Bonjour,
J'ai reçu une (bonne ?) nouvelle : un « pass Sport » d'une valeur de 50 € valable pour une licence sportive pour mes enfants. Super !
Un courriel pour chaque enfant, avec même la faute d'accent dans l'un des prénoms (je cherche à la faire corriger depuis 6 ans, sans résultat). Tout a l'air bien.
Je regarde le contenu du message, et là tous les liens sont sous la forme : https://obnm74.com/ssjzzamwj3ic1qqncd/index6.html (spoiler, si je vous l'ai mis, c'est que c'est un lien correct et sans information personnelle)
Mais tous les liens ont le même domaine, mais un chemin aléatoirement choisi de caractères minuscules différents. Y compris « Mentions légales » et « Se désabonner ». Y compris le texte « pass.sports.gouv.fr/v2/politique-de-confidentialite/ » qui porte le lien « https://obnm74.com/yljwmazqjtqcmcgv1l/index4.html ».
Je dégaine le whois, et là, à part des informations très basiques, rien d'autre que :
Registrar URL: http://www.ovh.com
Updated Date: 2024-04-13T07:23:06Z
Creation Date: 2011-04-12T15:25:27Z
Registry Expiry Date: 2025-04-12T15:25:27Z
Registrar: OVH sas
Registrar IANA ID: 433
Registrar Abuse Contact Email: abuse@ovh.net
Bon, déjà, le domaine a été créé il y a 13 ans, c'est pas trop mal. Mais à part ça, tout sent l'arnaque bien léchée.
J'ai regardé les entêtes SMTP, ça vient bien du serveur obnm74.com, IP 178.33.44.84. Le SPF correspond :
# On regarde d'abord l'enregistrement de l'expéditeur
> dig info.pass.sports.gouv.fr TXT +short
"v=spf1 include:_spf_sd.netmessage.com -all"
# Comme il renvoie vers un autre serveur, on regarde la politique d'envoi de l'autre serveur
> dig _spf_sd.netmessage.com TXT +short
"v=spf1 ip4:37.59.132.30 ip4:37.59.85.48/30 ip4:37.59.203.40/30 ip4:46.105.156.96/31 ip4:92.103.221.128/28 ip4:92.103.41.156/30 ip4:176.31.54.236/30 ip4:178.32.168.160/29 ip4:178.33.42.30/31 ip4:178.33.42.32 ip4:178.33.9.50 ip4:178.33.145.116/31 ip4:1" "78.33.145.119 ip4:178.33.44.82/31 ip4:178.33.44.84 ip4:178.33.41.12/30 ip4:188.165.126.16/30 ip4:188.165.126.20/31 -all"
# Toutes les adresses ci-dessus sont donc autorisées à envoyer des courriels au nom de info.pass.sports.gouv.fr. On vérifie les adresses du serveur qui a réellement envoyé :
> host obnm74.com
obnm74.com has address 178.33.145.119
obnm74.com has address 178.33.44.82
obnm74.com has address 178.33.44.84
obnm74.com has address 178.33.44.83
obnm74.com has address 178.33.145.117
obnm74.com has address 178.33.145.116
# L'adresse 178.33.44.84 correspond et est spécifiquement autorisée.
Donc le message a bien été envoyé par un serveur dûment autorisé.
Alors je suis allé sur le site directement : https://www.pass.sports.gouv.fr/v2/test-eligibilite
J'ai rentré l'intégralité des informations, et paf, il m'a sorti le même code que celui du courriel.
Donc… non, ce n'est pas une arnaque. Mais franchement, c'est quoi ce message ? Je n'ai pas encore envoyé de rapport à un responsable (à trouver sur le site), mais c'est encore une fois impossible d'apprendre aux gens à se méfier si le gouvernement envoie des arnaques bien léchées…
# Un presta ?
Posté par Misc (site web personnel) . Évalué à 8.
Je suppose que le domaine obnm74.com appartient à netmessage.com (pour OutBouNdMail 74 , vu qu'il y a un paquet de domaines semblables si tu changes les chiffres).
netmessage.com renvoie vers linkmobility.com, une boite dont le metier est l'envoi de mail/messages en masse (genre, pour le 2FA, les notifs d'achats, etc).
Donc le gouvernement, pour être sur que les messages arrivent (car bon, ils ont sans doute les mêmes soucis que le reste du monde à ce niveau) est passé par un presta.
[^] # Re: Un presta ?
Posté par Glandos . Évalué à 7.
Aucun problème pour le prestataire, qui semble avoir fait correctement son travail.
Mais pourquoi diable foutre des liens si obscurs le corps du message ? Ce sont des techniques utilisées par les malfrats ça :)
[^] # Re: Un presta ?
Posté par fortytwo . Évalué à 4.
Il faudrait comparer au mail équivalent envoyé à d'autres personnes. Si les liens sont différents donc a priori personnalisés par destinataire, ça doit être une technique de tracking.
Dans le doute, j'évite de suivre ce type de lien.
[^] # Re: Un presta ?
Posté par groumly . Évalué à 10.
Au début, je pense à du click tracking, très courant pour les e-mails. L’idée étant de savoir qui a suivi les liens, et quels liens, dans le mail, avec pour but optimisation du template (ab testing et tout le tralala). Mais si le portail te génère le même lien, c’est pas ça.
Autre option, pierre tramo, j2ee architect bosse chez obnm74.com, qui sous traite le boulot.
Une autre possibilité, c’est que vu que les liens sont envoyés par e-mail, quelqu’un a fait remarquer qu’il y aurait des identifiants en plain text, et que c’est pas cool (il a lu un article sur slate sur Amazon qui a arrêté de mettre les détails des commandes dans les e-mails, parce que Google les mine). Un génie a dit « faut chiffrer les liens alors! », sans se rendre compte que, ben le lien est toujours dispo sans authentification, donc ça aide pas beaucoup. Ça va mitiger un peu pour les idiots qui postent leur liens privés sur l’internet publique (et y’en a, pas qu’un peu), mais pas tellement plus.
Mais le product manager a entendu dire qu’il y’avait un problème de sécu, ça a été flaggé en bloqueur sur Jira, la question a été posée vite ‘aif au mec de la sécu, sans contexte, qui a dit « ça va peut être aider un peu, mais ça sert pas forcément à grand chose, je peux pas vraiment dire sans en savoir plus », un meeting a été schédulé, mais le gars était en vacances, et le ticket était en retard.
Le scrum master (précédemment chef de chantier dans le bâtiment, reconverti y’a 2 ans parce que ça paye mieux et parlait vraiment trop mal le portugais, et trouve que le thread slack sur le sujet pourrait être écrit en portugais, il le comprendrais pas plus) a exigé que le ticket soit fermé avant de fermer le sprint, caralho (ça veut dire s’il te plaît, ses gars lui ont apprit ça sur le chantier, des gars vraiment cool avec le cœur sur la main).
Le seul inge qui comprend ce qu’il se passe a essayé de lui expliquer, mais ça a été escaladé au directeur qui a vu « PII » dans le premier paragraphe de l’e-mail, a arrêté de lire et a exigé que tout soit chiffré bout à bout (une histoire d’honorer notre commitment à la privacy). Quelqu’un a fait remarqué que le lien 302 redirect sur du http-sans-s, et on lui a poliment demandé de fermer sa gueule, et que http-avec-s est pas mentionné dans le ticket, donc on en a pas besoin.
Au final, ils ont livré, le directeur aura sa piscine l’été prochain (il a explosé sa target sécurité), et le PM a ajouté un slide « e2e encryption » à sa présentation. Le gars qui a tenté d’expliquer que ça servait à rien s’est fait défoncé à son weekly 1:1 (il faut qu’il arrête de dérailler les projets quand le directeur a demandé le chiffrement).
Dans 5 à 10 ans, quelqu’un va reprendre le projet, comprendre que ça sert à rien, et si c’est un bon politicien, réussir à corriger les liens.
Quand l’équipe désactivera la feature, quelqu’un va cmd v la clé de chiffrement dans son browser par accident, et se rendre compte que la clé de chiffrement était, en fait, publiquement accessible sur GitHub, et indexée par Google, depuis, ben en fait depuis tout le temps. On lui demandera aussi de fermer sa gueule, on a pas besoin de déterrer une histoire vielle de 10 ans, surtout que le commiter est maintenant VP of security et CISO.
Toute ressemblance avec un projet existant serait totalement pas fortuite du tout. Voilà voilà. On est vendredi après tout.
Linuxfr, le portail francais du logiciel libre et du neo nazisme.
[^] # Re: Un presta ?
Posté par Dafyd . Évalué à 2.
Merci pour cette tranche de bonheur, c'est tout à fait représentatif de ce qui se passe dans pas mal de boites, j'adore.
[^] # Re: Un presta ?
Posté par Vlobulle . Évalué à 9. Dernière modification le 03 septembre 2024 à 10:48.
Je sais que le but est de décrire une réalité de manière semi-ironique, mais il manque le contexte de pourquoi tout se passe comme ça : toute le monde s'en tape. Mais genre vraiment. Et vraiment tout le monde.
On parle de lien pour un pass sport.
Le département qui développe ce truc en a rien à contre-cirer de ce pass. Les usagers s'en fichent de la sécurité. Ils veulent juste récupérer 50€ pour envoyer Timmy jouer au foot.
Par construction, on ne peut pas avoir un développeur ou un responsable de sécurité qui s'impliquerait véritablement impliqué dans ces questions. Par ce que si c'était le cas, il changerait de boulot asap.
Pour réaliser : Les moulistes de lfr s'en préoccupent certainement plus dans ce thread que l'intégralité du département qui développe le site web du pass sport. Et je suis certain que personne ici n'aimerait bosser (pour de vrai, c'est à dire dans l'environnement de travail correspondant) sur le sujet.
[^] # Re: Un presta ?
Posté par Voltairine . Évalué à 4.
Il faudrait voir l'intégralité de la source, notamment la validité de la signature DKIM.
C'est AMHA, surtout un technique pour éviter les points négatifs des filtres anti-spams. Il est préférable que tous les liens pointent vers le même domaine.
Je comprends qu'avoir un nom de domaine qui n'a rien a voir avec l'organisme à l'origine du courriel rende suspicieux. Mais c'est malheureusement une pratique courante sur le web et dans les courriels.
[^] # Re: Un presta ?
Posté par gUI (Mastodon) . Évalué à 10.
C'est surtout nous éduquer à cliquer sur tout et n'importe quoi.
L'autre jour je me souviens plus, mais c'était un truc plus ou moins officiel (style EDF) qui me demandait d'aller sur un site qui puait l'arnaque style "edf-mytruc.fr" (je me souviens plus exactement, je sais même pas si c'est EDF mais l'idée est là). Sans déconner, comment tu veux donner de l'importance au "cadenas vert" si déjà tu peux pas avoir confiance dans le nom de domaine lui-même ?
DE LA MERDE !!! VOILÀ CE QUE C'EST !!!
Oui, je suis énervé.
Je vais prendre un café tiens, ça me calmera…
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Un presta ?
Posté par Faya . Évalué à 6.
Ma femme a reçu le Pass Sport de mon fils par SMS. Elle m'a tout de suite dit "regarde le spam que j'ai reçu". Le lien était correct (www.pass.sports.gouv.fr) mais tous les accents avaient sauté donc ça donnait
Comme on lui a répété que les e-mails mal orthographiés étaient suspects, elle a immédiatement supposé que c'était un fake.
[^] # Re: Un presta ?
Posté par Meku (site web personnel) . Évalué à 7.
En 2024, y'en a qui arrivent encore à coder des systèmes qui ne savent pas gérer les accents de leur propre langue ? o_O
[^] # Re: Un presta ?
Posté par nonas . Évalué à 5.
Coder de tels systèmes, oui ça doit même être plutôt facile avec Stack Overflow. Mais que ça passe en prod sans même un petit sms de test, c'est la honte…
[^] # Re: Un presta ?
Posté par gUI (Mastodon) . Évalué à 10.
si, ils l'ont fait, et le texte a bien été reçu : "SMS de test !"
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Un presta ?
Posté par tkr . Évalué à 2.
plutôt une tisane :
tenez, il y a quelques mois, next avait pondu une super étude basée sur les expérience des utilisateurs de services en ligne, orientée sécurité, notamment la gestion des mots de passe.. pour des résultats calamiteux disponibles ici :
https://next.ink/1019/mots-passe-bilan-mauvaises-pratiques-sites-et-services/
il pourrait y avoir la même chose pour les courriels.. une personne m'a montré un, reçu des services de pole-emploi, dont certains éléments peuvent sembler être une arnaque.. que P/E admet provenir de leurs services (enfin via sous traitant)
je m'étonne qu'il n'y ait pas, pour les courriels, un équivalent à ce qui est fait par :
-http://pebkac2.fr pour les utilisateurs
-next.ink et leur enquête pour les pratiques des mdp (1)
-les offres d'emploi/stage qui épinglent pour la visibilité (2)
1: https://next.ink/1019/mots-passe-bilan-mauvaises-pratiques-sites-et-services/
2: https://www.jesuisundev.com/entretien-technique-des-enfers/, et :
https://pbs.twimg.com/media/FP1ChCQXIAEIhZh?format=jpg&name=medium
(ou https://rehost.diberie.com/Picture/Get/f/310895 )
https://pbs.twimg.com/media/FS5mNceWIAALNBp?format=png&name=900x900
(ou https://rehost.diberie.com/Picture/Get/f/310896 )
https://twitter.com/Pigeongratuit
https://urgentrecherchestagiaire.tumblr.com/
https://www.facebook.com/Pigeongratuit/
pour le fun : https://rehost.diberie.com/Picture/Get/f/127235 :D
….à quand le même "name and shame" pour les mauvaises pratiques email et sms? ;)
# Identité Numérique
Posté par devnewton 🍺 (site web personnel) . Évalué à 10. Dernière modification le 30 août 2024 à 20:45.
Demande au gouvernement de justifier son identité via un tiers de confiance.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# Dans le 9.3 c'est mieux
Posté par cg . Évalué à 6.
Pour la Seine Saint-Denis, le mail a ces URLs: https://pass-sport-5eme.seinesaintdenis.fr, c'est vachement plus propre.
[^] # Re: Dans le 9.3 c'est mieux
Posté par devnewton 🍺 (site web personnel) . Évalué à 6. Dernière modification le 31 août 2024 à 14:25.
C'est à qui seinesaintdenis.fr ?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: Dans le 9.3 c'est mieux
Posté par Voltairine . Évalué à 0.
whois est ton ami
[^] # Re: Dans le 9.3 c'est mieux
Posté par Benoît Sibaud (site web personnel) . Évalué à 3. Dernière modification le 31 août 2024 à 18:16.
Un
$ whois seinesaintdenis.fr
ou bien du RDAP (cf https://www.bortzmeyer.org/9224.html et https://en.wikipedia.org/wiki/Registration_Data_Access_Protocol ). Par exemple
https://rdap.dev/?type=domain&object=seinesaintdenis.fr%20
Dans les deux cas on apprend que c'est techniquement Orange Business Services SA qui gère pour Conseil départemental de la Seine-Saint-Denis.
[^] # Re: Dans le 9.3 c'est mieux
Posté par cg . Évalué à 5.
Je pense que la vraie question sous-entendue par devnewton est "pourquoi ce n'est pas en gouv.fr ?".
[^] # Re: Dans le 9.3 c'est mieux
Posté par Luc-Skywalker . Évalué à 5.
On a du mal à le croire dans un état jacobin comme le notre, mais avec:
au final, la pièce montée va plus ou moins bien tenir (ou s'affaisser).
C'est ainsi:
La Région PACA qui s'appelle désormais "Ma Région Sud", n'a pourtant pas géographiquement parlant changée. Mais jamais elles n'étaient fqdn derrière un .gouv.fr
"Si tous les cons volaient, il ferait nuit" F. Dard
[^] # Re: Dans le 9.3 c'est mieux
Posté par Benoît Sibaud (site web personnel) . Évalué à 7.
S'il faut inférer les questions…
Le .gouv.fr est pour l'administration française ; son utilisation est restreinte et soumise à validation préalable par le Service d'information du Gouvernement (wikipedia). Les départements, les régions, le conseil d'État, l'Élysée, le conseil constitutionnel, etc., bref une grand part des collectivités territoriales, de l'administration hospitalière et des contrepouvoirs (vis-à-vis du gouvernement) ne sont pas en .gouv.fr, par définition. Contrairement aux préfectures par exemple.
Soit le pass est géré niveau ministère (en .gouv.fr) soit localement (et là chacun a son domaine anarchiquement pour autant que je sache).
# Réponse du service
Posté par Glandos . Évalué à 7.
On peut voir le code sur https://github.com/betagouv/pass-sport
Et un rapport de dispositif Beta sur https://beta.gouv.fr/startups/pass-sport.html
Donc le problème est connu, et fait partie d'une stratégie « Jeune pousse ». Alleeeez, soit.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.