Journal Le pass Sport du gouvernement français ressemble à une grosse arnaque

Posté par  . Licence CC By‑SA.
Étiquettes :
25
30
août
2024

Bonjour,

J'ai reçu une (bonne ?) nouvelle : un « pass Sport » d'une valeur de 50 € valable pour une licence sportive pour mes enfants. Super !
Un courriel pour chaque enfant, avec même la faute d'accent dans l'un des prénoms (je cherche à la faire corriger depuis 6 ans, sans résultat). Tout a l'air bien.

Je regarde le contenu du message, et là tous les liens sont sous la forme : https://obnm74.com/ssjzzamwj3ic1qqncd/index6.html (spoiler, si je vous l'ai mis, c'est que c'est un lien correct et sans information personnelle)

Mais tous les liens ont le même domaine, mais un chemin aléatoirement choisi de caractères minuscules différents. Y compris « Mentions légales » et « Se désabonner ». Y compris le texte « pass.sports.gouv.fr/v2/politique-de-confidentialite/ » qui porte le lien « https://obnm74.com/yljwmazqjtqcmcgv1l/index4.html ».

Je dégaine le whois, et là, à part des informations très basiques, rien d'autre que :

   Registrar URL: http://www.ovh.com                                                                                                                                                                             
   Updated Date: 2024-04-13T07:23:06Z                                                                                                                                                                            
   Creation Date: 2011-04-12T15:25:27Z                                                                                                                                                                           
   Registry Expiry Date: 2025-04-12T15:25:27Z                                                                                                                                                                    
   Registrar: OVH sas                                                                                                                                                                                            
   Registrar IANA ID: 433                                                                                                                                                                                        
   Registrar Abuse Contact Email: abuse@ovh.net        

Bon, déjà, le domaine a été créé il y a 13 ans, c'est pas trop mal. Mais à part ça, tout sent l'arnaque bien léchée.

J'ai regardé les entêtes SMTP, ça vient bien du serveur obnm74.com, IP 178.33.44.84. Le SPF correspond :

# On regarde d'abord l'enregistrement de l'expéditeur
> dig info.pass.sports.gouv.fr TXT +short
"v=spf1 include:_spf_sd.netmessage.com -all"

# Comme il renvoie vers un autre serveur, on regarde la politique d'envoi de l'autre serveur
> dig _spf_sd.netmessage.com TXT +short
"v=spf1 ip4:37.59.132.30 ip4:37.59.85.48/30 ip4:37.59.203.40/30 ip4:46.105.156.96/31 ip4:92.103.221.128/28 ip4:92.103.41.156/30 ip4:176.31.54.236/30 ip4:178.32.168.160/29 ip4:178.33.42.30/31 ip4:178.33.42.32 ip4:178.33.9.50 ip4:178.33.145.116/31 ip4:1" "78.33.145.119 ip4:178.33.44.82/31 ip4:178.33.44.84 ip4:178.33.41.12/30 ip4:188.165.126.16/30 ip4:188.165.126.20/31 -all"

# Toutes les adresses ci-dessus sont donc autorisées à envoyer des courriels au nom de info.pass.sports.gouv.fr. On vérifie les adresses du serveur qui a réellement envoyé :
> host obnm74.com
obnm74.com has address 178.33.145.119
obnm74.com has address 178.33.44.82
obnm74.com has address 178.33.44.84
obnm74.com has address 178.33.44.83
obnm74.com has address 178.33.145.117
obnm74.com has address 178.33.145.116

# L'adresse 178.33.44.84 correspond et est spécifiquement autorisée.

Donc le message a bien été envoyé par un serveur dûment autorisé.

Alors je suis allé sur le site directement : https://www.pass.sports.gouv.fr/v2/test-eligibilite
J'ai rentré l'intégralité des informations, et paf, il m'a sorti le même code que celui du courriel.

Donc… non, ce n'est pas une arnaque. Mais franchement, c'est quoi ce message ? Je n'ai pas encore envoyé de rapport à un responsable (à trouver sur le site), mais c'est encore une fois impossible d'apprendre aux gens à se méfier si le gouvernement envoie des arnaques bien léchées…

  • # Un presta ?

    Posté par  (site web personnel) . Évalué à 8.

    Je suppose que le domaine obnm74.com appartient à netmessage.com (pour OutBouNdMail 74 , vu qu'il y a un paquet de domaines semblables si tu changes les chiffres).

    netmessage.com renvoie vers linkmobility.com, une boite dont le metier est l'envoi de mail/messages en masse (genre, pour le 2FA, les notifs d'achats, etc).

    Donc le gouvernement, pour être sur que les messages arrivent (car bon, ils ont sans doute les mêmes soucis que le reste du monde à ce niveau) est passé par un presta.

    • [^] # Re: Un presta ?

      Posté par  . Évalué à 7.

      Aucun problème pour le prestataire, qui semble avoir fait correctement son travail.

      Mais pourquoi diable foutre des liens si obscurs le corps du message ? Ce sont des techniques utilisées par les malfrats ça :)

      • [^] # Re: Un presta ?

        Posté par  . Évalué à 4.

        Il faudrait comparer au mail équivalent envoyé à d'autres personnes. Si les liens sont différents donc a priori personnalisés par destinataire, ça doit être une technique de tracking.
        Dans le doute, j'évite de suivre ce type de lien.

      • [^] # Re: Un presta ?

        Posté par  . Évalué à 10.

        Au début, je pense à du click tracking, très courant pour les e-mails. L’idée étant de savoir qui a suivi les liens, et quels liens, dans le mail, avec pour but optimisation du template (ab testing et tout le tralala). Mais si le portail te génère le même lien, c’est pas ça.

        Autre option, pierre tramo, j2ee architect bosse chez obnm74.com, qui sous traite le boulot.

        Une autre possibilité, c’est que vu que les liens sont envoyés par e-mail, quelqu’un a fait remarquer qu’il y aurait des identifiants en plain text, et que c’est pas cool (il a lu un article sur slate sur Amazon qui a arrêté de mettre les détails des commandes dans les e-mails, parce que Google les mine). Un génie a dit « faut chiffrer les liens alors! », sans se rendre compte que, ben le lien est toujours dispo sans authentification, donc ça aide pas beaucoup. Ça va mitiger un peu pour les idiots qui postent leur liens privés sur l’internet publique (et y’en a, pas qu’un peu), mais pas tellement plus.

        Mais le product manager a entendu dire qu’il y’avait un problème de sécu, ça a été flaggé en bloqueur sur Jira, la question a été posée vite ‘aif au mec de la sécu, sans contexte, qui a dit « ça va peut être aider un peu, mais ça sert pas forcément à grand chose, je peux pas vraiment dire sans en savoir plus », un meeting a été schédulé, mais le gars était en vacances, et le ticket était en retard.

        Le scrum master (précédemment chef de chantier dans le bâtiment, reconverti y’a 2 ans parce que ça paye mieux et parlait vraiment trop mal le portugais, et trouve que le thread slack sur le sujet pourrait être écrit en portugais, il le comprendrais pas plus) a exigé que le ticket soit fermé avant de fermer le sprint, caralho (ça veut dire s’il te plaît, ses gars lui ont apprit ça sur le chantier, des gars vraiment cool avec le cœur sur la main).

        Le seul inge qui comprend ce qu’il se passe a essayé de lui expliquer, mais ça a été escaladé au directeur qui a vu « PII » dans le premier paragraphe de l’e-mail, a arrêté de lire et a exigé que tout soit chiffré bout à bout (une histoire d’honorer notre commitment à la privacy). Quelqu’un a fait remarqué que le lien 302 redirect sur du http-sans-s, et on lui a poliment demandé de fermer sa gueule, et que http-avec-s est pas mentionné dans le ticket, donc on en a pas besoin.

        Au final, ils ont livré, le directeur aura sa piscine l’été prochain (il a explosé sa target sécurité), et le PM a ajouté un slide « e2e encryption » à sa présentation. Le gars qui a tenté d’expliquer que ça servait à rien s’est fait défoncé à son weekly 1:1 (il faut qu’il arrête de dérailler les projets quand le directeur a demandé le chiffrement).

        Dans 5 à 10 ans, quelqu’un va reprendre le projet, comprendre que ça sert à rien, et si c’est un bon politicien, réussir à corriger les liens.

        Quand l’équipe désactivera la feature, quelqu’un va cmd v la clé de chiffrement dans son browser par accident, et se rendre compte que la clé de chiffrement était, en fait, publiquement accessible sur GitHub, et indexée par Google, depuis, ben en fait depuis tout le temps. On lui demandera aussi de fermer sa gueule, on a pas besoin de déterrer une histoire vielle de 10 ans, surtout que le commiter est maintenant VP of security et CISO.

        Toute ressemblance avec un projet existant serait totalement pas fortuite du tout. Voilà voilà. On est vendredi après tout.

        Linuxfr, le portail francais du logiciel libre et du neo nazisme.

        • [^] # Re: Un presta ?

          Posté par  . Évalué à 2.

          Merci pour cette tranche de bonheur, c'est tout à fait représentatif de ce qui se passe dans pas mal de boites, j'adore.

        • [^] # Re: Un presta ?

          Posté par  . Évalué à 9. Dernière modification le 03 septembre 2024 à 10:48.

          Je sais que le but est de décrire une réalité de manière semi-ironique, mais il manque le contexte de pourquoi tout se passe comme ça : toute le monde s'en tape. Mais genre vraiment. Et vraiment tout le monde.

          On parle de lien pour un pass sport.

          Le département qui développe ce truc en a rien à contre-cirer de ce pass. Les usagers s'en fichent de la sécurité. Ils veulent juste récupérer 50€ pour envoyer Timmy jouer au foot.

          Par construction, on ne peut pas avoir un développeur ou un responsable de sécurité qui s'impliquerait véritablement impliqué dans ces questions. Par ce que si c'était le cas, il changerait de boulot asap.

          Pour réaliser : Les moulistes de lfr s'en préoccupent certainement plus dans ce thread que l'intégralité du département qui développe le site web du pass sport. Et je suis certain que personne ici n'aimerait bosser (pour de vrai, c'est à dire dans l'environnement de travail correspondant) sur le sujet.

      • [^] # Re: Un presta ?

        Posté par  . Évalué à 4.

        Aucun problème pour le prestataire, qui semble avoir fait correctement son travail.

        Il faudrait voir l'intégralité de la source, notamment la validité de la signature DKIM.

        Mais pourquoi diable foutre des liens si obscurs le corps du message ? Ce sont des techniques utilisées par les malfrats ça :)

        C'est AMHA, surtout un technique pour éviter les points négatifs des filtres anti-spams. Il est préférable que tous les liens pointent vers le même domaine.

        Je comprends qu'avoir un nom de domaine qui n'a rien a voir avec l'organisme à l'origine du courriel rende suspicieux. Mais c'est malheureusement une pratique courante sur le web et dans les courriels.

  • # Identité Numérique

    Posté par  (site web personnel) . Évalué à 10. Dernière modification le 30 août 2024 à 20:45.

    Demande au gouvernement de justifier son identité via un tiers de confiance.

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # Dans le 9.3 c'est mieux

    Posté par  . Évalué à 6.

    Pour la Seine Saint-Denis, le mail a ces URLs: https://pass-sport-5eme.seinesaintdenis.fr, c'est vachement plus propre.

    • [^] # Re: Dans le 9.3 c'est mieux

      Posté par  (site web personnel) . Évalué à 6. Dernière modification le 31 août 2024 à 14:25.

      C'est à qui seinesaintdenis.fr ?

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: Dans le 9.3 c'est mieux

        Posté par  . Évalué à 0.

        whois est ton ami

        • [^] # Re: Dans le 9.3 c'est mieux

          Posté par  (site web personnel) . Évalué à 3. Dernière modification le 31 août 2024 à 18:16.

          Un $ whois seinesaintdenis.fr
          ou bien du RDAP (cf https://www.bortzmeyer.org/9224.html et https://en.wikipedia.org/wiki/Registration_Data_Access_Protocol ). Par exemple https://rdap.dev/?type=domain&object=seinesaintdenis.fr%20

          Dans les deux cas on apprend que c'est techniquement Orange Business Services SA qui gère pour Conseil départemental de la Seine-Saint-Denis.

        • [^] # Re: Dans le 9.3 c'est mieux

          Posté par  . Évalué à 5.

          Je pense que la vraie question sous-entendue par devnewton est "pourquoi ce n'est pas en gouv.fr ?".

          • [^] # Re: Dans le 9.3 c'est mieux

            Posté par  . Évalué à 5.

            On a du mal à le croire dans un état jacobin comme le notre, mais avec:

            • de la décentralisation à la mode V1, V2, V3, v4,
            • un peu séparation des pouvoirs et un peu de tambouille politique
            • et beaucoup de "démerdez vous"

            au final, la pièce montée va plus ou moins bien tenir (ou s'affaisser).

            C'est ainsi:

            La Région PACA qui s'appelle désormais "Ma Région Sud", n'a pourtant pas géographiquement parlant changée. Mais jamais elles n'étaient fqdn derrière un .gouv.fr

            "Si tous les cons volaient, il ferait nuit" F. Dard

          • [^] # Re: Dans le 9.3 c'est mieux

            Posté par  (site web personnel) . Évalué à 7.

            S'il faut inférer les questions…

            Le .gouv.fr est pour l'administration française ; son utilisation est restreinte et soumise à validation préalable par le Service d'information du Gouvernement (wikipedia). Les départements, les régions, le conseil d'État, l'Élysée, le conseil constitutionnel, etc., bref une grand part des collectivités territoriales, de l'administration hospitalière et des contrepouvoirs (vis-à-vis du gouvernement) ne sont pas en .gouv.fr, par définition. Contrairement aux préfectures par exemple.
            Soit le pass est géré niveau ministère (en .gouv.fr) soit localement (et là chacun a son domaine anarchiquement pour autant que je sache).

  • # Réponse du service

    Posté par  . Évalué à 7.

    Bonjour Monsieur,

    Je vous remercie pour votre retour précis.

    En effet, nous avions conscience du problème et cela avait également pour cause que de nombreux pass Sport se retrouvent dans les courriers indésirables.

    Nos développeurs sont actuellement sur le sujet et le problème devrait être réglé rapidement afin que nos emails soient identifiés comme "pass.sport.beta.gouv.fr.".

    Je vous souhaite une excellente journée.

    On peut voir le code sur https://github.com/betagouv/pass-sport

    Et un rapport de dispositif Beta sur https://beta.gouv.fr/startups/pass-sport.html

    Donc le problème est connu, et fait partie d'une stratégie « Jeune pousse ». Alleeeez, soit.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.