Attaque de Phishing Orange : La barre est haute

Les attaques visant les clients d'Orange sont légion : Les attaques sont quasi quotidiennes et se renouvèlent sans cesse. Si je reprends ma plume sur le sujet c'est que j'ai pu constater que celles-ci s'améliorent sans cesse : Nous sommes passés de messages à l'orthographe ou à la grammaire très approximative à des attaques de qualité pleinement professionnelles.

C'est le cas de l'attaque qui a été portée à mon attention ce Lundi 19 Octobre 2009.

Comme d'habitude, tout commence par un mail qui arrive dans la boite de réception d'une personne possédant une adresse email en @orange.fr.

Le mail de phishing est assez classique. Il reste simple et clair. Il n'est pas truffé de fautes d'orthographes ni d'erreurs typographiques : A la lecture d'un tel message, il y a fort à parier que nombre de personnes vont faire le pas et cliquer sur le client indiqué. Bien évidemment, le lien donné est un leurre : On ne retrouve pas sur un site dont l'url commence par  http://verification.orange.fr/... mais quelque chose de bien différent. dans le cas présent on arrive sur un site hébergé derrière un nom de domaine qui n'a rien à voir hormis qu'il se termine en ".fr".


Le site de phishing est d'un réalisme et d'une finition exemplaire : La charte graphique est impeccablement respectée, les images sont celles d'origine, aucune faute d'orthographe, tout est prêt pour que l'utilisateur soit en confiance. Il y a même l'animation Flash "La photo mystère" pour un "polish final" impeccable.

L'attaquant est plutôt gourmand en terme d'informations personnelles : Nom, prénom, adresse,  numéro de téléphone, date de naissance, email et mot de passe associé,  numéro et type de carte bancaire, date d'expiration et cryptogramme de celle-ci. Le formulaire est si grand qu'un seul et unique screenshot n'a pas suffit : Je vous le livre donc en deux parties.

PhishingOrange-19octobre2008_PhishingSite_1.jpg

PhishingOrange-19octobre2008_PhishingSite_2.jpg
On pourra noter la mention "débit à l'expédition de la commande" et les informations sur la technologie de cryptage SSL : Tout est fait pour rassurer l'utilisateur.

Le piège est redoutable: Hormis le fait que l'attaquant est peut-être un peu trop gourmand en informations, de nombreuses personnes vont tomber dans le panneau et livrer leurs informations personnelles sans se douter du danger.

Recommandations
Si il advenait que vous soyez (ou l'un de vos proches ou collègue) tombé dans le panneau, réagissez rapidement :
1) Contacter votre banque et faites opposition afin de vous protéger contre l'utilisation frauduleuse de votre carte bancaire
2) Changez vos identifiants de connexion ou contactez le support technique Orange pour changer votre mot de passe.
3) Déposez plainte auprès des forces de l'ordre.

Cette analyse n'est pas finie : J'ai poussé les investigations un peu plus loin et j'ai découvert d'autres choses fort intéressantes qui nous en disent plus long sur le niveau de professionnalisme des personnes qui sont derrière ces attaques. Mais ce sera pour un prochain bulletin !
Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens