« Ne répondez surtout pas » : France Identité alerte sur une campagne de phishing à l’adresse mail piégeuse
Le message pourrait facilement vous prendre au piège. Sur son compte X, l’application France Identité, qui permet notamment de produire des justificatifs signés électroniquement pour prouver son identité, mis en garde face à des mails frauduleux qui ont été envoyés à ses usagers ces derniers jours, « leur demandant de transmettre une copie de leur carte d’identité recto verso ainsi qu’un justificatif de domicile ».
Dans un exemple conjoint par le service, le message demande en effet plusieurs documents « dans le cadre de la vérification et pour des raisons de sécurité et de performances », renvoyant également vers un décret, et prétendument signé de la direction du service. Les pirates sont parvenus à brouiller les cartes en utilisant l’adresse mail « noreply@france-identite.gouv.fr », qui correspondent pourtant au nom de domaine du vrai site de France Identité.
⚠️ Campagne de phishing en cours : soyez vigilant !
Depuis quelques jours, des usagers reçoivent des courriels expédiés par noreply@france-identite.gouv.fr leur demandeur de transmettre une copie de leur carte d’identité recto-verso ainsi qu’un justificatif de domicile. pic.twitter.com/gyqDXLfaJw
– France Identité (@france_identite) 23 octobre 2024
« Ne répondez surtout pas. France Identité n’est pas à l’origine de ces courriels », alerte l’application, qui appelle les utilisateurs à signaler ces messages piégeux sur signal-spam.fr et cybermalveillance.gouv.fr. Contacté, le service n’a pas répondu à nos sollicitations pour l’heure.
Une faille de sécurité chez France Identité ?
Pour Thibaut Hénin, expert en sécurité informatique, les pirates pourraient avoir profité d’une « vulnérabilité de sécurité de France Identité », réussissant à « pénétrer le réseau pour envoyer des mails depuis cette adresse-là ». Mais une autre possibilité, « qui semble suggérer le service », est celle d’un habillage de l’adresse. « Lorsque vous envoyez un message à un serveur de mails, celui-ci le fait suivre au serveur destinataire, qui le délivre ensuite aux utilisateurs. Mais à une certaine époque, certains serveurs ne vérifiaient pas l’identité de l’émetteur, à la manière d’une boîte postale qui délivrerait votre lettre sans vérifier que votre adresse, que vous avez renseignée sur l’enveloppe, est bien la bonne », illustre-t-il.
Une méthode de piratage très pratiquée il y a une vingtaine ou une trentaine d’années, mais depuis, de nombreux serveurs ont commencé à contrôler les adresses mail émettrices, « notamment en vérifiant les signatures cryptographiques du message ». « Il reste malgré tout possible que des pirates soient tombés sur des serveurs encore mal configurés et vulnérables, qui acceptent ce genre de manœuvres frauduleuses et délivrent le faux message à leurs propres utilisateurs », pointe Thibaut Hénin.
Une fois le courrier délivré, les malfaiteurs espèrent récupérer des copies de documents officiels, notamment celle de la carte d’identité. « Ces copies vont ensuite permettre de procéder à des usurpations d’identité, par exemple pour générer des faux bulletins de paie. Il sera alors possible de faire des escroqueries, par exemple en revendant des profils avec des identités, ou en procédant à des démarches administratives en ligne, comme des crédits à la consommation », déroule Nicolas Arpagian, expert en sécurité numérique et auteur de « La Cybersécurité », aux Presses universitaires de France.
Comment se protéger ?
Comment donc se préserver contre ces risques et détecter les mails frauduleux des communications officielles de France Identité ? Avec cette adresse d’envoi identique à celle du service, difficile de réussir à arbitrer. Mais un indice peut vous mettre sur la voie : l’adresse « noreply@france-identite.gouv.fr » stipule bien en elle-même qu’elle n’appelle pas à répondre, contrairement à ce que vous demandez le message.
Autre détail à repérer : le champ « répondre à », dans l’entête du mail qui vous est envoyé. Comme le souligne une fiche d’alerte sur cette arnaque publiée par la plateforme de cybersécurité de l’académie de Rennesle mail est bien envoyé par l’adresse « noreply@france-identite.gouv.fr », renseigné dans le champ « de ». Mais lorsque vous cherchez à répondre, votre message est envoyé non pas à cette adresse mais à une autre, préremplie par les pirates et cette fois bien frauduleuse. Dans l’exemple repris par l’académie, cette adresse est « direction@france-identite-fr.info », bien différente de l’adresse officielle.
De manière générale, les experts appellent à faire attention aux fautes d’orthographe qui pourraient trahir les malfaiteurs, mais aussi les « call to action », ces demandes pressées qui vous exhortent à répondre rapidement, avec un ton alarmiste, que vous ne retrouverez pas dans les vrais messages de vos services administratifs. « En cas de doute, la meilleure solution est encore de se connecter sur son espace personnel sur le site ou l’application officielle, et voir si on nous demande bien de remplir une démarche », appuie Nicolas Arpagian. Mais surtout, « pas dans la précipitation et si possible pas sur un portable », insiste l’expert, pour éviter toute erreur de manipulation.