divers

Les dangers de la communication par les organismes publiques et les entreprises

Madmaxx

8 min read
Les dangers de la communication par les organismes publiques et les entreprises

Mon parcours personnel et professionnel dans l'IT a fait de moi un éternel parano, et je considère tout ce qui est légitime comme frauduleux jusqu’à preuve du contraire.
Je vais essayer de vous faire suivre un cheminement qui m’amènera à considérer un mail légitime comme frauduleux, et cela de façon irrévocable me concernant.

Tout ce qui va suivre est un cheminement naturel, sans avoir besoin de le détailler comme ce qui va suivre, en temps normal, cela se joue en quelques secondes, un ressenti, une tournure, une présentation, tout y passe, tout comme une recherche sur un moteur de recherche, il y a des choses qui m’inspirent et d'autre non.

Tout se déroule dans une VM Debian 11 Bullseye avec un bureau Mate, sur un réseau séparé.
Le mail en question :

Juste l'objet, dans le contexte actuel, me donne juste envie de le supprimer, mais allons regardons cela de plus près.
Le contenu du mail semble plutôt légitime, à deux détails (minimum) prêts. Saurez-vous les voir ?

Le premier, c’est le bouton rouge sur lequel il faut cliquer.
Le deuxième point c'est le texte en rouge juste au-dessus :
« À noter : pour votre sécurité, aucune coordonnée bancaire ne vous sera demandée sur ce portail. »

Mais aussi la dernière ligne visible, « Pour votre sécurité », on essaye de me mettre en confiance O_o
« Aucune coordonnée bancaire ne vous sera demandée sur ce portail »
Là, c’est le pompon, si c’est vrai, pourquoi je dois m’y rendre pour valider mes coordonnées bancaires ?
Qu’en est-il si celles présentées ne sont pas les bonnes ?
Mon orthographe est exécrable, voir pique les yeux, mais je crois qu’« aucune coordonnée bancaire » aurait plutôt tendance à s’écrire :
« Aucunes coordonnées bancaires »
En temps normal, à ce stade, le mail fini en destruction et aucune suite ne sera donnée au demandeur.
Poursuivons un tout petit peu plus et regardons le mail comme un simple particulier :
Qui m’a envoyé cela...

J’ai le cerveau qui commence à faire des nœuds, c’est quoi eloquant.fr ? C’est qui ?

OK, donc la comm’ passe par eux, moi je le sais ou m’en doute, mais le particulier lambda, sans que cela soit péjoratif comme dénomination, il est à même de se demander où il est, pour peu qu’il soit un peu curieux, on l’embrouille et il ne comprend plus rien, rien à voir avec « Eau du Grand Lyon ».
j’ai poussé le vice à aller récupérer sur une page de ce site un cas client, celui de la société du Canal de Provence,

Je n’ai vu nulle part une mention faite au mailing, mais cela ne veut pas dire qu’il n’y en a pas. Le code source du site web me fait mal aux yeux, sachant que je suis face à des professionnels...

C’est éloquent, c’est le cas de le dire, déjà du Wordpress, c’est moyen, mais de ne pas le cacher et encore moins de modifier les différent path… C’est juste une question de temps avant qu’ils ne soient victimes d’un pirate ou un script caddie.
Bref passons,
Après s’être à peine intéressé à l’expéditeur, regardons cette adresse de réponse qui est précisée.

noreply@eaudugrandlyon.com
noreply, bon ça commence mal, pour les non anglophones, en gros cela veut dire ne pas répondre O_o
Un contact, ou reponses-a-vos-questions serait plus adéquate non ?
Maintenant allons sur le site en question :
eaudugrandlyon.com
Comme on est bien éduqué, on va aller directement taper l’adresse avec https:// bien sûr, car on nous a bien dit que les sites en https sont plus sûr, résultat :

Heu…
Bon, je vais essayer avec www

Là c’est clair pour moi on a à faire à des amateurs !!!
Des pro, mais des amateurs quand même
1) pas de redirection @ vers www
ou du www vers @
Quand on est un particulier, cela n’a pas grand intérêt, mais pour des pros ...
2) le certificat ssl
En matière de best practice, ils ont encore beaucoup à apprendre

Mais peut-être ont-ils voulu faire des économies, car un certificat cela coute cher mais la sécurité n’a pas de prix, sauf quand on a subi un piratage, mais pour cela c’est comme les sauvegardes, on s’en rend compte que lorsque l’on y a été confronté pour la grande majorité des cas.
Je m’explique, ce qui me choque c’est cela :

le wildcard

Par comparaison, en ce qui me concerne, j’utilise un certificat par domaine ou sous-domaine
Cela évite, une fois rentré, d'avoir les portes ouvertes à tout le domaine concerné, je ne détaillerai rien de plus à ce sujet ...
Bref, Des amateurs.

Revenons a notre lien a cliquer dans le mail, en affichant la source je le retrouve

Suivons-le...

Voilà le contenu de la page
Et en suivant

Et

Le lien nous contacter

Sur cette page en fait même pas un lien pour revenir au site original, pas un menu, rien.
Il y a bien les mentions légales, mais bon , pas envie de perdre mon temps à les lire, comparer, car pour moi rien n’est mis en œuvre pour se sentir en sécurité depuis le début, c’est-à-dire la lecture du mail en lui-même.

Pour comparer avec la page nous contacter du site eau du grand Lyon, voici à quoi elle ressemble.

Donc, ne pas réussir à faire un lien vers la page initiale de contact...
ce sont des amateurs !!!
Revenons un tout petit peu en arrière et regardons de plus près l’entête du mail dans sa source.

Maintenant du veolia ...
Bref passons, et en toute fin... Une image de taille 1x1

Qui doit se trouver ici dans le mail

En suivant ce lien dans la source du mail
On arrive sur une page noire

Donc le contenu est

Je ne pousse pas plus loin, mais il y aurait encore matière.

Conclusion :

A l’heure actuelle, en l’état des cybermenace, c’est une aberration de voir encore cela.
Cela devrait être puni par des sanctions, des amendes.
Un mail qui invite à se rendre sur son compte, par ses propre moyen est bien plus sécurisant qu’un mail qui demande à cliquer sur un lien.

Même le copier coller est dangereux, par exemple:

Piratage : Copier-coller des commandes issues d’une page web peut être très dangereux !
Gabriel Friedlander, chercheur en sécurité informatique, a démontré à quel point il peut être dangereux de copier-coller des commandes issues d’une page web.
PhonAndroidKevin Dachez

Il est continuellement rabâcher de ne pas cliquer sur les liens dans les mails, de ne pas faire confiance au demande d’identification par coordonnées bancaires, de faire attention aux appel téléphoniques (arnaque au président) etc.
Mais dans ce monde il y a plusieurs problèmes :
les entreprises/organismes, qui se comporte exactement comme il ne le faut pas, c’est a dire comme le ferai un éventuel pirate
le manque cruel de compétences et de connaissances des professionnels de l’IT, de part ce même comportement.
Beaucoup de ces professionnels, une fois sorti du cadre pro, oubli tout, mais alors tout, des bonnes pratique a mettre en œuvre, a « éduquer » leur proche à ces bonnes pratiques.
le cerveau est littéralement déposé au vestiaire !
beaucoup des ces professionnels ne connaissent que ce qu’on leur a appris sur les banc de la fac.
Mon parcours, non scolaire, fait-il de moi quelqu’un de meilleur ? Clairement non.
Par contre penser différemment, oui, voir les choses autrement, oui, voir « le mal » partout, oui.
plutôt que de ce précipiter sur la montée en compétence de telle ou telle nouvelle techno, peut-être serait-il bon de revenir a des essentiels, les base de la sécurité et tant qu’a faire, pas purement théorique, mais par l’exemple, en montrant ce qui est possible de faire avec un simple certificat let’s encrypt et une page web, comment lire des données en clair avec wireshark ou bien encore comment exploiter des données personnelles récupérer suite à un piratage en passant par le blocage d’un réseau à partir d’un simple téléphone vieux de plus de 10 ans.

La sonnette d’alarme est tiré depuis longtemps, par les acteurs de la sécurité, par l’ANSSI, par les chercheurs en sécurité, mais les leçons ne sont toujours pas retenue, nul n’échappe à l’incident, quand bien même c’est une société dédié à la cybersécurité.

Les enjeux sont tellement grand, il ‘n’y a de limite que l’esprit dans ce monde.
Je n’ai pas de solutions, je n’ai pas non plus la solution, mais ce que j’ai c’est cette méfiance permanente à égard du moindre mail, qui plus est, non sollicité.

Nos données personnelles sont partout, absolument partout, banques, assurances, médical, énergies, etc ..., mais aussi sur le moindre site marchand, les forums, les réseaux sociaux, …

réguler le net, comme le souhaiterait nos chers politiques, est une vaine utopie, impossible, tellement il y a de solutions de contournement avant même que des mesures soient en place et je reste convaincu que la neutralité du net doit prévaloir.

Que faire ?
En commençant par éduquer sérieusement les professionnels et tous les acteurs du numériques.
Pas sur une ou deux journées de formations, qui serviront strictement à rien, mais tout au long d’une carrière, être plus impliqué dans les risque cyber peut servir à mieux comprendre ce qui est possible.

Tous les voyants sont au rouges, au mettre titre que les enjeux écologiques, malheureusement, rien ne bougera avant une catastrophe d’ampleur, voir irréversible.

cette petite démonstration n'est pas faite à chaque mail, il me faut 2 à 3 secondes afin de savoir ce que je fais d'un mail, là il me semblait intéressant de partager cela, donc j'ai un peu décortiqué, on aurait pu aller beaucoup plus loin mais aucun intérêt

Finalement, ce mail était légitime, mais il n’a pas passé mes critères.

Il a été supprimé.