orange.fr un domaine confortable pour le phishing ?
Christophe Dary
I help organisations understand and use email protocols to secure their messaging architecture
Je suis souvent frappé par l'excellent choix de certaines adresses qui envoient du phishing à partir d'adresses @orange.fr et me suis demandé comment font ces pirates. Rien de mieux en effet qu'une adresse @orange.fr avec un nom faisant autorité pour tromper la vigilance des clients d'Orange. Normalement pour avoir une adresse @orange.fr il faut être client chez Orange, ce qui nécessite quelques formalités auxquelles les hackers n'ont ni le temps ni l'envie de se conformer. Ils utilisent hélas avec succès un moyen plus simple, plus rapide et parfaitement anonyme : le vol d'identifiants et l'exploitation d'une brèche. Il n'y a visiblement pas de contrôle de cohérence sur la position géographique, ni sur l'appareil utilisé, ni sur l'adresse IP, ou alors ce contrôle est beaucoup trop laxiste, si je me trompe détrompez-moi...
On trouve gratuitement et sans effort sur internet des listes de comptes avec leurs mots de passe. Une fois en possession d'un compte @orange.fr les attaquants se connectent sans difficulté à l'espace client Orange de leur victime dans lequel ils peuvent créer n'importe qu'elle adresse secondaire pourvu qu'elle ne soit pas déjà exploitée.
Le courriel trompeur
Pour illustrer la méthode, j'ai créé depuis mon propre compte @orange.fr une adresse secondaire que j'ai nommée boite-vocale@orange.fr, puis j'ai envoyé à une de mes adresses @gmail.com le message ci-dessous :
Ce courriel est parfaitement authentifié puisque c'est un vrai email @orange.fr envoyé par les vrais serveurs d'Orange. Le mode d'envoi n'est en revanche pas le mode officiel, en particulier l'adresse de l'expéditeur aurait dû être noreply@orange-ftgroup.com. Un algorithme aurait pu se rendre compte de la supercherie, pourtant ni Orange à l'envoi, ni Gmail à la réception n'ont bloqué ni classé en spam ce message.
Les humains n'ont pas une meilleure capacité à déceler l'anomalie mais ont une faiblesse supplémentaire : ils prennent des décisions selon leur propre logique car ils ne peuvent matériellement pas tout vérifier, ils se fient à leur "bon sens" et à leur intuition. Ainsi, pour la plupart d'entre nous le fait de voir boite-vocale@orange.fr paraît logique et rassurant, plus familier en tout cas que noreply@orange-ftgroup.com.
Le paradoxe est que la fausse adresse paraît plus logique et vraisemblable que la vraie.
Le site trompeur
Dans les emails officiels, le lien "cliquez ici" pointe vers cette page
Il n'est malheureusement pas difficile de réserver un nom de domaine très proche de l'original, comme login-orange.fr par exemple et de faire pointer le lien vers une page trompeuse comme celle-ci :
Vous avez probablement vu la supercherie car je l'ai affichée en gros et parce que vous y étiez préparé, mais imaginez la même chose sur un petit écran lu par des yeux fatigués...
Il est ultra simple d'obtenir en quelques secondes et de façon anonyme un certificat SSL standard permettant d'afficher ce petit cadenas devant l'URL qui rassure à tort la plupart des internautes. L'absence du nom Orange [FR] derrière le cadenas ne choque hélas en général presque personne. Du reste ce nom n'est généralement pas affiché sur les smartphones (par manque de place).
Est-ce une faille de sécurité ?
Orange apporte un service utile en permettant de créer des adresses secondaires @orange.fr immédiatement et sans aucun contrôle. Les clients s'en servent typiquement pour créer des adresses aux autres membres de la famille, mais le contrôle de la situation par Orange ne tient que par l'adresse principale. Si cette dernière tombe entre les mains d'un attaquant, il a immédiatement un pouvoir de nuisance considérable.
Le scénario de la création malveillante et incontrôlée de comptes secondaires trompeurs à partir de comptes principaux piratés n'a visiblement pas été anticipé et n'est manifestement pas géré a posteriori non plus. C'est là que réside la première faille.
La seconde faille est stratégique :
pour éviter toute confusion, un opérateur de messagerie ne devrait jamais offrir son propre nom d'entreprise à ses clients
Orange a longtemps utilisé des adresses @orange.fr pour communiquer officiellement vers ses clients. Cette mauvaise habitude a pris fin à ma connaissance depuis 2013 et l'opérateur utilise maintenant une multitude de domaines, par exemple @orange.com, @news-orange.com, @orange-ftgroup.com... Cette complexité va à l'encontre d'un élément clé dans la confiance numérique en une marque : la reconnaissance immédiate, systématique et sans aucune ambiguïté d'un domaine légitime dans l'adresse d'expéditeur.