Tentative d’arnaque avec un faux avis de passage de La Poste, un code QR et une faille
Une attaque en ligne dans votre boite aux lettres
Recevoir un avis de passage pour un recommandé a de quoi inquiéter. C’est ce qui est arrivé à plusieurs habitants du côté de Montpellier, mais avec un faux avis de passage menant vers un vrai site pour arnaquer les visiteurs en exploitant une faille sur le site de La Poste.
Les tentatives d’arnaques sur Internet sont de plus en plus nombreuses et sophistiquées, mais elles ne résistent que rarement à quelques vérifications de base. Nous en avons déjà détaillé plusieurs, notamment celles qui annoncent que vous avez gagné 30 bitcoins et la fraude à la réparation informatique.
- Vous avez gagné 30 bitcoins !
- Fraude à la réparation informatique : cas pratique autour d'un faux écran bleu
Récemment, c’est via un faux avis de passage de La Poste pour un recommandé avec accusé de réception que des personnes malintentionnées ont essayé de récupérer des numéros de cartes bancaires. Flavio Perez relate son histoire sur Twitter, photo à l’appui.
Oh on dirait une belle arnaque sur le dos de La Posre (@lisalaposte comment on fait?. Reçu dans ma boîte. Très facile d’y croire et finir par donner ses infos de carte de crédit ! pic.twitter.com/5V6WlL43wI
— Flavio Perez (@flablog) August 28, 2022
Il a été glissé dans la boite aux lettres de plusieurs quartiers de Montpellier et daté du 23 août. On peut facilement s’inquiéter et se demander ce que peut contenir un recommandé avec accusé de réception que l’on n’attend pas. Le faux document propose de « confirmer la re-livraison de votre lettre ». Vous avez deux possibilités : saisir à la main un lien ou scanner un code QR. Dans les deux cas, le piège est le même.
Plusieurs indices
Nous sommes clairement à des années-lumière des emails d’une riche personne en Afrique qui ne sait pas à qui donner ses millions, d’un milliardaire en quête d’un bon samaritain pour l’aider à récupérer ses fonds dans une banque, d’une convocation judiciaire que l’on peut éviter en payant une somme plus ou moins conséquente, etc.
Dans le cas présent, rien ne semble à première vue indiquer qu’il s’agit d’un faux, sauf si l’on reçoit régulièrement ce genre d’avis de passage ou que l’on travaille à la Poste. Plusieurs indices peuvent néanmoins mettre la puce à l’oreille. Tout d’abord, rien ne précise qu’on peut récupérer son recommandé directement dans un bureau de poste, alors que c’est le cas.
Le numéro de suivi ensuite – 6Q01929938641 – est un autre indice. Si l’on se rend sur le site de LaPoste.fr et que l’on clique sur « Suivre un envoi », le numéro nous indique qu’il s’agit d’un colissimo qui a été pris en charge par La Poste le 27 septembre. Les retards existent, mais là on est dans une autre dimension… Problème, ou « bonne » idée des pirates, le site de La Poste précise aussi que « la livraison de votre colis est retardée ».
Il faut être un peu plus observateur, mais ce numéro 6Q01929938641 est bien connu de La Poste : il est d’ailleurs indiqué comme exemple dans la zone de saisie de texte. Les pirates n’ont donc pas eu besoin de chercher bien loin un numéro fonctionnel… Des indices subtils, mais qui démontrent l’intérêt de prendre quelques minutes avant de se précipiter.
Une vraie redirection vers un faux site
Le principal problème réside dans l’URL. C’est la même sur le code QR et le lien écrit dans l’avis de passage. Il commence par « laposte.fr », qui est bien le nom de domaine officiel de La Poste, aucun doute là-dessus. La suite du lien est plus complexe pour celui qui veut la saisir à la main. Autant il apparait comme étrange et suspect pour quelqu’un qui maitrise un peu l’informatique, autant il peut ressembler à n’importe quel charabia d’Internet pour d’autres.
Si on scanne le code QR, la méthode est encore plus efficace (d’autant qu’elle « simplifie la vie de l’utilisateur ») : l’URL commence donc bien par Laposte.fr et on n’analyse pas forcément ce qui se trouve derrière, pourquoi ne pas cliquer dessus alors ? C’est là que le piège se referme, ou se refermait plus exactement.
L’internaute en attente de son recommandé arrivait sur un faux site – Laposteaide[.]fr – imitant celui de La Poste. Il était demandé de payer 0,97 euro pour relancer la livraison. La somme n’est pas importante, certains pourraient se laisser tenter. Mais l’arnaque peut largement dépasser l’euro symbolique : les pirates récupèrent les données de votre carte bancaire et peuvent ensuite s’en resservir pour d’autres achats.
Faille bouchée, lien signalé, site suspendu
Depuis, la faille a été bouchée et plusieurs protections ont été mises en place. L’URL piégée ne renvoie plus sur un site tiers et l’utilisateur reste sur le site officiel de La Poste. Pour cela, les pirates utilisaient ce genre de lien, avec xxx remplacé par le nom du site où il veulent emmener leurs cibles :
http://laposte.fr/switch-site?switchSiteRequestURI=xxx
Si on plonge dans les détails de la redirection, cela renvoyait tout d’abord vers une adresse en Cutt.ly, un service utilisé pour raccourcir des URL. Pour tenter de noyer un peu le poisson, certains caractères de l’URL sont remplacés par leur équivalent ASCII (par exemple le « / » devient un « %2F »). La Poste n’a pas donné de détails techniques ni d’explications sur cette brèche, si ce n’est qu’elle est corrigée.
Cutt.ly a depuis mis un message d’avertissement sur une page avec un fond entièrement rouge, impossible de passer à côté : « STOP! Cuttly Safe Redirecting system blocked this redirect. This shortened link may be problematic. It does not comply with our Terms of Service and / or its redirect (source) has been reported as suspicious ».
Pour les plus tenaces, il est tout de même possible d’afficher le lien et de cliquer dessus pour le suivre. Et quand bien même, vous arrivez sur une page indiquant que « Ce compte a été suspendu ». De toute façon la question ne se pose plus puisque La Poste a bouché sa faille de redirection.
Une arnaque d’un nouveau genre donc, mais qui nécessite à la fois de déployer des moyens sur le terrain pour déposer dans les boites aux lettres les fameux avis de passage et d’exploiter une faille.
One more thing
Un Internaute demande sur Twitter « comment est-ce possible de pouvoir réserver un nom de domaine comportant une marque aussi importante que laposte avec des coordonnées claquées au sol ». Il précise sa pensée : « Là où, je veux venir c'est que cela ne devrait pas être aussi simple pour quiconque de pouvoir réserver un nom de domaine comportant le nom d'une marque aussi facilement ». Le nom de domaine dont il est question ici est pour rappel Laposteaide[.]fr.
Réponse de Stéphane Bortzmeyer : « À l'époque où c'était contrôlé, tout le monde râlait (bureaucratie ! fonctionnaires ! délai ! prix !) et prenait un .com à la place (y compris les gens qui demandaient des contrôles) ». « Je souhaite qu'on ne revienne pas à l'époque où il fallait être une entreprise ou une administration pour avoir droit à un .fr », ajoute Pierre Beyssac.
Rappelons en effet qu’au départ, seules les sociétés pouvaient réserver un nom de domaine en justifiant de leur nom pour commencer. Il faudra attendre 2006 pour l’ouverture aux particuliers. C’est un sujet sur lequel nous revenons en détail dans notre magazine #4, avec la plateforme Syreli de l’AFNIC et les noms de domaines soumis à autorisation préalable.
Commentaires (34)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 31/08/2022 à 15h23
merci pour l’article, d’ailleur j’ai failli prendre peur en ne voyant aucun article paru aujourd’hui :)
Le 31/08/2022 à 15h49
C’était donc ça les avis de passage où le facteur à noté absent alors que retraits bien présent.
ça fait des années que ça tourne alors
Le 31/08/2022 à 16h04
Donc en fait le site de la poste permettait de faire des 302 redirect ou un truc dans le genre ? L’article est très évasif sur la faille…
Le 31/08/2022 à 16h13
Oui c’est le problème racine, d’ailleurs la capture montre à quel point ils ont été attentif a la mise en place du dispositif puisque le service choisis ne propose pas de traduction fr pour le message de blocage (même sur leur site fr https://cutt.ly/fr c’est très partiel)
Le 31/08/2022 à 16h18
Ça aurait été pas mal que vous approfondissez l’aspect technique de cette faille. Visiblement c’était surtout une énorme faille humaine dans la conception du SI du groupe la poste puisque on pouvait rediriger n’importe où en partant du domaine la poste.fr.
Sans parler du délai de réaction de la poste ( +48h après mise en évidence sur les RS ) pour un truc facilement corrigeable de leur côté.
Enfin on pourrait parler de la com très tardive du groupe la poste à ce sujet malgré l’exposition publique de cette faille.
J’attends mieux de NXI sur ce genre d’article, vous nous avez habitué à mieux que ça dans les explications …
Le 31/08/2022 à 22h13
Merci R4VEN pour le résumé.
La Poste n’a pas donné d’explications ni de détails, sur les raisons de ce fail. L’actualité est surtout là pour expliquer les risques et détailler comment on pouvait se douter qu’il y avait baleine sous gravillon. Ce genre d’arnaque va certainement se multiplier, autant donner à chacun le moyen de pouvoir s’en prémunir
J’ai néanmoins ajouté un passage pour ceux qui voudraient avoir cette précision, mais comme La Poste n’explique pas le pourquoi du comment, on ne peut rien dire de plus (mauvaise config, faute du stagiaire…).
Le 31/08/2022 à 16h34
Autre point il y a votre nom sur les avis de passage ce n’est pas le cas ici
Le 31/08/2022 à 16h54
Merci d’alerter sur une arnaque dont on n’est pas forcément au courant (c’est bien réservé à Montpelier ?).
“This shortened link may be problematic.”
Pourrait, ce n’est donc pas certain.
Le 31/08/2022 à 17h17
vu que cela à été distribué physiquement dans les boites aux lettres, la poste devrait pouvoir porter plainte et lancé une enquête de police qui devrait pouvoir retrouver celui qui a mis les papiers dans les boites aux lettres via caméra de sécurité ou autres du coin.
voir si le papier imprimé contient des informations sur l’imprimante utilisée
vu que seulement certains quartiers de Montpellier ont été ciblé il y a peut être eu reconnaissance avant.
Le 31/08/2022 à 17h26
Quand on voit la gueule du lien, en le retapant à la main on a le temps de se rendre compte qu’il y a un truc qui cloche, non ?
Le 31/08/2022 à 17h36
Il y a aussi en ce moment la désactivation de france connect pour aller sur Améli, c’est la fête.
Le 31/08/2022 à 18h17
J’ai vu passer le tweet il y a quelques jours, avec de multiples messages demandant à la Poste (enfin, à “Lisa”) de corriger le problème de la redirection. On sait combien de temps ils ont mis pour colmater ? C’est probablement pour cela que l’article ne paraît qu’aujourd’hui (et c’est une bonne chose).
Le 31/08/2022 à 19h12
Je pense qu’un schéma sur les différents redirection du lien aurait éclaircit le propos.
Là, je vous avoue que je n’ai pas saisie le mécanisme technique de l’arnarque.
D’autre article chez vos confrères parlent d’un oubli de configuration /interdiction pour la redirection.
Le 31/08/2022 à 19h31
Un aspect non mentionné dans l’article est le fait que les arnaqueurs demande vos numéros de CB et un paiement pour que “la poste” revienne vous redistribuer le colis. Ce qu’elle fait jamais. Donc arnaque évidente
Le 31/08/2022 à 19h45
Je te trouve exagérément dur, peut être que LaPoste n’a pas fournit les détails techniques, tout simplement ;-)
Puis l’article donne déjà bcp d’infos, faut pas abuser…
Le 31/08/2022 à 19h48
Il y avait une faille sur le site de laposte.fr qui te permettait d’être redirigé vers n’importe quel site.
En gros, avant que ce soit corrigé ajd, si je te donnais ce lien https://laposte.fr/switch-site?switchSiteRequestURI=https://www.google.fr alors ça t’ouvrait google.fr 👍
Et en gros les pirates ont mis à la place de google.fr dans mon exemple, un lien raccourci cutt.ly qui menait vers le site de phishing qui n’appartient pas à la Poste sur le domaine laposteaide[.]fr
Tu sais tout 😀
Le 01/09/2022 à 06h45
Merci
Le 01/09/2022 à 04h41
Quand tu reçois un colis hors UE d’une entreprise qui n’a pas encaissé la TVA tu reçois un SMS et/ou un email de la poste de demandant de payer 2€ de frais de dossier + la TVA.
Si tu ne payes pas où si tu n’as pas reçu l’avis car pas de coordonnées sur le colis tu reçois un avis en boîte aux lettres avec 9€ de frais de dossier cette fois.
Cas particulier que beaucoup ont déjà rencontré.
Le 01/09/2022 à 19h07
Effectivement il y a toujours des cas particuliers que tu mentionnes.
Le 01/09/2022 à 07h02
Merci pour l’article et sa mise en garde contre une fraude extrêmement bien réalisée.
Le 01/09/2022 à 07h32
C’est quoi cette commande “switch-site” ? Quelqu’un pour m’expliquer une utilisation légitime de ce truc ?
Le 01/09/2022 à 07h36
Il me semble l’avoir vu utilisé officiellement pour un renvoi vers digiposte, y’a quelques années…
Le 01/09/2022 à 09h06
Ou peut être avec laposte.net, un malencontreux oublie mais c’est intéressant de vérifier si d’autre site on ce genre “d’oublie”.
Le 01/09/2022 à 11h27
Quand l’url d’un site change par exemple.
Le 01/09/2022 à 08h06
«RE-LIVRAISON»
«GRÂCE A VOTRE» (pas d’accent sur le À alors que sur le  oui => grosse faute de français)
Il est passé à 17h21 ? J’ai jamais eu de postier qui fait des livraisons après 17h personnellement
*Hors dimanche et jours fériés => rien ne ramène à cet astérisque
Il y a quand même pas mal de fautes/incohérences sur ce document ! Il ne m’a pas fallu 5 heures pour le voir. Sophistiqué techniquement mais la base a été totalement délaissé.
Le 01/09/2022 à 09h09
ça dépend des tournés mais ça peut arriver, surtout l’été. Pour avoir été facteur en job d’été mes premiers jours avait été trèèèss long.
Beaucoup de gens ne lisent pas vraiment ce qui est sous leur yeux surtout quand ils s’inquiètent à propos d’une lettre recommandé avec A/R qui est souvent synonyme de problème.
Le 01/09/2022 à 08h27
Il manque quand même un élément important de l’avis de passage : l’adresse de destination, incluant notamment l’identité du destinataire !
C’est la base, surtout pour un recommandé avec A/R. C’est dommage de parler d’indices indirects (absence de possibilité de récupérer le recommandé dans un bureau de poste, numéro de suivi obsolète et pour un colissimo) dans l’article mais de ne pas parler de celui là
Le 01/09/2022 à 09h49
Je ne suis pas d’accord avec toi : personne ne va chercher à analyser un avis de passage mis dans sa BAL. Il ne faut pas se mentir : à 99,9 %, on va tous avoir 2 réactions : soit on flashe le QR code et on risque de se faire avoir, soit on va soi-même sur le site de la poste et on tape le numéro de colis qui nous donnera une réponse bateau.
Le 01/09/2022 à 10h49
Et on ne dira rien de plus, le coupable est déjà connu des services concernés.
Le 01/09/2022 à 12h05
Dans le même genre j’ai reçu aujourd’hui un sms me disant que mon compte netflix était suspendue et que je devais me connecter a https://netflix.contact
Hors :
1/ j’ai pas de compte netflix
2/ je ne pense pas que netflix envoie des sms avec un 06 classique
3/ netflix.contact ne semble pas super legit
mais je pense sincèrement que pas mal de personne peuvent se faire avoir.
ps: un whois sur ce domaine ne donne pas grand chose
Le 01/09/2022 à 14h57
C’est un peu pour ca qu’autoriser n”importe quelle extension de nom de domaine me dérange.
Demain, j’ouvre “netflix.sav”,puis “netflix.support”, ou encore “netflix.abonnement”, voire “netflix.help”, et on peut continuer longtemps.
Le 01/09/2022 à 20h15
Moi je trouve ça rigolo : https://www.e.leclerc
Le 01/09/2022 à 20h49
On parle d’un site entier en production, les règles de déploiement font que si le code peut être corrigé rapidement, il y a ensuite des tests de déploiement sur d’autres environnements pour vérifier qu’il n’y a aucune régression, des points audios, etc.
Donc ça prend un certain temps, mais pas forcément 48 h non plus, je dirais quelques heures.
Le 05/09/2022 à 04h22
Tu peux imaginer que derrière le script “switch-site” y’a une collecte de donnée statistiques pour savoir combien de personnes sont ont été redirigé vers un lien externe au domaine de la poste et à partir de telle page.
On peut imaginer à partir d’un CMS ( Logiciel pour créer “simplement” du contenu ) comme Drupal / Wordpress ou autre qu’il ai été mis en place un “simple” remplacement des liens externes entrés dans le texte par ce script pour “analyser” ( mais pas vérifier malheureusement ) et produire des données à des fins publicitaires ou autre.
Voilà pour moi un exemple simple d’utilisation d’un tel mécanisme.