Un anonyme a déposé la semaine dernière près d’un millier d’adresses de sites web en .fr qui reprennent, à quelques fautes de frappe près, les noms de marques et d’institutions bien connues. Avec un risque potentiel de piratage informatique.
Elboncoin.fr, Kiaby.fr, Polelemploi.fr ou villepariis.fr… La liste complète comporte 967 noms de domaine au style bien inspiré. Un utilisateur anonyme a enregistré, en milieu de semaine dernière, des nouvelles adresses de sites Internet avec l’extension. fr auprès de l’entreprise de dépôts allemande Key-Systems.
Problème : ces sites Internet copient les noms et marques déposées d’entreprises, voire d’institutions publiques ou de médias. En cybersécurité, on parle de « typosquattage » qui repose sur une faute de frappe sur le clavier ou d’orthographe du site recherché. « Un ou des pirates abusent du biais mental, quand le cerveau reconstitue des lettres inversées, pour contourner le vrai nom de domaine déposé », explique Adrien Gendre, directeur de Vade, spécialiste français de la protection des boîtes e-mails.
Des adresses des sites les plus visités de France sont concernées : des plateformes d’e-commerce comme « Zalanado.fr » ou « aliexress.fr » ou de réservation de logements comme « abrittel.fr » et « abrutel.fr. » mais aussi « asemblee-nationale.fr », « elyses.fr » ou « leparirien.fr ».
Peu de filtres en amont. Bien que déconcertants, ces dépôts respectent les conditions légales du Code des postes et des communications électroniques. « Un tel enregistrement massif de la part d’une seule entité est plutôt rare et c’est légal jusqu’à ce que vous fassiez quelque chose d’illégal avec », temporise Pierre Bonis, directeur général de l’Afnic, l’office d’enregistrement désigné par l’État pour la gestion des noms de domaine en. fr.
« Il n’y a jamais de blocage a priori de l’enregistrement si le titulaire réside dans l’Union européenne et a fourni son identité complète », souligne ce dirigeant en précisant qu’une procédure de « justification », un contrôle des données fournies, a été toutefois déclenchée sur ce cas suspect.
Le nouveau titulaire en location de « labanqueposttale.fr » dispose ainsi de 7 jours pour confirmer l’identité et le lieu de résidence donnés lors de l’achat. À défaut, les noms de domaines enregistrés seront supprimés au bout d’un mois. Cet inconnu a tout de même déboursé 6 800 euros à raison d’environ 7 euros de frais d’enregistrement par nom de domaine. Impossible pour le moment de savoir qui est derrière cette étrange opération.« Le titulaire est une personne physique, donc les données sont anonymes : c’est aux ayants droit de demander la levée de l’anonymat et d’agir en fonction du retour », explique Nicolas Pawlak, administrateur systèmes dans la fonction publique d’État qui établit régulièrement une liste de ces nouvelles entrées avec son outil de veille.
Il a donné l’alerte la semaine dernière. https://d-16359475714020408252.ampproject.net/2207221643000/frame.html
« Tant que la Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes (DGCCRF) ou les ayants droit n’ont pas lancé une procédure, ces noms de domaines ne peuvent pas être supprimés », complète Pierre Bonis de l’Afnic. En tapant une des adresses récemment enregistrées, l’internaute est dirigé vers une page douteuse avec trois liens vers d’autres sites suspects.
L’adresse web mène à un site au design similaire aux autres adresses déposées.Il est vivement déconseillé de s’y aventurer. En attendant une potentielle suppression dans le délai légal, le ou les personnes derrière cette démarche pourraient aussi exploiter ces sites afin de créer des adresses e-mails proches des expéditeurs officiels et lancer une vaste et efficace campagne de « phishing » ou hameçonnage.
« 94 des noms de domaines déposés ont déjà été utilisés par le passé pour mener des attaques », alerte Adrien Gendre de Vade. Attention donc à bien vérifier – à la lettre près – les e-mails avec un lien vers un site potentiellement dangereux.
