Dans un mail à l’intitulé alarmiste, l’auteur d’un phishing se fait passer pour un membre de la police. Il demande de lui envoyer des photos de pièces d’identité, ainsi que des captures d’écran de pass sanitaire, ce qu’il ne faut surtout pas faire.

C’est un mail hallucinant que Maxime Haes a reçu ce vendredi 10 septembre, intitulé « Enquête vous concernant ». Le mail est orné du logo de la police nationale, et explique d’un ton sobre et sérieux qu’une « enquête de suspicion de fraude au pass sanitaire et utilisation de pass sanitaire sans en être propriétaire », pourrait être engagée contre lui. Le mail précise que la peine encourue pour « pour faux ou usage de faux peut aller jusqu’à trois ans de prison et 45 000 € d’amende, selon l’article 441-1 du code pénal) » (ce qui est véridique).

Afin de prouver qu’il possède un pass sanitaire authentique, Maxime Haes doit absolument fournir des preuves, précise l’auteur du mail, un certain « brigadier Laurant Casinier ». Et pour cela, rien de plus simple : il n’a qu’à envoyer, par mail, « une capture d’ecran (sic) du pass sanitaire, une photo du pass sanitaire version papier, ou une version pdf de votre pass sanitaire, ainsi que la photo recto verso de la carte d’identitée (sic) au meme (sic) nom que le pass sanitaire et une photo selfie tenant la carte d’identitée. »

Si vous avez reçu un mail similaire, ne répondez pas, et surtout n’envoyez aucun document : il s’agit d’une tentative de phishing. 

Un phishing très convaincant

La tentative d’hameçonnage est particulièrement bien réalisée. Le logo de la police est en tête du mail, les codes couleurs sont respectés, le ton est sérieux, et il y a peu de fautes d’orthographe. Un dessin explicatif concernant le selfie qu’il faut supposément envoyer est même joint au mail.

N'oubliez pas de sourire lorsque vous envoyez un selfie // Source : Capture d'écran Numerama

N'oubliez pas de sourire lorsque vous envoyez un selfie

Source : Capture d'écran Numerama

« C’est un phishing tout bête, mais la manière dont il utilise la charte graphique de la police et les mêmes termes font que le mail ressemble complètement à un vrai », raconte Maxime Haes, joint au téléphone par Numerama. « Ça m’a vraiment surpris, je me suis dit que c’était un vrai effort, que la personne était allée assez loin dans la construction du phishing ». Maximes Haes a cependant été alerté par l’adresse mail, dont le nom de domaine est « police-national.fr (sic) ». Ce n’est pas la bonne : hormis la faute d’orthographe importante, les fonctionnaires de police utilisent des adresses mail en « interieur.gouv.fr », et c’est ce qui lui a mis la puce à l’oreille. Il lui semblait également étrange que des policiers contactent par mail une personne qui serait sous le coup d’une enquête, au lieu de la contacter par téléphone.

Maxime Haes n’a pas répondu au mail. Il l’a par contre tout de suite partagé sur son compte twitter, afin de prévenir le plus grand nombre de personnes possible de la dangerosité de ce phishing. « On va pas se mentir : c’est la tentative de phishing la plus réaliste qu’on m’a envoyée. Jusqu’à “police-national[point]fr” dans le mail. Faites attention. Prévenez vos parents/grands-parents », écrit-il dans un autre tweet. Il a également prévenu ses proches, qui heureusement n’avaient pas reçu de mails de ce genre.

« sup ton tweet »

Cependant, son message de prévention sur les réseaux sociaux n’a pas plu à l’apprenti hacker, qui a vu son tweet. Alors que Maxime Haes n’avait pas répondu au premier mail, la personne se faisant passer pour le « brigadier Laurant Casinier » lui a envoyé un autre mail. Intitulé cette fois « sup ton tweet », le faux policier écrit « salut gros suprime (sic) ton tweet c pas cool ». Il recevra également un autre mail de sa part, dans lequel le hacker estime qu’il « fout la honte », après que Maxime a partagé sur twitter son premier message.

Un échange de mails savoureux // Source : Capture d'écran Numerama

Un échange de mails savoureux

Source : Capture d'écran Numerama

« La manière qu’il a d’envoyer les mails fait penser à un adolescent », analyse Maxime Haes. Une conclusion partagée par Numerama, car nous avons également pu échanger par mail avec le hacker. Une conversation pour le moins surréaliste.

L’apprenti hacker nous a ainsi indiqué qu’il ne faisait pas partie de la police, mais qu’il était un agent du « fbi », et qu’il avait un « QI [de] 1337 » avant d’admettre que chaque pass sanitaire lui faisait gagner de l’argent. Il nous a de plus annoncé qu’il avait réussi à en récupérer une « quantité démentielle » grâce à ce phishing. Lorsque nous lui avons demandé s’il savait que les tentatives de phishing, de collecte de données personnelles par des moyens frauduleux, et d’usurpation de fonction d’un agent du service public étaient passibles de lourdes peines, il ne nous a pas répondu.

Numerama a pu parler au FBI // Source : Capture d'écran Numerama

Numerama a pu parler au FBI

Source : Capture d'écran Numerama

On ne peut bien sûr absolument pas se fier aux dires de cet apprenti hacker. Il reste très difficile à ce stade de savoir à quel point le phishing circule, si la personne à qui nous avons parlé est bien à l’origine du phishing, et s’il ou elle a bel et bien réussi à récupérer des pass sanitaires et des photos de cartes d’identité. Le phishing a cependant déjà été signalé, comme l’indique le site Signal Arnaque, où il fait l’objet d’une page depuis ce matin. Il semblerait donc que le mail circule assez largement.

Le premier réflexe à avoir : vérifier

Le premier réflexe à avoir si vous réceptionnez ce genre de mail est de vérifier attentivement certains points, comme la provenance du mail, ou les éventuelles fautes d’orthographe.  En cas de doute, il ne faut pas non plus hésiter à contacter directement l’entreprise ou l’organisme concerné, comme l’explique le service dédié à la cybermalveillance du gouvernement. Il est aussi important de rappeler que si une personne vous demande d’envoyer des documents officiels, tels que des photos de vos documents d’identité, il ne faut le faire que si vous avez absolument confiance dans l’émetteur du message et avez confirmé son identité. Il est également très déconseillé de partager en ligne son pass sanitaire.

Ce phishing n’est pas sans rappeler un autre, qui concerne également la police. Des apprentis pirates s’étaient fait passer pour un service de la « direction centrale de la police judiciaire nationale ».  Sans malware et peu crédible avec ses nombreuses fautes d’orthographe, ce phishing-là était heureusement assez inoffensif.

Mais celui envoyé par le « brigadier Laurant Casinier » est malheureusement bien plus réaliste, surtout qu’il joue sur la peur des victimes de se voir infliger une forte amende. Dans un contexte de crise sanitaire, et où les tentatives de fraude pour obtenir de faux pass sanitaires sont bien réelles, un tel mail peut être très dangereux.

une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !