Ce matin j’ai reçu un email :
Si on clique sur le lien, on arrive à cette adresse http://217.16.2.4/~agricol/ :
On a ici affaire à une escroquerie en ligne par tentative d’usurpation d’identité ou « phishing ».
Comment le reconnaître ? Des détails devraient attirer votre attention :
- Les adresses emails d’envoi et de retour ne proviennent pas de noms de domaines officiels de la banque.
- Le lien pointe vers un IP et non un nom de domaine, ce qui indique vraisemblablement que le site web est éphémère.
Conclusion : L’email classique est aussi sûr et confidentiel qu’une carte postale. Ce n’est pas parce que l’expéditeur a signé « Credit Agricole » que c’est vrai.
Il n’y a pas de moyen fiable de le vérifier hormis l’utilisation de signature électronique (ex: signature GPG).
Il y a aussi SPF et DKIM (et les directives DMARC) qui permettent de savoir si le mail est envoyé par qui il dit être envoyé (cela n’autentifie pas le mail pour autant, on est bien d’accord).
Cependant, en l’occurence, je doute que le Crédit Agricole ai implémenter cela sur son infra (tout comme la majorité des autres banques d’ailleurs).
Ca ne permet pas juste de limiter le spam depuis des serveurs mail improvisés?
Le SPF permet de lister les serveurs autorisés à envoyer des e-mails avec le nom du domains.
Le DKIM permet de vérifier la signature des e-mails (les serveurs signent le mail et la clé publique est récupérée dans l’enregistrement DNS).
Le DMARC permet de suggérer une politique liée à SPF et DKIM aux serveurs recevant des e-mails provenant du domaine (si SPF pas bon, rejette…), et aussi de spécifier une adresse où reporter les messages non valides.
Après il faut que ça soit mis en place quoi…
Je dois louper quelque chose avec SPF et DKIM …
Si le crédit bouze implémente SPF et DKIM, ok, c’est bien, mais je ne vois pas en quoi cela empêche un pirate d’envoyer des mails à Mme Michu avec son propre serveur de messagerie avec pour nom de domaine « agricolo.freshdesk.com » ???