Le message pourrait facilement vous piéger. Sur sa copie de leur carte d’identité recto-verso ainsi qu’un justificatif de domicile.
Dans un exemple joint par le service, le message demande en effet plusieurs documents « dans le cadre de la vérification et pour des raisons de sécurité et de performance », faisant également référence à un arrêté, et prétendument signés par la direction du service. Les hackers ont réussi à brouiller les pistes en utilisant l’adresse email « noreply@france-identite.gouv.fr », qui correspond pourtant au nom de domaine du véritable site France Idété.
« Ne réponds pas du tout. France Identité n’est pas à l’origine de ces emails », prévient l’application qui appelle les utilisateurs à signaler ces messages rusés sur signal-spam.fr et cybermalveillance.gouv.fr. Contacté, le service n’a pas répondu pour l’heure à nos demandes.
Une faille de sécurité chez France Identité ?
Pour Thibaut Hénin, expert en sécurité informatique, les pirates auraient pu profiter d’une « faille de sécurité dans France Identity », réussissant à « pénétrer dans le réseau pour envoyer des emails depuis cette adresse ». Mais une autre possibilité, « que semble suggérer le service », est celle d’habiller l’adresse. « Lorsque vous envoyez un message à un serveur de messagerie, celui-ci le transmet au serveur destinataire, qui le remet ensuite aux utilisateurs. Mais à un certain moment, certains serveurs ne vérifiaient pas l’identité de l’expéditeur, comme une boîte postale qui délivrerait votre lettre sans vérifier que votre adresse, que vous avez inscrite sur l’enveloppe, est bien la bonne. », illustre-t-il.
Une méthode de piratage largement pratiquée il y a une vingtaine ou trente ans, mais depuis, de nombreux serveurs ont commencé à contrôler les adresses email d’envoi, « notamment en vérifiant les signatures cryptographiques du message ». « Il reste cependant possible que des hackers soient tombés sur des serveurs encore mal configurés et vulnérables, qui acceptent ce type de manœuvre frauduleuse et délivrent le faux message à leurs propres utilisateurs », souligne Thibaut Hénin.
Une fois le mail livré, les malfaiteurs espèrent récupérer des copies de documents officiels, notamment celle de la carte d’identité. « Ces copies permettront ensuite de procéder à des usurpations d’identité, par exemple pour générer de fausses fiches de salaire. Il sera alors possible de réaliser des arnaques, par exemple en revendant des profils avec des identités, ou en effectuant des démarches administratives en ligne, comme des crédits à la consommation », précise Nicolas Arpagian, expert en sécurité numérique et auteur de « La Cybersécurité », aux Presses Universitaires. de France.
Comment se protéger ?
Comment se prémunir contre ces risques et détecter les emails frauduleux dans les communications officielles de France Identity ? Avec cette adresse d’envoi identique à celle du service, difficile de réussir son arbitrage. Mais un indice peut vous mettre sur la voie : l’adresse « noreply@france-identite.gouv.fr » indique clairement en elle-même qu’elle n’appelle pas de réponse, contrairement à ce que vous demande le message.
Autre détail à noter : le champ « répondre à » dans l’en-tête de l’email qui vous est envoyé. Comme le souligne une fiche d’alerte sur cette arnaque publiée par la plateforme de cybersécurité de l’académie de Rennes, le mail est envoyé par l’adresse « noreply@france-identite.gouv.fr », renseignée dans le champ « de ». pour répondre, votre message n’est pas envoyé à cette adresse mais à une autre, pré-remplie par les hackers et cette fois très frauduleuse. Dans l’exemple utilisé par l’académie, cette adresse est « direction@france-identite-fr.info ». très différente de l’adresse officielle.
De manière générale, les experts attirent l’attention sur les fautes d’orthographe qui pourraient trahir les malfaiteurs, mais aussi les « appels à l’action », ces demandes urgentes qui vous poussent à répondre rapidement, sur un ton alarmiste, que vous ne retrouverez pas dans les vrais messages de votre services administratifs. « En cas de doute, la meilleure solution reste encore de se connecter à son espace personnel sur le site officiel ou sur l’application, et de voir si on nous demande d’effectuer une démarche », précise Nicolas Arpagian. Mais surtout, « pas dans la précipitation et si possible pas sur téléphone portable », insiste l’expert, pour éviter toute erreur de manipulation.