Un phishing aux couleurs de Doctolib circule en ce mois d'octobre 2020. Son objectif : faire croire à un faux rendez-vous pour rediriger les victimes vers une page d'arnaque. Qui est impliqué ? Pourquoi le message n'est pas toujours filtré en spam ? Cyberguerre a remonté le phishing.

L’email ressemble en tous points à un email de rendez-vous de Doctolib, sauf sur certaines boîtes où l’affichage ne fonctionne pas correctement. Il a pour objet « RDV confirmé le [date] à [heure] », le format utilisé par la plateforme française pour ses rappels automatiques ; il utilise la même charte graphique ; et le message indique qu’il proviendrait de « Doctolib », depuis l’adresse « no-reply@doctolib.fr ».

Problème : les personnes qui ont reçu cet email n’ont pas pris de rendez-vous à l’heure indiquée. D’ailleurs, elles n’ont jamais eu de consultation avec la médecin citée, établie à Fontenay Le Fleury, en Île-de-France.

Une capture d’écran du mail de phishing en question, sur mobile.

Inquiétés par la situation, certains internautes ont cliqué sur le bouton d’annulation du rendez-vous mis en avant dans l’email. C’est ainsi qu’elles sont tombées dans le piège tendu par les pirates : le lien renvoie en fait vers un site d’arnaque au support informatique.

Contacté par Cyberguerre, Doctolib avait déjà connaissance du phishing. Pour lutter contre l’usurpation de son identité et protéger d’éventuelles victimes, l’entreprise française a pris plusieurs mesures : « Nous avons contacté des fournisseurs de messageries concernés par le piratage, ainsi que les patients identifiés comme ayant eu leur messagerie électronique piratée. Nous leur recommandons des mesures de sécurité à suivre (changement de mot de passe de leur messagerie électronique, alerte de leur fournisseur de messagerie, installation d’un antivirus, etc.), et nous avons mis en place une FAQ pour guider nos utilisateurs. »

L’image de Doctolib utilisée pour déployer une escroquerie classique

La page web frauduleuse s’affiche en plein écran, et selon votre navigateur, il peut être difficile de la rétrécir. Les personnes les moins connaisseuses pourraient être bloquées.« Votre ordinateur a été infecté », introduit le long message écrit dans un français impeccable. Il établit ensuite un faux constat : « Les données suivantes peuvent être compromises : mots de passe, historique du navigateur, informations sensibles (cartes de crédit), fichiers sur le disque dur ».

L’objectif du phishing est de renvoyer la victime vers une page d’arnaque au support informatique. Le numéro de celle-ci n’était plus attribué quand nous avons pris connaissance du message. // Source : Capture d’écran Cyberguerre.

Le site nous indique qu’il faut que nous appelions absolument un numéro de téléphone français « dans les 5 prochaines minutes », pour qu’un « ingénieur » nous débarrasse du problème imaginaire. Si vous êtes confronté à cette situation, ne cliquez pas. Un opérateur prendra effectivement votre demande à distance et installera (dans le meilleur des cas) de vrais antivirus. Mais il vous facturera plusieurs centaines d’euros un service dont vous n’avez pas besoin puisque le « virus » décrit dans le message… n’existe pas.

Lorsque Cyberguerre a appelé le numéro de l’arnaque, mardi 13 octobre, il n’était déjà plus attribué. Soit la ligne a été fermée à la demande des autorités, soit les escrocs eux-mêmes ont effectué l’opération après avoir accomplit leurs méfaits.

Une question reste en suspend : les pirates sont-ils parvenus à s’introduire, d’une manière ou d’une autre, dans les affaires de Doctolib ? Nous avons remonté les traces laissées par les escrocs.

D’où peut provenir l’email de phishing aux couleurs de Doctolib ?

L’email est à lui seul une petite mine d’informations. Son en-tête détaille, sous une forme relativement facile à déchiffrer, l’itinéraire pris par le message. Il indique l’identité donnée par l’expéditeur, les serveurs par lesquels le message est passé, ou encore le véritable destinataire.

Chaque serveur par lequel passe le message va accepter ou nom de relayer l’email selon un score de confiance qu’il attribue à la source précédente. Ce score est lui-même calculé selon plusieurs standards de sécurité et de réputation.

Les malfaiteurs jouent avec la complexité de cette chaîne d’information pour atteindre leur objectif final : faire atterrir leur message malveillant dans la boîte de réception de leurs cibles. Ils créent le plus souvent des itinéraires longs, destinés à diluer la faible réputation du serveur d’envoi. Car pour leur rapporter de l’argent, leur email d’arnaque ne doit ni être bloqué ni être filtré dans les spams.

Wanadoo ne classe pas l’email en spam

Mais le chemin suivi par le phishing de Doctolib est étonnement direct. D’après les informations de l’en-tête, le message aurait été envoyé depuis une adresse de Doctolib [ce paramètre peut-être facilement falsifié, puisqu’il est déclaratif, ndlr] et serait ensuite passé par un nom de domaine appartenant à Mailjet. L’utilisation de ce service français d’envoi d’emails n’est pas si surprenante puisque Doctolib en était encore partenaire en octobre 2019. Après cette courte étape, le message serait arrivé directement au serveur des deux boîtes email Wanadoo que nous avons pu étudier. Puisque l’email ne serait passé que sur des serveurs réputés, la boîte de réception des victimes ne le classe pas comme spam. Cependant d’autres services, comme Gmail ou Thunderbird le classent en spam après avoir détecté (automatiquement, ou après signalement) le caractère malveillant du lien de phishing dans le corps du message.

Le « contenu de comptes piratés » utilisé pour la campagne de phishing

Que se serait-il donc passé ? Après discussion avec des experts du secteur, trois hypothèses émergent :

  • Soit un compte Doctolib aurait été piraté, et aurait servi à envoyer des emails. Mais dans ce cas, le changement dans des liens de Doctolib par des liens frauduleux impliquerait l’exploitation d’une vulnérabilité
  • Soit le compte Mailjet de Doctolib a été compromis, au moins partiellement, ce qui aurait permis aux malfaiteurs d’envoyer les emails frauduleux.
  • Soit quelqu’un d’extérieur a réussi en envoyer un email en se faisant passer pour Doctolib depuis un autre compte Mailjet. Dans ce cas, des améliorations pourraient être faites dans les processus de vérification de l’entreprise d’envoi d’email.

Contactée par Cyberguerre, l’entreprise française affirme qu’elle «  n’a pas été piratée » et présente des précisions sur l’origine de l’attaque : «  Les pirates ont réussi à accéder aux messageries électroniques d’un certain nombre de personnes. Ces messageries ne sont pas liées à Doctolib. Cependant, il se trouve que certaines de ces personnes sont des patients ou médecins utilisant le service Doctolib. Ils avaient par conséquent des mails reçus de Doctolib dans leur boîte aux lettres. C’est le contenu de ces mails qui a été utilisé pour la campagne de phishing. »

Un patient piraté, la médecin exposée

Quelle que soit l’origine du phishing, une personne sera particulièrement atteinte : la médecin mentionnée dans l’email, que Cyberguerre n’a pas encore réussi à joindre.

Sur sa page Google, la section « Question et réponses » déborde d’une vingtaine d’interrogations sur l’arnaque. Certaines personnes lui attribuent même des avis négatifs, pour un phishing dont elle n’est en rien responsable.

La page du médecin sur Google est dégradée suite à l’utilisation de son nom dans le phishing. // Source : Capture d’écran Cyberguerre

D’après Doctolib. le compte de la médecin n’a pas été piraté. En revanche, les pirates auraient mis la main sur le compte d’un de ses patients, et recopié les messages dans lesquels elle est mentionnée. L’entreprise nous explique qu’elle contacte les praticiens qui sont, comme elle, mis en avant dans les phishings, pour « les alerter et les accompagner dans la manière de réagir ».

Afin d’éviter que ce genre de phishing se multiplie, Doctolib prévoit la mise en place d’autres mesures. Elle travaille notamment à «  modifier le contenu des emails pour réduire le nombre d’informations », et envisage de « bloquer l’envoi de mails vers les fournisseurs de messagerie dont la sécurité est compromise ».

Avec 60 millions de visites de patients par mois, Doctolib est une cible de choix pour les pirates, puisque tout Français est susceptible de l’avoir utilisée à un moment ou un autre, ce qui rend le phishing plausible.

Crédit photo de la une : Logo Doctolib, CCO Wikipedia

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux