On l'a dans le q
Attention, si vous recevez un email provenant de gouv.fr, qu’il s’agisse bien de gouv avec « g » et pas avec un « q » Un petit malin a, en effet, enregistré le nom de domaine qouv.fr et a créé de nombreux sous domaines qui ne laissent que peu de doute quant à ses intentions.
Les abus sur les noms de domaines sont de plus en plus nombreux et les pirates diversifient leurs activités. Il y a évidemment les grands classiques avec de faux sites sur la carte vitale, les amendes, les plateformes de streaming, etc.
L’abus par email prend de l’importance
Mais d’autres usages prennent le dessus, comme l’expliquait Gaël Mancec, juriste NTIC chez Germain Maureau : « l’usage email est aujourd’hui quasiment plus fort en termes d’abus que l’usage web » Car un même nom de domaine peut servir aux deux. L’exemple du jour est en plein dedans.
Dans la galaxie des techniques pour abuser les utilisateurs, on retrouve le typosquatting qui consiste à trouver un nom de domaine très proche de l’original et disponible afin de tromper les utilisateurs. Cela peut être une graphie proche, remplacer un O par un 0, par exemple, ou un l (l minuscule) par un I (i majuscule).
Et voilà qouv.fr, méfiance !
En France, afin de limiter les dégâts sur les sites officiels du gouvernement, il n’est plus possible depuis longtemps de déposer des noms de domaines en « -gouv.fr » Sur X, Mikołajek (créateur de Red Flag Domains qui recense les noms de domaine très récemment enregistrés et probablement malveillants), présente un nom de domaine enregistré hier et qui contourne le problème : qouv.fr.
Il s’agit évidemment de s’approcher autant que possible de gouv.fr, l’adresse officielle. Et, effectivement, on peut facilement se faire berner :
— Mikołajek (@_mikolajek_) August 30, 2024
Hier, un petit malin a enregistré https://t.co/Ehs1qNIcTv. Son titulaire peut donc créer des sites et envoyer des mails très ressemblants aux vrais .gouv.fr.
Suivant la typo, la comparaison est bluffante (ici, Lucida sans Unicode).
Vigilance sur tous les domaines .gouv.fr ! pic.twitter.com/M35kpTQfGd
Hier, un petit malin a enregistré Le site qouv.fr renvoie pour le moment vers perdu.com, cela pourrait être drôle si cela s’arrêtait là… et encore, le site pourrait très facilement changer pour tenter de berner des utilisateurs. Mais, malgré cela, le danger existe : utiliser le nom de domaine pour des emails.
Des sous domaines inquiétants…
Comme l’a remarqué gauthi3r sur X, « c’est clairement pour de l’usurpation / fraude à la vue des sous-domaines répertoriés… » Un coup de vérification sur les DNS (via DNSDumper par exemple) et on trouve, en effet, des enregistrements qui ne laissent pas franchement de place au doute : passeport.ants.qouv.fr, bas-rhin.qouv.fr, education.qouv.fr, messervices.etudiant.qouv.fr, legifrance.qouv.fr…
Le site a beau rediriger vers perdu.com (qui lui est sans danger), le nom de domaine peut largement servir pour lancer des campagnes de phishing, avec des adresses très proches de celles officielles, d’autant plus si le lien de l’adresse est souligné. Le q et le g se confondent d’autant plus.
Des liens vers qouv.fr sur des sites officiels, dont Légifrance
Mais il y a pire encore : on retrouve à plusieurs reprises des liens vers qouv.fr sur les sites en gouv.fr. Dans une bonne partie des cas, c’est la reconnaissance de caractère qui est en cause (justement à cause de la proximité entre les deux caractères), mais pas uniquement selon nos recherches.
Le site Dordogne.gouv.fr renvoie vers une adresse en qouv.fr et même Légifrance fait la faute. On ne peut pourtant pas dire que les caractères soient proches sur un clavier.
Le nom de domaine est gelé
Le nom de domaine est maintenant gelé, comme l’indique le whois. L’AFNIC explique que cette action « annule l’ensemble des opérations en cours de traitement par l’Afnic et empêche toute demande d’opération à venir sur le nom de domaine (changement de bureau d’enregistrement, transmission de nom de domaine impossibles…). Mais cette opération n’altère pas le fonctionnement du nom de domaine ». Qouv.fr est en effet toujours fonctionnel.
Trois éléments peuvent conduire au gel, explique l’AFNIC :
- Lorsqu’une décision de justice ordonnant le gel du nom de domaine est notifiée à l’Afnic ; le gel sera maintenu selon les stipulations de la décision judiciaire et sera levé suite à une nouvelle décision ;
- À l’ouverture d’une procédure Parl (cf. supra) : le gel est maintenu jusqu’à l’exécution de la décision ;
- À l’ouverture d’une procédure de vérification (cf. supra) : le gel est maintenu pendant une durée de 7 jours.
Pour que le nom de domaine ne fonctionne plus, il faut un blocage : « Cette opération rend le nom de domaine inopérationnel (le site web, les adresses courriels ne fonctionnent plus) » Ce n’est pas (encore ?) le cas. Pour résoudre définitivement le problème, qouv.fr pourrait rejoindre le propriétaire de gouv.fr et rediriger vers ce dernier.
