Introduction
http://www.yopmail.com/ est un service de messagerie électronique temporaire, gratuit, et ne nécessitant strictement aucun mot de passe. N’importe qui peut y accéder avec n’importe quel identifiant, lequel peut être soit généré aléatoirement, soit choisit par l’utilisateur lui-même. Le service permet principalement la réception de messages. L’envoi de messages n’est uniquement possible que d’une adresse YOPmail vers une autre.
Lorsqu’un identifiant est utilisé pour la toute première fois, l’utilisateur a accès à une interface sans le moindre message. Par contre, lorsqu’un identifiant a déjà été utilisé, l’utilisateur a accès à l’intégralité des messages déjà reçus à l’adresse concernée, mais utilisée par un tout autre utilisateur. C’est là que ce service va nous intéresser !
Dans cet article, nous nous proposons de procéder à une analyse de l’état de l’art OSINT quant aux possibilités de YOPmail.
Scraping
L’outil suivant offre des possibilités de scraping très intéressantes :
https://github.com/antham/yogo
Pour peu qu’un expéditeur revienne fréquemment dans la liste des messages récupérés d’un compte, il y a de fortes chances pour que celui-ci soit particulièrement intéressant. L’OSINTer n’ayant pas le goût de la programmation de scripts pourra même utiliser l’outil suivant à cet effet :
https://www.browserling.com/tools/word-frequency
Une adresse mail est souvent utilisée lorsqu’il s’agit de procéder à des notifications, que ce soit sur la supervision d’un serveur de production, ou tout simplement sur un réseau social ou sur un services de petites annonces (« vous avez un nouveau message », « vous avez un nouvel appartement correspondant à votre recherche », … etc).
De telles adresses YOPmail pourront alors être facilement extraites et mises en évidence en utilisant yogo. Un point de vigilance sera cependant à considérer : à partir du moment où yogo est utilisé en masse, les équipements de sécurité derrière le site de YOPmail finissent par interdire l’accès du poste informatique d’où le scraping est lancé. Il conviendra alors d’utiliser un VPN pour procéder aux requêtes (la base …), et surtout de changer régulièrement de proxy.
Avoir le bon mindset
Sur quels types de comptes va t il être pertinent de procéder à nos recherches ?
YOPmail est un outil particulièrement facile d’utilisation et ne nécessite aucun effort de créativité ou d’imagination. Contrairement aux services de messagerie classique, tous les identifiants imaginables et possibles peuvent être utilisés ! Alors, en toute logique, autant considérer en priorité ceux les plus simples, voire même les plus idiots, non ? Ainsi, on pourra considérer :
- les onomatopées d’informaticiens en test : toto, titi, tata, tutu, test, …
- les jurons et les grossièretés
- les célébrités les plus standards (inspiration : « Arrêtez, arrêtez! Vous vous êtes trompé, c’est le président de la République!« , Coluche dans l’Aile ou la Cuisse)
- les variations Goldberg sur un clavier d’ordinateur (azertyuiop et ses cousins)
On pourra cependant noter que des résultats intéressants existent avec des variantes autour de nepasrepondre/noreply/donotreply.
Pivots et en-têtes
YOPmail n’est pas totalement standard, à l’exception de la possibilité d’affichage des Headers d’un message :
AInsi, pour peu qu’un message apparaisse comme pertinent, on pourra procéder à des recherches supplémentaires, afin de déterminer d’où il a été envoyé.
Quand un administrateur système fait un test …
Il fait un test ! Ci-après, voici des traces logicielles d’erreur alertant quant à un mot de passe invalide :
Et parfois il se sent juste en verve par rapport à l’actualité :
Par acquis de conscience, et afin de prévenir tout faux positif, l’examen des en-têtes du mail de « Didier Raoult » nous permet bien de retrouver sur Shodan la machine à l’origine du message. Elle fait effectivement partie d’une banque :
C’est toto qui fait du phishing
Au gré de quelques recherches rapides, on découvre le message suivant semblant lié à une banque :
Bien évidemment, l’URL derrière « Mon pass-sécurité » ne correspond en rien à celle d’une banque. Via quelques recherches sur le moteur urlscan.io, on découvre que le domaine derrière cette URL pourrait héberger de multiples plateformes de phishing bancaire :
Le hacking sans avoir à hacker
Sur la base des règles de recherche de compte préétablies (pas d’imagination, pas de recherche, pas de créativité), on trouve également le mail suivant :
Un examen des en-têtes du message ainsi qu’une recherche IP inversée nous permettent bien d’attester que ce message provient de Twitter :
Le compte Twitter associé apparaît comme tout à fait valide. En initiant le process de réinitialisation de compte, on retrouve même l’adresse de messagerie apparaissant dans les en-têtes du mail :
L’adresse en question est une variante/redirection de yopmail.com : courriel.fr.nf. Là où bon nombre de sites empêchent une inscription utilisant yopmail.com, il apparaît que Twitter accepte les adresses utilisant ce nom de domaine alternatif.
Conclusion
Les trouvailles de cet article sont loin d’être exhaustives. A moyen et long terme, il pourrait être pertinent de procéder à une étude plus détaillée des possibilités offertes par YOPmail. Incontestablement, par le biais de quelques recherches au final pas si compliquées, les potentialités de nuisance associées à ce service de messagerie s’avèrent particulièrement nombreuses.
En terme de recherche en sources ouvertes, on remarquera qu’une fois de plus, la puissance et la pertinence d’une source de pivots comme YOPmail ne repose pas sur une grande technicité. Comme toujours, c’est l’analyste qui fait d’abord l’OSINT, et en aucun cas ses outils de travail.