Service public permettant de prouver une identité en ligne et de gérer la diffusion de données d'identité, France Identité sonne l'alerte concernant une campagne de phishing qui est en cours et tente de piéger des usagers de l'application.
Avec pour prétexte une vérification, ainsi que d'obscures raisons de sécurité et de performances, un e-mail demande de transmettre une copie recto verso de la carte d'identité accompagnée d'un justificatif de domicile valide.
Pour paraître plus crédible, l'e-mail de phishing fait mention d'un décret paru au Journal officiel sur la création d'un moyen d'identification électronique et portant le nom de " Service de garantie de l'identité numérique. "
" Ne répondez surtout pas. France Identité n'est pas à l'origine de ces courriels. La bonne attitude face à ces courriels frauduleux est de les signaler auprès des plateformes Signal Spam et Cybermalveillance.gouv.fr ", écrit France Identité sur son compte X.
Une politique DMARC "p=none"
Si la rédaction même de l'e-mail de phishing est suffisante pour se douter d'une escroquerie, ce qui interroge est le recours à une adresse noreply@france-identite.gouv.fr en tant qu'expéditeur. Elle fait appel au nom de domaine légitime de France Identité.
Il n'est pas clair s'il s'agit d'un simple maquillage. Des commentaires ont pointé du doigt un problème avec la qualité de la configuration DMARC (Domain-based Message Authentication, Reporting and Conformance). Ce protocole d'authentification par e-mail permet de protéger les domaines de messagerie contre les usurpations.
Pour la procédure en cas d'échec avec le domaine principal, une vérification révèle un terme "p=none". Cela implique qu'il n'y a pas de rejet des messages susceptibles d'être des usurpations d'identité, contrairement à "p=reject", tandis que "p=quarantaine" suppose une analyse ultérieure.
Un autre champ bien plus suspect
L'email de phishing demande l'envoi des documents par e-mail, ce qui est évidemment louche. Hormis le fait que l'adresse de l'expéditeur est précédée de noreply, l'Espace Numérique de Travail Toutatice de l'académie de Rennes attire l'attention sur un champ " Réponse à " avec l'adresse direction@france-identite-fr.info qui est bel et bien frauduleuse.
