Journal Quand la DGFiP (les impôts) donne des conseils de sécurité...

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
5
5
mar.
2022

Vérifiez toujours l'adresse de l'expéditeur des messages avant de les ouvrir. Pour la DGFiP, la partie droite de l'adresse doit être égale à @dgfip.finances.gouv.fr. Sinon, il s'agit d'un message frauduleux.

Extrait d'un e-mail relatif à la sécurité reçu hier de la Directions des Finances (i.e. les impôts).

Je trouve ça particulièrement grave d'autant plus que c'est une recommendation qui se présente comme une bonne pratique "en général", pas seulement pour la DGFiP.

Pour compléter le tableau, il y a bien sûr un gros bouton permettant d'accéder directement à son espace personnel, cette fois sans aucune recommandation vis à vis des précautions à prendre pour un lien incorporé dans un mail. Il est vrai qu'une fois l'expéditeur vérifié selon la méthode ci-dessus, le lien est forcément sûr…

On parle de la DGFiP, c'est-a-dire d'une entité susceptible d'envoyer ça à des dizaines de millions de personnes.

  • # Condition nécessaire et pas suffisante

    Posté par  (site web personnel) . Évalué à 2.

    Pour le premier point, il est juste dit que "Champ from en @dgfip truc" => "Message non frauduleux", ils ne prétendent pas que la réciproque est vraie ;-)

    Après, es tu sûr que ce message vient bien de la DGFIP ? Que ce n'est pas un message pour préparer un phishing ultérieur ?

    • [^] # Re: Condition nécessaire et pas suffisante

      Posté par  (site web personnel, Mastodon) . Évalué à 10.

      Précisément il est dit (si je comprend bien): "message avec un expéditeur différent de @dgfip -> forcément frauduleux". Ça ne dit justement pas l'inverse: "message avec un expéditeur = @dgfip -> forcément authentique"

      Mais c'est vrai qu'il faut faire attention à bien manipuler les implications, les réciproques, etc, et tout le monde ne le fait pas correctement.

    • [^] # Re: Condition nécessaire et pas suffisante

      Posté par  . Évalué à 6. Dernière modification le 05 mars 2022 à 12:57.

      En toute rigueur, c'est effectivement une condition nécessaire mais pas suffisante. Mais en toute rigueur également, c'est une énorme faute de communication de la part d'une entité qui a la possibilité d'envoyer ce message à des millions de personnes qui vont juste comprendre que si @xxx alors c'est que le mail vient bien de xxx sans pour autant qu'on puisse les taxer d'idiots (et ça, pour tous les sites, pas que la DGFiP).

      Après, es tu sûr que ce message vient bien de la DGFIP ? Que ce n'est pas un message pour préparer un phishing ultérieur ?

      Oui.

      Return-Path: <ne-pas-repondre@dgfip.finances.gouv.fr>
      Received: from pf2pusi003.dgfip.finances.gouv.fr (pf2pusi003-9.dgfip.finances.gouv.fr. [145.242.11.67])


      PS. Je me fais moinsser ; juste par curiosité car ça me semble cette fois incompréhensible : pourquoi ?

      • [^] # Re: Condition nécessaire et pas suffisante

        Posté par  . Évalué à 0.

        Je pense que tu te fais moinsser parce que tu sous-entend que le mail vient forcément de la DGFIP à cause des en-têtes que tu as cité. Hors, ce n'est pas le cas.

        • On peut mettre ce qu'on veut dans le Return-Path, même une adresse d'un autre domaine.
        • L'en-tête "Received:" indique que le mail a été reçu d'un serveur qui prétend s'appeler pf2pusi003.dgfip.finances.gouv.fr. Mais il n'y a aucun moyen de savoir si il appartient vraiment à la DGFiP, l'émetteur peut donner le nom qu'il veut.
        • [^] # Re: Condition nécessaire et pas suffisante

          Posté par  . Évalué à 4. Dernière modification le 06 mars 2022 à 13:54.

          Effectivement, la situation est encore pire que je ne l'imaginais puisque même en regardant les entêtes j'aurais pu me faire avoir !

          Mais tu trompes pour le moinsage : il avait déjà eu lieu avant même que je ne réponde de cette façon pour dire que j'étais sûr que le mail venait de la DGFiP. Ceci dit, cette question du moinsage est accessoire, c'était juste de la curiosité, ne m'y attendant pas sur un sujet a priori pas polémique.

          Sinon, je confirme que la recommandation que je critique figure aussi sur le site de la DGFiP.

          Donc pour résumer, s'il n'y a aucun moyen (accessible à un utilisateur normal) de détecter un phishing bien fait juste en analysant le mail (que ce soit via @xxx ou les entêtes), la seule recommandation qui vaille est "Ne cliquez jamais sur un lien dans un mail ou, si vous le faites, ne renseignez jamais de données personnelles (telles que login/password) sur la page web ainsi ouverte".

          Celle de la DGFiP n'est pas fausse en soi mais elle a l'immense défaut de laisser croire que si elle est respectée, c'est ok.

          Je constate d'ailleurs que cette recommandation ne figure pas dans le guide de l'ANSSI sur les mails : https://www.ssi.gouv.fr/particulier/precautions-elementaires/5-reflexes-a-avoir-lors-de-la-reception-dun-courriel/

          • [^] # Re: Condition nécessaire et pas suffisante

            Posté par  (site web personnel) . Évalué à 2.

            Il disent tout de même :

            De manière générale, il est préférable de saisir manuellement l’adresse dans le navigateur.

            (Sur le lien que tu donnes)

            • [^] # Re: Condition nécessaire et pas suffisante

              Posté par  . Évalué à 4.

              Certes (et c'est très bien), mais ça ne figure pas dans le mail que je citais. De plus, quand tu émets ce genre de recommandation, tu évites de coller un lien dans tes propres mails.

              D'une façon plus générale, ne serait-il pas plus logique que chaque entité gouvernementale se serve du guide de l'ANSSI plutôt que d'improviser chacune de leur coté ce qui leur semble bien ou pas ?

        • [^] # Re: Condition nécessaire et pas suffisante

          Posté par  . Évalué à 9. Dernière modification le 07 mars 2022 à 09:17.

          "Received:" indique que le mail a été reçu d'un serveur qui prétend s'appeler pf2pusi003.dgfip.finances.gouv.fr. Mais il n'y a aucun moyen de savoir si il appartient vraiment à la DGFiP,

          Si, cette partie là est relativement fiable, car l’entête « Received: » est ajouté par le serveur qui reçoit. S’il n’y a pas d’intermédiaire douteux, en remontant la chaîne des relais avec les entêtes « Received: » on doit pouvoir s’assurer qu’à un moment le message est passé de l’émetteur proclamé (DGFiP) au serveur destinataire qui est de confiance. En effet, le champs « Received: » étant ajouté par le receveur, il y enregistre l’adresse IP qui lui a relayé le message et y ajoute éventuellement pour plus de clarté un reverse-DNS sur cette IP. Ici, il existe donc bien un enregistrement DNS pour l’IP 145.242.11.67 qui lui associe le nom « pf2pusi003-9.dgfip.finances.gouv.fr » donc qui est bien enregistré par un service de l’état.

          Cela se vérifie en exécutant la même requête chez soi avec la commande host 145.242.11.67. Ce qui est fiable ici ce n’est pas le nom « pf2pusi003.dgfip.finances.gouv.fr », mais « pf2pusi003-9.dgfip.finances.gouv.fr ». On notera d’ailleurs que host pf2pusi003.dgfip.finances.gouv.fr retourne une IP différente.

          • [^] # Re: Condition nécessaire et pas suffisante

            Posté par  . Évalué à 4.

            Cela reste quand même assez peu fiable. Deux manières de faire pour injecter cela:

            • la plus simple. Faire croire que le serveur qui envoie ne fait qu'un relai. C'est facile à faire, et le premier (temporellement) Received peut être complétement forgé. Il faut que le serveur qui mette le Received soit aussi de confiance.

            • la plus vicieuse. Techniquement rien m'empèche de mettre un reverse sur une IP à moi vers un nom toto.dgfip.finances.gouv.fr., il faudrait aussi vérifier dans l'autre sens que toto.dgfip.finances.gouv.fr. pointe vers l'IP en question.

  • # En fait c'est une bonne règle, qui devrait être mieux diffusée

    Posté par  (site web personnel, Mastodon) . Évalué à 10.

    La règle indiquée ("partie droite de l'adresse illégitime implique courriel frauduleux", et seulement dans ce sens) est une bonne règle qui devrait être mieux diffusée.

    Alors, elle n'est pas suffisante, et en particulier elle ne parle pas des liens frauduleux envoyés avec une vraie adresse mail ; pas plus qu'elle ne garantit la contraposée. Néanmoins, cette seule règle permet de filtrer la grande majorité des courriels d'arnaque, et ce simple fait suffit pour qu'il soit intéressant d'en parler. Refuser toute la règle parce qu'elle ne couvre pas tous les cas serait clairement contre-productif.

    J'ai vérifié sur mes différents comptes mails, tous les spams, même les plus crédibles visuellement, sont détectés grâce à cette règle (je vous invite à vérifier chez vous). Idem pour ceux reçus au boulot, y compris ceux qui ont réussi à piéger des collègues. D'ailleurs la règle commence à être connue et appliquée, parce que quand un service poussé par la RH nous a demandé de s'inscrire à partir d'une adresse mail foireuse (en gros : le service machin.com envoie ses mails en tant que machin-mailing.com…), beaucoup d'employés ont signé le mail comme frauduleux et ont attendu une confirmation officielle pour s'inscrire.

    La connaissance libre : https://zestedesavoir.com

    • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

      Posté par  (site web personnel, Mastodon) . Évalué à 10.

      En plus, c’est une règle facile à comprendre à adopter pour tout le monde.

      Effectivement, je dirais que 100% des courriels d’hameçonnage que je reçois ont une adresse qui ne colle pas à ce qu’elle devrait être. Les tout derniers étant un truc censément envoyé par un officier de police judiciaire rapport à une histoire de pédopornographie, envoyé d’une adresse gmail et avec une réponse à une autre adresse gmail et une banque, à laquelle je ne suis pas, qui me demande avec insistance de confirmer mon numéro de mobile envoyé d’une adresse où le nom de la banque est totalement absent.

      C’est peut-être pas suffisant, mais ça évite une énorme masse d’attrape-nigauds.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

      Posté par  (site web personnel, Mastodon) . Évalué à 6. Dernière modification le 05 mars 2022 à 14:27.

      Je rajoute que même si elle est comprise aussi à l’envers (« la partie droite de l’adresse est OK donc le courriel est légitime »), ce qui semble être la crainte du journaliste, pour moi le rapport bénéfice/risque de cette règle reste en faveur de sa diffusion. Parce que les arnaques à base d’adresses mail illégitimes sont beaucoup plus nombreuses que les piratages ou usurpation de boites mails.

      D’ailleurs, corrigez-moi si je dis une connerie, mais il me semble que maintenant la plupart des fournisseurs détectent et bloquent les usurpations triviales d’identité (celles qui consistent à mettre une autre adresse que la sienne dans le champ from: du courriel).

      La connaissance libre : https://zestedesavoir.com

      • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

        Posté par  . Évalué à 3. Dernière modification le 05 mars 2022 à 14:46.

        ce qui semble être la crainte du journaliste

        Je ne suis pas journaliste :-)

        pour moi le rapport bénéfice/risque de cette règle reste en faveur de sa diffusion.

        La question d'un bénéfice/risque ne se pose pas puisqu'il ne s'agit pas de supprimer la phrase mais de la compléter : si from @yyy alors qu'on prétend être xxx => méfiance/rejet du mail mais même si from @xxx méfiance quand même et donc ne pas cliquer sur le lien/gros bouton "Votre Espace Personnel" dans le mail (pratique généralisée de la plupart des sites mais dangereuse puisqu'au final c'est l'objectif d'un psishing).

        il me semble que maintenant la plupart des fournisseurs détectent et bloquent les usurpations triviales d’identité (celles qui consistent à mettre une autre adresse que la sienne dans le champ from: du courriel).

        Je suis aussi intéressé par la réponse (attention cependant au "la plupart" => il en suffit d'un aux fraudeurs).

        • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

          Posté par  (site web personnel, Mastodon) . Évalué à 6.

          « Journaliste » dans le sens de celui qui écrit un journal sur linuxfr.org ;-)

          Il faut aussi prendre en compte le fait qu’un message trop long et complexe ne sera pas compris, pris en compte ni même lu. Mieux vaux une règle simple qui fonctionne en général qu’une règle complète qui ne fonctionne plus du tout parce qu’inapplicable.

          Même si dans le fond, je suis d’accord pour dire que ça serait mieux le grand public connaissent la règle complète.

          La connaissance libre : https://zestedesavoir.com

          • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

            Posté par  (site web personnel, Mastodon) . Évalué à 5.

            Diariste, dans ce cadre eut été le terme adapté :-) Même si ce n'est pas très intime.

            « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

            • [^] # Re: Diariste

              Posté par  (site web personnel, Mastodon) . Évalué à 2.

              Merci pour l'info :-) Je connaissais diarist (le terme anglais) pour une personne qui tient un diary (journal intime…) Je ne sais pas si le sens a autant glissé en français …parce-que quand c'est public (par opposition à privé/intime) et par moyen numérique comme ici, c'est un blogue (ou blog en anglais) dont les entrées/notes/articles/etc, sont qualifiés de billets et les auteurs/auteures/autrices sont des blogueurs/blogueuses (ou blogger en anglais.)

              “It is seldom that liberty of any kind is lost all at once.” ― David Hume

          • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

            Posté par  . Évalué à 3.

            Ça, c'est compliqué ou trop long ?

            • si pas @xxx, c'est frauduleux
            • si @xxx c'est sûrement nous mais ne cliquez jamais sur un lien dans le mail, vérifiez s'il y a lieu en tapant notre adresse directement depuis votre navigateur

            (le commentaire racontant l'histoire d'un avenant MAIF montre que ces deux règles ne marchent pas forcément, mais au moins elles évitent le phishing)

            Parce qu'en attendant que quelqu'un confirme ici que tous les fournisseurs de messagerie interdisent l'envoi de mails avec un from différent de ceux qui ont été enregistrés (après validation, comme le fait gmail, par exemple), ne pas ajouter la 2ème règle c'est prendre le risque que les gens oublient qu'elle ne marche que dans un sens et cliquent, rassurés, sur le lien présent dans le mail.

      • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

        Posté par  . Évalué à 4.

        Alors, sur ce point, j'aimerais savoir comment ils font (c'est pas une question rhétorique, je suis vraiment preneur d'une explication).

        Parce qu'autant je vois très bien comment gmail peut détecter qu'un mail from @gmail.com vient bien de son expéditeur annoncé, autant je ne vois pas comment gmail fait pour vérifier qu'un mail from interieur.gouv.fr vient bien de interieur.gouv.fr. Une bonne âme pour m'expliquer comment il fait concrètement ?

        Ça, ce sont les sources. Le mouton que tu veux est dedans.

    • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

      Posté par  . Évalué à 2.

      Refuser toute la règle parce qu'elle ne couvre pas tous les cas serait clairement contre-productif.

      Il ne s'agit pas de refuser la règle mais de la formuler sans laisser le moindre doute sur le fait qu'elle ne marche que dans un sens.

      Tu parles de mails d'arnaque :

      Néanmoins, cette seule règle permet de filtrer la grande majorité des courriels d'arnaque

      puis après tu dis que :

      J'ai vérifié sur mes différents comptes mails, tous les spams, même les plus crédibles visuellement, sont détectés grâce à cette règle.

      Les spammeurs ne cherchant pas, en général, à se faire passer pour quelqu'un d'autre, je ne suis pas convaincu que ton observation s'applique aussi aux mails frauduleux (qui sont pourtant la cible de la recommandation du mail de la DGFiP).

      Mais supposons que ton observation s'applique aussi aux mails frauduleux (je ne peux pas le vérifier, je n'ai pas conservé les très rares que j'ai pu recevoir dans le passé), quel serait le mécanisme, selon toi, qui expliquerait que les arnaqueurs ne mettent pas une adresse d'expéditeur en @xxx quand ils prétendent être xxx ? Si la seule réponse est "parce que personne ne prête attention à ça, donc c'est pas la peine", rien ne les empêchera de changer quand toute la population sera bien éduquée sur le fait que si from @xxx, alors c'est bon, c'est xxx. Et là, on regrettera de n'avoir pas pris la peine d'être un peu plus clair sur la recommandation initiale alors que ça n'aurait pas coûté plus cher.

      • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

        Posté par  (site web personnel, Mastodon) . Évalué à 7.

        Pour l’usurpation d’identité, tout ce qui est envoyé sur Gmail et qui a un From: différent de l’ent-être Authentication-Results: […] smtp.mailfrom=[…] pars en spam avec ce gros avertissement :

        Pourquoi ce message figure-t-il dans les spams ? Il ne respecte pas les consignes de Google destinées aux expéditeurs de messages.

        Quant aux spammeurs, ceux que j’ai essaient souvent de se faire passer pour quelqu’un d’autre. Je passe sous silence ceux qui essaient de se faire passer pour mon fournisseur de nom de domaine, ça c’est relativement ciblé et orienté geek. Côté grand public, rien qu’avec ce que j’ai en ce moment dans mes spams (donc de moins de 30 jours), j’ai des gens qui essaient de se faire passer pour : Leclerc, La Poste, LIDL, SFR, McAffee, Dyson, Orange, les comptes de formation, Free, CDiscount, Darty, et à peu près toutes les sociétés qui livrent des colis en France. À la louche, c’est 2/3 des spams, le tiers restant n’étant pas des tentatives d’usurpation d’identité.

        Enfin, je pense que tu as tendance à oublier que le message du service des impôts s’adresse au très grand public, pas spécialement à des gens qui ont déjà des réflexes corrects avec l’informatique.

        La connaissance libre : https://zestedesavoir.com

        • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

          Posté par  (site web personnel, Mastodon) . Évalué à 5.

          Enfin, je pense que tu as tendance à oublier que le message du service des impôts s’adresse au très grand public, pas spécialement à des gens qui ont déjà des réflexes corrects avec l’informatique.

          Pour avoir au affaire (en formation notamment) au très grand public et à des gens qui ne savent pas trop comment est construit et un courriel et encore moins comment ça fonctionne, j'acquiesce. Si déjà, toutes ces personnes avaient le réflexe de vérifier les adresses électroniques des courriels, il y aurait un bon paquet d'arnaques évitées ainsi que pas mal d'angoisses en moins.

          Même la suggestion d'avoir une adresse électronique spécifique par exemple pour les banques et l'administration qui n'est communiquée à personne d'autre est parfois trop compliqué pour certaines personnes (rien à voir avec l'âge ou le niveau intellectuel).

          « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

        • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

          Posté par  . Évalué à 3. Dernière modification le 05 mars 2022 à 16:32.

          Quant aux spammeurs, ceux que j’ai essaient souvent de se faire passer pour quelqu’un d’autre.

          Je distinguais spam (j'essaie de te vendre un truc) et phishing (j'essaie de te faire croire que je suis quelqu'un d'autre pour que tu cliques en confiance sur le lien dans le message, et @xxx = xxx est un moyen de te tromper). Le malentendu vient du fait que la plupart du temps les deux finissent dans la boite spam.

          • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

            Posté par  (site web personnel, Mastodon) . Évalué à 2.

            Oui, distinction entre pollueurs/forceurs (qui vous noient de prospectus) et arnaqueurs. Les interfaces sont trop mal traduites ; en français ça devrait être le dossier (ce n'est pas une boite) des indésirables (ce n'est pas que du spam.) Bon, je chipote, mais je ne fais que suivre le ton de la précision demandée par le journal. :-)

            “It is seldom that liberty of any kind is lost all at once.” ― David Hume

        • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

          Posté par  . Évalué à 4.

          en ce moment dans mes spams (donc de moins de 30 jours), j’ai des gens qui essaient de se faire passer pour : Leclerc, La Poste, LIDL, SFR, McAffee, Dyson, Orange, les comptes de formation, Free, CDiscount, Darty

          Pire encore : des fois, c'est vraiment eux !

          *splash!*

    • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

      Posté par  (site web personnel) . Évalué à 5.

      C'est un mauvais conseil car ils confondent le "From:" de l'entête du mail avec le "MAIL FROM:" du protocole SMTP. Les deux peuvent bien entendu être différents.

      Les clients de messagerie affichent le "From:" de l'entête, or il est facile d'envoyer un mail à partir d'une autre boîte avec un "From:" d'entête faux.
      Je peux, avec ma boîte mail en @toucequevousvoulez.ici, envoyer un mail qui affichera @autrechose.la dans la messagerie du destinataire.

      Bref, il est inutile de regarder l'adresse de l'expéditeur pour s'assurer de la légitimité d'un mail.

      • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

        Posté par  (site web personnel, Mastodon) . Évalué à 2.

        Même question que plus haut : ça fonctionne encore avec les serveurs SMTP grand public ce genre de chose ? Pour moi, non, mais je n’ai plus de source sous la main.

        La connaissance libre : https://zestedesavoir.com

      • [^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée

        Posté par  . Évalué à 5.

        Les clients de messagerie affichent le "From:" de l'entête, or il est facile d'envoyer un mail à partir d'une autre boîte avec un "From:" d'entête faux.

        Les gens l'oublient ou ne savent pas c'est possible car les messageries comme gmail l'interdisent (on peut ajouter des from mais après validation que c'est bien toi).

        Bref, il est inutile de regarder l'adresse de l'expéditeur pour s'assurer de la légitimité d'un mail.

        Du coup, le seul conseil qu'il faudrait alors donner (et on en revient à une seule règle, simple à comprendre et à mémoriser) : ne jamais cliquer sur un lien dans un mail ou, si on le fait quand même, ne jamais saisir des données sensibles ce faisant (typiquement login/password).

        Et bien sûr, ne pas mettre soi-même un lien type "Mon espace personnel" dans un mail qui donne cette recommandation de sécurité.

  • # Un autre exemple avec la MAIF

    Posté par  . Évalué à 10. Dernière modification le 05 mars 2022 à 14:23.

    Je suis président d'un petit club sportif avec une assurance de la MAIF.

    Début janvier, je reçois un e-mail (voir ci-dessous) intitulé «MAIF - Signature de votre Avenant au contrat Assurance multirisque Raqvam Associations et Collectivites (Societaire XXXXXXX)» m'expliquant que je dois signer un avenant de contrat relatif à certains risques liés au COVID et que si je ne le fais pas, l'assurance du club pourrait être annulée.

    Cela ne surprendra personne mais le club reçoit quasi-quotidiennement des e-mails de fishing (banques, assurances, services administratifs, …) et j'effectue donc quelques vérifications simples pour me débarrasser des fraudes les plus évidentes.

    Le texte de l'e-mail est bien rédigé sans grosses fautes d'orthographes. C'est un bon point. Ils indiquent également que je n'ai pas répondu à une précédente demande datant de septembre 2021 et je trouve en effet un ou plutôt 2 anciens e-mails similaires dans mon dossier SPAM.

    Maintenant, les gros problèmes qui expliquent pourquoi les précédents e-mails ont fini dans le SPAM!

    Pour commencer, l'expéditeur n'est pas maif.fr ou un autre site clairement associé à l'assureur mais no-reply@pes.docapost-bpo.com.

    Franchement, ça pue.

    Ensuite, le message contient 2 liens.
    1. Un lien 'signer' vers le domaine r.siba-mail.contralia.fr avec un URL de plusieurs centaines de caractères (genre encodage en base 73)
    2. Un lien 'bit.ly/questions-avenant' à «copier dans la barre d'adresse de votre navigateur web» pour accéder à la FAQ MAIF. Il s'agit en fait d'un autre URL à rallonge vers le domaine r.siba-mail.contralia.fr.

    À ce moment de l'analyse, mon détecteur de SPAM vient d'exploser. Il est évidemment hors de question de cliquer sur un lien r.siba-mail.contralia.fr dans un email envoyé par pes.docapost-bpo.com pour la MAIF. La seule chose qui m'a retenu d'envoyer cet e-mail rejoindre ses copains dans le dossier SPAM est que le numéro de sociétaire MAIF était correct. Ce n'est pas une information secrète mais cela ne se trouve pas facilement surtout qu'il s'agit d'un contrat d'assurance assez récent.

    J'ai évidemment fait un petit tour par l'espace personnel du club sur https://maif.fr mais je n'y ai trouvé aucune mention d'un avenant de contrat à signer. Cela aurait été trop simple.

    Au final, j'ai du perdre une ou deux heures à me renseigner sur contralia.fr et docapost-bpo.com et leurs rapports avec la MAIF. Après moult tergiversations (et croyez moi, j'ai moulté longtemps), je suis arrivé à la conclusion que cet avenant de contrat était réel.

    Et la où je ne sais pas si je dois rire ou pleurer, c'est concernant le lien vers la FAQ. Dans le message, il s'agit d'un vrai lien cliquable vers r.siba-mail.contralia.fr (donc non cliquable pour toute personne censée) alors que 'bit.ly/questions-avenant' redirige vers la page https://www.maif.fr/faq-contrat-multirisque-asso-collectivites que je n'aurais pas hésité à consulter si l'URL n'avait pas été caché.

    Donc je dis «Bravo à la MAIF, à Docapost et à Contralia».

    • [^] # Re: Un autre exemple avec la MAIF

      Posté par  . Évalué à 9.

      Pour les liens en bit.ly, tu peux vérifier quelle est sa destination en rajoutant le caractère + à la fin du lien.

      https://support.bitly.com/hc/en-us/articles/360039553192-How-to-verify-a-Bitly-link-s-destination

      • [^] # Re: Un autre exemple avec la MAIF

        Posté par  . Évalué à 5.

        Merci. C'est bon à savoir.

        Dans le cas présent, comme l'URL du bit.ly était donné dans un vrai lien vers r.siba-mail.contralia.fr, j'ai juste supposé qu'il renvoyait vers cet domaine donc je n'ai même pas essayé de le résoudre. J'aurai aussi pu le faire de façon sécurisé depuis une VM ou avec wget ou curl.

    • [^] # Re: Un autre exemple avec la MAIF

      Posté par  . Évalué à 3.

      J'ai reçu comme toi un document à signer via docapost. Et les mêmes constatations.
      La personne qui m'a envoyé ce document m'avait prévenu à l'avance et j'avais tout ce qu'il fallait pour vérifier que les liens étaient bons.

      Et pourtant, je les ai envoyé se faire f*#àtre, au simple motif que je ne pouvais pas accepter de laisser passer un truc qui pouvait provoquer autant de confusion. Docapost et ses partenaires n'ont qu'a revoir leur copie et faire quelquechose de plus propre !

  • # Noms de domaines

    Posté par  (site web personnel) . Évalué à 10.

    D'ailleurs, je ne sais pas si je suis le seul que ça énerve, le plan de nommage des noms de domaine utilisés par l'état.

    Si on veut apprendre au gens à ne pas aller sur n'importe quel site qui se prétend gouvernemental avec un joli logo, je trouve que c'est la pire idée du monde de créer des noms juste en .fr pour tout et n'importe quoi. Quelques exemples parmi une myriade :

    • ameli.fr
    • monespacesante.fr
    • service-public.fr
    • sante.fr, ars.sante.fr
    • signal-spam.fr
    • cnil.fr

    Si on veut que se développe de bonnes pratiques chez les usagers services, il faudrait peut-être que les services arrêtent de troubler le jeu ? Pour moi un grand pas en avant serait de décommissionner tous ces domaines au profit de sites en .gouv.fr, comme ça la règle est elle simple : c'est pas en .gouv.fr ? c'est pas l'état.

    • [^] # Commentaire supprimé

      Posté par  . Évalué à 4.

      Ce commentaire a été supprimé par l’équipe de modération.

      • [^] # Re: Noms de domaines

        Posté par  (site web personnel) . Évalué à 9. Dernière modification le 05 mars 2022 à 15:38.

        Ca empêche pas de les réserver. Mais ça ne devrait pas être les adresses de référence. Et progressivement, les gens se déshabitueraient de cette mauvaise habitude.

      • [^] # Re: Noms de domaines

        Posté par  (site web personnel, Mastodon) . Évalué à 5. Dernière modification le 05 mars 2022 à 15:44.

        J'ai cru comprendre que les histoires de noms de domaine dans l'administration française était un truc très compliqué. Et encore, il y a eu des progrès.

        Pour la sécurité sociale et la CNIL, de toute façon, ce ne sont pas des organismes gouvernementaux. D'ailleurs pourquoi Ameli ?

        « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

        • [^] # Re: Noms de domaines

          Posté par  (site web personnel) . Évalué à 7.

          Assurance Maladie En Ligne

          Oui il y a eu des progrès.
          Et oui, je suis conscient que c'est sans le moindre doute un gros bourbier : mais pour les nouveau domaines, au moins, ils pourraient faire un effort.

          Pour la CNIL et l'Assurance Maladie, c'est effectivement pas directement gouvernemental, MAIS ce sont des organismes publics. Et la CNIL est tout de même un organisme créé par une loi et avec une place dans la loi, on peut ergoter en disant qu'ils ne font pas partie du gouvernement, mais ça a toute sa place dans le .gouv.fr en tant qu'organisme officiel.

          D'ailleurs, un nom que je n'ai pas mis, mais dont je trouve particulièrement cocasse qu'il ne soit pas en .gouv :

          • gouvernement.fr

          ;o)

        • [^] # Re: Noms de domaines

          Posté par  . Évalué à 3.

          Ameli, c'est l'assurance maladie donc un service public:
          https://www.service-public.fr/particuliers/vosdroits/R3049

          En fait, ta remarque illustre bien le problème. Il n'est pas toujours facile de classer les «services publics» dans de jolis petits groupes bien délimités.

          Par exemple, il y a 100 ans La Poste était clairement un service public et une administration. De fait, jusqu'à la fin des années 90, il existait un ministres des postes et communications dans le gouvernement.

          Aujourd'hui, La Poste est une société anonyme française détenue en majorité par l'État Français. Est ce encore un service public? une administration? Cela se plaide mais la réponse est loin d'être simple.

      • [^] # Re: Noms de domaines

        Posté par  (site web personnel) . Évalué à 2.

        Je ne comprends pas comment un nom de domaine avec l'extension fr qui créé une confusion par son nom existe encore.

        Il n'y a même pas les mentions légales.

        Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: Noms de domaines

      Posté par  (site web personnel) . Évalué à 9.

      D'ailleurs, plutôt que de me contenter de râler sur linuxfr.org, dans l'esprit du libre, je viens de faire un "bug report" un peu plus poli sur numerique.gouv.fr.

  • # Petite question quant à une recommandation :

    Posté par  . Évalué à 3.

    Ma compagne a eu un mail incitant à ne pas mélanger les adresses privées et professionnelles et à ne pas s'envoyer de mail de l'adresse personnelle vers l'adresse professionnelle…ou inversement.

    Mais je n'ai pas compris pourquoi. Quel peut être le problème de cette action ?

    • [^] # Re: Petite question quant à une recommandation :

      Posté par  (site web personnel) . Évalué à 2.

      A une époque pas si lointaine certains webmail comme Hotmail se faisaient pirater très facilement, et toutes les adresses des correspondants collectées automatiquement se mettaient à recevoir des tonnes de spam, de phishing et autres arnaques.
      Donc si l'adresse pro se retrouve dans la liste, elle risque d'ajouter sa modeste contribution à la charge des filtres anti-spam de l'entreprise.
      D'autre part, si la profession est exposée au arnaques du type "fraude au président", le fait de pouvoir faire le lien sur l'identité d'une personne clef entre son adresse pro et perso pourrait dans quelques cas faciliter l'opération.
      Dernier point possible : l'entreprise est paranoïaque et redoute les fuites d'infos depuis un mail pro vers un mail perso.

    • [^] # Re: Petite question quant à une recommandation :

      Posté par  (site web personnel, Mastodon) . Évalué à 5.

      Une liste, non hiérarchisée :

      1. Mélange des genres,
      2. gmail étant un fournisseur très répandu d’adresses électronique de même qu’hotmail (bien que moins), pas envie que les données de l’entreprise arrivent aux USA en vertu du Cloud Act,
      3. sécurisation du système de messagerie électronique contre celles « grand public »,
      4. utilisation d’un matériel pas connu par l’entreprise pour accéder au courriel (et donc a priori douteux),
      5. éviter les bourdes du style : une personne répondant sans faire attention à un courriel professionnel à partir de son courriel privé.

      « Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.

    • [^] # Re: Petite question quant à une recommandation :

      Posté par  . Évalué à 2.

      Chez mon client actuel, je ne peux pas envoyer de mail à l'extérieur. Cette possibilité n'est accordée qu'à ceux qui pourrait en avoir besoin.
      Une parano sur la fuite d'information. Moins il y a d'échange avec l'extérieur, plus c'est facile à contrôler.

  • # plus problème d'ordre

    Posté par  (site web personnel, Mastodon) . Évalué à 4.

    Pour compléter le tableau, il y a bien sûr un gros bouton permettant d'accéder directement à son espace personnel, cette fois sans aucune recommandation vis à vis des précautions à prendre pour un lien incorporé dans un mail. Il est vrai qu'une fois l'expéditeur vérifié selon la méthode ci-dessus, le lien est forcément sûr…

    J'ai reçu le même message aussi. :) Ce que tu signales arrive à la fin du message …bien après le gros bouton (sur lequel les plus pressé-e-s auront cliqué avant de lire les recommandations que je remets ci-après)

    Pour votre sécurité :

    • ne répondez jamais à un courriel vous demandant votre numéro de carte bancaire ou une copie de vos pièces d'identité.
    • vérifiez toujours l'adresse de l'expéditeur des messages avant de les ouvrir. Pour la DGFiP, la partie droite de l'adresse doit être égale à @dgfip.finances.gouv.fr. Sinon, il s'agit d'un message frauduleux.
    • renseignez et validez votre numéro de téléphone portable sur impots.gouv.fr pour protéger l’accès à votre espace particulier.

    Je déplore au passage que le message ne soit pas en pur texte… Mais l'affront n'a pas été poussé jusqu'à faire le HTML avec des tableaux.

    “It is seldom that liberty of any kind is lost all at once.” ― David Hume

  • # la signature PGP

    Posté par  . Évalué à 3. Dernière modification le 07 mars 2022 à 13:36.

    je rêve d'un pgp.gouv.fr qui centraliserais les clé public des administrations et entre prise française, et nous recevons uniquement des mail signé que l'on prendra le temps de vérifier \o/.

    j'en envoyé une demande/an a free.fr pour leur mails, aux impots, a mes assurances, ma banque.

    un jour peut être au lieu de nous demander de travailler a leur place avec le risque de sécurité important que cela comporte, il le feront…

  • # Cette règle n'empêche pas les malware de circuler,

    Posté par  . Évalué à 1.

    mais elle permet d'éviter les formes graves avec débordement des systèmes d'information.

    O.V.

  • # Et pendant ce temps là à l'ANTS...

    Posté par  . Évalué à 2.

    On t'envoie des mails à partir de l'adresse ants@eloquant.fr… Pour me dire que je "viens de faire une demande" (en fait, il y a 3 jours) et que mon dossier sera traité sous 5 jours. En cherchant à quoi correspond cette adresse, j'ai appris que eloquant.fr est une "solution de grand qualité de la gestion client" -_- .

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.