Depuis un peu moins d’une semaine, les clients de l’opérateur Free sont victimes d’une attaque en phishing remarquablement bien conduite. Pas de « charset » exotique, texte rédigé dans un Français aussi convaincant qu’administratif, logo tout aussi crédible et pages de hameçonnage fabriquées avec un art consommé digne des meilleurs « boulangers »…
L’un des courriels d’incitation est d’autant plus accrocheur qu’il utilise comme prétexte une modification de contrat par « accord tacite », tout refus devant se traduire par une résiliation d’abonnement. Les pratiques des FAI étant parfois cavalières, ces mesures léonines risquent de ne choquer personne.
Extrait du courriel :
Nous allons prochainement modifier notre contrat d’utilisation. Voici comment prendre connaissance des modifications à venir :
1. Connectez-vous à votre compte Free.fr depuis la page www.free.fr .
2. Dans les Notifications depuis l’aperçu de votre compte, cliquez sur « Mises à jour du règlement ».
Si vous acceptez nos nouvelles conditions, vous n’avez aucune action à entreprendre. Vous pouvez continuer à profiter pleinement de votre compte Free.fr . (ndlr : lien doté d’une url étrangère)
Si vous refusez ces nouvelles conditions, vous pouvez faire part de votre refus en clôturant votre compte Free.fr au cours de la période de préavis de 2 mois, qui commence aujourd’hui. La fermeture de votre compte est sans frais. Vous pouvez également décider de ne plus utiliser votre compte.<br>
Courriel qui, bien sûr, conduit tout droit à une page demandant dans un premier temps l’identifiant de l’abonné et son mot de passe. Déjà à ce stade, les conséquences sont potentiellement dramatiques : accès à la console d’administration du client, possibilité de détournement de son compte téléphonique SIP, changement du mot de passe, récupération du RIB de l’abonné, de son adresse, résiliation de la ligne…
La suite est plus classique et conduit tout droit à une page demandant dans un premier temps l’identifiant de l’abonné et son mot de passe. Déjà à ce stade, les conséquences sont potentiellement dramatiques : accès à la console d’administration du client, possibilité de détournement de son compte téléphonique SIP, changement du mot de passe, récupération du RIB de l’abonné, de son adresse, résiliation de la ligne…
Chez Free, les « lignes chaudes » techniques se bornent à ressasser inlassablement le même couper-coller : « Nous vous invitons à ne cliquer sur aucun lien présent dans le contenu du message et à tout simplement effacer ces mails. En revanche, si vous avez été abusé et avez communiqué ces renseignements à l’auteur du mail frauduleux (phishing), connectez-vous immédiatement sur « Mon compte » (http://subscribe.free.fr/login) en saisissant vos identifiants et mot de passe, puis modifiez votre mot de passe afin d’empêcher le détournement de votre compte ». Encore faudrait-il que la victime ait eu conscience de s’être fait voler son identité…
Conseils d’autant plus dangereux que la procédure de changement de mot de passe semble propice à faciliter les attaques par dictionnaire : « Caractères minuscules et alphabétiques uniquement »… Chiffres et signes de ponctuation strictement prohibés. Lorsque l’on sait que la moitié de la crédence est une information publique (numéro de téléphone de l’abonné), on peut se poser des questions sur le réel niveau de protection ainsi proposé …
Hameçonnage 100% français
Mais là où l’affaire devient presque ubuesque, c’est lorsque l’on se rend compte que l’escroc à l’origine de la campagne d’hameçonnage est très probablement Français (la qualité du mail d’incitation donnerait à penser dans ce sens …) et que le registrar-hébergeur du faux site Free possède une filiale en France, par laquelle semble avoir été effectué l’enregistrement. Un whois du domaine frelaté montre une incohérence des noms entre le responsable légal et technique, le téléphone indiqué est un faux (appartenant d’ailleurs à une personne ne possédant pas même un abonnement Internet). Quant à l’adresse postale du possesseur du site, elle est édifiante au possible : « amm b lr 4 paris 75004 ». Rarement autant d’indices prouvant la nature douteuse d’un dépôt de nom de domaine n’ont été aussi clairement réunis … Comment les procédures automatiques du registrar n’ont pas pu déclencher une alarme à la vue d’une telle accumulation de preuves ? Comment les filtres de l’hébergeur n’ont-ils pas réagi en voyant passer, parmi les requêtes html aboutissant sur ses routeurs, une url manifestement « spoofée » d’un confrère et néanmoins concurrent ?
Et surtout pour quelle raison la cellule sécurité de Free n’a-t-elle envoyé le moindre courrier de demande d’enquête ou de suspension du site frauduleux à son homologue hébergeur ?
Ndlr : Tant que le domaine en question n’aura pas été supprimé, la rédaction de CNIS ne publiera ni le nom du registrar utilisé par l’escroc, ni le nom de domaine utilisé, afin de préserver au moins la tranquillité de la personne dont le numéro de téléphone a été détourné.