Anatomie d’un (ph)fishing à l’Assurance Maladie

Les principes de l’économie de marché sont en train d’être insérés de force dans l’Internet pour le (terra)transformer en une vaste zone de divertissements payants. Mais hélas qui dit capitalisme, dit truands. Et les truands s’ébattent sur l’internet. Ils visent d’ailleurs la plupart du temps ceux qui ne savent / peuvent pas se défendre.

Mais des fois un truand me choisit comme victime. Ca a été le cas hier. Heureusement, après 2 clics, le scam (arnaque, escroquerie sur internet) de type phishing m’a sauté au yeux. Alors je profite de cette occasion pour démonter le dispositif. Bonne lecture.

Tout commence par un e-mail de l’assurance maladie

Un mail tout à fait normal me disant que le remboursement que j’attends depuis 2 ans est enfin arrivé. O joie, ô miracle ! Bon certes, le montant n’est pas le bon, mais qu’importe. Et puis, pourquoi envoyer ça sur ma boite professionnelle ? Étrange, mais bon, ce serait pas la première fois qu’un service publique se planterait (c’est plutôt une habitude).

Alors évidemment, maintenant que vous savez qu’il s’agit d’un scam vous avez déjà repéré l’arnaque évidente : l’adresse de l’envoyeur : support@assure-amelii.fr. Le double « i » aurait du immédiatement me mettre la puce à l’oreille. Sauf que, attendant vraiment un mail de l’assurance maladie, je n’ai pas regardé le sender et j’ai cliqué…

J’accède à mon compte Ameli

Le lien de l’e-mail m’envoie vers un site de l’Assurance Maladie qui me demande de m’identifier. On pourrait se dire que le site a une mise en page pourrie et des erreurs de typo étranges (« ameli » sans majuscule). Mais encore une fois, connaissant les sites lamentables de la plupart de nos institutions publiques, cela n’est pas trop étonnant.

Pour une personne sûre d’elle, c’est la saisie du numéro de sécurité sociale + un mot de passe. Et le truand de l’autre côté du site va récupérer ces informations couplé à l’e-mail de la victime. Il y a déjà de belles potentialités, mais gageons que le méchant en veut encore plus.

Dans mon cas, la chance que je peux avoir c’est que:

  1. J’oublie toujours mes passwords (je les renouvelle souvent). J’ai donc besoin d’aller les retrouver dans ma base de données privée. Et dans ma base je n’ai trouvé aucune mention d’ameli. Ni dans cette base ni en fouillant dans mes mails pro non plus. Du coup, suspicion immédiate : « Mais comment ont-ils pu m’envoyer un mail à cette adresse ?« 
  2. En grand paranoïaque de l’internet (il parait que tous les bidouilleurs le sont), j’ai quelques extensions sur mon Firefox qui empêchent le déclenchement de scripts étranges. Du coup la suspicion est renforcée quand la page marche mal : « Mais ils sont définitivement nuls ou ils ont un problème à l’assurance maladie ?« 

Une fois la suspicion installée, le reste de la démonstration est évident : une URL étrange, des liens non cliquables, une image de fond de page qui reprend le formulaire, tout cela le prouve : c’est du phishing.

Maintenant, partons à la découverte du dispositif de (ph)fishing

D’abord, fouillons un peu l’URL

L’URL est étrange : https://www.cnri.es/Support-remboursement-Assure/Ameli-fd4bf3f221b9dbf8434f54eda8872f05/0ba6bd072f2b115f4f3803dc2f9fa329/

Elle est composée d’un nom de domaine espagnol « www.cnri.es » que je vais regarder immédiatement. Mais qu’est ce que c’est que ce site espagnol pour le « 4e congrès national des relations institutionnelles du secteur de la santé » ? Aucun rapport avec l’Assurance Maladie française.

Continuons de fouiller l’URL en descendant d’un niveau. En tapant « www.cnri.es/Support-remboursement-Assure/ » on obtient l’index du serveur. Une erreur magistrale de configuration du serveur (ici Apache) qui est difficilement attribuable à un organisme public sérieux (ceci dit, suivez zataz.com et vous verrez que c’est tout de même assez fréquent).

Mais cela nous permet d’établir une hypothèse : il s’agit d’un serveur qui s’est fait hacker pour héberger le script malveillant du méchant fisher.

Et les logs

Évidemment, j’ouvre les logs. On est là pour enquêter, non ?

un morceau du fichier logs.txt

En tout 344 lignes identifiant la date, l’heure, la nationalité et l’adresse IP. Brut, ça sert pas à grand chose. Ce qui est intéressant, c’est l’analyse qu’on peut en faire.

Après une analyse rapide du fichier texte, on constate que :

  • Tous les logs se déroulent hier entre 12h30 et 17h26. 12h30 correspond à peu près à l’envoi de l’e-mail. 17h26 peut-être à la mise en spam par Gmail. En tous cas les logs d’aujourd’hui ne sont pas présents.
  • Il y a une majorité de français touchés (303 / 344).

Et c’est tout ce que je peux récupérer (rapidement) de ces fichiers. J’aurais le temps je chercherais à récupérer la localisation géographique des français pour voir si il y a corrélation, et je testerais aussi les IP uniques pour voir si elles correspondent à des particuliers ou à des serveurs. On ne sait jamais, le méchant hameçonneur aurait peut-être lui même testé son script et oublié de se virer des logs (il faudrait qu’il soit très con en plus de méchant).

Et fouillons le code bien sûr

Maintenant, il s’agit de regarder le code de la page de phishing.

le code source de la page de phishing

On y trouve 3 références externes : 2 CSS (feuilles de style) et 1 lien vers un fichier php qui s’active quand on remplit le formulaire. C’est celui là qui nous intéresse. Testons avec la fin de l’URL (qui ressemble à une URL générée) : « /Ameli-fd4bf3f221b9dbf8434f54eda8872f05/483805eef2e8863f4b4c378fc8f71848/lopi.php »

Bingo ! On arrive à une page de l’Assurance Maladie qui vous demande … votre numéro de carte de crédit évidemment (certainement pour vous rembourser ah ah). Le méchant pirate en voulait donc bien à vos sous.

Le principe de cette page est le même que pour la page précédente : une image de fond reproduit la page d’Assurance Maladie pendant qu’un formulaire récupère toutes vos données. Rien n’est actif sur cette page sauf les champs de la CB.

Un petit tour sur le code de la page nous emmène vers le script lopi1.php.

le code de lopi.php

Lançons la page lop1.php et nous obtenons un message « Félicitations : Attendez 5 secondes et merci. » L’enfoiré qui a piqué votre numéro de CB vous remercie donc avant de vous rediriger vers le site officiel d’ameli (assure.ameli.fr) avec un meta refresh (meta http-equiv= »refresh« ) basique.

Alors maintenant que faire ?

Il faudrait déjà contacter le site piraté (www.cnri.es) dont voilà quelques informations ci-dessous. Le but sera de récupérer les fichiers PHP. Ceux-ci nous donnerons l’URL qu’on recherche tant : celle où sont envoyées les données. Évidemment si le pirate est bon, il envoie les datas sur un serveur qui n’est pas à lui, serveur qui enverra les données sur un autre serveur, etc. Le but étant de rendre difficile voir impossible le suivi des données.

Mais bon, si vous préférez vous décharger, envoyez un message à l’Agence Nationale de la Sécurité des Systèmes d’Information.

Conclusion : la pêche c’est enfantin

Pour l’utilisateur innocent, tout a été transparent. Il a cliqué sur un mail inoffensif, qui l’a mené à une page d’identification. Celle-ci l’a mené vers un formulaire où il a dû saisir son numéro de CB pour récupérer une somme d’argent. La saisie s’est bien déroulée. On l’a remercié, et il peut même se remettre à fouiller le site de l’assurance maladie pour en savoir plus. Il ne saura pas que ses informations ont été récupérées malgré lui. Et les recours ? A lui de s’arranger avec sa banque (il a intérêt d’avoir un compte bien fourni).

Or il est très facile de créer une fausse page de phishing. N’importe quel débutant en php peut le faire. D’ailleurs les tutoriaux abondent sur Google (même pas besoin d’aller faire un tour sur le deep web, c’est dire le niveau de difficulté du truc). La conséquence : le phishing se développe sur Internet.

Les moyens pour lutter contre en revanche ne se développent pas. Ameli a écrit une page pas trop mal faite sur le sujet Attention aux appels et courriels frauduleux qui liste les façons de vous arnaquer. Mais a posteriori les réactions proposées par l’Etat sont limitées :

Et puis c’est tout…

Oui, c’est triste. Des millions d’euros pour faire tourner une Hadopi qui ne sert à rien. Des budgets incroyables pour mettre en place la loi renseignement et sa boite noire, le CNN, sans compter toutes les claquettes autour du CES et de la Franchouillarde Tech. Bref, la France claque un pognon incroyable autour du numérique.

Le numérique est créateur de valeur, mais pour les développer il faut de la confiance. Sans confiance numérique, point de salut écrivais-je il y a longtemps. Or l’état français ne fait rien (de visible) pour développer cette confiance numérique. Les arnaques, que ce soient des grands industriels, des scripts kiddies scameurs ou des mafias fishers, ne sont pas anticipées. Et pourtant ces arnaques comme le phishing existent depuis les années 90 !

On en peut être que choqué par l’inutilité numérique de nos gouvernements successifs, ceux-ci préférant mettre des boites noires pour scanner ce que vous regardez sur internet, plutôt que traquer et supprimer les arnaqueurs. Une question de priorité certainement.

ps: évidemment, les gens écrivent phishing, mais c’est beaucoup plus rigolo d’écrire fishing. Allez vous faire hameçonner ailleurs !

Author: Cyroul

Aventurier des internets depuis 1995