Une campagne d’email phishing ciblant les utilisateurs de l’application France Identity utilise une véritable adresse gouvernementale. Comment est-ce possible ?
» Dans le cadre de vérification et pour des raisons de sécurité et de performances. Merci de nous adresser par retour d’email, une copie de votre pièce d’identité scannée recto-verso et un justificatif de domicile valide. » Voici le mail de France Identity que vous êtes susceptible de recevoir.
Ce message du service gérant leapplicationapplication Le gouvernement, qui permet de dématérialiser la carte d’identité et le permis de conduire, paraît crédible. Hormis quelques grosses fautes d’orthographe et de mauvaise ponctuation, on pourrait presque y croire, puisque le message utilise une adresse officielle du gouvernement.
Il s’agit en réalité d’une campagne dehameçonnagehameçonnageautrement appelé hameçonnage. Généralement, en se faisant passer pour un service gouvernemental ou une grande entreprise, l’auteur de ce type d’arnaque cherche à récupérer des identifiants en incitant la victime à cliquer sur un lien. Dans ce cas, il s’agit d’une tentative d’usurpation d’identité avec des documents officiels. Mais ce qui la distingue des campagnes de phishing habituelles, c’est que l’adresse utilisée provient en réalité de France Idété.
Le message d’alerte de l’application France Identity pour avertir d’une campagne de phishing utilisant votre véritable adresse email. © France Identité
Une véritable adresse gouvernementale piratée
Mais comment la véritable messagerie de France Identity a-t-elle pu être utilisée ? Sans doute par une certaine légèreté à l’égard de la cybersécurité de la part de ce service qui est justement censé garantir une sécurité exemplaire. En réalité, si l’adresse de France Identity a pu être exploitée par l’auteur de ce message, c’est parce que France Identity utilise un protocole d’envoi d’email ancestral et peu sécurisé. Il s’agit de SMTP et, malheureusement, ce protocole ne permet pas d’authentifier les expéditeurs d’un e-mail. Cela signifie que n’importe qui peut utiliser cette adresse officielle pour envoyer un message.
France Identity a alerté les utilisateurs de cette arnaque via X (exTwitter) leur disant de ne pas répondre au message. Il est également probable que cette faille soit corrigée depuis sa découverte, du moins, on l’espère.