Nous avons analysé 6 générateurs web d'attestation de déplacement : sont-ils dangereux ?
Depuis mardi 17 mars à midi, Français et Française doivent remplir une attestation dérogatoire datée pour justifier leurs déplacements.
Le gouvernement a dans un premier temps affirmé qu'il était possible de présenter une version électronique de l'attestation, en format PDF par exemple, avant de rétropédaler et de déclarer qu'elle n'est valable que sous format papier (écrite à la main ou imprimée). Dans sa prise de parole sur TF1, le ministre de l'Intérieur Christophe Castanet s'est justifié :
« Les sociétés qui ont décidé d'éditer ces formulaires sont souvent des sociétés qui veulent piller vos données » a-t-il mis en garde, avant d'ajouter : « Il ne s'agit pas de faciliter la vie des Français qui veulent sortir le plus librement possible »
https://twitter.com/CCastaner/status/1240377676977897476
Numerama a identifié six sites qui proposent de faciliter la déclaration, notamment pour les personnes peu à l'aise avec les outils informatiques. Leur fonctionnement est simple : vous remplissez le formulaire avec vos données, vous cliquez sur un bouton, et le tour est joué. Vous n'avez plus qu'à l'imprimer.
Sur les six générateurs d’attestation, quatre paraissent inoffensifs, même s’il est impossible de garantir où sont dirigées les données rentrées dans le formulaire. En revanche, deux autres sites ont des pratiques plus suspectes.
Mais si la CNIL et cybermalveillance.gouv.fr ont mis en garde contre les fausses attestations, c'est avant tout à titre préventif : ils n'ont pour l'instant pas détecté de campagne malveillante de grande ampleur. « Actuellement, la grande majorité des personnes font ces outils pour aider. Ils ne veulent pas de mal, mettent leur code en open source et affirment que les données sont supprimées. Mais dans quelques heures, ou dans quelques jours, les malfaiteurs pourraient avoir exactement les mêmes procédés », prévient Jérôme Notin, directeur général de cybermalveillance.gouv.fr, interrogé par Numerama.
https://twitter.com/CNIL/status/1240201009194045440?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1240201009194045440&ref_url=https%3A%2F%2Fwww.numerama.com%2Ftech%2F612503-interdiction-des-attestations-sur-smartphone-le-gouvernement-avance-3-raisons.html
Outils signés et open source, des garanties insuffisantes
Les domaines vik.io/sortie/, attestation-covid.fr, generer-attestation.fr et picta.fr/covid/ (retirés à la suite l'annonce de Christophe Castaner) paraissent inoffensifs. Les développeurs de ces applications s'identifient avec leur nom et prénom. Ils ont également déposé le code de leur site en accès public sur Github pour que des personnes compétentes puissent vérifier leur travail. Certains renvoient vers la source officielle de l'attestation, et tous rappellent que le document n'est pas valable au format électronique.
Trois de ces développeurs ont pris le temps d'expliquer leur démarche sur leurs réseaux sociaux. En revanche, si toutes ces plateformes affirment ne pas conserver les données de leurs utilisateurs, il est impossible de vérifier leurs propos. « Même si ces personnes sont bienveillantes, communiquer ses données à des personnes qu'on ne connaît n'est pas une bonne pratique sur les données personnelles », rappelle Jérôme Notin. De plus, la sécurité de ces sites n'a pas forcément été contrôlée en bonne et due forme. Un pirate chevronné pourrait potentiellement s'insérer sur ces sites et y déposer un outil pour intercepter les informations.
Notre conseil : évitez d'utiliser ces générateurs. En revanche, si vous les avez déjà utilisés, ne vous inquiétez pas : il y a de très faibles risques que vos données aient atterri entre de mauvaises mains. De son côté, le directeur de Cybermalveillance exprime son agacement : « Ces applications n'ont aucun intérêt : le but n'est pas d'industrialiser les attestations dérogatoires ». « Ces outils ne sont absolument pas nécessaires puisqu'il est possible de générer le PDF officiel à la volée sur le site du ministère de l'Intérieur », achève-t-il.
Cette entreprise profite de l'attestation pour son traçage publicitaire
Deux autres sites sont plus problématiques. Le premier, attestation-deplacement.com, a été déposé par AdThink, une grande entreprise spécialisée dans le marketing et la publicité en ligne. La page ne contient qu'un formulaire pour remplir l'attestation, sans autre information. Une publicité dynamique s'affiche en bas de la page, et un pop-up aux normes RGPD vous demandera de paramétrer vos cookies publicitaires.
Les revenus potentiellement générés par le bandeau publicitaire sont dérisoires pour une entreprise de cette taille. Si l'entreprise ne récupère vraisemblablement pas les données personnelles du formulaire, elle déposera en revanche un cookie publicitaire (comme le font de nombreux sites), si vous laissez les paramètres par défaut. Ce mode opératoire est légal, mais utiliser les peurs autour de la pandémie Covid-19 pour récupérer des données publicitaires reste plus que questionnable d'un point de vue éthique. AdThink n'a pour l'instant pas répondu à nos sollicitations.
Si vous avez utilisé ce site, ne soyez pas inquiets : il est peu probable que AdThink ait collecté les données personnelles du formulaire.
Un email et un mot de passe pour l'attestation ? Attention à ce site louche
Le dernier site que nous avons repéré, attestation.ovh, est le plus suspicieux. Il propose à ses utilisateurs de créer un compte, qui servirait prétendument à générer plus rapidement vos prochaines attestations. Il vous faut pour cela communiquer un email et un mot de passe, deux données essentielles. Si des personnes malveillantes se trouvent derrière ce site, elles pourront tester votre mot de passe sur vos différents comptes d'applications et de services. Avec votre adresse email en plus, il sera très facile pour eux de trouver où vous êtes inscrits.
Nous avons tenté de nous connecter avec un compte email de test. Le site devait renvoyer un message de confirmation, mais ne l'a pas fait.
Que le site soit malveillant ou non, vous ne devriez pas avoir besoin de communiquer votre adresse email pour générer une attestation. L'email est un de vos principaux identifiants en ligne, prenez en soin.
Notre suspicion est d'autant plus renforcée que le dépositaire du site n'est identifiable nulle part, même sur les services spécialisés comme WhoIs ou nom-domaine.fr.
Si vous avez utilisé ce site, changez vos mots de passe, et redoublez de vigilance sur les emails que vous pourriez recevoir, puisque vous pourriez être la cible d'un phishing personnalisé.
Pour aller plus loin, nous avons demandé à Ivan Kwiatkowski, chercheur en cybersécurité chez Kaspersky d'inspecter le site. « Je ne vois pas d'inclusions malveillantes dans la page et le PDF en lui-même n'est pas malveillant non plus. Mais tout cela ne dit rien de ce qui est fait des informations personnelles envoyées par l'utilisateur », diagnostique-t-il, avant de préciser : « Je note cependant que le site n'est pas conforme au RGPD. »
À la suite de la publication de cet article, Guillaume T. nous a contacté pour revendiquer le site. Il affirme s'inscrire dans une démarche bienveillante. De plus, il insiste sur le fait que renseigner l'email n'est qu'une option de son site, alors que l'option par défaut permet de générer une attestation sans email.
Des attaques de plus grande ampleur à contenir
Le chercheur nous explique qu'il concentre pour l'instant ces efforts sur des attaques de plus grande ampleur : « Nous nous intéressons plutôt aux menaces persistantes avancées [ou APT, des attaques organisées et de grandes ampleurs, NDLR], qui utilisent des documents relatifs au coronavirus pour essayer de piéger leurs cibles. Les scénarios d'attaque visant à dérober des données personnelles ne sont pas prioritaires pour nous dans l'immédiat. » En revanche, il n'exclut pas de se pencher plus en détail sur les générateurs d'attestation s'ils servaient à diffuser des PDF malveillants et à déployer des malwares.
Pour éviter de vous faire piéger, écrivez vos attestations à la main ou complétez le PDF officiel du gouvernement directement dans votre navigateur ou sur Adobe Reader après avoir faits vos mises à jour.
Article publié le 19 mars 2020 à 15h20, mis à jour le vendredi 20 mars 2020 à 17h12.