Les cybercriminels adaptent leurs phishing aux dernières tendances, mais ils savent aussi capitaliser sur des valeurs sûres. Plus de 10 ans après son apparition, nous avons trouvé une nouvelle itération d'un phishing des impôts. Le retrouverons-nous encore dans 10 ans ?

Raphaël s’inquiète : un email de phishing se faisant passer pour les impôts a atterri dans sa boîte de réception. Pourtant, il utilise une adresse Gmail, qui filtre habituellement ces menaces. L’auteur du message, un prétendu « Conciliateur fiscal » l’informe que « son remboursement est disponible », à condition de remplir un dossier dans les 10 prochains jours.

Une petite recherche sur ce schéma d’arnaque, signé sous le nom « Philippe Berger », et nous trouvons de premiers articles sur le sujet, datés de… 2009. À l’époque, itexpresso.fr et toutsurmesfinances.com préviennent qu’un phishing, similaire presque mot pour mot au nôtre, circule, et conseillent de supprimer le message.

Voici le faux email des impôts reçu par Raphaël, quasi identique à un email de 2009. // Source : Numerama

Le premier site précise que l’email passe outre le filtre antispam de Outlook, la messagerie de Microsoft. Le second ajoute que « le fisc a déposé plainte » et que «  une enquête judiciaire est en cours ».

Mais 11 ans plus tard, la même arnaque circule, et elle passe toujours au travers des filtres antispam des plus gros services d’emails. Chaque année, elle fait des victimes parmi les personnes les moins éduquées sur les questions de sécurité informatique, qui perdent plusieurs centaines, voire milliers d’euros.

Malgré l’amélioration continue des outils de détection automatique, cette arnaque revient inlassablement. En l’état, il est possible qu’elle circule encore en 2030.

Toujours un nouveau moyen pour usurper l’identité des impôts

Reprenons l’email de phishing reçu par Raphaël. Sa grande force est de passer par-dessus les filtres antispam des principaux services d’emails. De nombreux utilisateurs y seront donc exposés.

Quand nous recevons l’email, l’émetteur qui s’affiche est « ne-pas-repondre@dgfip.finances.gouv.fr ». C’est crédible : « dgfip.finances.gouv.fr » correspond au nom de domaine du site officiel de la Direction générale des finances publiques, et de nombreuses organisations utilisent des adresses « ne pas répondre » pour envoyer des emails génériques.

Les pirates parviennent à se faire passer pour une adresse officielle de la direction des impôts. // Source : Numerama

« Usurper le nom présenté est simple, n’importe qui peut se présenter comme il veut », commence Philippe Rondel, Senior Security Architect chez Check Point, lorsque Numerama lui présente l’entourloupe. Nous avions nous-mêmes fait la manipulation lors d’une recherche sur un phishing de la Fnac. Mais en théorie, cet affichage trafiqué devrait être détecté par les différents serveurs que l’email traverse avant d’aboutir dans la boîte de réception du destinataire. Chacun pourrait valider ou non la prétendue identité de l’émetteur, et avertir l’utilisateur le cas échéant. Dans le cas du phishing de la Fnac par exemple, Gmail le triait dans les spams grâce à ce système.

Mais les serveurs, dits « de relais », par lesquels circule l’email, ne vérifient pas toujours l’identité de l’émetteur. Il suffit qu’un serveur de relais délègue la responsabilité de la validation à un autre serveur en qui il a un haut niveau de confiance pour que l’entourloupe passe inaperçue. Il suffit alors que la fausse adresse ait été validée par erreur par un des maillons de la chaîne. «  Les principaux fournisseurs ont tendance à faire de bonnes validations, mais les serveurs relais qui appartiennent à des fournisseurs bas de gamme ne le feront pas toujours », précise l’expert.

Un adresse dans l’Utah se fait passer pour les impôts français

Quand nous remontons à la source de l’envoi du phishing des impôts, nous trouvons une adresse en « @sunrivertoday.com », citée dans un appel à un concours de poème dans l’Utah en 2010. Bref : il s’agit vraisemblablement d’une adresse email piratée. « La personne qui utilise l’adresse a la possibilité d’envoyer un email en donnant une autre adresse dans le champ ‘from !’ », constate Philippe Rondel. C’est ici que le pirate commence à se faire passer pour « ne-pas-repondre@dgfip.finances.gouv.fr », profitant d’une permission de emailsrv.com, le fournisseur d’email de « @sunrivertoday.com ».

« Dans un deuxième temps, le serveur emailsrv.com envoie l’email au serveur de Free, qui gère la boîte mail du destinataire », enchaîne notre interlocuteur. Il relève que le serveur de Free n’émet qu’une note de 30 (sur 100) dans son évaluation de légitimité, mais elle s’avère suffisante pour ne pas être rejetée.

Ensuite la boîte Gmail de Raphaël est paramétrée pour venir chercher les emails dans sa boîte Free, via un protocole appelé pop3. «  À ce moment-là, deux choses semblent se produire : il y a une vérification de confiance, mais uniquement basée sur l’adresse légitime de l’expéditeur [celle en @sunrivertoday, ndlr]. Et en même temps, il y a une disparition de l’adresse légitime, remplacée au moins dans l’affichage », conclut Philippe Rondel.

Le tour est joué : l’email de phishing atterrit dans la boîte de réception de Raphaël avec la fausse identité des impôts. Cette manipulation, les pirates peuvent la répéter à partir d’autres adresses emails piratées, comme il en existe des milliers…

Le filtre de détection ne descend pas assez profondément

Malgré le succès de l’usurpation d’identité, Gmail pourrait encore détecter le lien de phishing et le marquer comme tel. Les services d’email filtrent les messages en fonction de plusieurs paramètres, déterminés manuellement ou par des algorithmes.

Aujourd’hui, les logiciels sont capables d’analyser jusqu’à des couches très profondes de l’email. Mais voilà : cette analyse détaillée mobilise des ressources informatiques, et coûte de l’argent. Plutôt que de généraliser leur utilisation, les services d’emails vont réserver ces fonctionnalités à des utilisateurs qui paieront le service premium.

Dans notre cas, les pirates ont rusé. L’email initial contient un lien vers un document PDF, qui lui même contient un lien vers le site malveillant. Le nom de domaine frauduleux n’est donc pas directement indiqué.

Le lien qui renvoie vers le site malveillant se trouve dans un document PDF. // Source : Numerama

Quand bien même le lien serait inscrit sur liste noire, les malfaiteurs ont pour habitude de le changer régulièrement pour renouveler leur arnaque. Il faudrait donc une compréhension plus profonde du contenu de l’email pour systématiquement l’épingler.

En demandant à leurs cibles de cliquer deux fois, les malfaiteurs réduisent les chances qu’elles aillent au bout de leur schéma d’arnaque. Mais si elles y aboutissent, leur coup est réussi : ils récupèrent toute une liste de données personnelles, ainsi que les informations de carte bancaire.

Les pirates espèrent que leurs cibles rempliront ce formulaire, hébergé sur un site à l’adresse plus que douteuse. // Source : Numerama

L’adresse de la page finale de leur arnaque est louche : part[.]impots[.]gouv[.]fr[.]authe[.]eu. L’œil aiguisé repèrera cette étrangeté, mais les pirates visent juste.  « Les spammeurs aiment bien utiliser des noms longs, car l’affichage sera coupé sur les téléphones mobiles », avertit Jérôme Notin, le directeur général de cybermalveillance.gouv.fr, qui accompagne les victimes de ce genre d’arnaque. Dans notre cas, l’affichage se coupe à « gouv.fr », laissant croire qu’il s’agit d’une adresse légitime.

Le dirigeant rappelle à Numerama qu’il est facile pour les pirates de présenter sans cesse leur phishing sous un nouveau jour : «  il suffit de changer trois caractères dans le spam, et le hash du document [sa trace numérique, ndlr] sera modifié. »  Et l’email passera à nouveau sous les radars, au moins pendant quelques heures.

Les pirates ont donc toutes sortes d’outils pour effectuer de légères modifications qui leur permettront d’utiliser sans cesse le même schéma de phishing. Les filtres antispam sont quant à eux limités dans leur consommation de ressources, et ne peuvent être exhaustifs.

Il est donc très probable que dans plusieurs années, l’email signé Philippe Robert qui promet une enveloppe de la part des impôts continue de circuler…

Crédit photo de la une : Numerama

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux