Les limites du Greylisting

, par Nil

Attention, nous n’avons pas installé d’anti-virus. Ce que nous avons installé c’est un système de greylisting, système que certains peuvent croire exagérément efficace contre les virus.

En effet, si l’on regarde les virus circulant actuellement, on peut constater que la plupart passent très facilement la barrière du greylisting, ceci parce qu’ils se moquent des principes de transmission de messages, ou les détournent inconsciemment.

En effet, on peut constater par la pratique que quelque soit la façon dont la partie "transmission" du virus a été écrite (sans ou avec son propre agent SMTP), le virus peut très bien arriver sur votre boite mail.

Dans le premier cas (sans agent SMTP propre), comme c’est le cas de certains virus très virulents, une simple lecture des entêtes du message montre qu’il a suivi le chemin "officiel" d’un mail légitime : en passant par le SMTP du fournisseur d’accès internet de la personne infectée. Or, ce SMTP acceptant sans sourciller ce message (sans avoir de greylisting en entrée, ce qui est logique, car on ne peut pas greylister une connexion qui est censée correspondre à un simple client de messagerie), il le retransmettra au SMTP de Globenet, en acceptant bien sûr de faire plusieurs tentatives d’envoi pour satisfaire au greylisting.

Et même si le virus utilise son propre SMTP et se trouve donc en relation directe avec le SMTP de Globenet, il a quand même des chances de passer sans trop de mal. En effet, sachant que certains virus fonctionnent "en boucle" pendant des heures, des jours, voire des semaines entières, en retransmettant plus ou moins le même message/virus aux adresses présentes dans un carnet d’adresses, on se retrouve vite
dans le cas, ou deux messages différents mais apparemment semblables (même destinataire, même adresse IP d’origine, même expéditeur apparent, etc...) font croire au système de greylisting qu’il est en face d’une deuxième tentative d’envoi du même message, alors qu’en fait ce sont deux envois différents fait par un système non prévu pour refaire une tentative après un échec... Vous voyez la faille ? La chance d’avoir un virus par cette méthode est par ailleurs inversement proportionnelle à la taille du carnet d’adresses présent dans la machine infectée (plus il y a de monde, moins il y a de chance d’avoir à court terme deux envois équivalents).

Ce problème est, d’ailleurs, aussi valable avec les spams. Même s’il est moins visible, car, heureusement, les spammeurs ne nous matraquent pas comme le font certaines machines vérolées...

Bref, tout ça pour bien vous faire comprendre que chaque système a ses limites, et que si nous avons mis un greylisting en place, il ne peut en aucun cas être considéré comme anti-virus. Et mettre un vrai anti-virus en place est tellement consommateur de ressources système, que nous n’en avons pas les moyens.

Cela ne vous dispense donc pas d’installer un anti-virus sur votre ordinateur [1], d’utiliser des logiciels fiables [2], et de vous méfier des messages étranges que vous recevez [3]...

Notes

[1Pour Windows, AVG, par exemple, est un anti-virus simple, efficace et gratuit, en anglais.

[2Pour gérer votre courrier depuis votre ordinateur, nous vous conseillons Mozilla-Thunderbird, logiciel de messagerie libre, fiable, et pratique ; et pour naviguer sur le web, Mozilla-Firefox est ce qui se fait de mieux. Tous deux sous Windows, Mac, Linux, etc.

[3Même s’il semble provenir de personnes de votre connaissance, ou de votre banque, ou de No-log, un message qui vous incite a ouvrir une pièce jointe ou à visiter une page web est presque toujours malveillant ; à mettre à la poubelle immédiatement, à chaque fois, sans remords.