Tentative de phishing Free? (Lisez juqu'à la fin.), Je ne plaisante pas. Options

[corrector]

Ce matin, je reçois ça :

Cher abonné,

La communauté Free organise très prochainement un événement dans 6 villes :
Bordeaux, Lille, Lyon, Marseille, Nancy et Paris.

Une manière originale de se rencontrer, de vivre un moment intense en
émotion, en partage et de prendre du plaisir !

Imaginez un rassemblement en centre ville de plus de 500 personnes qui
arrivent par grappes, réunis en petits groupes séparés, déguisés ou
arborant un signe distinctif et réalisant une action convenue d'avance
Cinq minutes plus tard, tout le monde repart ensemble !

Vous désirez partager cet événement communautaire carrément Free et passer
de bons moments entre amis, en famille, au milieu de vos pairs ?

Rejoignez-nous dès maintenant et impliquez-vous dans cet événement qui est
le vôtre en vous rendant à l'adresse suivante : http://events.free.fr/

Une fois identifié, vous recevrez par mail une invitation à participer
au groupe Facebook de votre ville, créé pour l'occasion.

Toutes les informations seront diffusées via ce groupe.

Merci de votre confiance

FREEment.

L'équipe « Evénement COMMUNAUTE FREE, été 2010 »

Déjà, un email avec un lien vers un site qui dit

Merci de saisir vos identifiants Free Haut Débit :

ALERTE PHISHING PROBABLE!!!

(Et si vous devez retenir UNE SEULE chose dans mon message, c'est ce qui précède.)

Mais est-ce réellement un phishing?

Analysons plus précisément.

Tout d'abord, les en-têtes du message :

N'essayez pas de faire cela à la maison si vous ne comprenez pas bien les en-têtes des emails!
Les en-têtes emails contiennent des informations de différentes origines, si vous n'êtes pas capable de dire à coup sûr d'où vient une information ne tentez pas cette analyse!

(des en-têtes sans intérêt)
Received: from dgroup2-2.proxad.net (dgroup2-2.proxad.net [213.228.0.195])
by (peu importe).free.fr (Postfix) with ESMTP
for <mon-email>; Fri, 14 May 2010 (peu importe) +0200 (CEST)
Received: by dgroup2-2.proxad.net (Postfix, from userid 0)
id (peu importe); Fri, 14 May 2010 (peu importe) +0200 (CEST)
Date: Wed, 12 May 2010 (peu importe) +0200
From: Free Haut Débit <newsletter@freetelecom.fr>
To: mon-email
Subject: Participez au 1er événement communautaire Free !
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Message-Id: <(peu importe)@dgroup2-2.proxad.net>

On voit tout de suite que les en-têtes ne sont pas corrects, ce qui est un fort indice que c'est un phishing (ou que c'est une véritable message de Free).

Ensuite, on regarde l'IP de l'envoyeur, c'est 213.228.0.195.

Attention : Il y a plein d'IP (et de FQDN) dans un email typique. Dans celui-ci, il n'y en a que 3. Dans un autre (que j'ai choisi au pif dans ma BAL), envoyé depuis Free, on trouve 6 IP différentes.

Si vous ne savez pas quelle IP est pertinente, ne faites pas cette analyse.

On vérifie facilement que 213.228.0.195 est bien dgroup2-2.proxad.net (peut-être que Free a fait cette vérification en réception du message, peut-être que non) :

> dgroup2-2.proxad.net
Serveur : dns1.proxad.net
Address: 212.27.40.240:53

Réponse ne faisant pas autorité :
Nom : dgroup2-2.proxad.net
Address: 213.228.0.195

(Remarquez que je n'ai pas entré 213.228.0.195.)

213.228.0.195 est chez Proxad/Free :

inetnum: 213.228.0.0 - 213.228.0.255
netname: FR-PROXAD
descr: Proxad / Free
descr: Servers (Courbevoie)

(Attention à la description.)

Plutôt rassurant, donc.

Revenons donc au site http://events.free.fr/. Il reprend l'apparence du site Free (comme le ferait Free ou une tentative d'escroquerie). Le site est en http, pas en https. Donc, cela pourrait aussi bien être un site perso. Comment vérifier? Il faut regarder si le site est sur un serveur de pages perso. Pour cela, on utilise nslookup (ou dig, ou ce qu'on veut, mais nslookup est présent partout) :

> events.free.fr
Serveur : dns1.proxad.net
Address: 212.27.40.240:53

Réponse ne faisant pas autorité :
Nom : events.free.fr
Address: 212.27.60.10

> 212.27.60.10
Serveur : dns1.proxad.net
Address: 212.27.40.240:53

Nom : webdev-g20.proxad.net
Address: 212.27.60.10

Cela ne ressemble par à un serveur de page perso :

> francois04.free.fr
Serveur : dns1.proxad.net
Address: 212.27.40.240:53

Réponse ne faisant pas autorité :
Nom : perso98-g5.free.fr
Address: 212.27.63.98
Aliases: francois04.free.fr

On voit que ce site perso bien connu a un RR CNAME, alors que events.free.fr a un RR A.

De plus, un test simple est d'entrer des identifiants bidons mais vraisemblables sur le site. S'ils sont acceptés, c'est la preuve que le site est bidon.

Si des identifiants faux sont refusés, cela ne prouve absolument pas que le site est authentique.

En général, un site peut très bien tester les identifiants qu'on lui donne en se connectant sur le vrai site. Un site bidon peut donc rejeter les identifiants bidons même plausibles, et n'accepter que des identifiants corrects.

J'entre des identifiants bidon vraisemblables (un numéro de téléphone plausible, et un mot de passe de pas plus de 8 symboles) : events.free.fr rejette ces identifiants faux.

Le fait que les phishing habituels acceptent n'importe quels identifiants est juste une preuve de leur caractère extrêmement primitif.

Alors, comment savoir?

Tout à coup, je me dis que le serveur qui a envoyé ce message doit surement servir à envoyer d'autres messages venant clairement de Free. La newsletter? Non, j'ai une adresse de contact @free, donc Free ne me l'"envoie" pas.

Mais j'ai conservé les premiers messages de l'abonnement à "Free Haut Débit" (qui sont incontestablement authentiques, notamment celui qui m'informe de mes identifiants) : bingo, ils sont eux aussi "from dgroup2-2.proxad.net (dgroup2-2.proxad.net [213.228.0.195])".

Conclusion :

le message est très vraisemblablement authentique.
Ce n'est PAS un PHISHING.

Ce message a été modifié par corrector - vendredi 14 mai 2010 à 06:13.