Lundi matin 8h12, Alex n'a pas fini son

premier café que son téléphone vibre. Le

DAF. Un lundi à 8h12, ça sent la

catastrophe. Le DAF lui explique qu'ils

ont un problème. Vendredi soir,

quelqu'un a reçu un mail de la banque

qui demandait de confirmer les accès

suite à une mise à jour de sécurité. La

personne a cliqué et entré ses

identifiants. Et ce matin, trois

virements sont passés sans aucune action

de leur part. 43000 € parti sur un

compte à l'étranger. Un vendredi soir à

18h47, l'heure parfaite, celle où le

cerveau est en mode weekend et où le

service IT a déjà quitté le bâtiment. Le

fishing c'est pas un virus, c'est un

exploit humain avec une enveloppe

technique.

Alex, 32 ans, admin sécurité chez Duval

Industrie, une PME industrielle de 120

personnes basées à Lyon. Le genre de

boîte où tout le monde connaît tout le

monde, où le budget sq tient sur un

postite et où le mot de passe WiFi est

le nom du chien du patron. Alex fait ce

qu'il peut avec ce qu'il a. Et ce matin,

ce qu'il a, c'est un DAF en sueur et un

mail piégé. Première chose, récupérer le

mail original, non pas le transférer car

ça détruit les entêtes. Alex demande au

DAF d'ouvrir le message dans Outlook

puis de faire fichier propriété pour

afficher les entêtes internet complètes.

Le taf s'exécute, copie le pavé de texte

et l'envoie. Alex ouvre les entêtes.

C'est là que tout se joue. Les entêtes

d'un mail et bien c'est comme la boîte

noire d'un avion. Le message peut

raconter ce qu'il veut, mais les enes

eux disent la vérité. Premier réflexe,

le champ from. Il affiche service

sécurité banque Terry. C'est du propre

et c'est même rassurant. Exactement ce

que la personne a vu vendredi soir. Mais

Alex ne s'arrête pas au from, il regarde

le return paf, c'est écrit terir avec un

tr et non pas un e. C'est d'ailleurs ce

qu'on appelle un homoglyphe,

c'est-à-dire un caractère qui ressemble

à un autre mais qui n'est pas le même.

Le domaine bancy.com avec un 3 n'a rien

à voir avec bantery.com

avec un e. En fait, c'est un domaine

enregistré par l'attaquant, probablement

la veille pour 3 € sur un service

d'enregistrement de nom de domaine

offshore. Et oui, il n'y a pas que les

banques qui sont offshore. Alex continue

son investigation. Il remonte les champs

de type received. Ici, chaque serveur

qui a relayé le mail laisse une trace

comme des tampons sur un passeport. Il

les lit de bas en haut. Le premier

received en partant du bas, c'est

l'origine réelle. On y voit l'IP 185 234

72 11. Alex copie cette IP et lance un

NS Lookup inversé dans son terminal. Le

résultat tombe immédiatement. C'est un

serveur hébergé chez un provider

d'Europe de l'Est. Aucun lien avec la

banque Terry. Le mail est donc un

imposteur. Les enes criaient clairement

à chaque ligne. Mais le problème c'est

que personne ne lit les entêtes. C'est

un peu comme les conditions générales.

On y prête guerre attention. Bon,

continuons l'enquête car elle n'est pas

finie. Passons maintenant à l'URL. Le

mail contenait un bouton confirmer mes

accès. Alex inspecte le lien sans

cliquer. Pour ça, il fait un clic droit

et copier l'adresse. Et voilà ce qu'il

voit. Encore un faux domaine. Ce n'est

pas bansécurité

mais bankterisécurité.com.

Un domaine complètement différent

déguisé en sous-page légitime. Alex

colle cette adresse dans l'outil gratuit

de Google. Virus total, c'est un outil

en ligne qui passe n'importe quel lien

ou fichier au crible de dizaines de

moteurs antivirus en même temps, que ce

soit Capper Sky, Macafi, Beat Defender

et cetera. Et le résultat tombe. 12

antivirus sur 87 le signale comme

fishing et le site est actif depuis

seulement 4 jours. Et oui, c'est la

beauté morbide du fishing. Tout est faux

mais tout a l'air vrai. Le logo est bon,

les couleurs sont bonnes, l'URL

ressemble à la vraie. Le seul truc qui

manque et bien c'est la légitimité. Mais

ça l'œil humain ne le voit pas à 18h47

un vendredi. En fait, la personne a

entré son identifiant et son mot de

passe sur cette page et l'attaquant les

a récupéré en temps réel et il s'est

ensuite connecté au vrai portail

bancaire et a lancé les virements dans

la foulée. C'est classique, c'est

efficace et surtout dévastateur. Bon, le

feu est éteint, la banque est prévenue,

les accès sont révoqués, le mot de passe

changer. Mais Alex ne veut pas juste

éteindre l'incendie, il veut empêcher le

prochain. Alors, la question à se poser,

c'est pourquoi et comment le mail a-t-il

pu passer les filtres ? Et oui, c'est

une question complètement légitime après

tout. Pour ça, Alex vérifie les

enregistrements DNS de son propre

domaine. Il ouvre un terminal et fait un

dig duval industrie.frt

txt. Ici, dig qui signifie domaine

information et bien c'est un outil en

ligne de commande Linus ou macOS utilisé

pour interroger les serveurs des NS. En

fait, c'est l'équivalent pro d'un NS

Lookup. C'est plus détaillé, plus

lisible et donc plus utilisé par les

adins réseau et SQ. Donc dans le

résultat qui s'affiche, Alex cherche un

enregistrement SPF. SPF, c'est le

mécanisme qui dit au monde entier :

"Voici les seuls serveurs autorisés à

envoyer des mails en autre nom." Et

voici le résultat. Et bien, il y a rien.

Aucun enregistrement SPF, aucun des KIM,

aucun des marques. En fait, ce qu'il

faut comprendre ici, c'est que c'est

comme avoir une porte blindée mais sans

serrure. Le cadre est là mais n'importe

qui peut entrer. Ça veut dire deux

choses. De un, n'importe qui peut

envoyer un mail en se faisant passer

pour duvalindustrie.fr.

De, le serveur mail de Duval Industrie

n'a aucun critère solide pour rejeter

les mails usurpés entrant. Alex va donc

immédiatement créer l'enregistrement SPF

dans la zone DNS de l'entreprise en

tapant cette ligne. Voici la traduction

de cet enregistrement. Ici, on dit que

seul le serveur MX et l'IP20301310

ont le droit d'envoyer des mails pour

duvalindustrie.fr.

Tous les autres seront rejetés direct.

Le hall est strict, ça veut dire aucun

compromis. Alors, ce n'est pas vraiment

une muraille en béton parce que ici, un

attaquant peut toujours envoyer un mail

depuis un autre domaine qui lui

ressemble. Alex sait que le SPF seul ne

suffit pas. On va dire que c'est la

première brique, mais il en faut trois

autres pour que la protection soit

solide. SPF, c'est ce qu'il vient de

configurer. Ça dit au monde entier :

"Voici la liste des serveurs qui ont le

droit d'envoyer des mails en autre nom.

Si le mail vient d'un autre serveur,

c'est un imposteur. Ensuite, il y a le

DKIM. Celui-là et bien c'est une

signature cryptographique. Chaque mail

envoyé par l'entreprise est signé avec

une clé privée. Le serveur qui reçoit le

mail vérifie la signature grâce à une

clé publique stockée dans le DNS. Si la

signature ne colle pas, et bien c'est

que le mail a été modifié en route ou

qu'il ne vient pas de chez nous. Et

enfin le démarque. Lui, c'est le chef

d'orchestre. Il dit au serveur de

réception que si un mail échoue les

vérifications SPF et DKIM, alors tu dois

le rejeter et le en spam.

L'avantage du démarque, c'est qu'en

bonus et bien il enverra des rapports à

Alex pour qu'il sache combien de mails

frauduleux tentent d'usurper son domaine

chaque jour. En fait, ce qu'il faut

comprendre ici, c'est que SPF vérifie le

serveur, DKIM vérifie le contenu et

Desmarque décide quoi faire quand ça

échoue. Trois couches, trois lignes DNS.

Et le plus inquiétant, bah c'est que

rien que ça, 90 % des PME ne les ont

même pas. Bon, avec tout ça, Alex

raccroche avec la banque. Les virements

sont en cours de contestation. Le DAF à

la mine décomposé. 43000 € en un clic un

vendredi soir. Le truc c'est que la

personne qui a cliqué n'est pas idiote.

Elle a 20 ans d'expérience et gère des

budgets à cette chiffre. Mais vendredi à

18h47, fatiguée, pressée, elle a vu un

mail de sa soi-disant banque et elle a

fait ce que le mail demandait. C'est

exactement pour ça que le fishing

marche. Il n'attaque pas les systèmes,

il attaque le moment où un humain baisse

sa garde. Si vous êtes abonné à la

chaîne, vous connaissez bien la fameuse

couche suite du modèle OI, l'interface

chaise clavier. Ici, aucun patch

disponible, aucun firewall efficace. La

seule défense, ce sont les formations et

les réflexes, la sensibilisation quoi.

Il faut toujours en fait vérifier

l'expéditeur réel, toujours survoler les

liens avant de cliquer et surtout ne

jamais entrer ses identifiants depuis un

lien reçu par mail. En fait, ce qu'il

faut comprendre ici et bien prendre

conscience, c'est que le fishing, c'est

pas de la technologie, c'est de la

psychologie avec un nom de domaine.

Merci d'avoir regardé cette vidéo

jusqu'au bout et sans timeout. Ça prouve

que la connexion avec la chaîne Formip

est fluide et sans perte de paquet. Si

tu veux pas juste comprendre le fishing

en théorie, mais être capable de faire

ce que Alex [musique] a fait,

c'est-à-dire autopsier un mail, vérifier

les enes, sécuriser un domaine, et bien

chez Formip, c'est exactement ce qu'on

fait. Des scénarios réels, des commandes

réelles, tout le programme des

certifications IT. J'ai tourné une vidéo

de 20 minutes qui explique la méthode

complète, gratuit et le lien est en

description et promis, ce n'est pas un

lien frauduleux. Tu pourras vérifier par

toi-même que ça appartient bien au

domaine formip. Tout ça pour dire que la

meilleure défense [musique] contre le

fishing, c'est pas un antivirus, c'est

toi.

C'est en faisant qu'on apprend pas, en

regardant pas en perdant son temps

forme.

On avance vraiment c'est en faisant

qu'on apprend. Chaque fois compte chaque

instant formule ta voix, ton moment

l'avenir t'attend. No.