Sécurité des e-mails : qu’est-ce qu’une attaque par list bombing et comment s’en protéger ?
Sommaire
I. Présentation
Dans cet article, nous allons nous intéresser aux attaques nommées “list bombing” qui peuvent toucher les propriétaires de sites web et personnes amenées à gérer une newsletter. Nous verrons en quoi consiste cette attaque, mais aussi quelques astuces et techniques pour s’en protéger.
Nous allons notamment voir que le list bombing est une attaque qui cible les newsletters des sites web et qu’elles peuvent avoir un impact non négligeable sur les finances de leur propriétaire. Il s’agit d’un sujet à prendre d’autant plus au sérieux lorsque l’on est autoentrepreneur et que notre site web est notre seule vitrine ou source de revenue.
L’idée d’écrire cet article m’est venu après avoir croisé dans un cours laps de temps plusieurs posts LinkedIn mentionnant des personnes ayant subi ce type d’attaque.
Il m’a alors paru important de sensibiliser le plus grand nombre à ce type d’attaque, très simple, mais impactantes. Le plus important est encore une fois d’être au courant que ce type d’attaque existe pour adopter des techniques simples de protection.
II. List bombing : définition et rappel des risques
Un grand nombre de sites web ont aujourd’hui un formulaire permettant de s’inscrire à une newsletter. Ces dernières permettent aux utilisateurs de recevoir périodiquement des mails à propos de l’actualité du site, d’une entreprise, etc. Nous en avons d’ailleurs une sur IT-Connect (n'hésitez pas à vous inscrire ! 🙂 ) :
Plus globalement, il existe de multiples moyens pour un site web d’inciter ses visiteurs à s’inscrire en enregistrant un numéro de téléphone ou une adresse mail, nous pouvons citer les inscriptions pour consulter un contenu, la réception d’un code promo ou des jeux concours. L’objectif est alors de se dresser une liste de prospects et clients potentiels, pour pouvoir les recontacter par la suite pour des démarches commerciales, les faire revenir sur leur site web, etc.
Il faut savoir que ces newsletters reposent très souvent sur des services tiers. Pour une personne non technicienne qui maintient un site web comme un autoentrepreneur, une association ou une PME, maintenir une infrastructure permettant aux utilisateurs de s’inscrire et de recevoir périodiquement des mails peut apparaitre comme une tâche assez complexe.
Heureusement, différents services existent pour effectuer cette tâche et s’interfacent avec la plupart des technologies web et CMS comme WordPress ou Drupal. Ces services tiers sont bien sûr payants et leur modèle repose souvent sur un tarif au nombre de mails envoyés. Ainsi, le propriétaire d’un site web ayant une newsletter avec 100 abonnés paiera ce service moins cher que celui qui gère une communauté de 100 000 abonnés, ce qui est bien entendu logique.
Dans ce contexte, une attaque par list bombing consiste pour un attaquant à utiliser des bots (des opérations automatisées) afin d’inscrire un grand nombre d’adresses mail à une newsletter. Dans les attaques les plus sérieuses, les attaquants peuvent ajouter des centaines de milliers ou des millions d’adresses e-mail en quelques minutes.
En tant que gestionnaire de ce site web et de sa newsletter, vous verrez alors votre nombre d’inscrits bondir de manière exceptionnelle, ce qui pourra dans un premier temps apparaitre comme une très bonne nouvelle.
Nous allons cependant voir que cela peut avoir différents impacts négatifs et non négligeables qu’il est préférable d’anticiper.
B. Quels impacts pour les victimes de list bombing ?
Il faut savoir que le list bombing est une attaque qui va impacter aussi bien les propriétaires des adresses mails utilisées par l’attaquant que les propriétaires des sites web qui gèrent ses newsletters. Nous allons dans cette section tenter d’énumérer tous les impacts d’une telle attaque pour les deux parties :
Impacts sur les propriétaires des sites web ciblés
- Coût du service de newsletter :
Comme nous l’avons vu, la plupart de ces fonctions reposent sur des services tiers qui facturent leurs clients au nombre de mails envoyés. L’impact le plus notable est donc l’explosion de la facture liée à ce service. Puisque l’attaque entrainera l’envoi de milliers ou millions de mails supplémentaires.
- Pollution des données :
Les newsletter et équivalent sont souvent accompagnés de statistiques telles que l’open/click-rate (nombre de destinataires ayant ouvert le mail ou cliqué sur un lien à l’intérieur) qui permettre d’adapter et d'optimiser le contenu, de voir ce qui marche le mieux, etc. Le fait d’avoir un nombre conséquent d’adresses e-mail fausses ou appartenant à des utilisateurs non intéressés va lourdement fausser ces statistiques, ce qui ôtera une partie de l’intérêt du service mis en place.
- Dégradation de la “délivrabilité” des mails :
L’attaque peut entraîner une hausse massive des taux de rebonds (bounce rate) si les adresses inscrites sont inexistantes ou inactives. Les fournisseurs de services de messagerie (comme Gmail, Outlook) surveillent ces métriques pour évaluer la réputation des expéditeurs. Une dégradation de cette réputation peut conduire à une classification plus fréquente des e-mails comme spam, voire à un blocage temporaire ou définitif de l’adresse IP ou du domaine utilisé pour l’envoi. Cela affectera alors directement la capacité de votre site web à communiquer efficacement avec vos utilisateurs légitimes.
- Dégradation de l’image du site web ou de l’entreprise :
Dans le cas où l’attaquant utilise des e-mails existants (provenant, par exemple, de listes volées) pour réaliser son attaque, vous vous retrouverez avec un grand nombre de retours négatifs. Cela, car ces utilisateurs auront reçu des sollicitations non souhaitées de la part de votre site web, ce qui impactera négativement son image, voire entrainera des plaintes plus sérieuses.
- Impacts sur les propriétaires des adresses mails utilisées
Les utilisateurs qui voient leurs adresses mail utilisées sans leur consentement pour ce type d’attaque sont également impactés puisqu’ils vont recevoir des mails non sollicités en plus ou moins grand nombre.
À ce titre, il faut savoir que l’opération “inverse” existe également, mais est moins souvent décrite comme étant du list bombing. L’attaquant va, dans ces cas de figures, inscrire une seule adresse mail (qui n’est pas la sienne) à un grand nombre de newsletters différentes. L’effet pour le vrai propriétaire de l’adresse mail sera la réception fréquente de newsletters pour du contenu qu’il n’a pas souhaité. Cela peut être particulièrement désagréable pour l’utilisateur victime lorsque l’on sait à quel point certaines newsletters sont verbeuses, que les processus de désinscription ne sont pas toujours bien implémentés et que de telles listes peuvent être volées ou revendues.
Dans ce second cas de figure, le propriétaire du site web n’est quasiment pas impacté puisqu’il voit simplement son compteur d’inscrit augmenter d’une seule personne.
III. Protéger son site web des attaques par list bombing
Nous allons à présent voir comment, en tant que webmaster ou propriétaire d’un site web ayant une newsletter ou un tel formulaire d’inscription, nous pouvons nous protéger contre les attaques par list bombing et leurs impacts.
A. Les mesures pro actives
Les mesures que nous détaillons dans cette section sont à appliquer de manière proactive, c'est-à-dire avant qu’une attaque soit menée contre votre site web. Elles visent à empêcher l’attaquant d’opérer une attaque par list bombing ou à grandement ralentir son opération.
- Mettre en place un CAPTCHA
La mise en place d’un test de Turing, plus connue sous le nom de CAPTCHA (formulaire “êtes-vous un robot ?”) vise à empêcher l’automatisation de l’attaque par un attaquant. Ce dernier ne pourra plus utiliser de programme ou script et devra manuellement réaliser l’opération. Il sera de fait grandement ralenti dans sa démarche, ce qui réduira sa capacité de nuisance et l’impact de son attaque.
- Implémenter le double opt-in à l’inscription
Le double opt-in consiste à envoyer, en premier lieu et dès l’inscription, un mail de confirmation à l’utilisateur pour lui demander s’il souhaite effectivement s’inscrire à notre newsletter. L’idée est que seul le propriétaire de l’adresse mail peut valider cette demande, l’attaquant en est lui incapable (sauf dans certains cas spécifiques où il utilise sa propre infrastructure, ce qui est plus rare).
Ce fonctionnement est plus sûr que le simple opt-in, dans lequel l’utilisateur a simplement à saisir son adresse mail dans un formulaire. Ce que n’importe qui peut faire finalement faire à sa place sans son consentement.
Voici à titre d’exemple le mail que vous recevrez en vous inscrivant à notre newsletter IT-Connect, sans cette validation, aucune newsletter ne vous sera envoyée.
- Ajouter un champ honeypot
Cette technique consiste à intégrer à notre formulaire d’inscription un champ caché, qui ne sera jamais rempli par un utilisateur légitime et fera office de piège pour l’attaquant (honeypot signifiant “pot de miel”). S’il se trouve que nous recevons un formulaire avec une valeur dans ce champ, c’est qu’un robot ou un attaquant aura tenté de soumettre le formulaire, nous pourrons alors refuser l’inscription. Pour paraitre plus légitime, on peut nommer ce champ pour le faire apparaitre comme légitime comme “opt-in” ou “validation” par exemple.
- Analyse et blocage dynamique
Si vous n’avez pas peur de l’aspect technique de la chose et que vous avez la main sur le code et le fonctionnement interne du formulaire d’inscription, vous pouvez mettre en place des protections visant à identifier et à bloquer automatiquement les comportements suspects. Le comportement principal à cibler est celui où une même adresse IP ou même une même session utilisateur inscrit plusieurs adresses mails dans un laps de temps relativement court, ce qui n’est pas une situation d’utilisateur légitime.
Comme toute mesure de sécurité ou de cybersécurité, ces protections sont complémentaires, et il sera toujours plus prudent et efficace de les utiliser ensemble plutôt que d’en sélectionner une seule.
En effet, certains CAPTCHA peuvent être mal implémentés, voire contournés grâce aux évolutions de l’intelligence artificielle. Le double opt-in peut dans certains cas très spécifiques ne pas être suffisant, notamment si l’attaquant utilise ses propres moyens et services mail, il est alors en capacité de générer des milliers d’adresses mail et d’automatiser la validation de l’inscription. Enfin, le champ honeypot peut être identifié par une analyse manuelle et avancée de l’attaquant lors de la constitution de son attaque. On peut néanmoins considérer qu’une combinaison des trois rendra les efforts nécessaires trop couteux (en temps et en ressources) pour l’attaquant, ce qui est l’objectif principal de toute mesure de sécurité.
B. Comment réagir à une attaque par list bombing
Nous allons à présent voir les mesures à prendre lorsque vous avez effectivement été la cible d’une attaque par list bombing.
- Stopper le service temporairement
La première opération à mener est bien entendu de stopper l’inscription ainsi que l’envoi des mails depuis votre infrastructure ou celle du service tiers que vous utilisez. Cette opération est temporaire et vise à réduire l’impact de l’attaque, pour vous et vos utilisateurs, jusqu’à ce que la situation revienne à la normale.
- Utiliser les techniques de list cleaning (nettoyage de liste)
Il s’agit ensuite de tenter de supprimer les adresses mail que l’attaquant a inscrit sur votre service. Pour cela, plusieurs critères peuvent être utilisés, dans le cas où l’attaquant a réalisé son attaque sur une période définie et courte, vous pouvez supprimer toutes les inscriptions basées sur ce laps de temps (au risque de supprimer quelques utilisateurs légitimes). Vous pouvez aussi tenter de détecter un pattern (modèle récurrent) sur les adresses mails illégitimes, cela peut être un nom utilisateur aléatoire, anormalement long, composé d’identifiant numérique (john1, john2, john3, etc.), un nom de domaine commun, etc. Hélas, ce second critère est souvent moins facile à utiliser, notamment si l’attaquant a utilisé une liste volée d’adresses mail légitimes.
Le list cleaning est une opération qui peut être utilisée pour d’autres raisons que le rétablissement post-attaque, notamment pour un aspect marketing et optimisation, qui sort du cadre de cet article.
Sur une période plus longue, vous pourrez utiliser les techniques de list cleaning (au sens technique marketing) habituelles comme la suppression des destinataires n’ouvrant jamais les mails, etc.
IV. Conclusion
Le list bombing est une attaque simple à réaliser lorsque les mécanismes de protection nécessaires ne sont pas en place. Celle-ci n’en est pas moins redoutablement efficace et peut impacter financièrement et opérationnellement vos sites web, tout en nuisant à leur réputation. En mettant en place des mesures préventives comme le CAPTCHA, le double opt-in ou le champ honeypot, et en adoptant des réactions adaptées en cas d’attaque, il est possible de limiter significativement les risques et les conséquences.
La clé reste l’anticipation : il vaut mieux investir un peu de temps pour sécuriser vos formulaires d’inscription plutôt que de subir les coûts et les désagréments liés à une telle attaque. Si vous avez été la victime d’une attaque par list bombing ou que vous avez des retours d’expérience sur les mécanismes de protection à mettre en place, n’hésitez pas à nous les partager dans les commentaires ou sur notre serveur Discord.
