Chronique sécurité

Analyse d’un courriel d’hameçonnage

Laisser un commentaire
Michel Gagné

Un courriel d’hameçonnage semblant provenir de Vidéotron circule présentement au Québec. Malheureusement, quelques membres du Club se sont fait prendre.

Dans cet article, je présente le courriel frauduleux et les indices qui permettent de le démasquer.

Je vous invite à lire l’article pour voir si vous saurez identifier les six indices qui permettent de démasquer la fraude. Même si vous n’êtes pas client de Vidéotron, je vous invite à lire l’article pour voir si vous avez de bons réflexes de détecteurs d’hameçonnage.

Tout d’abord, voici le courriel. Le courriel semble provenir de Vidéotron et il invite le lecteur à télécharger une application. Si le lecteur télécharge l’application, il ouvrira la porte à un virus qui infectera son ordinateur.

Examinons maintenant le courriel.

La qualité du français

Le courriel est en français et la qualité de la langue est impeccable. Le courriel est bien structuré, les phrases sont bien construites et il n’y a pas de fautes. Pourtant, il s’agit d’un hameçonnage.

Il est fini le temps où on identifiait facilement les courriels d’hameçonnage parce qu’ils étaient en anglais ou en mauvais français.

Une drôle de proposition

Le courriel propose de télécharger une application pour consulter son courriel.

Depuis toujours, Vidéotron fournit à ses clients une application Web pour consulter leurs courriels. Par définition, une application Web est accessible à partir d’une page Web et n’a pas besoin d’être téléchargée.

Si Vidéotron voulait changer son application Web, il pourrait le faire en changeant ce qui se trouve sur son serveur, sans demander à ses clients de télécharger une application.

Indice # 1 : il est illogique de demander de télécharger une application pour modifier une application Web.

Le domaine de l’expéditeur

Une compagnie envoie un courriel à ses clients à partir de son domaine (un domaine est un espace que la compagnie a réservé sur le Web et à partir duquel elle conduit ses affaires). Dans une adresse électronique, le domaine de l’expéditeur est indiqué par les deux derniers éléments de l’adresse. Dans le courriel précédent, l’adresse de l’expéditeur est dorina.b@videotron.ca. Le domaine de l’expéditeur est donc videotron.ca.

Le premier élément du domaine est normalement le nom de la compagnie, son sigle ou un de ses produits. Par exemple :

  • dans le domaine bell.ca, bell est le nom de la compagnie Bell qui est le propriétaire de ce domaine ;
  • dans le domaine vmd.ca, vmd est le sigle de la compagnie Valeurs mobilières Desjardins qui est le propriétaire de ce domaine (un sigle est constitué des premières lettres du nom d’une organisation) ;
  • dans le domaine gmail.com, gmail est le nom d’un produit de la compagnie Google qui est le propriétaire de ce domaine.

Dans le courriel précédent, nous avons vu que le domaine de l’expéditeur est videotron.ca. Le premier élément du domaine est bien le nom de la compagnie Vidéotron.

Toutefois, la présence du bon domaine ne garantit pas à 100 % la validité du courriel.

Si le courriel provenait de dorina.b@gulugulu.ca, je saurais qu’il s’agit d’une arnaque. Par contre, le domaine videotron.ca ne me garantit pas la validité du courriel. Il faut chercher un peu plus loin.

Lisez attentivement les deux énoncés suivants et assurez-vous de bien les comprendre (ce sont deux règles d’or dans l’identification des courriels frauduleux) :

  • un courriel qui provient d’un domaine ne contenant pas le nom, le sigle ou un produit d’une compagnie ne provient probablement pas de cette compagnie. Par exemple, un courriel provenant du domaine gulugulu.com ne provient probablement pas de Vidéotron;
  • par contre, un courriel qui provient d’un domaine qui contient le nom, le sigle ou un produit d’une compagnie ne provient pas nécessairement de cette compagnie. Par exemple, un courriel provenant du domaine videotron.ca provient probablement de Vidéotron, mais ce n’est pas certain. Il faut chercher un peu plus loin pour en avoir la certitude.

Les mots probablement et pas nécessairement dans les énoncés précédents indiquent que ces règles sont valables dans la majorité des cas, mais on ne peut s’y fier à 100 %. Il faut toujours chercher un peu plus loin pour confirmer ou infirmer la validité des courriels.

L’adresse complète de l’expéditeur

L’adresse complète de l’expéditeur est dorina.b@videotron.ca.

Vidéotron fournit à ses clients des adresses électroniques de la forme identifiant@videotron.ca. Si j’étais client de Vidéotron, je pourrais avoir une adresse comme michel.gagne@videotron.ca.

Vidéotron émet ses communications à partir des domaines videotron.ca et videotron.com. L’utilisation du domaine videotron.ca pour les communications ET pour les adresses électroniques de ses clients rend plus difficile l’identification des hameçonnages. Toutefois, dans le courriel précédent, il est assez évident que la communication provient de madame Dorina B qui s’est fait voler son mot de passe. Un pirate utilise maintenant le mot de passe de madame Dorina B pour envoyer des messages d’hameçonnage provenant de l’adresse dorina.b@videotron.ca, donc provenant du domaine videotron.ca. C’est très malin de la part du pirate et il faut être attentif pour s’en apercevoir.

Un message qui proviendrait vraiment de Videotron aurait une adresse d’expéditeur du type communication@vidéotron.ca ou info@videotron.ca ou nepasrepondre@videotron.ca. Une compagnie n’envoie pas de message à partir d’une adresse personnelle comme dorina.b@videotron.ca ou michel.gagne@videotron.ca.

Indice # 2 : la présence d’un identifiant personnel (comme dorina.b) dans l’adresse de l’expéditeur d’un courriel corporatif est louche.

Le lien dans le courriel

Il faut toujours se méfier des liens dans un courriel. En particulier, il ne faut pas cliquer sur un lien d’un courriel suspect.

Dans le cas qui nous intéresse, le courriel nous offre de télécharger une application. Il faut alors s’assurer que l’application proviendra vraiment du site de Vidéotron et non d’un autre site à partir duquel un pirate nous fournira une application contaminée par un virus.

Pour connaître le site où un lien nous mènera avant d’y aller, il suffit de pointer sans cliquer sur le lien qui nous est offert. Cela fait apparaître, en bas à gauche de l’écran, l’adresse de la page que nous obtiendrons si nous cliquons sur le lien. Dans le cas qui nous intéresse, l’adresse qui apparaît en bas à gauche de l’écran est :

Une page du site de Vidéotron contiendrait le domaine de Vidéotron, videotron.ca ou videotron.com, à gauche de la première barre oblique simple. Dans le cas qui nous intéresse, on trouve plutôt zohoinsights.com à gauche de la première barre oblique simple. Cette page n’est pas une page du site de Vidéotron. Nous devrions donc l’éviter.

Indice # 3 : le lien dans le courriel nous mène vers une page du site zohoinsights.com et non vers une page du site de Vidéotron.

Avant de cliquer sur un lien dans un courriel, vérifiez où le lien vous mènera en pointant votre souris au-dessus du lien sans cliquer.

Incongruités dans le courriel

Si vous avez l’œil aiguisé, vous pouvez aussi trouver trois incongruités dans le courriel :

  • Au bas du courriel, on vous offre de vous désabonner. Cette proposition n’a pas de sens pour un courriel vous offrant de télécharger une nouvelle version d’une application. On peut vouloir se désabonner d’une infolettre, mais on ne se désabonne pas des messages relatifs à la gestion de son compte.
  • Au bas du courriel, les mots Se désabonner ne sont pas cliquables. C’est un non-sens. Lorsque ces mots apparaissent dans un courriel, ils sont cliquables et ils mènent à une page permettant de se désabonner.
  • Au bas du courriel, les mots Politique de confidentialité ne sont pas cliquables. C’est un non-sens. Lorsque ces mots apparaissent dans un courriel, ils sont cliquables et ils mènent à une page décrivant la politique de confidentialité de la compagnie.

Indices # 4, 5 et 6 : les trois incongruités précédentes indiquent que le courriel est frauduleux.

Votre détecteur de bullshit

J’aime bien cette maxime de mon fils, Jean-François : « Pour contrer les virus, l’hameçonnage et le vol de mots de passe, il faut constamment exercer et améliorer son détecteur de bullshit. »

Effectivement, il n’est pas facile de détecter et d’éviter tous les pièges que les pirates informatiques cachent dans tous les recoins d’Internet. La seule façon d’y parvenir est de consacrer un peu de temps à s’informer sur les menaces informatiques et sur les façons de les contrer.

Si vous sentez le besoin d’améliorer votre détecteur de bullshit, je vous rappelle que les séances de la série Facile mettent l’accent sur la sécurité informatique et contiennent des informations importantes qui sont malheureusement maitrisées par une faible proportion des internautes.

En particulier, j’attire votre attention sur les séances suivantes et leurs dates de présentation :

  • virus et antivirus : présentée le 16 janvier ;
  • hameçonnage et protection des mots de passe : présentée le 23 janvier ;
  • sauvegarde de vos informations : 13 mars ;
  • sécurité dans les transactions électroniques : 20 mars ;
  • sécurité dans la messagerie Outlook : 27 mars ;
  • sécurité dans la messagerie Gmail : 10 et 17 avril.

Je vous rappelle que toutes ces séances seront reprises à l’automne 2026.

Au plaisir de vous y rencontrer pour continuer à aiguiser ensemble notre détecteur de bullshit.

Michel Gagné

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.