Boites mails piratées et rebond vers le site de la DGI

  • Post author:
  • Post category:Non classé

Après des recherches, voici les faits :

  1. Des pirates prennent le contrôle des boites mails parce que les mots de passe étaient d’une simplicité qu’un enfant de 10 ans pouvait deviner.
  2. Ils fouillent et trouvent ce qui les intéressent. Pour le moment, ils ont juste demandé une réinitialisation du mot de passe des comptes des victimes à la DGI.
  3. Avec la réinitialisation du mot de passe par la DGI, les pirates peuvent de connecter aux comptes des victimes et récupérer des informations sensibles : Nom, Prénom, Date de naissance, adresse, revenus, paiements, numéro fiscal, numéro déclarant en ligne, Numéro de téléphone etc.
  4. La suite logique serait de pouvoir cibler les victimes avec des vraies données qui paraitront plausibles et ainsi mettre la victime en confiance pour donner son RIB, que sais-je un scan de CNI et créer ainsi une fausse identité. De toutes les façons cela ne va pas s’arrêter là. Si dans la boite mail se trouve d’autres mails : CAF, Banque etc. il faut s’attendre à du phishing de haut niveau.

C’est là que le DNS RPZ intervient. Malgré le beau graphisme qui va se présenter dans la boite mail des victimes, même en cliquant sur un lien frauduleux, 95% de menaces sont sous contrôle. Pour les 5% restantes, il faut être vigilant car cela peut aussi prendre une tournure téléphonique, à savoir, « Je vous contacte car nous devons vérifier avec vous certaines informations ». Au fait, comme ils ont déjà une bonne partie, il va juste leur manquer la CB ou le RIB etc…

Un petit rappel de cette technologie DNS RPZ

Notre boitier est basé sur le DNS RPZ (Response Policy Zones). Il s’agit d’un système de filtrage des requêtes DNS totalement intégré au cœur du système d’aiguillage d’Internet.

Ce qui est proposé par cette nouvelle extension c’est d’intégrer la consultation de listes noires au cœur du serveur DNS : Si une demande de résolution est reçue pour un nom de domaine connu comme hébergeant un site de phishing la demande pourrait ne pas aboutir du tout ou bien il se pourrait qu’elle soit redirigée : Dans les deux cas, le site factice ne serait pas affiché et l’utilisateur trop crédule serait ainsi protégé.

C’est une démarche intéressante : Comme nous sommes garants du DNS RPZ qui tourne sur notre boitier, le DNS RPZ permettrait de répondre plus efficacement et surtout plus rapidement à des menaces liées aux codes malicieux et autres attaques informatiques. Les sites 0 Day sont particulièrement surveillés ainsi que les noms de domaine moins de ~24 heures.

Une fois une machine infectée, un code malicieux doit communiquer vers l’extérieur. Pour se faire, il utilise le DNS. Si les noms de domaines des centres de contrôles (C&C) des botnets ou autres sites de « contact » sont bloqués au niveau des serveurs DNS alors impossible pour lui de joindre son point de ralliement.

Pour les courriels

Un peu d’histoire : Le caporal Chester Nez dernier Navajo « code talker » avait été recruté par le corps des Marines en mai 1942 pour mettre au point un langage codé pour les communications sur le champ de bataille. Ce système s’appuyait sur la complexité de la langue najavo, tonale et non écrite. « Je suis très fier de dire que les Japonais ont tout fait pour déchiffrer le code, mais n’y sont jamais parvenus », avait-il expliqué en 2013 au quotidien militaire « Stars and Stripes« .

On ne vous demande pas autant, Dieu merci !

Il existe le gpg en natif sur Linux et Mac OS et Gpg4win sous Windows pour chiffer vos fichiers, courriel…

Adaptons le gpg afin de chiffrer nos courriels et ceux qui ne sont pas chiffrés > null. Un exemple démontré par l’incident de la DGI dont tout le monde en parle comme d’une intrusion dans les systèmes Informatique de la DGI.

Nous avions d’ores et déjà plannifié un atelier gpg avec signature de clefs gpg le 21 septembre à Rouen : https://nui.fr/gpg-booms-de-signatures-key-signing-party-exclusivement-a-rouen-normandie/

En attendant d’avoir votre boitier DNS RPZ etc.
  1. Changez de Mot de Passe par un très sécurisé, par exemple : D3[@[email protected]%OKL
  2. Adoptez la double authentification (Two-factor authentication en anglais, 2FA)
  3. Ne “profitez” pas des bornes de wi-fi gratuits
  4. Ne pas laisser sa session ouverte même pour aller à l’imprimante à 5 mètres ou pause  «technique» urgente. (Sous Windows il suffit de cliquer sur « Windows + L » pour vérouiller sa session. On peut même créer un racourci dans sa barre de taches qui execute ceci: rundll32.exe user32.dll, LockWorkStation
    Votre ordinateur sera véroullé avec un clic de souris si vous avez l’autre main occupée.
  5. Surtout utiliser un mot de passe différent par adresse mail.

En gros, soyez paranoïaque !