Week 9: Emails

Question 1

Quelles sont les quatre étapes du processus d’investigation selon le NIST ?

Answer 1

• Collection : Rassembler les données pertinentes.
• Examination : Examiner les données pour extraire les informations utiles.
• Analysis : Interpréter les données pour former des conclusions.
• Reporting : Documenter les résultats de l’analyse.

Question 2

Quels sont les deux composants principaux d’un email selon RFC 822 ?

Answer 2

1. L’enveloppe du message : Contient les adresses de l’expéditeur et du destinataire, ainsi que le mode de livraison (visible uniquement par le serveur).
2. Le contenu du message : Divisé en en-tête (métadonnées) et corps (texte ou pièces jointes).

Question 3

Quels sont les avantages d’un client web par rapport à un client email installé ?

Answer 3

• Client web : Accessible depuis n’importe quel appareil, pas d’installation requise, stockage sur le cloud.
• Client email : Fonctionne hors ligne, gestion de comptes multiples, mais nécessite une configuration.

Question 4

Quels sont les ports sécurisés et non sécurisés pour SMTP, POP3 et IMAP ?

Answer 4

• SMTP : 25 (non sécurisé), 465 (sécurisé), 587 (STARTTLS).
• POP3 : 110 (non sécurisé), 995 (sécurisé).
• IMAP : 143 (non sécurisé), 993 (sécurisé).

Question 5

Pourquoi SSL/TLS est-il plus sécurisé que STARTTLS ?

Answer 5

SSL/TLS établit une connexion chiffrée dès le début, tandis que STARTTLS commence en clair et négocie le chiffrement ensuite, ce qui expose des données sensibles pendant la phase initiale.

Question 6

Décrivez les étapes du chiffrement d’un email avec PKI.

Answer 6

1. Génération d’une clé de session aléatoire.
2. Chiffrement du message avec cette clé (AES).
3. Chiffrement de la clé de session avec la clé publique du destinataire (RSA).
4. Envoi du message et de la clé chiffrée.
5. Le destinataire déchiffre la clé de session avec sa clé privée, puis déchiffre le message.

Question 7

Comment fonctionne la signature numérique d’un email ?

Answer 7

1. L’expéditeur crée un hash du message (SHA-256).
2. Il signe le hash avec sa clé privée.
3. Le destinataire vérifie la signature avec la clé publique de l’expéditeur.
4. Si les hashs correspondent, l’intégrité et l’authenticité sont confirmées.

Question 8

Pourquoi MIME est-il utilisé dans les emails ?

Answer 8

MIME permet d’encoder des caractères non-ASCII (comme ç, à, €) et des contenus multimédias (images, vidéos) en ASCII 7-bits, compatible avec les serveurs email.

Question 9

Comment lire l’en-tête d’un email pour retracer son parcours ?

Answer 9

Lire de bas en haut :
- La première ligne “Received” montre le dernier serveur ayant traité l’email.
- Les lignes suivantes remontent vers l’expéditeur original.
- Les adresses IP et les timestamps aident à identifier les serveurs intermédiaires.

Question 10

Qu’est-ce que le spear phishing et en quoi diffère-t-il du phishing classique ?

Answer 10

Le spear phishing est une attaque ciblée, souvent personnalisée (noms, postes), contrairement au phishing générique. Exemple : un email semblant venir d’un collègue demandant un virement urgent.

Question 11

Quels sont deux types de logiciels malveillants transmis par email ?

Answer 11

1. Ransomware : Chiffre les données et demande une rançon.
2. KeyLogger : Enregistre les frappes pour voler mots de passe.

Question 12

Décrivez le parcours type d’un email

Answer 12

Expéditeur → Serveur SMTP → Serveur destinataire → Client destinataire via POP3/IMAP

Question 13

Quels ports utiliser pour une communication sécurisée ?

Answer 13

• SMTP : 465 (SSL) ou 587 (STARTTLS)
• POP3 : 995
• IMAP : 993

Question 14

Pourquoi la sécurité email est-elle cruciale ?

Answer 14

Protège contre l’interception, la modification et l’usurpation d’identité.

Question 15

Quelle est la méthode la plus fiable pour collecter un email ?

Answer 15

Copier le code source complet (y compris les en-têtes).

Question 16

Pourquoi analyser le corps d’un email ?

Answer 16

Pour détecter du contenu malveillant ou des indices forensiques.

Question 17

Quels sont les 4 champs MIME principaux ?

Answer 17

1. MIME-Version
   
   2. Content-Type
   3. Content-Transfer-Encoding
   4. Content-ID

Question 18

Comment reconnaître un email en base64 ?

Answer 18

Par son en-tête “Content-Transfer-Encoding: base64” et son contenu codé.

Question 19

Comment MIME gère-t-il les pièces jointes ?

Answer 19

En les encodant en base64 avec des en-têtes spécifiques pour chaque partie.

Question 20

À quoi sert le boundary en MIME ?

Answer 20

À délimiter les différentes parties d’un email multipart (texte, HTML, pièces jointes).

Question 21

Pourquoi analyser les en-têtes ?

Answer 21

Pour retracer le parcours de l’email et détecter des anomalies.

Question 22

Comment lire les champs Received ?

Answer 22

De bas en haut pour suivre le parcours depuis l’expéditeur.

Question 23

Que sont les X-headers ?

Answer 23

Des en-têtes personnalisés ajoutés par les serveurs pour le suivi et l’authentification.

Question 24

Comment utiliser IP2Location ?

Answer 24

En copiant l’en-tête complet pour obtenir des infos sur l’origine de l’email.

Question 25

Quels sont les risques principaux dans les emails ?

Answer 25

Spam, phishing, pièces jointes malveillantes, tracking.

Question 26

Citez 3 types d'attaques par email

Answer 26

1. Phishing 2. Pièces jointes malveillantes 3. Liens frauduleux

Question 27

Qu'est-ce que le spear phishing ?

Answer 27

Un phishing ciblé utilisant des informations personnelles pour paraître légitime.

Question 28

Comment repérer un lien de phishing ?

Answer 28

En vérifiant l'URL réelle (souvent masquée) dans le code source de l'email.

Question 29

Comment un ransomware se propage-t-il ?

Answer 29

Via des pièces jointes exécutables qui chiffrent les données après ouverture.

Question 30

Comment fonctionne le tracking par email ?

Answer 30

Via des images invisibles ou liens qui signalent l'ouverture du message.

Question 31

Pourquoi les liens uniques sont-ils dangereux ?

Answer 31

Ils permettent de suivre les clics et les activités du destinataire.

Question 32

Comment fonctionne GetNotify ?

Answer 32

En ajoutant une image traqueuse et en modifiant l'adresse du destinataire.

Question 33

Quel est l'avantage de Yopmail ?

Answer 33

Permet de créer des adresses temporaires pour éviter le spam.

Question 34

Qu'est-ce que l'email spoofing ?

Answer 34

L'usurpation d'adresse d'expéditeur pour tromper le destinataire.

Question 35

Comment les attaquants usurpent-ils des domaines ?

Answer 35

En utilisant des noms de domaine similaires (ex: "un1l.ch" au lieu de "unil.ch").

Question 36

Comment détecter un email spoofé ?

Answer 36

En vérifiant les en-têtes "Received" et l'adresse réelle de l'expéditeur.

Question 37

Quel risque pose Emkei.cz ?

Answer 37

Permet d'envoyer des emails anonymes avec n'importe quelle adresse d'expéditeur.

Question 38

Pourquoi l'analyse des en-têtes est-elle cruciale ?

Answer 38

Elle révèle les véritables serveurs de transit et adresses IP.

Question 39

Comment SPF lutte contre le spoofing ?

Answer 39

En vérifiant que l'email provient bien d'une IP autorisée par le domaine.

Question 40

Que signifie "v=spf1 -all" ?

Answer 40

Que le domaine n'autorise aucune IP à envoyer des emails (protection stricte).

Question 41

Quel est le principal message à retenir ?

Answer 41

La sécurité email nécessite une combinaison de protocoles modernes (SSL, SPF) et de vigilance humaine.