S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Relais Colis piraté : accès frauduleux, liste de 10 000 mails envoyée par mail aux clients

Quand le WTF rencontre le JPP

Relais Colis piraté : accès frauduleux, liste de 10 000 mails envoyée par mail aux clients

Illustration : Flock

Que se passe-t-il chez Relais Colis ? La question mérite vraiment d’être posée, vu l’email reçu par certains clients. Il contient pas moins de… 10 000 adresses email d’autres personnes. Pendant ce temps, un pirate mettrait en vente un fichier avec 10 millions de données de Relais Colis.

Emailception : un email de Relais Colis, avec 10 000 adresses emails

VivaSentenza, lecteur de Next a reçu hier un email pour le moins étrange et inquiétant. Il fait en effet partie des destinataires à avoir reçu, dans le corps d’un email, une liste de 10 000 emails d’autres personnes (le contenu représente 10 000 @ et 240 315 caractères).

Le lecteur a ensuite reçu un second courrier quelques heures plus tard l’informant d’un « incident de sécurité informatique ». Il nous a fait suivre les deux emails au complet (exportation au format .eml) pour que nous les analysions.

Contacté, le service presse de Relais Colis nous confirme « avoir été alerté d’un accès frauduleux cette semaine à certaines données clients ».

Voici ce que nous apprennent les informations dans les métadonnées. L’email a été créé le 15 janvier à 12h02 (en UTC) et son sujet est « Information relative à la sécurité de vos données personnelles ». Il passe entre les mains du service de messagerie SimpleLogin (qui appartient à Proton) puis enfin dans la boite email du destinataire (Proton Mail).

Sur les réseaux sociaux, d’autres personnes ont visiblement reçu le même email (SaxX par exemple). Le destinataire n’est pas le même (l’heure diffère aussi un peu), mais la liste des emails dans le contenu du message semble être identique à chaque fois.

DKIM, DMARC et SPF : tout est ok !

Toutes les signatures DKIM, DMARC et SPF sont au vert. Les champs signés sont notamment From, Subject, To et Date. 

Arc-Authentication-Results: i=1; mail.protonmail.ch;
dmarc=pass (p=quarantine dis=none) header.from=relaiscolis.com;
spf=pass smtp.mailfrom=eu-central-1.amazonses.com;
dkim=pass (1024-bit key) header.d=amazonses.com header.i=@amazonses.com […];
dkim=pass (1024-bit key) header.d=relaiscolis.com header.i=@relaiscolis.com […];

Nous vérifions au passage les serveurs autorisés à envoyer des emails au nom du domaine relaiscolis.com (via le DNS). Allons directement à la partie importante : « include:amazonses.com ». Amazonses.com est bien autorisé à envoyer des emails pour le compte de Relaiscolis.com. Dans l’email reçu par le lecteur, DKIM confirme que relaiscolis.com a bien signé l’email.

Il est donc légitime, mais nous ne savons pas comment cela a pu se produire. Piratage du compte de gestion des envois d’emails de Relais Colis ? Fausse manip’ du stagiaire ? Bug technique ? Impossible à dire pour le moment.

Relais Colis informe d’un « incident de sécurité »

Quelques heures plus tard, à 20h18, le lecteur reçoit donc un autre email de Relais Colis, intitulé « Information – Incident de sécurité affectant certaines données de contact ». L’email qui reçoit le message est utilisé uniquement pour Le Bon Coin nous précise le lecteur, alors que la communication vient de Relais Colis, mais les deux sont partenaires pour l’expédition des colis.

« Nous souhaitions vous informer qu’un incident de sécurité informatique a récemment été porté à notre connaissance et a affecté l’un de nos prestataires techniques intervenant dans le cadre de nos activités. Bien que cet incident soit désormais contenu et résolu, il a pu entraîner une atteinte limitée à la confidentialité de certaines données à caractère personnel vous concernant ».

Dans le lot, nom, prénom, adresse e-mail et numéro de téléphone. « Aucune donnée bancaire, aucun mot de passe, ni aucune information de paiement ou donnée sensible ne sont concernés par cet incident », ajoute Relais Colis. La CNIL a été notifiée, comme la loi l’y oblige.

Pas un mot par contre sur le précédent email.

Relais Colis nous confirme « un accès frauduleux cette semaine »

Nous avons contacté le transporteur en leur expliquant la situation et notamment les 10 000 emails dans le message et la signature de l’email par relaiscolis.com. Son agence de presse nous répond que, « à l’issue des premières vérifications, Relais Colis confirme avoir été alerté d’un accès frauduleux cette semaine à certaines données clients ».

La suite de la réponse est du même acabit que le second email envoyé aux clients : « Les données concernées sont des données téléphoniques et postales. Aucune donnée bancaire, aucun mot de passe ni aucune information sensible liée à la sécurité n’ont été compromis ».

« Dès l’identification de l’incident, Relais Colis a engagé les actions nécessaires et a entamé les démarches réglementaires en cours, notamment auprès de la CNIL, conformément aux obligations en vigueur. Cet incident est bien entendu regrettable et fait l’objet d’un suivi attentif visant à renforcer les dispositifs de sécurité », ajoute le service presse.

Nous avons redemandé comment un email avec 10 000 adresses emails a été envoyé à des clients, sans réponse pour l’instant.

Une base de données « relaiscolis » en vente sur Breachforum

Cette semaine, un nouveau message sur Breachforum annonçait « la vente de la base de données « relaiscolis » » avec les nom, prénom, nom de l’entreprise, adresse, téléphone et email. Le fichier contiendrait près de 10 millions de données.

Une vingtaine de comptes sont donnés en exemples avec la publication. Nous avons comparé les e-mails aux 10 000 dans l’email envoyé au lecteur : aucun ne correspond, mais cela ne permet pas d’en conclure grand-chose pour le moment.

Commentaires (24)

votre avatar
Des champions... :sm:
votre avatar
C'est précisément ce que je me suis dit en recevant le premier mail :reflechis:
votre avatar
Merci encore d’ailleurs :love:
votre avatar
Avec plaisir, j'apprécie de fait l'utilité de Proton et de SimpleLogin en particulier, ça va me permettre de supprimer cet alias corrompu !
votre avatar
surement le stagiaire qui ne connait pas le champ cci
votre avatar
pas de CC ou CCI, c’est dans le contenu de l’email :D
votre avatar
je pense que ce pauvre stagiaire a vraiment besoin d’une formation
votre avatar
Je trouve la technique intéressante. Cela permet de créer un groupe d'échange de 10000 personnes pour les prochaines tentatives de phishing "hey les gars, vous aussi vous avez gagné un truc chez Leroy Merlin ?"
votre avatar
Agrandir la péniche.

Ca faisait longtemps ... :perv:
votre avatar
amazonses.com est un domaine qui envoie énormément de spam. Notamment des spams mondial relay comme quoi mon super colis est en attente et va être perdu. Bien évidemment je n'ai aucun colis en attente via mondial relay.
votre avatar
Mais ils n'ont pas une limite d'envoi global par mail unitaire ? 10 000 personnes en cc / cci / a, c'est plus que permissif...
votre avatar
je me suis fait avoir aussi, mais @SébastienGavois a indiqué que les adresses sont dans le corps du mail. j’ai du mal à voir l’intérêt de faire ça par contre.
votre avatar
C'est dans le contenu du mail.

Je n'avais pas compris non plus avant que @SébastienGavois ne le précise en commentaire. Peut-être faudrait-il l'ajouter dans l'article, la copie d'écran étant plus difficile à comprendre.
votre avatar
Moi non plus je n’avais pas compris que c’était dans le corps même du mail.
Super tendu quand même cette situation pour relais colis !
votre avatar
à voir comme message les emails 10 000 emails d’autres personnes
le contenu contient 10 000 @…
Moi, je trouve ça plutôt clair.

(malgré le "emails" en trop 🤔, et "le contenu compte" serait plus appropriée, mais bon 😅)
votre avatar
Je pense que ça a été ajouté (ou je n'avais pas les yeux en face des trous).
votre avatar
Nop sur ce coup pas de modif de mon côté « ça doit être tes yeux » :D
votre avatar
Intéressant. Je pense que ça vient de deux choses. « contenu » du mail je l’ai entendu au sens large : les en-têtes, donc les champs cc et cci sont « contenus » dans le mail, je m’attendais plutôt à l’expression « corps » du mail.
Ensuite je consulte le site sur mobile, je n’ai donc pas correctement vu l’image. Pour moi, voyant la liste des mails en haut, ça collait. Je n’ai donc pas spécialement cherché à zoomer mais j’aurai certainement dû le faire !
votre avatar
Hmm, ils utilisent encore une clé 1024 bits en 2026... Autant dire que le mail n'est pas signé et que ce n'est pas une preuve que l'email a été envoyé par Relais Colis.
votre avatar
C'est moi ou ils enchainent en ce moment ?
votre avatar
Tu penses à Mondial Relay peut-être ?

(ou alors aux pirates 🤭)
votre avatar
La course de la fuite a un joueur de plus. Qui va réussir à faire bouger la CNIL?

free est déjà bien placé mais les compétiteurs redoublent d'efforts.

Franchement, il y a de quoi rembourser une partie de la dette de la Françe avec la quantité d'ammendes potentielles.
votre avatar
Un serveur de liste qu'aurait foiré et mis les destinataires dans le corps du courrier ?
votre avatar
Je les ai alerté à plusieurs reprises que j'avais des arnaques coïncidaient trop avec mes arrivées de Colis Privés.
Je n'ai jamais été pris au sérieux, seules réponses: c'est une coïncidence, faites preuve de vigilence habitelle sur le net.