Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Gouv.fr cybersquatté : le g devient un q et c’est le drame

On l'a dans le q

Gouv.fr cybersquatté : le g devient un q et c’est le drame

Attention, si vous recevez un email provenant de gouv.fr, qu’il s’agisse bien de gouv avec « g » et pas avec un « q ». Un petit malin a, en effet, enregistré le nom de domaine qouv.fr et a créé de nombreux sous domaines qui ne laissent que peu de doute quant à ses intentions.

Le 30 août à 17h30

Les abus sur les noms de domaines sont de plus en plus nombreux et les pirates diversifient leurs activités. Il y a évidemment les grands classiques avec de faux sites sur la carte vitale, les amendes, les plateformes de streaming, etc.

L’abus par email prend de l’importance

Mais d’autres usages prennent le dessus, comme l’expliquait Gaël Mancec, juriste NTIC chez Germain Maureau : « l'usage email est aujourd'hui quasiment plus fort en termes d'abus que l'usage web ». Car un même nom de domaine peut servir aux deux. L’exemple du jour est en plein dedans.

Dans la galaxie des techniques pour abuser les utilisateurs, on retrouve le typosquatting qui consiste à trouver un nom de domaine très proche de l’original et disponible afin de tromper les utilisateurs. Cela peut être une graphie proche, remplacer un O par un 0, par exemple, ou un l (l minuscule) par un I (i majuscule).

Et voilà qouv.fr, méfiance !

En France, afin de limiter les dégâts sur les sites officiels du gouvernement, il n’est plus possible depuis longtemps de déposer des noms de domaines en « -gouv.fr ». Sur X, Mikołajek (créateur de Red Flag Domains qui recense les noms de domaine très récemment enregistrés et probablement malveillants), présente un nom de domaine enregistré hier et qui contourne le problème : qouv.fr.

Il s’agit évidemment de s’approcher autant que possible de gouv.fr, l’adresse officielle. Et, effectivement, on peut facilement se faire berner :

Le site qouv.fr renvoie pour le moment vers perdu.com, cela pourrait être drôle si cela s’arrêtait là… et encore, le site pourrait très facilement changer pour tenter de berner des utilisateurs. Mais, malgré cela, le danger existe : utiliser le nom de domaine pour des emails.

Des sous domaines inquiétants…

Comme l’a remarqué gauthi3r sur X, « c’est clairement pour de l’usurpation / fraude à la vue des sous-domaines répertoriés… ». Un coup de vérification sur les DNS (via DNSDumper par exemple) et on trouve, en effet, des enregistrements qui ne laissent pas franchement de place au doute : passeport.ants.qouv.fr, bas-rhin.qouv.fr, education.qouv.fr, messervices.etudiant.qouv.fr, legifrance.qouv.fr…

Le site a beau rediriger vers perdu.com (qui lui est sans danger), le nom de domaine peut largement servir pour lancer des campagnes de phishing, avec des adresses très proches de celles officielles, d’autant plus si le lien de l’adresse est souligné. Le q et le g se confondent d’autant plus.

Des liens vers qouv.fr sur des sites officiels, dont Légifrance

Mais il y a pire encore : on retrouve à plusieurs reprises des liens vers qouv.fr sur les sites en gouv.fr. Dans une bonne partie des cas, c’est la reconnaissance de caractère qui est en cause (justement à cause de la proximité entre les deux caractères), mais pas uniquement selon nos recherches.

Le site Dordogne.gouv.fr renvoie vers une adresse en qouv.fr et même Légifrance fait la faute. On ne peut pourtant pas dire que les caractères soient proches sur un clavier.

Le nom de domaine est gelé

Le nom de domaine est maintenant gelé, comme l’indique le whois. L’AFNIC explique que cette action « annule l’ensemble des opérations en cours de traitement par l’Afnic et empêche toute demande d’opération à venir sur le nom de domaine (changement de bureau d’enregistrement, transmission de nom de domaine impossibles…). Mais cette opération n’altère pas le fonctionnement du nom de domaine ». Qouv.fr est en effet toujours fonctionnel.

Trois éléments peuvent conduire au gel, explique l’AFNIC :

  • Lorsqu’une décision de justice ordonnant le gel du nom de domaine est notifiée à l’Afnic ; le gel sera maintenu selon les stipulations de la décision judiciaire et sera levé suite à une nouvelle décision ;
  • À l’ouverture d’une procédure Parl (cf. supra) : le gel est maintenu jusqu’à l’exécution de la décision ;
  • À l’ouverture d’une procédure de vérification (cf. supra) : le gel est maintenu pendant une durée de 7 jours.

Pour que le nom de domaine ne fonctionne plus, il faut un blocage : « Cette opération rend le nom de domaine inopérationnel (le site web, les adresses courriels ne fonctionnent plus) ». Ce n’est pas (encore ?) le cas. Pour résoudre définitivement le problème, qouv.fr pourrait rejoindre le propriétaire de gouv.fr et rediriger vers ce dernier.

Commentaires (69)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Avec en plus les let's encrypt, on a besoin de plusieurs niveaux de SSL: le SSL fort (certificats avec validation de l'organisation) et les SSL pour touristes (let's encrypt et tous les certificats qu'on peut créer à gogo sans soucis avec les fesse bien au chaud dans notre fauteuil).

Et de nouveau des affichages de cadenas et autres pour valider qu'on est sur un site de confiance.

Et bon courage pour ceux qui gèrent les domaines et certifs des sites du gouvernement, avec 4 ou 5 niveaux de sous-domaine, c'est juste du délire complètement idiot de com des années 200x

(exemple: même si gouv.fr est déposé, vous pouvez déposer mon-q.gouv.fr en tant que domaine)
votre avatar
Je pense que si tu fais ça, t'as l'AFNIC qui te contact direct. :windu:
votre avatar
Tu ne peux pas réserver mon-q.gouv.fr, c’est un sous domaine de gouv.fr qui est réservé. et c’est pas que avec gouv. Si tu veux prendre mon-q.gavois.fr, tu ne peux pas. J’ai gavois.fr et les sous domaines ne sont pas réservables.
votre avatar
Ça paraît logique, mais certains y arrivent (vécu au boulot...)
votre avatar
Ha ouais :o Si t’as un exemple ou des détails je veux bien :) (sebastien@ nom du site au besoin)
votre avatar
Bon, j'ai parlé trop vite. Voici donc l'explication (c'était il y a 15 ans, dans une société très lointaine...)
En fait un acte malveillant (aucune idée s'il y a eu enquête) a consisté à berner notre presta de nom de domaine et lui faire ajouter un www sur un de nos sous-domaine.
Le contrôle du dns est le seul barrage, ensuite pour générer un certificat il 'suffit' de contrôler le serveur derrière pour prouver son identité.
Au final, c'est ce qui a décider de ne plus déléguer la gestion des sous-domaines dns.

Le DNS est actuellement toujours LE point à sécuriser. C'est lui qui porte des infos sur faire des vérifications pour les emails par exemples (spf,)

Pourtant il semble qu'il n'y ait pas encore d'extension pour stocker sur le DNS du domaine un logo, une preuve d'identité d'organisation, un indicateur qui force un niveau supérieur de ssl...
votre avatar
C'était un .fr, .net ou .com je suppose là où il n'y aucune vérification à la base de l'identité de la personne ou de la société qui prends le domaine ?
votre avatar
Fr ou com, je ne sais plus (bien que je pense que à l'époque le fr appartenait à quelq'un d'autres encore)
votre avatar
Pour la réservation des domaines en .gouv.fr ce n'est pas tout à fait exact, ça ne fonctionne pas comme les autres domaines de .fr. L'Afnic gère directement .gouv.fr, sans délégation. L'ANSSI en parle dans son guide DNS : https://cyber.gouv.fr/sites/default/files/2014/05/guide_dns_fr_anssi_1.3.pdf

OVH en propose d'ailleurs la réservation : https://www.ovhcloud.com/fr/domains/tld/gouvfr/ (mais j'imagine que ça vient avec un certain nombre de vérifications et que ce n'est pas attribué à n'importe qui).

Ça se vérifie avec dig en demandant des résolutions à l'Afnic :
dig gouv.fr NS @f.ext.nic.fr.
ne retourne rien, alors que
dig impots.gouv.fr NS @f.ext.nic.fr.
retourne bien la délégation vers les DNS des impôts, sans intermédiaire pour gouv.fr
votre avatar
" j'imagine que ça vient avec un certain nombre de vérifications et que ce n'est pas attribué à n'importe qui)"

Demande de validation par le service d'information du gouvernement (SIG) qui transmet l'autorisation à l'Afnic. Sinon c'est remboursement du client par le bureau d'enregistrement.
votre avatar
Ca m'intéresse, j'ai 3 noms de domaines et si je peux éviter un comique qui s'installe dans un sous-domaine ...
votre avatar
Ce que tu décris existe déjà. Il s'agit des certificats EV (Extended Validation) :
https://shop.globalsign.com/fr/ssl/ev-ssl
https://en.m.wikipedia.org/wiki/Extended_Validation_Certificate

Sauf que depuis 2019, Chrome (suivi par les autres navigateurs) n'affiche plus de différence entre les certificats DV (Domaine Validation) et les certificats EV. Ces certificats (assez chers) n'apportent donc aucune pluvalue en terme de confiance, puisque les utilisateurs ne distinguent pas la différence.
votre avatar
Oui tout à fait. On a fait le choix au boulot de prendre en validation étendue pour le site institutionnel (mais pas pour les évènementiels)
votre avatar
Les EV ne servent à rien hormis engraisser le fournisseur du certificat…

Edit : un podcast récent en anglais qui explique assez bien la problématique des certificats :
https://twit.tv/shows/security-now/episodes/986
votre avatar
Certaines sociétés de certificat SSL sont très bof, certaines révoqués (antidaté, etc), donc pas forcément mieux que Let's Encrypt.
@AlexLacan à raison, sur les EV.
votre avatar
Non ?
votre avatar
Le mec en avait peut-être mare des liens cassés en Qouv.fr et a décidé de prendre les choses en main pour rediriger vers Gouv.fr ?
#bisounours
votre avatar
Et il refait meme les sous domaines, quelle dévotion !
votre avatar
Obligé non ? (Au c’est possible de rédiger un sous domaine directement depuis de domaine principal ?)
votre avatar
Certains serveurs dns le proposent.

Pour le certificat SSL : wildcard par contre s’il y a un . dans le sous-domaine il en faut un autre, let’s encrypt permet probablement d’automatiser tout ça.
votre avatar
Le "viqicrues" est quand même énorme.
On ne peut pourtant pas dire que les caractères soient proches sur un clavier.
Ça ne vous arrive jamais de faire des fautes de frappe inconscientes avec des caractères proches visuellement mais éloignés sur le clavier ? Ça me choque quand je m'en rends compte car je ne l'explique pas, mais ça m'arrive, le cerveau est vraiment bizarre parfois.
votre avatar
Ou tout simplement une faille qui a été exploitée sur ces sites. Plutôt que de faire un truc bien visible (et qui serait rétablie dans l'heure), on fait une petite modification qui passe presque inaperçue pendant des jours, des semaines, des mois...

edit] Et par curiosité, j'ai regardé un [clavier Bépo. G et Q sont à côté ^^
votre avatar
Pour que le nom de domaine ne fonctionne plus, il faut un blocage : « Cette opération rend le nom de domaine inopérationnel (le site web, les adresses courriels ne fonctionnent plus) » Ce n’est pas (encore ?) le cas.
Qui fait cette demande de blocage, une fois que le domaine est gelé ?

Je suppose qu'il suffirait qu'on y héberge un mp3 pour que les zayandroits s'en occupent gratos :francais:
votre avatar
L'Afnic le fait de son propre chef, au bout de 7 jours sans réponse satisfaisante du titulaire.
votre avatar
Les sous-domaines cités (comme passeport.ants.qouv.fr) n'existent plus.
votre avatar
#bringbackserifs ou évitons par défaut le sous lignage des caractères qui atteignent la ligne de jambage inférieur ?
votre avatar
Ou afficher les URL en majuscules.

QOUV.FR vs GOUV.FR est déjà plus visible.

Après, clairement, c'est le retour de flamme de la comm' de l'époque disant cadenas = sécurité.
votre avatar
en imaginant la barre de liens en dessous:
IMPOTS.G0UV.FR, IMPOTS.GQUV.FR, IMPOTS.6OUV.FR, IMPOTS.ĢOUV.FR, IMPOTS.GOŲV.FR, IMPOTS.ƓOUV.FR, IMPOTS.ǪOUV.FR, IMPOTS.GΟUV.FR (<- omicron majuscule), IMPOTS.GОUV.FR (<- o cyrillique), etc.
votre avatar
Sur un clavier Bépo, g et q sont à côté. Ce qui, en tant que dyslexique, me fait me tromper souvent !
votre avatar
Il ne faut pas justifier d'une identité pour acheter un .fr ?
votre avatar
Pas a priori. (Mais ça peut être contrôlé a posteriori, ce qui est sans doute le cas pour ce domaine, qui a été gelé.)
votre avatar
Il faut résider sur le territoire de l'union européenne ou de l'association européenne de libre échange. Si les données sont fictives, le domaine peut être supprimé (après sommations, évidemment).
votre avatar
Une question sémantique : est-ce qu'un nom similaire à un vrai est considéré comme du cybersquattage ?

À ma connaissance, la pratique décrit surtout l'enregistrement d'une marque (parfois par anticipation) pour derrière spéculer dessus. Les noms proches ne me semblaient pas être considérés comme du cybersquattage.

Là ça ressemble plus à du parasitage.
votre avatar
Il n'y a pas de définition juridique de "cybersquattage". Chacun utilise ce terme comme il veut.
votre avatar
Cf aussi l’affaire Milka
votre avatar
Ça oui je savais, c'est la propriété intellectuelle qui pose le socle juridique dans le cas d'un squat de marque.

Mais je ne pensais pas que l'idée englobait aussi ce genre de cas.
votre avatar
Tu veux dire que lorsque j'ai pris ANPE-PARIS.COM (à ne pas éviter - Paris)
Nom de domaine : déboutée en contrefaçon, l’ANPE gagne sur le fondement du parasitisme. 17/09/2003

L’enregistrement du nom de domaine « anpe-paris.com » pour l’exploitation d’un site payant à caractère pornographique ne constitue pas un acte de contrefaçon par reproduction des marques.

Pour fonder sa décision du 20 juin 2003, le tribunal de grande instance de Paris indique que la contrefaçon par reproduction n’est caractérisée que « lorsque le signe constituant la marque est reproduit à l’identique, sans modification ni ajout ou lorsque la reproduction réalisée « recèle des différences si insignifiantes qu’elles peuvent passer inaperçues aux yeux d’un consommateur moyen ».
Le tribunal a ordonné le transfert du nom de domaine et alloué 7 000 € de dommages-intérêts à son profit, en retenant que l’accès au site pornographique était facilité par l’usage parasitaire du vocable « anpe » et que ce « simple apparentement volontaire » portait atteinte à l’image de l’ANPE. (legalis)
votre avatar
Moi j'avais vu des fois "typosquatting" pour ce genre de site avec 1 lettre de différence.
votre avatar
Ah oui ça me parle ce terme aussi :)
votre avatar
Du coup, le point G devient le point Q ? Change pas grand-chose au final, plein de gens passent leur vie entière à le chercher, et en reviennent chaque fois brecouille... :craint:
votre avatar
Le point G devient le point plan Q
:cap:
votre avatar
Voilà qui va égayer la vie sexuelle de pas mal de couples en recherche de nouvelles sensations :chinois:
votre avatar
Ou alors c'est pour rappeler que le point G de l'homme est dans son Q.

:bocul:
votre avatar
C'est tout à fait exact, en plus d'être amusant ! :mdr2:

Peut-être pour cela que les hommes sont (en moyenne) plus grossiers que les femmes, bande de mal-au-trou ! :francais:
votre avatar
Attention aux arnaques par SMS usurpant ANTAI :
* sectionregularisation [.] com
* registretransgression [.] com

Le bloc ARIN/L'adresse IP sont localisés dans un paradis fiscal.
J'ai contacté le registrar, le même aussi, sans réponse à date.
votre avatar
"Des liens vers qouv.fr sur des sites officiels, dont Légifrance"

:bravo:
votre avatar
Il faut avouer que le changement d'une seule lettre fout un tel bordel ! Ça m'a bien fait rire.

C'était malin et bien joué de sa part.

Au IT du gouvernement d'agir et de prévenir ce genre de truc dans l'avenir.
votre avatar
pour rappel: gouv.fr est lui-même un tld et non pas un domaine du tld fr (la fatigue quand j'ai découvert ça...)
PS: c'est quel site que vous avez utilisé pour récup la liste des sous-domaines?
votre avatar
Idem. Et surtout, qu'un TLD pouvait être un "sous-domaine" d'un autre TLD...
votre avatar
Justement, il ne peut pas. gouv.fr n'est pas un TLD (je suis même surpris qu'on puisse raconter cela ; confusion avec la notion de domaine d'enregistrement / suffixe public ?)
votre avatar
Euh, non, pas du tout. TLD veut dire Top Level Domain (domaine de premier niveau) et, si vous comptez les composants de gouv.fr, vous en trouverez deux : c'est un domaine de deuxième niveau.
votre avatar
Alors, strictement et techniquement parlant, effectivement, c'est un SLD (Second Level Domain). En pratique, c'est un TLD de second niveau. On retrouve cela dans plusieurs cas. Le .uk en à pléthore (.co.uk, .gov.uk, etc.).

La différence, c'est que l'on peut enregistrer auprès d'un registrar des domaines (des SLD) de ces sous-domaines (souvent avec des restrictions / validations).

Mais effectivement, d'un point de vue purement technique, c'est un abus de langage.

edit] Du coup, j'ai quand même creusé, au cas où je dirais des bêtises. Et j'ai bien retrouvé cette notion de TLD de second niveau, au niveau de [Wikipédia par exemple.
votre avatar
L'article de Wikipédia cité dit exactement le contraire. Wikipédia peut se tromper mais, ici, l'article est correct et ne dit évidemment jamais que gouv.fr ou co.uk sont des TLD.
Ce n'est pas un abus de langage de confondre premier et deuxième, mais une erreur (imaginons les Jeux Olympiques ou la désignation d'un premier ministre après des législatives si on confondait premier et deuxième).
votre avatar
Je crois que je vais arrêter de lire Next ^^
Plus sérieusement, avant pour moi, effectivement, un TLD, c'était le .bidule qui traine à la fin d'une URL. Juste le dernier, pas d'autres.

Lors de la lecture d'un article sur Next il y a quelques mois (je ne sais plus lequel), j'ai vu que certains domaines d'enregistrement avait un traitement particulier (cas du .gouv.fr), et mes recherches à l'époque m'avaient justement conduit à cette notion de TLD de second niveau. Cela m'avait bien sûr heurté, car TLD, Top, second niveau, c'était quelque chose d'inconcevable. Et pourtant, j'avais bien trouvé cette notion abordé à plusieurs reprises. J'avais également vu la notion de PSD (Public Suffix Domain) qui permettait de s'affranchir de ce problème conceptuel.

Pour le lien Wikipédia, je n'ai pas du tout la même interprétation que toi. La page parle bien de second-level hierachy to a TLD bien que Strictly speaking, domains like .ac.uk and .co.uk are second level domain themselves. Ce qui est d'ailleurs peu ou prou ce que j'ai marqué dans mon commentaire précédent.

Du coup, je suis perdu sur cette notion de hiérarchie des TLDs. Car une hiérarchie d'un seul niveau n'a pas de sens. Mais je sais aussi que tu es un spécialiste du sujet et que tu en connais très certainement mieux les tenants et aboutissants. Je ne dis pas tout ça pour avoir raison, juste pour comprendre mon erreur.

Donc je crois que le plus simple c'est que je vais arrêter de lire Next (vu les bêtises qu'on y trouve ^^) (*)
Ce n'est pas un abus de langage de confondre premier et deuxième, mais une erreur (imaginons les Jeux Olympiques ou la désignation d'un premier ministre après des législatives si on confondait premier et deuxième).
Sans vouloir chipoter, ce n'est pas la même chose. Top, ne signifie pas premier, mais haut ou tête dans ce contexte. Le haut du domaine désigne alors non pas forcément le premier élément (en commençant par la fin), mais le ou les premiers élément(s).

C'était d'ailleurs comme ça que je m'étais "consolé" de cette situation paradoxale, car même si on a traduit TLD en français par domaine de premier niveau, l'acronyme anglais utilise Top et non First ;)

-----

(*) : nan c'est une blague, je vous aime trop pour ça
votre avatar
https://www.afnic.fr/wp-media/uploads/2024/09/arbre-noms-domaine-web-768x390.jpg :-)
votre avatar
j'avais eu une discussion avec le CM de code.gouv.fr à ce propos l'an dernier: x.com Twitter
edit: si t'a pas de compte twitter nouvellement porn/x pour voir les réponses précédentes: https://lutim.lagout.org/qNqOd0Rz/R6gCwHJw.png
votre avatar
Il y a du changement aujourd'hui, qouv.fr ne redirige plus vers perdu.com mais vers le message de Mikołajek sur X.
C'est pas une mauvaise chose je trouve, ça peut permettre aux personnes qui ne connaissent pas ce genre de pratiques d'en prendre conscience.
votre avatar
L'effet de bord inattendu, c'est qu'à cause de ça, un certain nombre de personnes a cru que j'étais à l'origine de l'enregistrement de ce nom de domaine pour faire du buzz autour de cette histoire.
votre avatar
Arf, c'est pas terrible en effet :/
votre avatar
Je viens de tester à l'instant, et je suis redirigé vers perdu.com.

A noter également l'usage de cloudflare (qui a bien mis 1min pour valider que j'étais humain).
votre avatar
Effectivement, ça renvoie vers perdu.com maintenant.
Concernant cloudflare, j'y ai aussi eu droit.
votre avatar
Oui, la redirection a (une fois de plus) bougé... pour un domaine congelé il a encore de la vigueur :)
votre avatar
Après, le domaine est congelé, mais comme il pointe sur Cloudflare... Il suffit de changer la configuration de Cloudflare ^^
votre avatar
Gelé veut dire qu'on ne peut pas modifier les infos de ce nom de domaine auprès de l'AFNIC.

Tant qu'on a la maîtrise des serveurs DNS pointés par ces infos, on peut changer autant qu'on veut le contenu des serveurs DNS (qui sont chez Cloudflare).

Remarque : une simple redirection sur le site initial peut renvoyer vers perdu.com. C'est peut-être ce qui est fait. Je ne peut pas le savoir car j'ai erreur 403 : Forbidden en réponse à un wget ce qui est peut-être lié au fait que Cloudflare me présente un captcha si je passe par un navigateur. J'ai la flemme de capturer les échanges réseaux.
votre avatar
Je sais bien. C'était juste pour le trait d'humour avec l'image du domaine (con)gelé.
votre avatar
oh putain ! Quel con ! Je l'ai ! (très d'humour phonétique)
votre avatar
Che ne fois pas le proplème, tant qu'on est sur un site tu qouvernement !
votre avatar
Sinon, le dessin de Flock est super !
votre avatar
Sinon, le dessin de Flock est super !

:cap: :D

Gouv.fr cybersquatté : le g devient un q et c’est le drame

  • L’abus par email prend de l’importance

  • Et voilà qouv.fr, méfiance !

  • Des sous domaines inquiétants…

  • Des liens vers qouv.fr sur des sites officiels, dont Légifrance

  • Le nom de domaine est gelé

Fermer