Attention, si vous recevez un email provenant de gouv.fr, qu’il s’agisse bien de gouv avec « g » et pas avec un « q ». Un petit malin a, en effet, enregistré le nom de domaine qouv.fr et a créé de nombreux sous domaines qui ne laissent que peu de doute quant à ses intentions.
Les abus sur les noms de domaines sont de plus en plus nombreux et les pirates diversifient leurs activités. Il y a évidemment les grands classiques avec de faux sites sur la carte vitale, les amendes, les plateformes de streaming, etc.
L’abus par email prend de l’importance
Mais d’autres usages prennent le dessus, comme l’expliquait Gaël Mancec, juriste NTIC chez Germain Maureau : « l'usage email est aujourd'hui quasiment plus fort en termes d'abus que l'usage web ». Car un même nom de domaine peut servir aux deux. L’exemple du jour est en plein dedans.
Dans la galaxie des techniques pour abuser les utilisateurs, on retrouve le typosquatting qui consiste à trouver un nom de domaine très proche de l’original et disponible afin de tromper les utilisateurs. Cela peut être une graphie proche, remplacer un O par un 0, par exemple, ou un l (l minuscule) par un I (i majuscule).
Et voilà qouv.fr, méfiance !
En France, afin de limiter les dégâts sur les sites officiels du gouvernement, il n’est plus possible depuis longtemps de déposer des noms de domaines en « -gouv.fr ». Sur X, Mikołajek (créateur de Red Flag Domains qui recense les noms de domaine très récemment enregistrés et probablement malveillants), présente un nom de domaine enregistré hier et qui contourne le problème : qouv.fr.
Il s’agit évidemment de s’approcher autant que possible de gouv.fr, l’adresse officielle. Et, effectivement, on peut facilement se faire berner :
⚠️Hier, un petit malin a enregistré https://t.co/Ehs1qNIcTv. Son titulaire peut donc créer des sites et envoyer des mails très ressemblants aux vrais .gouv.fr.
— Mikołajek (@_mikolajek_) August 30, 2024
Suivant la typo, la comparaison est bluffante (ici, Lucida sans Unicode).
Vigilance sur tous les domaines .gouv.fr ! pic.twitter.com/M35kpTQfGd
Le site qouv.fr renvoie pour le moment vers perdu.com, cela pourrait être drôle si cela s’arrêtait là… et encore, le site pourrait très facilement changer pour tenter de berner des utilisateurs. Mais, malgré cela, le danger existe : utiliser le nom de domaine pour des emails.
Des sous domaines inquiétants…
Comme l’a remarqué gauthi3r sur X, « c’est clairement pour de l’usurpation / fraude à la vue des sous-domaines répertoriés… ». Un coup de vérification sur les DNS (via DNSDumper par exemple) et on trouve, en effet, des enregistrements qui ne laissent pas franchement de place au doute : passeport.ants.qouv.fr, bas-rhin.qouv.fr, education.qouv.fr, messervices.etudiant.qouv.fr, legifrance.qouv.fr…
Le site a beau rediriger vers perdu.com (qui lui est sans danger), le nom de domaine peut largement servir pour lancer des campagnes de phishing, avec des adresses très proches de celles officielles, d’autant plus si le lien de l’adresse est souligné. Le q et le g se confondent d’autant plus.
Des liens vers qouv.fr sur des sites officiels, dont Légifrance
Mais il y a pire encore : on retrouve à plusieurs reprises des liens vers qouv.fr sur les sites en gouv.fr. Dans une bonne partie des cas, c’est la reconnaissance de caractère qui est en cause (justement à cause de la proximité entre les deux caractères), mais pas uniquement selon nos recherches.
Le site Dordogne.gouv.fr renvoie vers une adresse en qouv.fr et même Légifrance fait la faute. On ne peut pourtant pas dire que les caractères soient proches sur un clavier.
Le nom de domaine est gelé
Le nom de domaine est maintenant gelé, comme l’indique le whois. L’AFNIC explique que cette action « annule l’ensemble des opérations en cours de traitement par l’Afnic et empêche toute demande d’opération à venir sur le nom de domaine (changement de bureau d’enregistrement, transmission de nom de domaine impossibles…). Mais cette opération n’altère pas le fonctionnement du nom de domaine ». Qouv.fr est en effet toujours fonctionnel.
Trois éléments peuvent conduire au gel, explique l’AFNIC :
- Lorsqu’une décision de justice ordonnant le gel du nom de domaine est notifiée à l’Afnic ; le gel sera maintenu selon les stipulations de la décision judiciaire et sera levé suite à une nouvelle décision ;
- À l’ouverture d’une procédure Parl (cf. supra) : le gel est maintenu jusqu’à l’exécution de la décision ;
- À l’ouverture d’une procédure de vérification (cf. supra) : le gel est maintenu pendant une durée de 7 jours.
Pour que le nom de domaine ne fonctionne plus, il faut un blocage : « Cette opération rend le nom de domaine inopérationnel (le site web, les adresses courriels ne fonctionnent plus) ». Ce n’est pas (encore ?) le cas. Pour résoudre définitivement le problème, qouv.fr pourrait rejoindre le propriétaire de gouv.fr et rediriger vers ce dernier.
Commentaires (69)
#1
Et de nouveau des affichages de cadenas et autres pour valider qu'on est sur un site de confiance.
Et bon courage pour ceux qui gèrent les domaines et certifs des sites du gouvernement, avec 4 ou 5 niveaux de sous-domaine, c'est juste du délire complètement idiot de com des années 200x
(exemple: même si gouv.fr est déposé, vous pouvez déposer mon-q.gouv.fr en tant que domaine)
Historique des modifications :
Posté le 30/08/2024 à 17h35
Avec en plus les let's encrypt, on a besoin de plusieurs niveaux de SSL: le SSL fort (certificats avec validation de l'organisation) et les SSL pour touristes (let's encrypt et tous les certificats qu'on peut créer à gogo sans soucis avec les fesse bien au chaud dans notre fauteuil).
Et de nouveau des affichages de cadenas et autres pour valider qu'on est sur un site de confiance.
Et bon courage pour ceux qui gèrent les domaines et certifs des sites du gouvernement, avec 4 ou 5 niveaux de sous-domaine, c'est juste du délire complètement idiot de com des années 200x
(exemple: même si gouv.fr est déposé, vous pouvez déposer mon-q.gouv.fr en tant que domaine)
#1.1
#1.2
#1.6
#1.7
#1.12
En fait un acte malveillant (aucune idée s'il y a eu enquête) a consisté à berner notre presta de nom de domaine et lui faire ajouter un www sur un de nos sous-domaine.
Le contrôle du dns est le seul barrage, ensuite pour générer un certificat il 'suffit' de contrôler le serveur derrière pour prouver son identité.
Au final, c'est ce qui a décider de ne plus déléguer la gestion des sous-domaines dns.
Le DNS est actuellement toujours LE point à sécuriser. C'est lui qui porte des infos sur faire des vérifications pour les emails par exemples (spf,)
Pourtant il semble qu'il n'y ait pas encore d'extension pour stocker sur le DNS du domaine un logo, une preuve d'identité d'organisation, un indicateur qui force un niveau supérieur de ssl...
#1.13
#1.14
#1.8
OVH en propose d'ailleurs la réservation : https://www.ovhcloud.com/fr/domains/tld/gouvfr/ (mais j'imagine que ça vient avec un certain nombre de vérifications et que ce n'est pas attribué à n'importe qui).
Ça se vérifie avec dig en demandant des résolutions à l'Afnic :
dig gouv.fr NS @f.ext.nic.fr.
ne retourne rien, alors que
dig impots.gouv.fr NS @f.ext.nic.fr.
retourne bien la délégation vers les DNS des impôts, sans intermédiaire pour gouv.fr
#1.11
Demande de validation par le service d'information du gouvernement (SIG) qui transmet l'autorisation à l'Afnic. Sinon c'est remboursement du client par le bureau d'enregistrement.
#1.10
#1.3
https://shop.globalsign.com/fr/ssl/ev-ssl
https://en.m.wikipedia.org/wiki/Extended_Validation_Certificate
Sauf que depuis 2019, Chrome (suivi par les autres navigateurs) n'affiche plus de différence entre les certificats DV (Domaine Validation) et les certificats EV. Ces certificats (assez chers) n'apportent donc aucune pluvalue en terme de confiance, puisque les utilisateurs ne distinguent pas la différence.
#1.5
#1.9
Edit : un podcast récent en anglais qui explique assez bien la problématique des certificats :
https://twit.tv/shows/security-now/episodes/986
Historique des modifications :
Posté le 30/08/2024 à 20h15
Les EV ne servent à rien hormis engraisser le fournisseur du certificat…
Posté le 30/08/2024 à 20h54
Les EV ne servent à rien hormis engraisser le fournisseur du certificat…
Edit : un podcast récent en anglais qui explique assez bien la problématique des certificats :
https://twit.tv/shows/security-now/episodes/986
#1.4
@AlexLacan à raison, sur les EV.
#1.15
#2
#bisounours
Historique des modifications :
Posté le 30/08/2024 à 17h39
Le mec en avait peut-être mare des liens cassé en Qouv.fr et a décidé de prendre les choses en main pour rediriger vers Gouv.fr ?
#bisounours
#2.1
#2.2
#2.3
Pour le certificat SSL : wildcard par contre s’il y a un . dans le sous-domaine il en faut un autre, let’s encrypt permet probablement d’automatiser tout ça.
#2.4
Ça ne vous arrive jamais de faire des fautes de frappe inconscientes avec des caractères proches visuellement mais éloignés sur le clavier ? Ça me choque quand je m'en rends compte car je ne l'explique pas, mais ça m'arrive, le cerveau est vraiment bizarre parfois.
#2.5
edit] Et par curiosité, j'ai regardé un [clavier Bépo. G et Q sont à côté ^^
Historique des modifications :
Posté le 01/09/2024 à 09h57
Ou tout simplement une faille qui a été exploitée sur ces sites. Plutôt que de faire un truc bien visible (et qui serait rétablie dans l'heure), on fait une petite modification qui passe presque inaperçue pendant des jours, des semaines, des mois...
Posté le 01/09/2024 à 09h59
Ou tout simplement une faille qui a été exploitée sur ces sites. Plutôt que de faire un truc bien visible (et qui serait rétablie dans l'heure), on fait une petite modification qui passe presque inaperçue pendant des jours, des semaines, des mois...
[edit] Et par curiosité, j'ai regardé un clavier Bépo. G et Q sont à côté ^^
#3
Qui fait cette demande de blocage, une fois que le domaine est gelé ?
Je suppose qu'il suffirait qu'on y héberge un mp3 pour que les zayandroits s'en occupent gratos
#3.1
#4
#5
#5.1
QOUV.FR vs GOUV.FR est déjà plus visible.
Après, clairement, c'est le retour de flamme de la comm' de l'époque disant cadenas = sécurité.
#5.2
IMPOTS.G0UV.FR, IMPOTS.GQUV.FR, IMPOTS.6OUV.FR, IMPOTS.ĢOUV.FR, IMPOTS.GOŲV.FR, IMPOTS.ƓOUV.FR, IMPOTS.ǪOUV.FR, IMPOTS.GΟUV.FR (<- omicron majuscule), IMPOTS.GОUV.FR (<- o cyrillique), etc.
#6
#7
Historique des modifications :
Posté le 30/08/2024 à 19h48
Il ne faut pas justifier f'une identité pour acheter un .fr ?
#7.1
#7.2
#8
À ma connaissance, la pratique décrit surtout l'enregistrement d'une marque (parfois par anticipation) pour derrière spéculer dessus. Les noms proches ne me semblaient pas être considérés comme du cybersquattage.
Là ça ressemble plus à du parasitage.
#8.1
#8.2
#8.3
Mais je ne pensais pas que l'idée englobait aussi ce genre de cas.
#8.4
Nom de domaine : déboutée en contrefaçon, l’ANPE gagne sur le fondement du parasitisme. 17/09/2003
L’enregistrement du nom de domaine « anpe-paris.com » pour l’exploitation d’un site payant à caractère pornographique ne constitue pas un acte de contrefaçon par reproduction des marques.
Pour fonder sa décision du 20 juin 2003, le tribunal de grande instance de Paris indique que la contrefaçon par reproduction n’est caractérisée que « lorsque le signe constituant la marque est reproduit à l’identique, sans modification ni ajout ou lorsque la reproduction réalisée « recèle des différences si insignifiantes qu’elles peuvent passer inaperçues aux yeux d’un consommateur moyen ».
Le tribunal a ordonné le transfert du nom de domaine et alloué 7 000 € de dommages-intérêts à son profit, en retenant que l’accès au site pornographique était facilité par l’usage parasitaire du vocable « anpe » et que ce « simple apparentement volontaire » portait atteinte à l’image de l’ANPE. (legalis)
Historique des modifications :
Posté le 31/08/2024 à 00h26
Tu veux dire que lorsque j'ai pris ANPE-PARIS.FR (à ne pas éviter - Paris) j'aurions fait une jurisprudence ?
Posté le 31/08/2024 à 00h31
Tu veux dire que lorsque j'ai pris ANPE-PARIS.COM (à ne pas éviter - Paris) j'aurions fait une jurisprudence ?
#8.5
#8.6
#9
#9.1
#9.2
#9.3
#9.4
Peut-être pour cela que les hommes sont (en moyenne) plus grossiers que les femmes, bande de mal-au-trou !
#10
* sectionregularisation [.] com
* registretransgression [.] com
Le bloc ARIN/L'adresse IP sont localisés dans un paradis fiscal.
J'ai contacté le registrar, le même aussi, sans réponse à date.
#11
#12
C'était malin et bien joué de sa part.
Au IT du gouvernement d'agir et de prévenir ce genre de truc dans l'avenir.
#13
PS: c'est quel site que vous avez utilisé pour récup la liste des sous-domaines?
Historique des modifications :
Posté le 31/08/2024 à 14h17
pour rappel: gouv.fr est lui-même un tld et non pas un domaine du tld fr (la fatigue quand j'ai découvert ça...)
#13.1
#13.3
#13.2
#13.4
La différence, c'est que l'on peut enregistrer auprès d'un registrar des domaines (des SLD) de ces sous-domaines (souvent avec des restrictions / validations).
Mais effectivement, d'un point de vue purement technique, c'est un abus de langage.
edit] Du coup, j'ai quand même creusé, au cas où je dirais des bêtises. Et j'ai bien retrouvé cette notion de TLD de second niveau, au niveau de [Wikipédia par exemple.
Historique des modifications :
Posté le 04/09/2024 à 11h50
Alors, strictement et techniquement parlant, effectivement, c'est un SLD (Second Level Domain). En pratique, c'est un TLD de second niveau. On retrouve cela dans plusieurs cas. Le .uk en à pléthore (.co.uk, .gov.uk, etc.).
La différence, c'est que l'on peut enregistrer auprès d'un registrar des domaines de ces sous-domaines (souvent avec des restrictions / validations).
Mais effectivement, d'un point de vue purement technique, c'est un abus de langage.
#13.5
Ce n'est pas un abus de langage de confondre premier et deuxième, mais une erreur (imaginons les Jeux Olympiques ou la désignation d'un premier ministre après des législatives si on confondait premier et deuxième).
#13.6
Plus sérieusement, avant pour moi, effectivement, un TLD, c'était le .bidule qui traine à la fin d'une URL. Juste le dernier, pas d'autres.
Lors de la lecture d'un article sur Next il y a quelques mois (je ne sais plus lequel), j'ai vu que certains domaines d'enregistrement avait un traitement particulier (cas du .gouv.fr), et mes recherches à l'époque m'avaient justement conduit à cette notion de TLD de second niveau. Cela m'avait bien sûr heurté, car TLD, Top, second niveau, c'était quelque chose d'inconcevable. Et pourtant, j'avais bien trouvé cette notion abordé à plusieurs reprises. J'avais également vu la notion de PSD (Public Suffix Domain) qui permettait de s'affranchir de ce problème conceptuel.
Pour le lien Wikipédia, je n'ai pas du tout la même interprétation que toi. La page parle bien de second-level hierachy to a TLD bien que Strictly speaking, domains like .ac.uk and .co.uk are second level domain themselves. Ce qui est d'ailleurs peu ou prou ce que j'ai marqué dans mon commentaire précédent.
Du coup, je suis perdu sur cette notion de hiérarchie des TLDs. Car une hiérarchie d'un seul niveau n'a pas de sens. Mais je sais aussi que tu es un spécialiste du sujet et que tu en connais très certainement mieux les tenants et aboutissants. Je ne dis pas tout ça pour avoir raison, juste pour comprendre mon erreur.
Donc je crois que le plus simple c'est que je vais arrêter de lire Next (vu les bêtises qu'on y trouve ^^) (*)
Sans vouloir chipoter, ce n'est pas la même chose. Top, ne signifie pas premier, mais haut ou tête dans ce contexte. Le haut du domaine désigne alors non pas forcément le premier élément (en commençant par la fin), mais le ou les premiers élément(s).
C'était d'ailleurs comme ça que je m'étais "consolé" de cette situation paradoxale, car même si on a traduit TLD en français par domaine de premier niveau, l'acronyme anglais utilise Top et non First ;)
-----
(*) : nan c'est une blague, je vous aime trop pour ça
#13.8
#13.7
edit: si t'a pas de compte twitter nouvellement porn/x pour voir les réponses précédentes: https://lutim.lagout.org/qNqOd0Rz/R6gCwHJw.png
Historique des modifications :
Posté le 04/09/2024 à 19h31
j'avais eu une discussion avec le CM de code.gouv.fr à ce propos l'an dernier: https://x.com/codegouvfr/status/1705487195954434544
#14
C'est pas une mauvaise chose je trouve, ça peut permettre aux personnes qui ne connaissent pas ce genre de pratiques d'en prendre conscience.
#14.1
#14.2
#14.3
A noter également l'usage de cloudflare (qui a bien mis 1min pour valider que j'étais humain).
#14.4
Concernant cloudflare, j'y ai aussi eu droit.
#14.5
#14.6
#14.7
Tant qu'on a la maîtrise des serveurs DNS pointés par ces infos, on peut changer autant qu'on veut le contenu des serveurs DNS (qui sont chez Cloudflare).
Remarque : une simple redirection sur le site initial peut renvoyer vers perdu.com. C'est peut-être ce qui est fait. Je ne peut pas le savoir car j'ai erreur 403 : Forbidden en réponse à un wget ce qui est peut-être lié au fait que Cloudflare me présente un captcha si je passe par un navigateur. J'ai la flemme de capturer les échanges réseaux.
#14.8
#14.9
#15
#16
#16.1
le dessin deFlock est super !