Christophe Le Bot

Pratique de la conception numérique

Le côté obscur d’Internet – 1. L’erreur de Neuf Cegetel

Face à l’explosion des menaces en tous genres sur Internet (en augmentation de 1300% en 2006, les premiers mois de 2007 sont pires encore !), j’entame une série d’articles pour tenter d’y voir clair. Ce sera ma (petite) contribution pour rendre l’utilisateur mieux informé.

Pour commencer, rien ne vaut un exemple très démonstratif. Nous nous croyons tous assez malins pour éviter les pièges, mais il est extrêmement simple de tomber dans le panneau, surtout si nous sommes en confiance.

L’erreur de Neuf Cegetel

Neuf Cegetel propose à ses clients un espace pour gérer leur compte. Ce service est accessible à l’adresse espaceclient.neuf.fr, indiquée au dos des factures.

Jusque-là, rien de plus classique. Sauf que sur certaines factures, l’adresse indiquée comporte une erreur : à la place de espaceclient.neuf.fr, on lit espaceclientneuf.fr. Subtile différence que des petits malins ont exploitée !

L’exploitation de la faille

Le client qui entre l’adresse indiquée sur la facture, se sent parfaitement en confiance. Pourtant, le site qu’il voit n’appartient pas à Neuf Cegetel.

Espace client Neuf (le vrai)
Le vrai site.
Espace client Neuf (le faux)
Le faux site.

Vous allez me dire que les deux sites ne se ressemblent pas vraiment et qu’il est difficile de se laisser tromper. Oui, pour les clients qui utilisent souvent ce service, c’est évident. Mais combien d’autres ne vont le consulter qu’en cas de problème ? Pour ceux-là, impossible de repérer l’arnaque au premier coup d’oeil ! D’autant que les libellés de certains liens sont en parfaite adéquation : Mon compte, Ma facture, Service client, Assistance

Après avoir cliqué sur deux ou trois liens, l’utilisateur se rendra vite compte qu’il y a anguille sous roche et passera par le site officiel de Neuf Cegetel pour retrouver l’Espace client.

Ce petit jeu de cache-cache aurait pu être tout autre. Imaginez un faux site parfaitement identique au vrai. Vous souhaitez consulter votre facture, vous entrez votre identifiant et votre mot de passe… Scénario catastrophe !

Un détournement (presque) légal

Cependant, cet exemple n’est pas un cas de phishing. Ici, tout est légal (si ce n’est l’abus de confiance que Neuf Cegetel pourrait porter devant les tribunaux). N’importe qui peut déposer et exploiter le domaine espaceclientneuf.fr. Et donc profiter des erreurs de frappe.

Mais où est le profit ? Simplement dans les revenus tirés des liens sponsorisés, placés dans les pages du faux site. Avec quelques millions de clients Neuf Cegetel, les revenus peuvent s’avérer très juteux… sans rien faire d’autre qu’acheter un domaine.

Nous entrons dans l’univers très fructueux des domainers qui sera le sujet de mon prochain article…