Une campagne d’hameçonnage par e-mail visant les utilisateurs de l’application France Identité utilise une véritable adresse gouvernementale. Comment est-ce possible ?

au sommaire

    « Dans le cadre de la vérification et pour des raisons de sécurité et de performances. Merci de bien vouloir nous envoyer par retour de mail, la copie de votre piece d'identité scanner en recto-verso et un justificatif de domicile valide. » Voici l'e-mail provenant de France Identité que vous êtes susceptible de recevoir.

    Ce message émanant du service gérant l'applicationapplication gouvernementale, qui permet de dématérialiser la carte d’identité et le permis de conduire, apparaît comme crédible. Hormis, quelques grosses fautes d'orthographe et une mauvaise ponctuation, on pourrait presque y croire, puisque le message utilise une adresse officielle du gouvernement.

    Il s'agit en réalité d'une campagne d'hameçonnagehameçonnage, autrement appelée phishing. Généralement, en se faisant passer pour un service gouvernemental ou une grande entreprise, l'auteur de ce type d'arnaque cherche à récupérer des identifiants en incitant sa victime à cliquer sur un lien. Dans le cas présent, c'est une tentative d'usurpation d'identité avec des documents officiels. Mais ce qui la distingue des campagnes habituelles d'hameçonnage, c'est que l'adresse employée provient effectivement bien de France Identité.

    Le message d’alerte de l’application France Identité pour prévenir de la campagne de phishing utilisant sa véritable adresse e-mail. © France Identité

    Une vraie adresse gouvernementale piratée

    Mais comment le véritable e-mail de France Identité a-t-il pu être utilisé ? Sans doute par une certaine légèreté au regard de la cybersécurité de la part de ce service qui est justement censé garantir une sécurité exemplaire. En réalité, si l'adresse de France Identité a pu être exploitée par l'auteur de ce message, c'est parce que France Identité utilise un protocole d'envoi d'e-mail ancestral et mal sécurisé. Il s'agit du SMTP et, malheureusement, ce protocole ne permet pas d'authentifier les émetteurs d'un e-mail. Cela signifie que n'importe qui peut utiliser cette adresse officielle pour envoyer un message.

    France Identité a alerté les utilisateurs de cette arnaque via X (exTwitter) en leur précisant de ne surtout pas répondre au message. Il est également probable que cette faille soit corrigée depuis sa découverte, du moins, il faut l'espérer.