Vérifiez toujours l'adresse de l'expéditeur des messages avant de les ouvrir. Pour la DGFiP, la partie droite de l'adresse doit être égale à @dgfip.finances.gouv.fr. Sinon, il s'agit d'un message frauduleux.
Extrait d'un e-mail relatif à la sécurité reçu hier de la Directions des Finances (i.e. les impôts).
Je trouve ça particulièrement grave d'autant plus que c'est une recommendation qui se présente comme une bonne pratique "en général", pas seulement pour la DGFiP.
Pour compléter le tableau, il y a bien sûr un gros bouton permettant d'accéder directement à son espace personnel, cette fois sans aucune recommandation vis à vis des précautions à prendre pour un lien incorporé dans un mail. Il est vrai qu'une fois l'expéditeur vérifié selon la méthode ci-dessus, le lien est forcément sûr…
On parle de la DGFiP, c'est-a-dire d'une entité susceptible d'envoyer ça à des dizaines de millions de personnes.
# Condition nécessaire et pas suffisante
Posté par Pierre Tramal (site web personnel) . Évalué à 2.
Pour le premier point, il est juste dit que "Champ from en @dgfip truc" => "Message non frauduleux", ils ne prétendent pas que la réciproque est vraie ;-)
Après, es tu sûr que ce message vient bien de la DGFIP ? Que ce n'est pas un message pour préparer un phishing ultérieur ?
[^] # Re: Condition nécessaire et pas suffisante
Posté par pulkomandy (site web personnel, Mastodon) . Évalué à 10.
Précisément il est dit (si je comprend bien): "message avec un expéditeur différent de @dgfip -> forcément frauduleux". Ça ne dit justement pas l'inverse: "message avec un expéditeur = @dgfip -> forcément authentique"
Mais c'est vrai qu'il faut faire attention à bien manipuler les implications, les réciproques, etc, et tout le monde ne le fait pas correctement.
[^] # Re: Condition nécessaire et pas suffisante
Posté par Pierre Tramal (site web personnel) . Évalué à -10.
C'est équivalent (contraposée).
[^] # Re: Condition nécessaire et pas suffisante
Posté par Ben . Évalué à 10.
bah non, la contraposée de pas @dgfip => frauduleux, c'est authentique => mail en @dgfip
[^] # Re: Condition nécessaire et pas suffisante
Posté par mahikeulbody . Évalué à 6. Dernière modification le 05 mars 2022 à 12:57.
En toute rigueur, c'est effectivement une condition nécessaire mais pas suffisante. Mais en toute rigueur également, c'est une énorme faute de communication de la part d'une entité qui a la possibilité d'envoyer ce message à des millions de personnes qui vont juste comprendre que si @xxx alors c'est que le mail vient bien de xxx sans pour autant qu'on puisse les taxer d'idiots (et ça, pour tous les sites, pas que la DGFiP).
Oui.
Return-Path: <ne-pas-repondre@dgfip.finances.gouv.fr>
Received: from pf2pusi003.dgfip.finances.gouv.fr (pf2pusi003-9.dgfip.finances.gouv.fr. [145.242.11.67])
PS. Je me fais moinsser ; juste par curiosité car ça me semble cette fois incompréhensible : pourquoi ?
[^] # Re: Condition nécessaire et pas suffisante
Posté par BAKfr . Évalué à 0.
Je pense que tu te fais moinsser parce que tu sous-entend que le mail vient forcément de la DGFIP à cause des en-têtes que tu as cité. Hors, ce n'est pas le cas.
Return-Path, même une adresse d'un autre domaine.pf2pusi003.dgfip.finances.gouv.fr. Mais il n'y a aucun moyen de savoir si il appartient vraiment à la DGFiP, l'émetteur peut donner le nom qu'il veut.[^] # Re: Condition nécessaire et pas suffisante
Posté par mahikeulbody . Évalué à 4. Dernière modification le 06 mars 2022 à 13:54.
Effectivement, la situation est encore pire que je ne l'imaginais puisque même en regardant les entêtes j'aurais pu me faire avoir !
Mais tu trompes pour le moinsage : il avait déjà eu lieu avant même que je ne réponde de cette façon pour dire que j'étais sûr que le mail venait de la DGFiP. Ceci dit, cette question du moinsage est accessoire, c'était juste de la curiosité, ne m'y attendant pas sur un sujet a priori pas polémique.
Sinon, je confirme que la recommandation que je critique figure aussi sur le site de la DGFiP.
Donc pour résumer, s'il n'y a aucun moyen (accessible à un utilisateur normal) de détecter un phishing bien fait juste en analysant le mail (que ce soit via @xxx ou les entêtes), la seule recommandation qui vaille est "Ne cliquez jamais sur un lien dans un mail ou, si vous le faites, ne renseignez jamais de données personnelles (telles que login/password) sur la page web ainsi ouverte".
Celle de la DGFiP n'est pas fausse en soi mais elle a l'immense défaut de laisser croire que si elle est respectée, c'est ok.
Je constate d'ailleurs que cette recommandation ne figure pas dans le guide de l'ANSSI sur les mails : https://www.ssi.gouv.fr/particulier/precautions-elementaires/5-reflexes-a-avoir-lors-de-la-reception-dun-courriel/
[^] # Re: Condition nécessaire et pas suffisante
Posté par Jérôme FIX (site web personnel) . Évalué à 2.
Il disent tout de même :
(Sur le lien que tu donnes)
[^] # Re: Condition nécessaire et pas suffisante
Posté par mahikeulbody . Évalué à 4.
Certes (et c'est très bien), mais ça ne figure pas dans le mail que je citais. De plus, quand tu émets ce genre de recommandation, tu évites de coller un lien dans tes propres mails.
D'une façon plus générale, ne serait-il pas plus logique que chaque entité gouvernementale se serve du guide de l'ANSSI plutôt que d'improviser chacune de leur coté ce qui leur semble bien ou pas ?
[^] # Re: Condition nécessaire et pas suffisante
Posté par jyes . Évalué à 9. Dernière modification le 07 mars 2022 à 09:17.
Si, cette partie là est relativement fiable, car l’entête « Received: » est ajouté par le serveur qui reçoit. S’il n’y a pas d’intermédiaire douteux, en remontant la chaîne des relais avec les entêtes « Received: » on doit pouvoir s’assurer qu’à un moment le message est passé de l’émetteur proclamé (DGFiP) au serveur destinataire qui est de confiance. En effet, le champs « Received: » étant ajouté par le receveur, il y enregistre l’adresse IP qui lui a relayé le message et y ajoute éventuellement pour plus de clarté un reverse-DNS sur cette IP. Ici, il existe donc bien un enregistrement DNS pour l’IP 145.242.11.67 qui lui associe le nom « pf2pusi003-9.dgfip.finances.gouv.fr » donc qui est bien enregistré par un service de l’état.
Cela se vérifie en exécutant la même requête chez soi avec la commande
host 145.242.11.67. Ce qui est fiable ici ce n’est pas le nom « pf2pusi003.dgfip.finances.gouv.fr », mais « pf2pusi003-9.dgfip.finances.gouv.fr ». On notera d’ailleurs quehost pf2pusi003.dgfip.finances.gouv.frretourne une IP différente.[^] # Re: Condition nécessaire et pas suffisante
Posté par jben . Évalué à 4.
Cela reste quand même assez peu fiable. Deux manières de faire pour injecter cela:
la plus simple. Faire croire que le serveur qui envoie ne fait qu'un relai. C'est facile à faire, et le premier (temporellement)
Receivedpeut être complétement forgé. Il faut que le serveur qui mette leReceivedsoit aussi de confiance.la plus vicieuse. Techniquement rien m'empèche de mettre un reverse sur une IP à moi vers un nom
toto.dgfip.finances.gouv.fr., il faudrait aussi vérifier dans l'autre sens quetoto.dgfip.finances.gouv.fr.pointe vers l'IP en question.# En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 10.
La règle indiquée ("partie droite de l'adresse illégitime implique courriel frauduleux", et seulement dans ce sens) est une bonne règle qui devrait être mieux diffusée.
Alors, elle n'est pas suffisante, et en particulier elle ne parle pas des liens frauduleux envoyés avec une vraie adresse mail ; pas plus qu'elle ne garantit la contraposée. Néanmoins, cette seule règle permet de filtrer la grande majorité des courriels d'arnaque, et ce simple fait suffit pour qu'il soit intéressant d'en parler. Refuser toute la règle parce qu'elle ne couvre pas tous les cas serait clairement contre-productif.
J'ai vérifié sur mes différents comptes mails, tous les spams, même les plus crédibles visuellement, sont détectés grâce à cette règle (je vous invite à vérifier chez vous). Idem pour ceux reçus au boulot, y compris ceux qui ont réussi à piéger des collègues. D'ailleurs la règle commence à être connue et appliquée, parce que quand un service poussé par la RH nous a demandé de s'inscrire à partir d'une adresse mail foireuse (en gros : le service machin.com envoie ses mails en tant que machin-mailing.com…), beaucoup d'employés ont signé le mail comme frauduleux et ont attendu une confirmation officielle pour s'inscrire.
La connaissance libre : https://zestedesavoir.com
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 10.
En plus, c’est une règle facile à comprendre à adopter pour tout le monde.
Effectivement, je dirais que 100% des courriels d’hameçonnage que je reçois ont une adresse qui ne colle pas à ce qu’elle devrait être. Les tout derniers étant un truc censément envoyé par un officier de police judiciaire rapport à une histoire de pédopornographie, envoyé d’une adresse gmail et avec une réponse à une autre adresse gmail et une banque, à laquelle je ne suis pas, qui me demande avec insistance de confirmer mon numéro de mobile envoyé d’une adresse où le nom de la banque est totalement absent.
C’est peut-être pas suffisant, mais ça évite une énorme masse d’attrape-nigauds.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 6. Dernière modification le 05 mars 2022 à 14:27.
Je rajoute que même si elle est comprise aussi à l’envers (« la partie droite de l’adresse est OK donc le courriel est légitime »), ce qui semble être la crainte du journaliste, pour moi le rapport bénéfice/risque de cette règle reste en faveur de sa diffusion. Parce que les arnaques à base d’adresses mail illégitimes sont beaucoup plus nombreuses que les piratages ou usurpation de boites mails.
D’ailleurs, corrigez-moi si je dis une connerie, mais il me semble que maintenant la plupart des fournisseurs détectent et bloquent les usurpations triviales d’identité (celles qui consistent à mettre une autre adresse que la sienne dans le champ
from:du courriel).La connaissance libre : https://zestedesavoir.com
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par mahikeulbody . Évalué à 3. Dernière modification le 05 mars 2022 à 14:46.
Je ne suis pas journaliste :-)
La question d'un bénéfice/risque ne se pose pas puisqu'il ne s'agit pas de supprimer la phrase mais de la compléter : si from @yyy alors qu'on prétend être xxx => méfiance/rejet du mail mais même si from @xxx méfiance quand même et donc ne pas cliquer sur le lien/gros bouton "Votre Espace Personnel" dans le mail (pratique généralisée de la plupart des sites mais dangereuse puisqu'au final c'est l'objectif d'un psishing).
Je suis aussi intéressé par la réponse (attention cependant au "la plupart" => il en suffit d'un aux fraudeurs).
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 6.
« Journaliste » dans le sens de celui qui écrit un journal sur linuxfr.org ;-)
Il faut aussi prendre en compte le fait qu’un message trop long et complexe ne sera pas compris, pris en compte ni même lu. Mieux vaux une règle simple qui fonctionne en général qu’une règle complète qui ne fonctionne plus du tout parce qu’inapplicable.
Même si dans le fond, je suis d’accord pour dire que ça serait mieux le grand public connaissent la règle complète.
La connaissance libre : https://zestedesavoir.com
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 5.
Diariste, dans ce cadre eut été le terme adapté :-) Même si ce n'est pas très intime.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Diariste
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Merci pour l'info :-) Je connaissais diarist (le terme anglais) pour une personne qui tient un diary (journal intime…) Je ne sais pas si le sens a autant glissé en français …parce-que quand c'est public (par opposition à privé/intime) et par moyen numérique comme ici, c'est un blogue (ou blog en anglais) dont les entrées/notes/articles/etc, sont qualifiés de billets et les auteurs/auteures/autrices sont des blogueurs/blogueuses (ou blogger en anglais.)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par mahikeulbody . Évalué à 3.
Ça, c'est compliqué ou trop long ?
(le commentaire racontant l'histoire d'un avenant MAIF montre que ces deux règles ne marchent pas forcément, mais au moins elles évitent le phishing)
Parce qu'en attendant que quelqu'un confirme ici que tous les fournisseurs de messagerie interdisent l'envoi de mails avec un from différent de ceux qui ont été enregistrés (après validation, comme le fait gmail, par exemple), ne pas ajouter la 2ème règle c'est prendre le risque que les gens oublient qu'elle ne marche que dans un sens et cliquent, rassurés, sur le lien présent dans le mail.
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par Liorel . Évalué à 4.
Alors, sur ce point, j'aimerais savoir comment ils font (c'est pas une question rhétorique, je suis vraiment preneur d'une explication).
Parce qu'autant je vois très bien comment gmail peut détecter qu'un mail from @gmail.com vient bien de son expéditeur annoncé, autant je ne vois pas comment gmail fait pour vérifier qu'un mail from interieur.gouv.fr vient bien de interieur.gouv.fr. Une bonne âme pour m'expliquer comment il fait concrètement ?
Ça, ce sont les sources. Le mouton que tu veux est dedans.
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par GG (site web personnel) . Évalué à 9.
Avec SPF, qui est un des moyens.
https://fr.wikipedia.org/wiki/Sender_Policy_Framework
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 8.
Un autre outil de l'arsenal est DKIM
https://fr.wikipedia.org/wiki/DomainKeys_Identified_Mail
https://fr.wikipedia.org/wiki/DMARC
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par mahikeulbody . Évalué à 2.
Il ne s'agit pas de refuser la règle mais de la formuler sans laisser le moindre doute sur le fait qu'elle ne marche que dans un sens.
Tu parles de mails d'arnaque :
puis après tu dis que :
Les spammeurs ne cherchant pas, en général, à se faire passer pour quelqu'un d'autre, je ne suis pas convaincu que ton observation s'applique aussi aux mails frauduleux (qui sont pourtant la cible de la recommandation du mail de la DGFiP).
Mais supposons que ton observation s'applique aussi aux mails frauduleux (je ne peux pas le vérifier, je n'ai pas conservé les très rares que j'ai pu recevoir dans le passé), quel serait le mécanisme, selon toi, qui expliquerait que les arnaqueurs ne mettent pas une adresse d'expéditeur en @xxx quand ils prétendent être xxx ? Si la seule réponse est "parce que personne ne prête attention à ça, donc c'est pas la peine", rien ne les empêchera de changer quand toute la population sera bien éduquée sur le fait que si from @xxx, alors c'est bon, c'est xxx. Et là, on regrettera de n'avoir pas pris la peine d'être un peu plus clair sur la recommandation initiale alors que ça n'aurait pas coûté plus cher.
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 7.
Pour l’usurpation d’identité, tout ce qui est envoyé sur Gmail et qui a un
From:différent de l’ent-êtreAuthentication-Results: […] smtp.mailfrom=[…]pars en spam avec ce gros avertissement :Quant aux spammeurs, ceux que j’ai essaient souvent de se faire passer pour quelqu’un d’autre. Je passe sous silence ceux qui essaient de se faire passer pour mon fournisseur de nom de domaine, ça c’est relativement ciblé et orienté geek. Côté grand public, rien qu’avec ce que j’ai en ce moment dans mes spams (donc de moins de 30 jours), j’ai des gens qui essaient de se faire passer pour : Leclerc, La Poste, LIDL, SFR, McAffee, Dyson, Orange, les comptes de formation, Free, CDiscount, Darty, et à peu près toutes les sociétés qui livrent des colis en France. À la louche, c’est 2/3 des spams, le tiers restant n’étant pas des tentatives d’usurpation d’identité.
Enfin, je pense que tu as tendance à oublier que le message du service des impôts s’adresse au très grand public, pas spécialement à des gens qui ont déjà des réflexes corrects avec l’informatique.
La connaissance libre : https://zestedesavoir.com
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 5.
Pour avoir au affaire (en formation notamment) au très grand public et à des gens qui ne savent pas trop comment est construit et un courriel et encore moins comment ça fonctionne, j'acquiesce. Si déjà, toutes ces personnes avaient le réflexe de vérifier les adresses électroniques des courriels, il y aurait un bon paquet d'arnaques évitées ainsi que pas mal d'angoisses en moins.
Même la suggestion d'avoir une adresse électronique spécifique par exemple pour les banques et l'administration qui n'est communiquée à personne d'autre est parfois trop compliqué pour certaines personnes (rien à voir avec l'âge ou le niveau intellectuel).
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par mahikeulbody . Évalué à 3. Dernière modification le 05 mars 2022 à 16:32.
Je distinguais spam (j'essaie de te vendre un truc) et phishing (j'essaie de te faire croire que je suis quelqu'un d'autre pour que tu cliques en confiance sur le lien dans le message, et @xxx = xxx est un moyen de te tromper). Le malentendu vient du fait que la plupart du temps les deux finissent dans la boite spam.
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Oui, distinction entre pollueurs/forceurs (qui vous noient de prospectus) et arnaqueurs. Les interfaces sont trop mal traduites ; en français ça devrait être le dossier (ce n'est pas une boite) des indésirables (ce n'est pas que du spam.) Bon, je chipote, mais je ne fais que suivre le ton de la précision demandée par le journal. :-)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par eingousef . Évalué à 4.
Pire encore : des fois, c'est vraiment eux !
*splash!*
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par xulops (site web personnel) . Évalué à 5.
C'est un mauvais conseil car ils confondent le "From:" de l'entête du mail avec le "MAIL FROM:" du protocole SMTP. Les deux peuvent bien entendu être différents.
Les clients de messagerie affichent le "From:" de l'entête, or il est facile d'envoyer un mail à partir d'une autre boîte avec un "From:" d'entête faux.
Je peux, avec ma boîte mail en @toucequevousvoulez.ici, envoyer un mail qui affichera @autrechose.la dans la messagerie du destinataire.
Bref, il est inutile de regarder l'adresse de l'expéditeur pour s'assurer de la légitimité d'un mail.
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par SpaceFox (site web personnel, Mastodon) . Évalué à 2.
Même question que plus haut : ça fonctionne encore avec les serveurs SMTP grand public ce genre de chose ? Pour moi, non, mais je n’ai plus de source sous la main.
La connaissance libre : https://zestedesavoir.com
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 3.
J'y ai accès avec Thunderbird. Mais, effectivement, le courrielleur de mon téléphone ne permet pas de les avoir et en plus il faut que j'affiche (acte volontaire) les infos détaillées pour avoir l'adresse de l'émetteur.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par xulops (site web personnel) . Évalué à 3.
Thunderbird n'affiche que les infos du mail, pas les échanges complets entre serveurs SMTP. Les serveurs ajoutent souvent des trucs au passage dans l'entête, mais ce n'est pas systématique, loin de là.
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 3.
C'est beaucoup plus que que le presque rien de mon appli de téléphone !
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par GG (site web personnel) . Évalué à 5.
Avec K9mail, sur F-droid, tu peux afficher les en-têtes des emails, et choisir d"afficher soit l'email soit le nom du correspondant.
C'est aussi une des seules application sur smartphone qui te permette d'envoyer en texte seul.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par mahikeulbody . Évalué à 3.
On peut demander l'affichage de la source du mail et là on voit tous les échanges. Idem sur gmail.
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 2.
Oui c'est ce que je fait quand j'ai un doute. Encore faut-il comprendre tout ce qui se passe.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par mahikeulbody . Évalué à 3.
C'est en effet parfois très compliqué mais il me semble que regarder juste le champ return path suffit dans notre cas, non ?
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Moi je regarde (si présent) :
Et je confirme que plus ça va et moins ces infos sont accessibles dans les courrieleurs, en particulier les trucs web ou smartphone …ainsi qu'un client lourd que nombre d'entreprises continuent d'utiliser et qui complexifie tout en plus d'être contre-productif à mon goût.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par GG (site web personnel) . Évalué à 2.
K9mail sur F-droid affiche une partie de tout ça, et sinon il faut faire afficher les en-têtes.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par jyes . Évalué à 4.
Non, on ne voit pas tous les échanges, on voit juste la source mais elle ne contient pas tous les échanges. En fonction des serveurs par lesquels est passé le message, l’information peut être plus ou moins riche. En général, les serveurs ajoutent un entête « Received: » mais ça n’est pas une obligation, ils peuvent aussi ajouter d’autres trucs (comme des infos pour les filtres anti-spam), mais le « MAIL FROM: » du protocole SMTP auquel faisait référence xulops n’y est pas souvent (je ne l’ai jamais vu). Encore une fois, cela dépend complètement de choix d‘opération des serveurs. Quand j‘utilise mon service de messagerie professionnelle, j’ai remarqué que si j’utilise une adresse qui n’est pas associée à mon compte, il me laisse « usurper »1 cette identité mais ajoute un en-tête avec l’identifiant de l’expéditeur.
évidemment entre guillemets car nous le faisons pour des usages légitimes, comme répondre à la place d’un·e collègue sur une adresse de contact, etc. ↩
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par palm123 (site web personnel) . Évalué à 3.
l'extension mailhops de Thunderbird affiche le pays et la ville d'envoi du mail
Pas forcément une règle absolue, mais par exemple le mail parlant de pedopornographie et de la gendarmerie nationale, venant d'un compte Gmail avec en copie un compte Gmail, vient de Californie (Mountain View)
https://addons.thunderbird.net/fr/thunderbird/addon/mailhops/
ウィズコロナ
[^] # Re: En fait c'est une bonne règle, qui devrait être mieux diffusée
Posté par mahikeulbody . Évalué à 5.
Les gens l'oublient ou ne savent pas c'est possible car les messageries comme gmail l'interdisent (on peut ajouter des from mais après validation que c'est bien toi).
Du coup, le seul conseil qu'il faudrait alors donner (et on en revient à une seule règle, simple à comprendre et à mémoriser) : ne jamais cliquer sur un lien dans un mail ou, si on le fait quand même, ne jamais saisir des données sensibles ce faisant (typiquement login/password).
Et bien sûr, ne pas mettre soi-même un lien type "Mon espace personnel" dans un mail qui donne cette recommandation de sécurité.
# Un autre exemple avec la MAIF
Posté par SChauveau . Évalué à 10. Dernière modification le 05 mars 2022 à 14:23.
Je suis président d'un petit club sportif avec une assurance de la MAIF.
Début janvier, je reçois un e-mail (voir ci-dessous) intitulé «MAIF - Signature de votre Avenant au contrat Assurance multirisque Raqvam Associations et Collectivites (Societaire XXXXXXX)» m'expliquant que je dois signer un avenant de contrat relatif à certains risques liés au COVID et que si je ne le fais pas, l'assurance du club pourrait être annulée.
Cela ne surprendra personne mais le club reçoit quasi-quotidiennement des e-mails de fishing (banques, assurances, services administratifs, …) et j'effectue donc quelques vérifications simples pour me débarrasser des fraudes les plus évidentes.
Le texte de l'e-mail est bien rédigé sans grosses fautes d'orthographes. C'est un bon point. Ils indiquent également que je n'ai pas répondu à une précédente demande datant de septembre 2021 et je trouve en effet un ou plutôt 2 anciens e-mails similaires dans mon dossier SPAM.
Maintenant, les gros problèmes qui expliquent pourquoi les précédents e-mails ont fini dans le SPAM!
Pour commencer, l'expéditeur n'est pas maif.fr ou un autre site clairement associé à l'assureur mais no-reply@pes.docapost-bpo.com.
Franchement, ça pue.
Ensuite, le message contient 2 liens.
1. Un lien 'signer' vers le domaine r.siba-mail.contralia.fr avec un URL de plusieurs centaines de caractères (genre encodage en base 73)
2. Un lien 'bit.ly/questions-avenant' à «copier dans la barre d'adresse de votre navigateur web» pour accéder à la FAQ MAIF. Il s'agit en fait d'un autre URL à rallonge vers le domaine r.siba-mail.contralia.fr.
À ce moment de l'analyse, mon détecteur de SPAM vient d'exploser. Il est évidemment hors de question de cliquer sur un lien r.siba-mail.contralia.fr dans un email envoyé par pes.docapost-bpo.com pour la MAIF. La seule chose qui m'a retenu d'envoyer cet e-mail rejoindre ses copains dans le dossier SPAM est que le numéro de sociétaire MAIF était correct. Ce n'est pas une information secrète mais cela ne se trouve pas facilement surtout qu'il s'agit d'un contrat d'assurance assez récent.
J'ai évidemment fait un petit tour par l'espace personnel du club sur https://maif.fr mais je n'y ai trouvé aucune mention d'un avenant de contrat à signer. Cela aurait été trop simple.
Au final, j'ai du perdre une ou deux heures à me renseigner sur contralia.fr et docapost-bpo.com et leurs rapports avec la MAIF. Après moult tergiversations (et croyez moi, j'ai moulté longtemps), je suis arrivé à la conclusion que cet avenant de contrat était réel.
Et la où je ne sais pas si je dois rire ou pleurer, c'est concernant le lien vers la FAQ. Dans le message, il s'agit d'un vrai lien cliquable vers r.siba-mail.contralia.fr (donc non cliquable pour toute personne censée) alors que 'bit.ly/questions-avenant' redirige vers la page https://www.maif.fr/faq-contrat-multirisque-asso-collectivites que je n'aurais pas hésité à consulter si l'URL n'avait pas été caché.
Donc je dis «Bravo à la MAIF, à Docapost et à Contralia».
[^] # Re: Un autre exemple avec la MAIF
Posté par Donk . Évalué à 9.
Pour les liens en bit.ly, tu peux vérifier quelle est sa destination en rajoutant le caractère + à la fin du lien.
https://support.bitly.com/hc/en-us/articles/360039553192-How-to-verify-a-Bitly-link-s-destination
[^] # Re: Un autre exemple avec la MAIF
Posté par SChauveau . Évalué à 5.
Merci. C'est bon à savoir.
Dans le cas présent, comme l'URL du bit.ly était donné dans un vrai lien vers r.siba-mail.contralia.fr, j'ai juste supposé qu'il renvoyait vers cet domaine donc je n'ai même pas essayé de le résoudre. J'aurai aussi pu le faire de façon sécurisé depuis une VM ou avec wget ou curl.
[^] # Re: Un autre exemple avec la MAIF
Posté par 42nodid . Évalué à 3.
J'ai reçu comme toi un document à signer via docapost. Et les mêmes constatations.
La personne qui m'a envoyé ce document m'avait prévenu à l'avance et j'avais tout ce qu'il fallait pour vérifier que les liens étaient bons.
Et pourtant, je les ai envoyé se faire f*#àtre, au simple motif que je ne pouvais pas accepter de laisser passer un truc qui pouvait provoquer autant de confusion. Docapost et ses partenaires n'ont qu'a revoir leur copie et faire quelquechose de plus propre !
# Noms de domaines
Posté par mrlem (site web personnel) . Évalué à 10.
D'ailleurs, je ne sais pas si je suis le seul que ça énerve, le plan de nommage des noms de domaine utilisés par l'état.
Si on veut apprendre au gens à ne pas aller sur n'importe quel site qui se prétend gouvernemental avec un joli logo, je trouve que c'est la pire idée du monde de créer des noms juste en .fr pour tout et n'importe quoi. Quelques exemples parmi une myriade :
Si on veut que se développe de bonnes pratiques chez les usagers services, il faudrait peut-être que les services arrêtent de troubler le jeu ? Pour moi un grand pas en avant serait de décommissionner tous ces domaines au profit de sites en .gouv.fr, comme ça la règle est elle simple : c'est pas en .gouv.fr ? c'est pas l'état.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Noms de domaines
Posté par mrlem (site web personnel) . Évalué à 9. Dernière modification le 05 mars 2022 à 15:38.
Ca empêche pas de les réserver. Mais ça ne devrait pas être les adresses de référence. Et progressivement, les gens se déshabitueraient de cette mauvaise habitude.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 1.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Noms de domaines
Posté par Faya . Évalué à 6.
La palme revient à la gendarmerie :
gendarmerie.interieur.gouv.fr
contacterlagendarmerie.fr
magendarmerie.fr
boutique.gendarmerienationale.fr
https://ewatchers.org/article/les-multiples-adresses-internet-utilisees-par-la-gendarmerie-nationale-font-prendre-des-risques-aux-internautes-37
[^] # Re: Noms de domaines
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Purée… ce collector est à vous donner la migraine
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Noms de domaines
Posté par Tonton Th (site web personnel, Mastodon) . Évalué à 6.
https://contactermagendarmerie.fr/ :)
[^] # Re: Noms de domaines
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 5. Dernière modification le 05 mars 2022 à 15:44.
J'ai cru comprendre que les histoires de noms de domaine dans l'administration française était un truc très compliqué. Et encore, il y a eu des progrès.
Pour la sécurité sociale et la CNIL, de toute façon, ce ne sont pas des organismes gouvernementaux. D'ailleurs pourquoi Ameli ?
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Noms de domaines
Posté par mrlem (site web personnel) . Évalué à 7.
Assurance Maladie En Ligne
Oui il y a eu des progrès.
Et oui, je suis conscient que c'est sans le moindre doute un gros bourbier : mais pour les nouveau domaines, au moins, ils pourraient faire un effort.
Pour la CNIL et l'Assurance Maladie, c'est effectivement pas directement gouvernemental, MAIS ce sont des organismes publics. Et la CNIL est tout de même un organisme créé par une loi et avec une place dans la loi, on peut ergoter en disant qu'ils ne font pas partie du gouvernement, mais ça a toute sa place dans le .gouv.fr en tant qu'organisme officiel.
D'ailleurs, un nom que je n'ai pas mis, mais dont je trouve particulièrement cocasse qu'il ne soit pas en .gouv :
;o)
[^] # Re: Noms de domaines
Posté par SChauveau . Évalué à 3.
Ameli, c'est l'assurance maladie donc un service public:
https://www.service-public.fr/particuliers/vosdroits/R3049
En fait, ta remarque illustre bien le problème. Il n'est pas toujours facile de classer les «services publics» dans de jolis petits groupes bien délimités.
Par exemple, il y a 100 ans La Poste était clairement un service public et une administration. De fait, jusqu'à la fin des années 90, il existait un ministres des postes et communications dans le gouvernement.
Aujourd'hui, La Poste est une société anonyme française détenue en majorité par l'État Français. Est ce encore un service public? une administration? Cela se plaide mais la réponse est loin d'être simple.
[^] # Re: Noms de domaines
Posté par Nicolas Boulay (site web personnel) . Évalué à 4.
Au pire, il devrait y avoir une redirection depuis un gouv.fr pour valider qu'un site est bien un site officiel.
"La première sécurité est la liberté"
[^] # Re: Noms de domaines
Posté par GG (site web personnel) . Évalué à 2.
Je ne comprends pas comment un nom de domaine avec l'extension fr qui créé une confusion par son nom existe encore.
Il n'y a même pas les mentions légales.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Noms de domaines
Posté par mrlem (site web personnel) . Évalué à 9.
D'ailleurs, plutôt que de me contenter de râler sur linuxfr.org, dans l'esprit du libre, je viens de faire un "bug report" un peu plus poli sur numerique.gouv.fr.
# Petite question quant à une recommandation :
Posté par Stinouff . Évalué à 3.
Ma compagne a eu un mail incitant à ne pas mélanger les adresses privées et professionnelles et à ne pas s'envoyer de mail de l'adresse personnelle vers l'adresse professionnelle…ou inversement.
Mais je n'ai pas compris pourquoi. Quel peut être le problème de cette action ?
[^] # Re: Petite question quant à une recommandation :
Posté par Micromy (site web personnel) . Évalué à 2.
A une époque pas si lointaine certains webmail comme Hotmail se faisaient pirater très facilement, et toutes les adresses des correspondants collectées automatiquement se mettaient à recevoir des tonnes de spam, de phishing et autres arnaques.
Donc si l'adresse pro se retrouve dans la liste, elle risque d'ajouter sa modeste contribution à la charge des filtres anti-spam de l'entreprise.
D'autre part, si la profession est exposée au arnaques du type "fraude au président", le fait de pouvoir faire le lien sur l'identité d'une personne clef entre son adresse pro et perso pourrait dans quelques cas faciliter l'opération.
Dernier point possible : l'entreprise est paranoïaque et redoute les fuites d'infos depuis un mail pro vers un mail perso.
[^] # Re: Petite question quant à une recommandation :
Posté par Stinouff . Évalué à 1.
Ok ! Rien de très grave concernant mon cas, mais c'est vrai que ce point me laissait dubitatif ! Merci pour les hypothèses ! :)
[^] # Re: Petite question quant à une recommandation :
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 5.
Une liste, non hiérarchisée :
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Petite question quant à une recommandation :
Posté par mazarini . Évalué à 2.
Chez mon client actuel, je ne peux pas envoyer de mail à l'extérieur. Cette possibilité n'est accordée qu'à ceux qui pourrait en avoir besoin.
Une parano sur la fuite d'information. Moins il y a d'échange avec l'extérieur, plus c'est facile à contrôler.
[^] # Re: Petite question quant à une recommandation :
Posté par flavien75 . Évalué à 2.
[je suis hors-sujet]
Chez mon client précédent, FTP était bloqué.
Par contre SSH passait…
Et les clefs USB n'étaient pas bloquées (j'avais des collègues qui ramenait du boulot à la maison).
Les vrais naviguent en -42
[^] # Re: Petite question quant à une recommandation :
Posté par mahikeulbody . Évalué à 3.
Comme quoi la parano, c'est pas mal, mais pour une vraie sécurité, les compétences, c'est mieux.
[^] # Re: Petite question quant à une recommandation :
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Y a toujours un moyen ; si ça se trouve ils utilisent 1drive externe… un cher poing… un timz… ou équivalents.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
# plus problème d'ordre
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4.
J'ai reçu le même message aussi. :) Ce que tu signales arrive à la fin du message …bien après le gros bouton (sur lequel les plus pressé-e-s auront cliqué avant de lire les recommandations que je remets ci-après)
Je déplore au passage que le message ne soit pas en pur texte… Mais l'affront n'a pas été poussé jusqu'à faire le HTML avec des tableaux.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
# la signature PGP
Posté par ChocolatineFlying . Évalué à 3. Dernière modification le 07 mars 2022 à 13:36.
je rêve d'un pgp.gouv.fr qui centraliserais les clé public des administrations et entre prise française, et nous recevons uniquement des mail signé que l'on prendra le temps de vérifier \o/.
j'en envoyé une demande/an a free.fr pour leur mails, aux impots, a mes assurances, ma banque.
un jour peut être au lieu de nous demander de travailler a leur place avec le risque de sécurité important que cela comporte, il le feront…
# Cette règle n'empêche pas les malware de circuler,
Posté par Xinul . Évalué à 1.
mais elle permet d'éviter les formes graves avec débordement des systèmes d'information.
O.V.
# Et pendant ce temps là à l'ANTS...
Posté par aiolos . Évalué à 2.
On t'envoie des mails à partir de l'adresse
ants@eloquant.fr… Pour me dire que je "viens de faire une demande" (en fait, il y a 3 jours) et que mon dossier sera traité sous 5 jours. En cherchant à quoi correspond cette adresse, j'ai appris que eloquant.fr est une "solution de grand qualité de la gestion client" -_- .[^] # Re: Et pendant ce temps là à l'ANTS...
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Eh oui, comme pour la MAIF (évoqué plus tôt), les prestataires en rajoutent littéralement une couche qui ne simplifie pas la sécurité de manière éloquente…
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.