Archives par mot-clé : usurpation

Cybersécurité, Securite informatique

Un script d’email jetable détourne la validation en ligne

Un script Python circulant sur le web automatise la création d’adresses temporaires et la récupération de codes de validation. Un outil modifié pour fraude et usurpation d’identité numérique.

Un script Python accessible en ligne permet de générer automatiquement des adresses email jetables et d’intercepter les messages de confirmation envoyés par divers services. L’outil s’appuie sur une API distante pour fournir des domaines valides et surveille les boîtes créées jusqu’à l’arrivée d’un code de validation numérique. Si ce code est détecté, il est extrait et affiché. Un tel mécanisme, à première vue utile pour des tests techniques, ouvre en réalité la voie à des abus massifs : contournement de vérifications par mail, création automatisée de comptes frauduleux, propagation de spam et usurpation d’identité numérique. Une illustration concrète de la façon dont un simple script peut devenir une arme cybercriminelle.

Comment fonctionne le script

Le code en question interroge une API située sur un domaine que DataSecurityBreach.fr ne citera pas. Le site est basé au Vietnam. La première étape consiste à récupérer une liste de domaines encore valides et exploitables. L’outil sélectionne ensuite celui dont l’expiration est la plus éloignée, afin de garantir une adresse fonctionnelle. Une chaîne aléatoire de lettres et chiffres est générée pour constituer la partie locale de l’adresse. Résultat : une adresse jetable de type uXXXX@domaine.com, prête à être utilisée pour un enregistrement sur n’importe quel site.

La seconde phase est celle de la surveillance. Le script interroge périodiquement l’API afin de détecter l’arrivée d’un email adressé à cette boîte. Il analyse alors l’objet et le contenu du message, cherchant une suite de chiffres comprise entre 5 et 8 caractères. Dès que ce code apparaît, il est extrait et affiché. L’utilisateur dispose ainsi du code de validation envoyé par le service ciblé, sans jamais avoir eu besoin d’une adresse personnelle.

Les dérives possibles

Sur le plan technique, l’outil n’est qu’une automatisation d’adresses temporaires déjà présentes sur le marché des « temp-mails ». Mais sa capacité à générer, intercepter et extraire directement les codes de validation le rend particulièrement dangereux. Des acteurs malveillants peuvent l’exploiter pour ouvrir des comptes en masse sur des plateformes de streaming, de réseaux sociaux ou de messageries, contournant ainsi les mécanismes de contrôle.

Une telle automatisation favorise aussi les campagnes de spam. En multipliant les adresses éphémères, les cybercriminels peuvent envoyer des messages indésirables sans crainte de blocage. Enfin, l’usurpation d’identité numérique devient envisageable : si une plateforme se contente d’une validation par email temporaire, l’attaquant peut s’y inscrire en se faisant passer pour un utilisateur légitime. Le risque touche directement les services en ligne qui ne couplent pas leur authentification à des contrôles plus robustes.

Un problème récurrent de cybersécurité

L’usage massif d’emails temporaires ne date pas d’hier. Ils sont populaires pour éviter la publicité ou protéger la vie privée. Mais l’industrialisation par script change la donne. Là où un internaute lambda devait générer manuellement son adresse et surveiller la boîte, le script fait tout automatiquement : de la création à la récupération du code. Cette automatisation réduit les coûts, augmente la vitesse et accroît la capacité de nuisance.

Pour les services en ligne, la menace est double. D’un côté, ils voient leurs systèmes d’inscription saturés par des comptes fantômes. De l’autre, ils risquent de valider des transactions ou inscriptions frauduleuses en se basant sur un contrôle d’email insuffisant. Les conséquences vont de la fraude publicitaire à la compromission de programmes de fidélité, en passant par l’ouverture de portes aux campagnes de désinformation.

Ce script illustre la facilité avec laquelle une fonction banale, l’email jetable, peut se transformer en outil de fraude à grande échelle. La vigilance s’impose autant du côté des utilisateurs, qui doivent comprendre les dérives de tels services, que des plateformes, qui ne peuvent plus se contenter d’une simple vérification par email. La vraie question est claire : combien de temps les systèmes d’inscription basés uniquement sur une adresse électronique tiendront-ils face à l’automatisation des faux comptes ?

Banque, Cybersécurité

Des banques enregistrent de faux noms de domaine de la concurrence

Intéressante méthode que celle utilisée par plusieurs banques pour éduquer leurs employés aux fraudes électroniques : enregistrer de faux noms de domaine.

DataSecuritybreach.fr a constaté que la banque russe, Raiffeisenbank avait enregistré le nom de domaine domclk.ru en décembre 2023. Un détail intéressant car l’url exploite deux lettres de moins que l’adresse du service d’achat immobilier de la Sberbank « Domclick » (domclick.ru).

En novembre 2023, Sberbank a enregistré le domaine a1fastrah.ru, qui diffère de l’adresse de la société Alfastrakhovanie (alfastrah.ru) par un caractère : à la place de la lettre latine l, le chiffre 1 est utilisé. Une technique de modification d’adresse web que ZATAZ avait révélé, il y a deux ans, avec de fausses adresses Disney, Nike ou encore Air France et Assurance Maladie.

Raiffeisenbank a enregistré cette adresse à usage interne afin d’effectuer des tests de formation sur la sécurité de l’information pour les employés de la banque. Le domaine n’est pas destiné à être utilisé à d’autres fins, y compris commerciales. À quelles fins la Sberbank a-t-elle besoin d’une adresse similaire au domaine Alfastrakhovanie ? Personne ne sait, pour le moment !

L’idée n’est pas nouvelle, mais pour une fois qu’elle saute aux yeux, surtout signée par des banques. Selon des chiffres différents, proposés par moultes entreprises cyber, le risque phishing serait à hauteur de 60 à 80% des cyber attaques à l’encontre des entreprises. Il est vrai que le maillon le plus vulnérable du système de sécurité est l’humain. Et attention, le phishing peut utiliser un mail, un compte et un contenu officiel. ZATAZ a rencontré, dernièrement, des pirates qui s’invitaient dans les comptes électroniques de société pour modifier le contenu original des courriels. Ils remplaçaient soit le RIB, soit proposaient un lien vers une page d’hameçonnage. Le vrai compte mail devenant un cheval de Troie quasiment indétectable. L’adresse étant validée par les instances humaines et informatiques, comme Mailing black, Etc.

Communiqué de presse, Cybersécurité, Justice

Délit d’usurpation d’identité numérique et liberté d’expression

Le cabinet LAZARÈGUE AVOCATS spécialisé dans la cybercriminalité et le droit de la presse a obtenu une décision importante en matière de liberté d’expression.

Selon Maître Lazarègue : « La rédaction confuse du délit d’usurpation d’identité numérique prévu dans le code pénal pouvait laisser entendre que le seul fait de « faire usage d’une ou plusieurs données de toute nature permettant d’identifier un individu en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération pouvait faire l’objet d’une condamnation d’un an d’emprisonnement et de 15 000 € d’amende ».

De nombreuses entreprises tentaient ainsi d’échapper aux contraintes de la loi sur la liberté de la presse (notamment à son délai de prescription limité à trois mois) en invoquant le délit d’usurpation d’identité numérique pour étouffer toute expression publique critique à leur égard.

Dans un jugement du 18 avril 2019, la 17e chambre du Tribunal de Grande Instance de Paris spécialisée dans les questions de presse et internet a réaffirmé son attachement à la liberté d’expression et la primauté de la loi sur la liberté de la presse en matière d’expression publique.

La 17e chambre a ainsi jugé que la loi pénale est d’interprétation stricte et l’interprétation de l’article 226-4-1 du code pénal au regard des travaux préparatoires de cette loi permet de restreindre le champ de l’infraction à celui d’une usurpation d’identité ou à une utilisation des données de toute nature permettant d’identifier quelqu’un dans le but de se faire passer pour cette personne, telle étant la volonté du législateur. »

Arnaque, Cybersécurité, escroquerie, Facebook, Vie privée

Protéger, concrètement, son Facebook

Un commentaire

Voici quelques conseils techniques et de bon sen pour éviter de voir partir son compte Facebook dans les mains d’un malveillant. Des techniques efficaces et simples à mettre en place.  L’intérêt pour un pirate de mettre la main sur votre compte Facebook est multiple. La rédaction de DataSecurityBreach.fr a pu en recenser 10.

D’abord, la curiosité pure et simple. Que se cache-t-il dans les messages privés que vous pouvez diffuser à vos amis. Pas bien méchant, mais malsain. Ensuite, le malveillant classique, celui qui va usurper votre identité pour ventre de faux crédits à la consommation. Il diffuse, via votre compte, de fausse proposition financière.

Vient ensuite le vendeur de médicaments, de fausses marques, de faux comptes pour console de jeux (la grande mode en ce moment est de vous offrir, pour du faux, des accès au PSN de Sony). Mettre la main sur votre compte Facebook peut aussi servir à de vrais escrocs, celui qui expliquera à vos abonnés que vous êtes perdus au fin fond de l’Afrique, de l’Asie ou de l’Amérique du Sud et que de vous (lui) envoyer de l’argent, via Paypal, vous (lui) permettra de rentrer chez vous.

Les trois derniers cas, et pas des moindres, sont les plus nocifs. Le premier, diffuse des informations à vos amis (photos, fausses informations, …) Si vous souhaitez que cela cesse, le maître chanteur réclame de l’argent. Le second, des achats sous votre identité. N’oubliez pas qu’en prenant la main sur votre compte, le pirate connait tout de vous, du moins ce que vous avez pu sauvegarder dans l’administration de votre compte Facebook. Le pirate peut ainsi converser avec ses cibles, via votre adresse XXXX@facebook.fr. Je finirai par le compte servant de rebond à une attaque plus fine, plus pointue, comme la diffusion d’un virus, d’une page phishing, comme ce fût le cas pour l’Elysée ou d’une agence américaine. Ne pensez pas n’être qu’un anonyme sur la toile. Pour un pirate, nous sommes une star en devenir !

Comment se protéger
Première chose, évitez de cliquer sur n’importe quel lien qui vous passe sous la souris. Regardez bien les adresses web qui vous sont proposées. Si https://www.facebook.com ne débute pas l’url proposé, passez votre chemin. Autre élément important, votre mot de passe. On ne cesse de le répéter, mais il doit contenir au moins 12 signes : lettres (minuscules, majuscules), signes de ponctuations et chiffres.

Dans la partie « Sécurité » que vous trouverez en cliquant sur l’icône, en haut à droite, de votre page Facebook (puis sur compte), sélectionnez : « Navigation sécurisée ». Personne ne pourra plus intercepter votre mot de passe entre – Vous et Facebook -. Cela se traduit par le S du https de l’url indiqué plus haut dans cet article. N’hésitez pas à cocher l’option « Notification lors des connexions« . Cela vous permet d’être averti, par courriel, d’une connexion « pirate ». Loin d’être négligeable pour agir vite en cas de pépin.

Autres options indispensables, l’approbation de connexion et le générateur de code. Dans ce premier cas, votre smartphone vous offre une sécurité supplémentaire. Par SMS vous pourrez recevoir le code secret de secours qui vous rendra votre Facebook. La seconde option, le générateur de code, vous propose une série de chiffres uniques, toutes les 30 secondes, pour accéder à votre Facebook. En plus de votre mot de passe, le deuxième code devient indispensable pour vous connecter. Sans ces deux « sésames », le pirate ne pourra rien faire.

Je finirai avec les contacts de confiance. Je ne l’utilise pas, mais l’idée est intéressante. Elle permet de définir les amis qui peuvent vous aider à récupérer votre compte auprès de Facebook. S’ils vous connaissent, Facebook vous rendra votre bien… ou pas ! En cas de problème, il est toujours possible de contacter Facebook via la page dédiée : Compte piraté.