web-dev-qa-db-fra.com

Est-il possible de prouver qu'un certain e-mail a été envoyé à l'aide d'un certain ordinateur?

Je peux comprendre qu'un SMS peut être retracé au téléphone mobile dont il est originaire et que le propriétaire du téléphone n'a aucune chance au tribunal que de prétendre que quelqu'un d'autre a utilisé son téléphone mais qu'en est-il d'un e-mail depuis un PC?

La plupart des e-mails sont envoyés à l'aide d'un navigateur et d'une interface Web, sans parler du fait que vous ne trouvez pratiquement pas de PC en dehors d'un NAT. Ajoutez à cela que la plupart des ordinateurs portables sont connectés via WiFi.

Il semble très facile de prétendre que je n'ai pas envoyé d'e-mail X et l'adresse e-mail Y = n'est pas à moi. Adresse IP? cela ne veut rien dire, je le partage avec beaucoup de gens, ce pourrait être ma femme qui a envoyé cet e-mail depuis son ordinateur portable ou ce pourrait être mes voisins qui ont piraté mon WiFi.

Comment un expert peut-il rejeter de telles réclamations devant un juge devant un juge?

emailforensics
6
Ulkoma

Les experts sont des experts. Ce qu'un expert dit est en cour tant que:

  • C'est un expert.
  • L'autre partie ne peut pas fournir un autre expert, qui dit que le premier expert a tort et le dit d'une manière plus convaincante et experte.

En pratique, un e-mail sera réputé avoir été envoyé depuis un PC donné si le contexte le rend beaucoup plus plausible que toute autre explication. Les éléments de contexte incluent les adresses IP enregistrées du côté du serveur SMTP, la facilité (ou l'absence de celle-ci) à supposer que l'adresse IP du côté client (WiFi ou non WiFi, fils accessibles ...), la présence ou l'absence de fichiers journaux sur le PC. .. et, le plus souvent, si l'expéditeur présumé admet l'acte ou non.

Prenez note que le parjure est une infraction grave, de sorte que les gens ont tendance à ne pas nier l'envoi de courriels lorsque ce qui est en jeu (par exemple, un différend commercial) est "moins grave" que les conséquences d'être pris en flagrant délit de mentir au juge. Le point crucial est que prouver si un e-mail a vraiment été envoyé par une personne spécifique est une question complexe dans les deux sens : il est difficile de déterminer de manière convaincante l'agresseur, mais il est également difficile de s'assurer qu'il ne sera jamais prouvé de manière décisive.

Cela reproduit le modèle de sécurité de signatures manuscrites. En fait, il n'est pas très difficile d'imiter la signature de quelqu'un d'autre; il est également assez difficile de vérifier qu'une signature est correcte ou non. Mais les signatures manuscrites se produisent dans le monde physique, avec des stylos et des mains humaines, donc elles ont tendance à laisser des traces - ce que j'appelle des éléments contextuels. Vous pouvez répudier votre propre signature, mais c'est risqué, car vous ne pouvez pas être sûr que personne ne vous a vu, ou vous n'avez pas laissé une empreinte digitale sur le stylo, ou tout autre million de détails incriminants possibles. Et essayer de répudier votre propre signature est sévèrement puni. Par conséquent, il est souvent préférable de reconnaître la signature comme la vôtre et d'en assumer les conséquences.

Dans le cas des e-mails, le même mécanisme fonctionne. Bien que les preuves réelles soient souvent des éléments fragiles (entrées de journal, etc.), nier avoir envoyé un e-mail que vous avez envoyé est risqué et ressenti comme risqué, d'autant plus qu'il implique des ordinateurs (les ordinateurs dépassent "l'horizon magique" de la plupart des gens) . Ainsi, la plupart des cas impliquant des e-mails finissent par produire quelques entrées de fichier journal (qui pourraient, en effet, être truquées de nombreuses façons), et l'expéditeur s'effondre sous le regard fixe du juge.

14
Thomas Pornin

Fondamentalement, presque toutes les méthodes de découverte de l'expéditeur sont considérablement peu fiables.

Habituellement, vous n'envoyez pas l'e-mail "directement" à partir de votre PC. Habituellement, vous utilisez un serveur SMTP appartenant à votre fournisseur d'accès Internet ou à votre fournisseur de services de messagerie. Ce serveur SMTP prend en charge votre messagerie. Par exemple, si le serveur SMTP de destination finale n'était pas disponible, il retarde la livraison jusqu'à ce que la destination soit à nouveau opérationnelle et vous n'avez donc pas besoin d'avoir votre PC en ligne tout le temps pour assurer la livraison des e-mails. Le courrier électronique passe généralement plusieurs SMTP avant d'atteindre sa destination.

Tout d'abord, vous devez savoir qu'il n'y a que quelques en-têtes de courrier électronique obligatoires. Même l'en-tête "De" est simplement facultatif. C'est juste la bonne volonté d'un SMTP de mettre sa signature sous n'importe quelle forme (comme son IP) dans l'e-mail et c'est seulement la bonne volonté du SMTP de garder les autres en-têtes dans l'e-mail.

Comment pouvez-vous trouver l'expéditeur de manière fiable? Cela dépend des SMTP sur la façon dont les e-mails et comment vous pouvez leur faire confiance. Et vous ne pouvez presque pas toujours.

Vous pouvez demander aux administrateurs SMTP si l'e-mail observé est passé sur leur serveur, mais je suis sûr qu'ils ne vous le disent pas. Vous pouvez vérifier les en-têtes des e-mails, mais vous ne pouvez pas leur faire entièrement confiance car tout le monde aurait pu les changer.

Un certain niveau de certitude pourrait être donné par la signature DKIM (si l'e-mail est signé). Par exemple, si l'e-mail a été envoyé depuis gmail.com, vous pouvez vérifier qu'il s'agit de la signature DKIM et si elle était valide, vous pouvez en être sûr, elle a vraiment été envoyée à partir de serveurs SMTP gmail et puisque je crois que Google n'enverrait aucun e-mail avec un faux de (vous devez faire confiance à google à ce sujet), vous avez l'expéditeur ou mieux, vous avez la personne qui a accès au compte gmail :-).

10
smrt28

D'un point de vue technique, il est possible de prouver qu'un e-mail a été envoyé à partir d'un compte de messagerie spécifique, si le serveur SMTP d'origine applique une telle politique et que tous les serveurs intermédiaires authentifient l'origine des messages d'intercommunication, e. g. avec DKIM (et en supposant que les serveurs eux-mêmes n'ont pas été falsifiés).

D'un point de vue juridique, vous devez convaincre le juge ou le jury de votre argument selon lequel le courrier électronique examiné est usurpé. De nombreux systèmes juridiques exigent une certitude au-delà d'une "quantité raisonnable de doute" pour un verdict de culpabilité dans les procès pénaux. Dans les poursuites civiles, la barre est généralement beaucoup plus basse. Je n'entrerai pas dans les détails car il s'agit d'un InfoSec et non d'un forum juridique.

5
David Foerster

La réponse courte est non, rien ne résistera au tribunal, toutes les techniques de traçage possibles peuvent être vaincues par un avocat intelligent et un technicien averti.

Cependant, une autre façon de penser au problème consiste à ajouter des preuves supplémentaires aux informations de suivi sur la source de l'e-mail que vous avez. Par exemple, si vous pouvez tracer l'adresse IP et la lier au suspect.

Ensuite, vous utilisez des preuves supplémentaires telles que l'analyse stylométrique médico-légale et la paternité. Certains pays acceptent l'analyse stylométrique comme preuve (par exemple la Grande-Bretagne et les États-Unis) Vous pouvez consulter cette source pour plus d'informations sur la stylométrie au tribunal

5
Ubaidah

Comme déjà indiqué, prouver qui a envoyé l'e-mail sera difficile, mais qu'en est-il de prouver que votre voisin a piraté votre wifi? Je ne sais pas ce que vous avez en place, mais même un routeur de base peut généralement suivre les appareils connectés et parfois répertorier les adresses MAC. Le MAC que vous pourriez comparer au MAC de votre femme. Si vous disposez d'un routeur plus avancé et que vous disposez de journaux ou d'informations beaucoup plus détaillées, il peut être possible de faire correspondre les journaux à l'heure d'envoi de l'e-mail. Cela permettrait un suivi plus fiable. Ou si vous n'avez pas ce niveau de suivi, vous pouvez le configurer.

2
Paraplastic2

Résumé: Il est difficile, voire impossible, de prouver qu'un ordinateur spécifique a envoyé un e-mail. Si tous les participants agissent de bonne foi, cela peut être déduit, mais cela nécessite un niveau élevé de participation.

Détails: Bien qu'une identification positive de la source d'un e-mail ne soit pas automatiquement possible, sur la base des hypothèses suivantes, il peut être possible de la déduire, en rassemblant les informations suivantes.

  • Si l'expéditeur a signé l'e-mail à l'aide de SMIME signé par une autorité de certification de confiance (ou une clé PGP connue et garantie), vous pouvez supposer la non-répudiation de la personne expéditrice, sauf si et jusqu'à ce que la personne expéditrice présumée puisse démontrer que la moitié privée de cette clé était un compromis avant l'envoi de l'e-mail
  • Si le domaine à partir duquel l'e-mail prétend provenir fournit SPF et DKIM, vous pouvez déterminer si le courrier a été relayé via l'une de leurs passerelles de messagerie approuvées (SPF vous permet de publier une liste des numéros IP autorisés pour le courrier sortant, DKIM vous permet de publier la moitié d'une clé qui permet à un destinataire de valider une signature cryptographique sur un mémo par e-mail reçu et d'avoir l'assurance qu'elle ne peut avoir été signée que par quelqu'un avec l'autre moitié de la clé)
  • Sur la base de SPF et DKIM, vous pouvez identifier de manière positive la passerelle de courrier sortant qui a relayé le mémorandum à votre organisation, entreprise ou agence
  • À ce stade, vous pouvez avoir la possibilité de faire comparaître les journaux de l'opérateur de la passerelle de messagerie, qui peuvent contenir le numéro IP d'origine (ou au moins du relais de saut précédent)
    • Notez que cela peut ne pas être fiable pour deux raisons:
      • L'expéditeur peut avoir envoyé la note de service incriminée à partir d'un réseau public ou partagé, tel qu'un café ou une bibliothèque
      • Si vous avez des raisons de croire que l'organisation relais est de connivence avec la personne expéditrice, vous devrez peut-être déterminer et prouver si les journaux de messagerie ont été falsifiés (s'ils n'ont pas été supprimés avant la découverte, conformément à la politique organisationnelle)
    • Comprenez également le fardeau d'obtenir une citation à comparaître pour ces journaux; tous les juges n'en émettront pas sans un effort important à l'avance
  • Si le relais de saut précédent est la passerelle de messagerie d'une autre organisation, répétez le processus.
  • Même si l'adresse IP du périphérique d'envoi est identifiée, il s'agit probablement d'un périphérique transitoire et, en tant que tel, vous devrez peut-être assigner les journaux DHCP de l'organisation exploitant le réseau sur lequel le périphérique d'envoi résidait, afin que vous puissiez le faire correspondre. au nom d'hôte annoncé lorsque le périphérique d'envoi a demandé et IP

Si tout le monde agit de bonne foi, vous pourrez peut-être déterminer la personne qui envoie et l'appareil qui envoie.

Bonne chance.

2
DTK

Vous devez demander au fournisseur de services du compte de messagerie à partir duquel l'e-mail a été envoyé. La plupart d'entre eux sont probablement tenus de consigner l'adresse IP des clients qui se connectent à leur serveur Web, et certains d'entre eux pourraient faire empreintes digitales du navigateur pour vérifier qu'une connexion correspond au périphérique connu d'un utilisateur. Il est donc possible qu'ils puissent fournir des informations qui identifient clairement au moins une paire de navigateur IP.

Notez cependant que si la discussion implique des adversaires potentiels motivés et compétents, vous ne pouvez pas faire d'hypothèses. Quelqu'un pourrait usurper une adresse IP et trouver l'empreinte digitale d'un navigateur spécifique et la réutiliser.

2
Steve Dodier-Lazaro