Cyberguerre a remonté la piste de ce qui semblait être un phishing aux couleurs de Netflix. Mais ce n'en était pas un : voici pourquoi nous avons eu des soupçons, et comment nous les avons levés.

« La traduction, l’adresse mail et l’option de gain me paraissent suspicieuses ». Le 13 août, Céline nous envoie un email, intitulé «  Netflix apprécie vos commentaires », dont elle doute la légitimité. Deux jours plus tôt, elle avait interpellé le compte Twitter de Netflix pour savoir si l’email venait bien de l’entreprise ou s’il s’agissait d’un phishing. Une semaine plus tard, sa demande n’a pas de réponse.

Voici l’email dans le détail :

« Françaises, Français : Netflix apprécie vos commentaires
Bonjour François*,
Nous espérons que vous allez bien. Nous parlerons en personne avec nos membres Netflix France la première et la deuxième semaine de septembre. Pour déterminer si cette discussion est susceptible de vous concerner, nous aimerions vous poser quelques questions. Si vous êtes sélectionné(e) pour participer à cet appel vidéo de 45 minutes, nous vous enverrons 100 € pour vous remercier.
COMMENCER
Cordialement,
L’équipe Netflix »

Voici l’étrange email reçu par Céline (nous avons changé son nom et son email par les nôtres). // Source : Capture d’écran Numerama

Après avoir observé le message, Cyberguerre peut confirmer qu’il ne s’agit pas d’un phishing. Mais Céline a bien fait de se poser la question : Netflix fait partie des 5 marques les plus utilisées par les malfaiteurs pour piéger leurs victimes, juste derrière Microsoft ou PayPal.

Contacté par email par la rédaction, Netflix n’a pas encore confirmé la légitimité de l’email.

Pourquoi pourrait-on croire à un phishing Netflix ?

  • La marque Netflix est souvent utilisée par les opérateurs de phishing. Rien qu’en France, plus d’une personne sur dix est abonnée au service de SVOD. En conséquence, lorsqu’un malfaiteur envoie un email de phishing à des centaines de milliers d’adresses, environ un dixième d’entre elles pourraient appartenir à des abonnés de Netflix, qui se sentiront concernés par son message. L’email restera moins concernant qu’un faux message des impôts ou de l’Assurance maladie, deux organisations qui touchent la quasi-intégralité des Français et Françaises, mais il présente des chances de réussites particulièrement hautes pour un nom d’entreprise. Cerise sur le gâteau, Netflix est bien développé à l’international, avec 193 millions d’abonnés dans le monde, ce qui permet aux cybercriminels de décliner leur phishing en plusieurs langues, facilement et à moindre coût.
  • L’email fait miroiter un gain. C’est une des ficelles les plus utilisées par les malfaiteurs : ils vous proposent de cliquer sur leur lien pour obtenir un remboursement ou éviter une perte d’argent. Ces scénarios ont pour objectif de créer un sentiment d’urgence : les victimes doivent se dépêcher pour ne pas passer à côté d’une opportunité en or, ou à l’inverse, d’une catastrophe. L’email envoyé par Céline affiche en le montant de « 100 €  » qu’elle pourrait recevoir si elle était « sélectionnée ».
  • L’adresse de l’expéditeur paraît louche. L’email a été envoyé par  « surveys@mailer.netflix.com  » à 23h51 un lundi. L’adresse paraît anglophone bien que le message soit écrit en français. Dans tous les cas, l’affichage de l’expéditeur peut facilement être modifié, comme nous l’avons déjà démontré.
  • L’expéditeur de l’email insiste vraiment pour que nous cliquions vers un lien étrange. En passant notre curseur sur le lien, on peut voir qu’il  renvoie vers « http://www1.netflixsurveys[.]com/survey/selfserve/a34/200707 » suivi d’une vingtaine de lettres et de symboles. Il ne s’agit donc pas d’un nom de domaine en « netflix[.]com », comme la plupart des sites du groupe. Ensuite la mise en page insiste lourdement pour que nous cliquions sur le lien, avec un retour à la ligne et des majuscules pour mettre en avant le « COMMENCER ».
Le lien contenu dans l’email mène à un écran de confirmation, qui lui-même mène à cette page. // Source : Capture d’écran Numerama
  • Le message, très court, présente des incohérences. Il évoque que Netflix parlera « en personne » avec des membres de Netflix France, et deux lignes plus tard,  il mentionne un « appel vidéo de 45 minutes ». Étrange.
  • Le formulaire demande des informations personnelles. Nous avons cliqué sur le lien, qui nous renvoie, après un écran de confirmation, sur un formulaire à la mise en page basique : prénom, nom, adresse email, numéro de téléphone, puis notre tranche d’âge sont demandés pour nous « contacter » dans le cadre d’un éventuel entretien vidéo.

Ces signaux n’étaient finalement que des fausses alertes, et l’email est bien légitime.

Qu’est-ce qui prouve que c’est un vrai email de Netflix ?

Voici comment nous avons levé nos (nombreux doutes sur l’email).

  • Netflix mentionne l’adresse de l’expéditeur sur son site officiel. Face à une adresse inconnue, un bon réflexe est de tout simplement la chercher sur un moteur de recherche. Sur Google, le premier résultat est une page du site officiel de Netflix, qui précise :« Nos sondages sont hébergés par des fournisseurs tiers. Ces e-mails sont envoyés depuis l’adresse netflixsurveys@netflix.com ou surveys@mailer.netflix.com ».  Le groupe ajoute également : « les liens qu’ils contiennent peuvent vous rediriger vers des sites Web tels que survey.netflix.com, surveys.qualtrics.com ou netflix.co1.qualtrics.com. » Problème : l’adresse que nous avons observée, www1.netflixsurveys[.]com, n’est pas listée.
  • Le nom de domaine appartient à Netflix. Who.is, un des nombreux sites qui permet gratuitement d’afficher les informations liées aux noms de domaine, nous indique que « Netflix, Inc » a bien déposé www1.netflixsurveys[.]com.
  • Un service de sondage héberge la page. Si Netflix possède le nom de domaine, c’est l’entreprise FocusVision, un éditeur de logiciels de sondage, qui l’exploite. Une petite recherche sur l’outil gratuit urlscan.io fait le lien avec FocusVision. Quant à Netflix, il précise sur son site : «  Nos sondages sont hébergés par des fournisseurs tiers. »

Mieux vaut être trop prudent

Pour être certains de la légitimité de l’email, nous avons donc été obligés d’effectuer plusieurs recherches. La majorité des utilisateurs n’auront pas autant de temps à consacrer à l’email (ni l’envie), et se contenteront de l’ignorer, ce qui ira en défaveur de Netflix. À l’inverse, des pirates pourraient s’inspirer des détails louches de cet email pour déployer leurs campagnes de phishing.

Dans tous les cas, l’extrême prudence, comme celle dont Céline a fait preuve, est toujours la meilleure solution. Peut-être que vous passerez à côté d’un potentiel gain (ici, la rémunération de 100 euros) mais vous ne prendrez aucun risque.

Crédit photo de la une : Netflix

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux