Search | Sailfish OS | Running | PineTime | All Posts

Hameçonnage: l'exemple contre-productif de La Poste

December 02, 2021 — Nico Cartron

Dans cet article, j'expose rapidement mon sentiment sur l'hameçonnage, et les bonnes, et surtout mauvaises pratiques de la profession informatique.


Hameçonnage

Qu'est-ce donc ?

L'hameçonnage (ou phishing), d'après Wikipedia, "est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité".

L'exemple classique est l'email reçu, prétendument de votre banque, vous informant que votre compte est bloqué suite à une fraude, et vous invitant à cliquer sur un lien pour le réactiver / contacter votre banque.
Ce lien mène sur une page d'accueil reprenant celle de votre banque, et lorsque vous saisissez vos identifiant/mot de passe, c'est en fait aux fraudeurs que vous les communiquez.

Pourquoi écrire un article dessus ?

Je ne vais pas détailler davantage, d'une part parce que je ne suis pas un spécialiste de ce domaine (d'autres font un bien meilleur travail de sensibilisation que moi), et d'autre part parce que la plupart des gens sont au courant de ce que c'est.
De plus, les acteurs qui sont des "cibles" pour ces campagnes d'hameçonnage font également un gros travail de sensibilisation auprès de leurs clients / utilisateurs, donc le message doit être passé, non ?

Mon problème

Vous devez vous en douter, si j'écris cet article, c'est que je suis littéralement tombé sur les fesses récemment à la réception d'un email.

Le contexte

Je reçois un email provenant de La Poste, avec comme titre:
La Poste – Votre envoi N°XXXX – Règlement des droits et taxes de douane

Voici à quoi ressemble l'email:

Mon premier reflexe est "OK, c'est de l'hameçonnage", et ce pour plusieurs raisons:

  • je consulte l'email depuis mon mobile, donc coup d'oeil plutôt rapide,
  • la "technique" de l'urgence: dans ce cas, "payez en ligne maintenant pour bénéficier du tarif réduit des frais de gestion à 2€ TTC"
    • "non mais sérieusement, c'est trop gros !" me dis-je
  • et surtout, en regardant le domaine d'expédition, le doute n'est plus permis ! "notif-laposte.info@notif-laposte.info":

Je m'appretais donc à archiver cet email, mais le numéro d'envoi mentionné me fait tiquer: il finit par GB, or j'ai précisément commandé un article en Angleterre.
Je décide donc de regarder cela de plus près, une fois chez moi avec mon ordinateur portable.

Faisons quelques vérifications

En jettant un oeil aux entêtes SMTP avec Mutt, mes soupçons sont confirmés: soit c'est un email d'hameçonnage très bien fait, soit il est légitime:

  • le "return path" est "bounce@notif-laposte.info", plutôt propre - bon après, ça se forge sans soucis, donc pas forcément la garantie d'un truc sérieux
  • l'authentification DKIM est en status pass
  • le champ X-Mailer mentionne "Apostello",
  • qui correspond à l'enregistrement DNS MX pour notif-laposte.info: smtp.apostello.io.

"OK, ils se donnent vraiment du mal" - on va jeter un oeil au code HTML, surtout le gros lien jaune au milieu "Je souhaite payer en ligne" pour voir vers quoi ça pointe.

Et là:

Bingo ! C'est bien un lien vers La Poste, et surtout ça correspond bien au numéro de tracking que j'avais reçu de la part du commerçant Anglais.

"L'enquête"

Apostello?

Une rapide recherche DuckDuckGo sur "apostella la poste" me renvoie vers un signalement d'arnaque sur le site Signal Arnaques.
Mais en regardant les réponses au signalement, l'une d'entre elles mentionne cette adresse: https://notif-colissimo-laposte.info/

"Le nom de domaine notif-colissimo-laposte.info est la propriété du Groupe La Poste et est dédié à l'envoi d'emails transactionnels.

Vous pouvez vérifier l'authenticité de ce domaine ici : https://who.is/whois/notif-colissimo-laposte.info"

Donc ça semble confirmer que ce domaine est bien légitime pour l'envoi de mails.
Bon, par contre le lien Whois me renvoie un 504 Gateway Time-out, donc un va le faire en ligne de commande:

Confirmé:

  • on a bien un email en @laposte.fr
    • la DISIT est l'entité informatique de La Poste
  • l'adresse dans le XVème arrondissement de Paris est bien celle de la DISIT
  • les serveurs de noms indiqués (dns1|dns2.apostello.io) correspondent à ceux relevés précédemment.

Suis-je le seul à trouver ça déplorable ?

En demandant sur Twitter, j'ai eu plusieurs réponses dont celle de Zekah, qui avait posté sur le même sujet, s'est posé les mêmes questions, et a fait comme moi, à savoir vérifier les entêtes SMTP, le SPF etc.

"Faites ce que je dis, pas ce que je fais"

Benoit (@b_rvier) m'a indiqué un article de Presse Citron intitulé... tenez-vous bien... "Attention aux arnaques en ligne : La Poste rappelle les bons gestes" 😂

En soit, l'article est plutôt bien écrit; qu'y apprend-on ?

Et bien que "les cybercriminels [détournent] l’image de nombreuses enseignes reconnues pour crédibiliser leurs méfaits et gagner la confiance de leurs cibles. En tant qu’entreprise de confiance, La Poste est régulièrement victime de ce détournement."

Ou qu'il "ne faut pas tomber dans le panneau" du phishing, avec notamment l'exemple... d'un colis en attente de dédouanement, bien entendu ! :-)
Certes, l'article mentionne bien que l'email sera envoyé "de la part de La Poste depuis noreply@notif-colissimo-laposte.info ou notif-laposte.info@laposte.fr et pas d’une autre adresse e-mail douteuse", mais honnêtement, je ne pense pas que les personnes qui sont la cible des fraudeurs auront le réflexe de faire une recherche sur Internet pour trouver cet article...

Conclusion

Après avoir fini cet article, j'ai montré l'email à ma femme et lui ai demandé ce qu'elle ferait si elle recevait cet email - pour avoir un avis "neutre" (et pas celui de quelqu'un qui travaille dans l'IT et qui "surréagit").
Elle m'a dit "je le supprime et je ne clique sur rien", et quand je lui ai demandé "pourquoi ?", elle m'a répondu "l'email en @notif-laposte.info c'est bizarre, et en plus c'est bizarrement tourné".

Il est dommage / déplorable que d'un côté, la profession essaie de sensibiliser les gens à l'hameçonnage, et de l'autre j'ai le sentiment que ces efforts sont réduits à néant avec de tels agissements, ou on dit aux utilisateurs "c'est bon, vous pouvez cliquer sans réfléchir"...

Votre avis ? Vous pouvez réagir sur Twitter

Epilogue

Le lendemain de la rédaction de cet article, j'ai reçu l'email ci-dessous:

Anecdote rigolote, Kmail (mon client email) a marqué cet email comme étant de l'hameçonnage (phishing), et comme vous le voyez, le domaine utilisé pour l'envoi est en notif-colissimo-laposte.info également.
Comme quoi, le doute est permis !


Tags: Francais, IT


I don't have any commenting system, but email me (nicolas at ncartron dot org) your comments!
If you like my work, you can buy me a coffee!