Phishing, reconnaître un e-mail frauduleux – l’exemple du remboursement d’impôts


À partir d’un exemple concret (et actuel) voici un tour des points à vérifier lorsque vous recevez un courrier vous demandant des informations personnelles. Le courrier est, en général, frauduleux et dans le jargon nous appelons cela du phishing (ou hameçonnage en français), du fait que l’expéditeur vous appâte avec une information pour vous tromper.

Pour ceux qui comme moi ont trop donné au Centre des finances publiques en contribution à l’impôt sur le revenu, c’est la période des remboursements. En effet, les déclarations des revenus de 2014 viennent d’être épluchées et l’administration fiscale sait ce que chaque contribuable doit payer cette année. Ce qui conduit à des ajustements, dans un sens comme dans l’autre.

Ce matin je découvre un courrier électronique m’annonçant que j’ai droit à un remboursement.

Faux courrier (mais vrai phishing) semblant émaner des services fiscaux

En cette période estivale où la chaleur assouplit les cerveaux il est tentant de cliquer sur le lien pour toucher ce remboursement.

Mais, comme presque toujours, ce genre de courrier est frauduleux, même si les clients mail ne le détectent pas toujours. Une lecture plus minutieuse nous permet de voir que :

  • le texte contient trop de fautes de français pour être honnête : il manque des accents, « bref délai » et « ouvrable » ne sont pas accordés ;
  • votre identité n’est pas mentionnée : lorsque l’administration vous envoie un courrier (électronique ou papier) elle s’adresse toujours à vous par vos noms et prénoms ;
  • l’expéditeur est clients@impots.fr, de même que le destinataire, comme si l’expéditeur avait réalisé un envoi massif avec les destinataires en copie cachée ;
  • le nom de domaine du service des impôts est impots.gouv.fr, le nom de domaine impots.fr ne donne aucune information sur son locataire, hormis qu’il a été réservé chez Nameshield ; cependant, l’expéditeur d’un courrier électronique n’est pas vérifié et l’adresse mentionnée aurait très bien pu être véridique ;
  • lorsque vous passez la souris sur le lien pour accéder au formulaire vous voyez apparaître en bas de la fenêtre (dans Thunderbird) l’adresse http://facturextra.com/remboursement.impots.gouv.fr/verification/Impotss.Client : l’information importante est le nom de domaine qui débute l’adresse, c’est-à-dire, facturextra.com qui n’a rien à voir avec les finances publiques (il vient tout juste d’être créé, d’après le service whois).

Phishing, détail de l'URL du lien

Ensuite, en cliquant sur le lien on arrive sur une page Web plus vraie que nature (vous pouvez cliquer sans danger sur le lien, du moment que vous ne remplissez rien).

Faux site des impôtsFait intéressant, lorsque l’on clique sur l’un des nombreux liens (par exemple « Contacts » ou l’onglet « Professionnels ») on reste toujours sur la même page. Cela montre que l’auteur de cette page a juste fait une copie d’une page du vrai site des impôts et à juste remplacé le contenu principal par son formulaire de capture, tout le reste est factice.

Lorsque vous recevez un courrier électronique vous demandant de payer quelque chose (avec mise en demeure parfois), d’aller remplir un formulaire, vous proposant une somme d’argent, vérifiez toujours l’adresse du site où le mail veut vous embarquer. Vérifiez également les autre points mentionnés plus haut.