Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Faux SMS TousAntiCovid : comment un phishing est-il désactivé ?

Plus de 6 heures après la parution de notre article, le dangereux phishing qui imitait le gouvernement n'était toujours pas hors ligne. En conséquence, des victimes mal informées pouvait encore tomber dans le piège des malfaiteurs. Heureusement, le site a finalement été mis hors d'état de nuire peu après. 

Ce 4 décembre, nous vous alertions sur un dangereux phishing,copie parfaite du message de promotion du gouvernement pour TousAntiCovid. Sauf qu'au lieu de rediriger ses destinataires vers un portail pour installer l'app officielle, le SMS les envoyait sur une copie malveillante. Son objectif : leur faire télécharger un malware particulièrement virulent, nommé Alien.

Plus de 6 heures après la parution de notre article, le site du phishing était encore actif, mais il a été mis hors d'état de nuire peu après. Les services utilisés dans la mise en place du phishing, Bitly et Cloudflare, avaient été prévenus via leurs formulaires d'abus, dédiés à la gestion de ces problèmes. L'équipe en charge de TousAntiCovid s'était aussi saisie du problème.

https://twitter.com/TousAntiCovid/status/1334818092984233986

Mickaël, contact régulier de Cyberguerre et passionné par le signalement de phishing, ne s'étonnait qu'à moitié de la situation. « D'habitude, CloudFlare prend entre 2 et 3 jours à réagir. Pour Bitly, c'est plutôt entre 1 et 2 jours », estimait-il.

Le site a finalement été isolé par son registrar, Namecheap, avant que les deux entreprises et l'hébergeur n'aient agi. C'était l'un des quatre scénarios qui pouvait mettre fin à ses nuisances.

https://twitter.com/FabianRODES/status/1334907704855375874

Quatre niveaux d'intervention pour mettre fin à la diffusion du phishing

Pour protéger tous les destinataires du message, une des mesures possibles était de couper le lien malveillant diffusé par le SMS, https://bit[.]ly/AntlCovid19. Bitly est un raccourcisseur de lien, utilisé ici par les malfrats comme première maille du phishing en cachant l'adresse de la page malveillante.

Concrètement, lorsqu'une personne cliquait sur le lien de Bitly, elle était redirigée immédiatement sur le site frauduleux, covid[.]tousensemble[.]app. « Il est déjà possible de bloquer l’attaque ici en supprimant la redirection ou bien en le redirigeant vers le vrai site de TousAntiCovid », estimait l'expert en cybersécurité Fabian Rodes, avant que le site ne soit plus accessible. Alerté via son formulaire d'abus, c’était à Bitly de mettre une de ces deux actions en place, ce qui aurait suffi à neutraliser le phishing.

« Le nom de l'hébergeur de la page de phishing est caché par Cloudflare », constatait le consultant. Il précisait : « Dans le jargon, Cloudflare est ce qu'on appelle un service de 'reverse proxy'. Il se place entre l'utilisateur et le site, et propose plusieurs fonctionnalités, dont celle de masquage. » Là encore, Cloudflare servait donc d'écran. Mais à la suite du signalement, l’entreprise aurait pu décider d'arrêter de rediriger les utilisateurs vers la page malveillante.

C'est finalement le scénario qui s'est produit, 7 heures après la parution de notre premier article, et avant les trois autres. Le registrar, ici Namecheap, est le service qui a permis aux malfaiteurs d'acheter le nom de domaine tousensemble[.]app. Après signalement, le registrar a pu supprimer les entrées DNS du site. Autrement dit, il a supprimé l'élément qui permettait aux navigateurs (Chrome, Edge, Firefox...) de trouver où l'adresse du site, et ils ne pouvaient donc pas s’y connecter. Le site est donc possiblement toujours actif, mais on ne peut plus y accéder.

L'hébergeur du site aurait pu décider de le mettre hors ligne. Mais son identité était masquée par Cloudflare, de sorte qu'il n'était pas possible de le contacter. Le site malveillant est donc vraisemblablement toujours actif, mais il n'est plus accessible grâce aux actions du registrar.