du mot SPAM !

Comment détecter un SPAM vous-même ?

Si vous voyez un mail d’un expéditeur inconnu et/ou avec un titre qui ne soit pas dans votre langue et/ou qui semble très suspect (même si il semble provenir de quelqu’un que vous connaissez), vous êtes très probablement en présence d’un SPAM et il vaut mieux l’effacer immédiatement. Il ne faut surtout pas le lire et encore moins ouvrir la moindre pièce jointe !!!

Si malgré les filtrages mis en place par votre fournisseur de service de messagerie électronique, vous suspectez un message dans votre boîte de réception d’être un SPAM, il faut essayer de mener l’enquête d’abords avec les informations directement visibles (expéditeur, titre, date, etc…) et d’en visualiser l’en-tête complète AVANT de l’ouvrir si il devait toujours y avoir un doute !
Visualiser l’en-tête complète d’un message (qui est toujours en anglais) n’est malheureusement pas toujours facile ni très compréhensible mais essayons d’expliquer ça quand même !

L’en-tête complète d’un mail contient toutes les information de routage du message depuis son envoi jusqu’à l’arrivée dans votre boîte de réception !
Tout est malheureusement en anglais mais il y a donc moyen de vérifier d’où il a été envoyé, de qui il vient dans une certaine mesure (jamais sûr à 100%), le timing des opérations et par quels serveurs intermédiaires il est passé…

Apprenez comment déchiffrer l’en-tête complète d’un mail sur Arobase.org: https://www.arobase.org/bases/entetes-detail.htm

La méthode pour afficher l’en-tête d’un mail diffère malheureusement pour chaque fournisseur et pour chaque programme de mail !
Encore un point ô combien dommageable où l’informatique n’est pas à la hauteur de ses promesses !

Essayons de documenter les plus courants (ne lisez que celui que vous employez pour éviter l’indigestion…):

  • Gmail via navigateur Internet (Firefox, Chrome, Edge, Opera, Vivaldi, …):
  • GMX via navigateur Internet (Firefox, Chrome, Edge, Opera, Vivaldi, …):
  • Outlook.com, Hotmail, MSN, Live (Microsoft) via navigateur Internet (Firefox, Chrome, Edge, Opera, Vivaldi, …):
    • Mauvais point chez Microsoft, idem que les deux précédents ! Il faut ouvrir le message avant de pouvoir regarder l’en-tête complète ! Paaaas bon ! Dommage car si il devait contenir un malware, vous risquez d’être contaminé avant de pouvoir contrôler quoi que ce soit !
    • Ouvrir le message puis cliquer sur les 3 points à droite (menu ellipsis) et choisir Afficher – Afficher la source du message
  • Yahoo via navigateur Internet (Firefox, Chrome, Edge, Opera, Vivaldi, …):
    • Bon point pour Yahoo, vous pouvez voir l’en-tête SANS d’abords ouvrir le message !
    • Cocher la case devant le message pour le sélectionner
    • Cliquer sur le menu « Autres Options » (menu 3 points) et choisir « Afficher le message en texte brut »
    • Description de l’en-tête complète Yahoo (en anglais) sur https://emailheaders.net/yahoo.html
  • Outlook 2019 sur Windows:
    • Mauvais point pour Outlook car il faut d’abord ouvrir le message pour voir l’en-tête complète ! Dommage car si il devait contenir un malware, vous risquez d’être contaminé avant de pouvoir contrôler quoi que ce soit !
    • Ouvrir le message
    • Menu Fichier – Propriétés
    • L’en-tête apparaît dans une toute petite fenêtre (En-têtes Internet) d’où on peut la copier.
  • Thunderbird sur Windows, Mac ou Linux:
    • Bon point pour Thunderbird ! Vous pouvez regarder l’en-tête complète d’un mail SANS devoir d’abords l’ouvrir !
    • Sélectionner le mail (1 seul clic sur le message dans la liste)
    • Ctrl+U (Windows et Linux) ou Cmd+U (Mac) ou Menu « Affichage – Code source du message » (appuyer sur la touche Alt si le menu « Affichage » n’est pas visible)
    • L’en-tête apparaît dans une fenêtre séparée au format texte et peut être facilement sauvée, imprimée et copiée…
    • Description de l’en-tête complète Thunderbird (en anglais) sur https://emailheaders.net/thunderbird.html
  • Courrier (Windows 10):
    • Mauvais point pour Courrier ! Il est impossible d’afficher l’en-tête complète d’un mail !
  • Mail (macOs 10.11 El Capitan):
    • Mauvais point pour Mail sur Mac ! Il faut ouvrir le message avant de pouvoir regarder l’en-tête complète ! Paaaas bon ! Dommage car si il devait contenir un malware, vous risquez d’être contaminé avant de pouvoir contrôler quoi que ce soit !
    • Ouvrir le message
    • Alt + Cmd + U
    • L’en-tête apparaît dans une fenêtre séparée au format texte et peut être sauvée, imprimée et copiée…
  • Gmail sur Android:
    • Mauvais point pour Gmail, impossible d’afficher l’en-tête complète ! Risque de contamination par un malware !
  • GMX sur Android:
    • Mauvais point pour GMX car il faut d’abord ouvrir le message pour voir l’en-tête complète ! Dommage car si il devait contenir un malware, vous risquez d’être contaminé avant de pouvoir contrôler quoi que ce soit !
    • Toucher le message pour l’ouvrir
    • Ne touchez surtout pas « AFFICHER LES CONTENUS EXTERNES » ! (ceci risquerait encore plus de charger le malware)
    • Toucher « AFFICHER LES DÉTAILS » puis toucher « DÉTAIL DU MESSAGE »
  • Yahoo sur Android:
    • Mauvais point pour Yahoo Mail, impossible d’afficher l’en-tête complète ! Risque de contamination par un malware !
  • Outlook sur Android:
    • Mauvais point pour Outlook, impossible d’afficher l’en-tête complète ! Risque de contamination par un malware !
  • K9 Mail sur Android:
    • Mauvais point pour K9 Mail car il faut d’abord ouvrir et télécharger le message complet pour voir l’en-tête complète !Dommage car si il devait contenir un malware, vous risquez d’être contaminé avant de pouvoir contrôler quoi que ce soit !
  • FairEmail sur Android:
    • Mauvais point pour FairEmail car il faut d’abord ouvrir le message pour voir l’en-tête complète !Dommage car si il devait contenir un malware, vous risquez d’être contaminé avant de pouvoir contrôler quoi que ce soit !

Donc pour la détection personnelle de SPAM, il n’y a QUE l’interface Web de Yahoo et le programme Thunderbird qui soient bons !!!!!! Situation gravissime !!!!!
AUCUN des 6 programmes testés sur Smartphone/Tablette Android n’est « safe » de ce point de vue !

Espérons que les développeurs de programmes et interfaces mail intégreront rapidement des outils simples à utiliser car les utilisateurs ne devraient pas être des geeks pour pouvoir vérifier leurs messages !
Lançons un nouveau complot: sont-ce les hackers qui font ces interfaces et programmes mail ?

5e conseil: utilisez Mozilla Thunderbird sur PC, Mac et Linux ! Vous pouvez le télécharger sur https://www.thunderbird.net/fr/ ! Gratuit, facile, sûr et Open Source !

Maintenant que vous avez peut-être réussi à afficher l’en-tête d’un mail, que faut-il regarder ?

Si vous ne savez pas afficher une en-tête de mail avec votre interface ou programme, vous pouvez télécharger et analyser les deux fichiers d’en-tête inoffensifs disponibles sous cet article qui me serviront de support pour les 2 prochains articles de cette série et déjà vous exercer !
Il n’y a aucun risque à ouvrir ces fichiers texte !

Les premiers trucs à regarder sont « From » (expéditeur), « To » (destinataire = normalement c’est vous), « Reply-To » et « Return-Path » qui doivent être cohérents !

Le problème est que le « From » qui apparaît tout en haut de l’en-tête n’est pas le bon ! Il faut en fait trouver le premier « From » qui apparaît en début de ligne en commençant pas la fin de l’en-tête !!!!
L’analyse de l’en-tête démarre avec ce « From » et se poursuit en continuant vers le haut du texte de l’en-tête du mail…

En règle générale, le « From », le « Reply-to » et le « Return-Path » doivent être identiques excepté pour une newsletter où le « Return-Path » est souvent une adresse cryptique utilisée comme adresse intermédiaire pour pouvoir faire des statistiques.

Pour les vrais geeks et les impatients, je propose de prolonger l’expérience sur https://www.ionos.fr/digitalguide/email/aspects-techniques/les-en-tetes-demails-pour-demasquer-les-spams/

Pour tous les curieux, je vais continuer cette série prochainement en publiant un 2e article expliquant l’en-tête d’une de mes Newsletters qui est donc un mail légitime et ensuite, dans un 3e et dernier article, j’expliquerai un exemple d’en-tête d’un SPAM envoyé au nom de Colruyt.
Ces 2 futurs articles utiliseront les fichiers disponibles au téléchargement ci-dessous comme support (oui, je sais, je me répète…).

Li P’ti Fouineu vous salue bien !

PS: si vous en voulez encore, voyez toute l’histoire du SPAM chez Arobase.org.

PPS: https://www.safeonweb.be/fr/apprenez-reconnaitre-les-e-mails-frauduleux

Cliquer sur un des fichiers texte ci-dessous pour l’ouvrir dans un nouvel onglet et tester vous-même une analyse d’en-tête de mail:

Ouvrir En-tête Newsletter Li P’ti Fouineu Gmail dans un nouvel onglet
ou le télécharger

Ouvrir En-tête SPAM Colruyt reçu sur Gmail dans un nouvel onglet
ou le télécharger

 




VPN gratuit ? Évidemment !

Schema-VPN

Bonjour le Monde !

 

Petit rafraîchissement d’un article paru en 2017 pour les amateurs de confidentialité sur Internet ! Quelques retouches et mise à jour du tableau des services VPN gratuits disponibles.

Le VPN ou Virtual Private Network (réseau privé virtuel) est utilisé par les sociétés pour permettre à leurs salariés de connecter leur PC de façon sûre et encryptée à la maison-mère où qu’ils se trouvent en créant une espèce de tunnel ou tuyau de communication direct entre le PC et le serveur VPN. On parle de tunnel ou tuyau car la communication étant encryptée, aucun serveur intermédiaire ne sera capable de la traduire ni de la comprendre car n’ayant pas la clé de décryptage.
Le serveur VPN est dans ce cas situé dans l’enceinte de la société et permet d’atteindre l’intranet (réseau intérieur) de la société.

Un VPN pour un utilisateur privé à la maison permet:

  • d’apparaître sur l’Internet comme venant d’un autre pays que son pays d’origine
    • Ceci permet d’utiliser informations et programmes qui seraient bloqués dans le pays d’origine que ce soit pour de bonnes ou de mauvaise raisons
  • d’encrypter la communication entre votre PC et le serveur VPN (plus d’encryption après le serveur VPN)
    • Ceci permet de s’affranchir des risques de piratage/virus lors de l’utilisation de WIFI public peu sécurisés ou compromis. C’est l’utilisation la plus utile d’un VPN pour tout le monde
    • Ceci permet aussi de garder ses communications privées en limitant ce que votre fournisseur Internet et autres peut faire de vos données que ce soit pour de bonnes ou de mauvaises raisons

Dans ce cas, le serveur VPN est situé quelque part sur Internet et n’est pas dédicacé à une société ou un réseau en particulier. C’est ce serveur qui fait vos requêtes à votre place.

Exemple imagé montrant comment fonctionne un VPN (merci Riseup): https://riseup.net/fr/vpn/how-vpn-works

On voit assez vite que le VPN vous rend un peu de liberté et de confidentialité sur Internet mais vous permet aussi plus facilement des comportements illicites dans votre pays sans même parfois que vous ne le sachiez !

Exemple:

  • Molotov TV est un programme français gratuit qui permet de recevoir plein de chaînes TV habituellement payantes mais n’est pas autorisé en Belgique.  L’utilisation d’un VPN vous permet d’utiliser Molotov TV comme si vous étiez connecté en France mais, ce faisant, vous vous exposez à de lourdes amendes si vous regardez des émissions n’ayant pas d’accord de droits avec la Belgique.
  • Netflix et ses séries disponibles seulement aux USA, même combat ! Télécharger des séries Netflix bloquées dans votre pays est tout-à-fait illégal ! Le service VPN vous permet de faire cela mais c’est vous qui restez responsable de ce que vous faites…

Il faut évidemment que vous vous fassiez prendre… Perso, je trouve que le jeu n’en vaut pas la chandelle….

Notez que si vous souhaitez simplement télécharger du contenu bloqué dans votre pays, vous pouvez aussi utiliser un fournisseur de Proxy gratuit. Il n’y pas d’encryption dans ce cas et le trafic peut être facilement intercepté/analysé par votre fournisseur Internet ou autres.

Pas de protection contre les points WIFI foireux avec ce système.

Pour utiliser un tunnel VPN, il vous faut donc un client VPN qui va se connecter au serveur VPN du fournisseur que vous choisirez.

 

VPN

 

 

Le client VPN est programme installé sur votre PC, Smartphone ou tablette. OpenVPN décrit ci-dessous est un client VPN.

Windows 10 inclut son propre client VPN (cliquer sur l’icône de notification à droite de l’horloge, puis VPN)

Presque tous les fournisseurs de VPN offre un client VPN à télécharger qui facilite la configuration; d’autres expliquent et fournissent les paramètres à utiliser et parfois aussi un fichier de configuration pour OpenVPN.

Windows 10 permet donc l’utilisation d’un VPN sans installer le moindre programme mais comme Windows 10 est truffé de « spyware » (petits programmes espion) de Microsoft, je ne lui ferais pas confiance si vous utilisez votre VPN pour contourner des droits d’accès… Pas de soucis si c’est juste pour encrypter vos communications.

OpenVPN est un très bon programme client VPN gratuit en Open Source et est, à mon sens, préférable au client VPN de Windows 10.

Si vous comptez faire du téléchargement « dédouané », je vous conseille vivement de plutôt utiliser un PC Linux avec le même OpenVPN.

Pour les geeks, FreeLAN est un autre client VPN gratuit en Open Source.

L’inconvénient d’utiliser un serveur VPN est que vous serez limité par les capacités de ce serveur, d’où les différentes formules que l’on trouve dans les offres: limitée en GB par période, limitée en nombre de connexions et/ou d’appareils, limitée en vitesse de surf,  limitée en temps de connexion, clé d’encryptage plus ou moins forte, nombre de lieux de sortie sur Internet, limitée en protocoles de communication utilisables (UDP, TCP, P2P, BitTorrent), etc…

Sur Internet, on trouve des fournisseurs de serveurs VPN gratuits et bien entendu payants.

Petit tour d’horizon non-exhaustif des services gratuits en Février 2021 :

ServiceLimite
de Data
(GB)
LieuxType
de clé
PubClientLogLimite de
vitesse
Note
Tunnelbear0.5/mois20AES-256?Win, macOS,
Android, IOS
NonNon+1GB if Tweet
WindScribe10/mois10AES-256NonWin, macOS,
Linux, Android,  IOS, TV, NAS, Router, etc
Non?+5GB if Tweet
+1GB per friend
HIDEme10/mois5?NonLinux, Win, Mac,
Android, IOS
Non?à renouveler tous les mois
VPNBOOKNon6AES-256
AES-128
OuiNon (OpenVPN)??En anglais
ProtonVPNNon3AES-256NonLinux, Win, macOS, Android, IOSNon10Gb/sFacile à utiliser
RiseupVPN??AES-256NonLinux, Win, macOS, AndroidNon?Projet en test
HotSpot Shield0.5/jour1 (US)?OuiWin, Mac,
Linux, Android,  IOS, TV, NAS, Router
?2Mb/s
Opera Web BrowserNon??NonWin, macOS, Android?NonNe protège pas les autres applications de l'appareil
Speedify2/mois?ChaCha or AESNonWin, macOS,
Linux, Android,  IOS
Non?
Betternet VPN0.5/jour1 (US)AES-256OuiWin, macOS,
Linux, Android,  IOS
?Non
 
Signalez-moi via les commentaires l’existence d’autres services VPN gratuits et je testerai ça mais il faut savoir que la plupart des autres ont souvent des comportements assez peu recommandables de revente de vos informations ou parfois bien pire !

Quelques articles qui peuvent aider (surtout le 1er):

Li P’ti Fouineu vous salue bien !

 




Des jeux cachés dans vos navigateurs Internet !

Bonsoir le Monde !

Vous avez tous votre navigateur Internet préféré sur PC ou Mac, cela peut être par exemple Firefox, Vivaldi, Edge ou Chrome !

Il en a évidemment d’autres mais je cite ces quatre là car ils contiennent tous un jeu caché !

Firefox et Unicorn Pong

C’est un jeu de ping-pong où la balle est une licorne pour Firefox; attention il n’est pas trop facile à démarrer:

  • démarrez Firefox
  • cliquez sur l’icône « hamburger » (3 petites barres horizontales) en haut à droite
  • puis cliquez sur « Personnaliser »
  • puis sélectionnez et glissez tous les éléments sauf « Espace flexible » dans le cadre « Menu prolongeant la barre d’outils »

Une fois fait, un bouton avec une licorne va apparaître dans le bas de l’écran: cliquez dessus pour jouer (utilisez les flèches)

Chrome et Dino

  • démarrez Chrome
  • tapez « chrome://dino » dans la barre d’adresse

Appuyez sur la barre d’espace pour démarrer et pour faire sauter Dino

Edge et Surf

  • démarrez Edge
  • tapez « edge://surf » dans la barre d’adresse

Choisissez votre surfeur et utilisez les flèches pour vous diriger

Vivaldi et Vivaldia

Ici il faut aider une héroïne en mono-roue à avancer. Bon gros jeu avec des gros pixels à l’ancienne !

Les dernières versions montrent une icône sur la droite en bas de la fenêtre, cliquez dessus et ça démarre !
Sinon, tapez « vivaldi://game » dans la barre d’adresse…

Il y a plein d’autres programmes qui ont des trucs cachés appelés « Easter Egg » (Œuf de Pâques) comme un simulateur de vol (simpliste) dans Excel par exemple !

Pour les curieux, rendez-vous sur https://eeggs.com/tree/154.html pour les applications et sur https://eeggs.com/tree/1119.html pour les Operating Systems (OS)

Voilà de quoi s’amuser un peu !

Li P’ti Fouineu vous salue bien !

 




Problème avec les mails de Li P’ti Fouineu ! 3e épisode !

Bonsoir le Monde !

je crois que je suis maudit avec la newsletter ! Beaucoup d’abonnés (y compris moi) ont reçu la dernière newsletter 2 fois (Installer ou ré-installer Windows 10 soi-même) !
Toutes mes excuses mais ce n’était absolument pas voulu !

C’est mieux que ne pas la recevoir du tout mais je n’ai évidemment pas la moindre envie de surcharger votre boîte mail !

C’est un souci que je n’avais pas encore rencontré et qui serait causé par … le succès du site !
Je suis flatté mais pas content quand même !

Cette fois-ci, le souci:

  • ce n’est pas SendGrid qui s’occupe de vous envoyer la newsletter en évitant qu’elle soit considérée comme un SPAM autant que faire se peut
  • ce n’est pas Mailpoet 2 qui crée automatiquement une newsletter à chaque publication d’article et en transmet un exemplaire à SendGrid pour chaque abonné.

Le coupable semble être WordPress lui-même !

Explication pour les curieux et les geeks:

WordPress et ses plugins utilisent des tâches programmées dans le temps pour fonctionner !
Par exemple, MailPoet utilise une telle tâche pour vérifier régulièrement s’il y a un nouvel article publié et, si c’est le cas, créer une nouvelle newsletter.

Jusque-là, tout va bien pour tout le monde ?

Le 1er souci, c’est que WordPress attend qu’un visiteur vienne sur le site pour déclencher un contrôle de ces tâches programmées.
Ça marche pas trop mal pour autant qu’il y ait un minimum de visiteurs; le résultat est que la tâche programmée ne va pas toujours s’exécuter à l’heure exacte pour laquelle elle a été programmée.
Ce système évite de surcharger inutilement le serveur de votre hébergeur de site web.

Pour des sites comme Li P’ti Fouineu, ce premier souci n’en est pas un car il y a assez de visiteurs du site et j’en suis très flatté ! Merci à vous tous !
Ça fonctionnait bien jusque la fois passée.

Le 2e souci, c’est quand il y trop de visiteurs car après un certain nombre et/ou un certain temps (ce n’est pas clair pour moi), la tâche programmée est recontrôlée et malheureusement relancée même si la précédente est toujours en cours. WordPress ou le plugin ne sait apparemment pas voir que la tâche tourne déjà et qu’elle n’est pas finie !
C’est ce qui s’est passé ! Envoyer une newsletter à plus de 100 destinataires prend évidemment un certain temps.

Donc je me remets à l’ouvrage, je découvre tout ce que je viens de vous expliquer et je cherche donc une fois de plus une solution !

MailPoet 2 permet d’être déclenché par un programme extérieur à WordPress.

J’ai donc créé un compte (gratuit) chez EasyCron qui permet de programmer une tâche vraiment à une heure précise (et pas quand un visiteur arrive) et de déclencher MailPoet depuis l’extérieur de mon WordPress !

Si cela fonctionne, les abonnés devraient ne recevoir qu’une seule fois la newsletter annonçant cet article que vous êtes en train de lire !
Sinon, il faudra que je trouve autre chose !

En investiguant ce problème, j’ai aussi noté une ou deux petites choses que je devrai vérifier également comme le fait que la newsletter ne permette pas toujours de répondre facilement. Ce pourrait être un bug de MailPoet ou de SendGrid.
L’autre chose est que certains abonnés ne reçoivent pas ma newsletter à chaque fois car leur serveur de messagerie est temporairement considéré comme un nid à SPAM. Je pense que je ne pourrai pas faire grand-chose à cela.

Bref, WordPress tout seul est très facile mais une fois qu’on ajoute des fonctionnalités supplémentaires via les plugins, ça se complique un peu et parfois ça coince !
Dans mon cas, cela arrive parce que WordPress évolue assez fort récemment alors que cela fera 10 ans que je l’utilise en novembre 2020. Certains plugins sont obsolètes et quelques autres qui ne sont plus maintenus à jour par leurs concepteurs ont parfois des fonctionnements plus aléatoires que par le passé.

Li P’ti Fouineu vous salue bien !