bortzmeyer

Le 4 août 2020, le « Community Manager » de la Direction Générale des Finances Publiques à écrit sur Twitter « Un nom de domaine est imitable » en réponse à une question d'un utilisateur qui s'inquiétait d'un message de hameçonnage reçu, message qui prétendait venir de ne_pas_repondre@dgfip.finances.gouv.fr. Puis le même « Community Manager » a donné des détails dans un autre tweet.

Le problème de la sécurité du courrier électronique et de la sécurité sur l'Internet en général est compliqué. Il n'est pas facile d'expliquer dans les 280 caractères d'un tweet des questions subtiles d'authentification sur les réseaux informatiques. Néanmoins, comme il s'agit ici d'un service officiel et important, il me semble qu'une grande rigueur dans les faits est nécessaire. Voyons donc ce qui n'allait pas dans ces deux tweets.

D'abord, mon explication : l'expéditeur, dans le courrier électronique, n'est pas authentifié. Pas du tout. Je peux trivialement envoyer un message qui prétend venir de macron@elysée.fr ou de inspecteur@impots.gouv.fr et cela passera. Conséquence pratique de ce problème : il ne faut pas agir uniquement sur la base d'un message électronique. Surtout s'il s'agit d'argent. Ne visitez pas un site Web inconnu, et surtout ne laissez pas votre nom et votre mot de passe uniquement parce que l'adresse de ce site Web figurait dans un message prétendant venir de l'État.

Les experts en Internet me feront remarquer que c'est plus compliqué que cela : d'abord, il y a deux adresses d'expéditeur dans un message, celle de l'enveloppe et celle de l'en-tête. Et des techniques comme SPF ou DKIM permettent de l'authentification partielle de l'expéditeur. Certes, mais rappelez-vous du contexte : il s'agissait de répondre sur Twitter, donc rapidement, et à quelqu'un qui n'était pas expert et n'aurait peut-être pas eu la patience d'écouter de longues explications.

Mais cela n'empêche pas de faire attention à l'exactitude des informations données. Commençons avec « Les noms de domaine sont imitables ». La phrase est tellement vague qu'il est même difficile de la critiquer. Fait-elle allusion au cas particulier du courrier électronique, où on a vu que le mensonge est techniquement facile ? Ou bien à des risques spécifiques aux noms de domaine, comme le détournement d'un nom suite à un piratage d'un des acteurs de la chaine de gestion des noms ? Ou à des attaques techniques sophistiquées, nécessitant des techniques de défense comme DNSSEC ? Ou encore à la possibilité d'un escroc d'utiliser un nom qui ressemble assez au vrai pour tromper l'utilisateur distrait ? Difficile de le savoir.

Ensuite, le tweet original dit « dans ce cas précis notre adresse ne comporte pas de _ mais des - ». Cela ne change rien. Le hameçonneur aurait pu tout aussi bien, sans difficulté, prétendre envoyer depuis ne-pas-repondre@dgfip.finances.gouv.fr. S'il ne l'a pas fait, ce n'est pas parce qu'il y a une quelconque impossibilité technique, c'est juste qu'il était négligent ou, plus probablement, qu'il a pensé que personne ne ferait attention.

Ensuite, le deuxième tweet dit « Oui un nom de domaine est imitable mais pas l'adresse entière ». Là, la phrase est assez précise pour qu'on puisse dire qu'elle est fausse. Dans l'usurpation d'une adresse de courrier, il n'y a pas de différence entre le nom de l'utilisateur (à gauche du @) et le nom de domaine (à droite du @). S'il y en a une, elle va plutôt dans l'autre sens : des techniques existent pour limiter l'usurpation sur le nom de domaine, mais il y en a beaucoup moins pour le reste de l'adresse.

Pour résumer : vérifier l'adresse de l'expéditeur du message ne sert pas à grand-chose, surtout si on n'est pas expert du domaine, il faut plutôt vérifier l'adresse Web vers laquelle le message essaie de vous faire aller. Si c'est censé venir du gouvernement français, le nom de domaine dans cette adresse Web se terminera forcément par .gouv.fr.