Fonctionnement de l’attaque

Tout commence par un SMS (la voie de l’e-mail n’a pas encore été remontée) signalant que votre carte sera périmée ou qu’elle est disponible, puis un lien vous incitant à remplir un formulaire pour rester couvert comme ci-dessous:

Exemple de message susceptible d’être reçu

En se rendant sur le site indiqué, on tombe sur un formulaire qui demande quelques informations classiques type nom, prénom, adresse, etc… Puis vient le moment où on passe au moyen de paiement. Voyons cela en détails

Détails de l’attaque

Tout d’abord, il faut s’avoir une chose: votre ip est sûrement traitée côté serveur comme on peut le voir sur cette capture:

Message de bloquage par IP

Comme d’habitude avant de cliquer sur des lien étranges, une sécurité est à mettre en place impérativement et j’insiste bien sur ça. Pour ma part, je suis généralement sous VPN et machine virtuelle pour isoler mon environnement de travail. Revenons à ce message, on peut voir que mon adresse IP a été bloquée pour ce site. Je décide donc de lever mon VPN et étrangement l’accès au site est autorisé. Etrange n’est-ce pas? Continuons à présent!

Première étape de l’arnaque

On arrive pour commencer sur un formulaire classique de renseignement, je rempli avec de fausses informations bien évidemment. On peut remarquer que le site est relativement bien copié, pas de fautes de français, le logo y est, en bref, un utilisateur non-averti peut se faire avoir. Enclenchons la deuxième!

Deuxième étape de l’arnaque

En deuxième point nous trouvons les champs concernant notre adresse. Pareil, je mets des informations plus que bidon (quoique pour le numéro de téléphone j’aurai pu lui donner un numéro surtaxé ou même mieux, un sbire pour de l’arnaque CPF… « Arnaque-ception » !). On passe à l’étape 3, la plus intéressante !

Troisième étape de l’arnaque

On arrive enfin à la troisième de l’arnaque, le passage à la caisse et il y a beaucoup à dire sur cette page. Deux choix sont proposés: remboursement par chèque et remboursement automatique sur ma carte bancaire. Bien entendu, le remboursement par chèque est indisponible et impossible à sélectionner (là aussi je pense que j’aurai pu le troll en forçant la sélection chèque avec un peu de manipulation HTML). On trouve également un bloc de texte pour nous mettre en confiance, « Continue frérot, tu peux saisir tes codes sans problèmes! ». Dans ce texte, on trouve des groupes de mots rassurants tels que « serveur sécurisé », « crypte les données » et « éviter tout risque de piratage », histoire de bien nous mettre en confiance pour la saisie. Donc comme les étapes précédentes, je saisis des données éclatés visible depuis Tokyo et on se retrouve avec cet écran pour terminer:

Dernier écran de l’arnaque

Et voilà! Ma carte vitale est (ou serait) à jour!

Conclusion

Malgré le ton « humoristique » tout le long de l’article, c’est une arnaque qui fait des dégâts comme les autres, c’est indéniable. Le sujet diffère, mais les dégâts reste les mêmes: fuite de données, un bon gratuit pour être fiché Banque de France et cela peut aller jusqu’au suicide pour certains. Copier un site est d’une facilité déconcertante qui peut être à la porté de tous même si l’étape de l’hébergement peut se montrer plus compliqué.

Tout au long de ce procédé, on peut remarquer que l’on trouve aucune vérification d’authenticité, même pour le code de carte bleue. Ce « laisser-passer » permet à l’attaquant d’attraper vraiment toutes les informations qu’il souhaite.

Pour terminer, comme d’habitude, les petites piqûres de rappel qui font du bien:

  • Vérifier l’identité de l’émetteur qui envoie la notification pour une action quelconque, cela peut être par mail ou SMS. Mon entourage a été uniquement notifié par SMS par des numéros « classiques » commençant par 06 ou 07, déjà là ça pue un peu d’entrée de jeu.
  • Vérifier l’adresse url qui est présente dans le message, le vrai site de l’assurance maladie se trouve ici.
  • L’activation et mise à jour de votre carte vitale se fait uniquement en pharmacie.