Face à la multiplication des fraudes par SMS, le gouvernement travaille à la création d’un filtre « anti-arnaques », qui protégerait davantage les internautes et mobinautes peu sensibilisés au risque cyber. Il pourrait voir le jour dès cette année.
Un filtre anti-arnaques sur Internet dès la fin 2023, voici comment cela pourrait fonctionnerait
COQUILLE dans le titre… cela pourrait fonctionner ou cela fonctionnerait…
C’est le problème des SMS.
Pour éviter la fraude, il a été mis en place des numéros courts qu’il faut souscrire auprès des opérateurs (et qui coutent chers) et ainsi en communiquant via ce numéro court à 5 chiffres, il est possible de savoir qui envoie le SMS.
Malheureusement, il est possible de personnaliser l’émetteur, dans ce cas le numéro court n’apparait plus et permet de tromper les gens (genre le message est envoyé de l’émetteur « AMELI » ou « ANTS » etc).
Je pense que la solution viendra du RCS (le fameux SMS 2.0) qui, pour pouvoir être utilisé, nécessite une déclaration d’agent auprès des opérateurs et permet ainsi de certifier l’émetteur (je parle des communications BtoC comme celles évoquées dans cette article)
Il faut que cette solution soit déployée sur tous les terminaux pour ainsi protéger les utilisateurs.
Seul hic : Apple…
Apple refuse de rendre ses téléphones compatibles avec le RCS !
Donc s’il y a une solution sécurisée, elle ne sera pour le moment disponible que sur les Android.
Vous avez déjà probablement reçu des RCS de Chronopost par exemple ou d’autres marques qui utilisent ce canal pour communiquer comme elles le font par SMS.
C’est pas de filtres qu’il faut (qui en plus, souvent ne servent à rien ou donnent des faux positifs) il faut juste éduquer les gens pour qu’ils soient moins stupides, pour pas dire autre chose, mais c’est vrai c’est moins high tech et on reprendrait la main sur les contenus et nos machines… argh quelle horreur !
5 « J'aime »
Disons qu’il faut, et les filtres, et l’enseignement (ou l’information selon le niveau de connaissances en informatique). N’importe qui peut se laisser avoir, beaucoup plus ceux qui ne maîtrisent pas les outils de communication.
2 « J'aime »
Hello,
Je ne suis pas à l’origine du titre, mais j’avoue ne pas avoir fait gaffe à la relecture.
Notre chère SR Marion a corrigé ça entre-temps 
Merci,
Et bonne soirée
1 « J'aime »
Il y a des personnes qui n’en ont strictement rien à faire de l’informatique, leur vie est ailleurs, ce sont à eux qu’il faut penser et qu’il faut protéger .
Je connais un couple d’amis dans ce cas, et ils ne fréquentent pas clubic. ( à peine s’il envoient un mail si vraiment ils ne peuvent pas faire autrement).
2 « J'aime »
ben ouais, on va empêcher les gens d’acheter une voiture parce qu’il ne connaissent rien en mécanique, de pas acheter un chien parce qu’ils ne connaissent rien à la race, de pas payer les impôts parce qu’ils ne comprennent rien à l’administration française…
5 « J'aime »
Il y a principalement deux types de publics qui se font avoir : ceux qui ne maîtrisent pas et ceux qui se croient inatteignables et son trop sûrs d’eux…
De croire que RCS est la solution le fait bien rire.
N’importe qui peut envoyer un mail en se faisant passer pour « lebouffon@complotiste.uber-eat.com » sans en posséder l’adresse mail donc aucune raison qu’il en soit différent pour les sms/rcs ou autre.
L’informatique permet de tout faire et défaire.
On en arrivera à une identité numérique unique, quasiment infalsifiable et là oui, ce sera plus compliqué.
Mais ça reviendrait à avoir un one time number au lieu de one time password et seul l’émetteur et le destinataire le saurait le temps d’envoyer l’information.
Autrement je ne vois pas
Avec DMARC et DKIM, non, ce n’est plus aussi simple… Tu peux toujours faire l’envoi. Sauf que le serveur mail du destinataire, s’il est configuré correctement, n’acceptera même pas le message… Parce qu’il sait qu’un message légitime venant de tel ou tel domaine connu est censé être signé (c’est l’enregistrement DNS du domaine qui donne l’information, ainsi que la clé permettant de vérifier la validité de la signature).
Il existe pourtant une méthode qui serait très sûre : les communications par e-mail venant de sources officielles utiliseraient le principe de la signature électronique. Une clé publique permettrait de vérifier l’authenticité des messages. Et bien entendu former davantage les utilisateurs à ne pas se laisser berner.
C’est déjà le cas.
Non.
Il s’agit ici d’un chiffrement assuré pour le transport de l’email (si je ne me trompe pas, c’est Gmail sur ta capture d’écran).
Ce n’est pas équivalent à une signature électronique dont parle @Squeak.
En aucun cas un chiffrement assuré par le « transporteur » de l’email n’a la même valeur (ni la même fonction d’ailleurs) qu’une signature électronique.
Le chiffrement ne fait que chiffrer le mail entre le serveur du service mail et la machine qui consulte le mail. Ce n’est pas du tout une authentification quelconque de l’auteur du mail.
D’ailleurs, TOUS les mails sur gmail affichent le même message de chiffrement TLS.
Une signature permet d’authentifier l’auteur du message (pour peu que l’on ait répertorié la signature comme « valide » ou qu’elle soit stockée dans une infrastructure à clés publiques).
Pour plus d’infos sur les infrastructures à clés publiques (et sujets liés) : Infrastructure à clés publiques — Wikipédia
Le meilleur filtre c’est le cerveau humain. C’est si difficile de ne jamais cliquer depuis un mail ou un sms ?
Juste au dessus de la ligne « Chiffrement standard », qui effectivement est relatif au transport, il y a une ligne « signé par ». Et là, tu vois que celui qui l’a signé, c’est bien dgfip.finances.gouv.fr, et pas Google.
C’est grâce à DKIM/DMARC que c’est possible. L’enregistrement DNS de dgfip.finances.gouv.fr contient une clé publique, dans l’enregistrement pf3._domainkey.dgfip.finances.gouv.fr :
Quand les serveurs de la DGFIP envoient un mails, ils incluent dans les en-tête un champ DKIM qui contient le sélecteur à utiliser pour récupérer la clé publique dans les enregistrement DNS (la clé étant dans l’enregistrement ._domainkey.dgfip.finances.gouv.fr, dans cet exemple le sélecteur est pf3) et une signature du mail calculée avec la clé privée correspondante, et donc vérifiable avec la clé publique. En l’occurrence, il y a même une double signature, avec deux sélecteurs différents (« mel » et « pf3 », en rouge ci-dessous) :
Donc quand Gmail reçoit ce mail, il va lire les deux clés publiques dans les enregistrements DNS de dgfip.finances.gouv.fr et vérifier que les deux signatures dans le mail sont valides.
Et il y a en plus l’enregistrement SPF, là aussi dans les DNS, qui permet à Google de vérifier que le serveur dont il a reçu le mail est bien un serveur autorisé à émettre des mails dont l’expéditeur est @dgfip.finances.gouv.fr (en vert ci-dessus, le résultat de la vérification, ajouté dans les en-têtes du mail).
Dans le cas présent, l’enregistrement SPF donne deux plages d’IP et une IP qui sont habilitées à émettre des mails au nom de la DGFIP :
Donc là, ce mail, on a une triple garantie qu’il vient bien de la DGFIP :
- il est parti d’un serveur explicitement autorisé à émettre des mals @dgfip
- il est signé avec deux clés privées différentes appartenant à la DGFIP.
Pour aller avec tout ça, il y a aussi l’enregistrement DNS DMARC, qui permet de donner des instructions au serveur de destination sur ce qu’il doit faire en cas d’échec de validation d’un mail :
Ici, p=none dit au serveur de destination qu’il n’y a pas d’instruction particulière de la part de la DGFIP, c’est au serveur de destination de décider quoi faire. On pourrait avoir par exemple à la place p=reject pour lui demander explicitement de rejeter directement les mails échouant aux vérifications, sans en informer le destinataire, ou p=quarantine pour l’envoyer dans le dossier indésirables (à noter quand même que ces instructions sont indicatives, le serveur de destination n’a pas une obligation absolue de les suivre, et notamment le p=none n’empêchera pas Gmail de flaguer le mail comme indésirable).
sp=reject dit que tout mail provenant d’un sous-domaine de dgfip.finances.gouv.fr et échouant aux validations doit être rejeté.
pct=100 indique que la politique indiquée par « p= » doit être appliquée à 100% des messages échouant (donc si on avait p=quarantine et pct=50%, ça voudrait dire que la DGFIP demande que la moitié des mails échouant aux tests soient mis en spam).
Et les deux adresses mails rua/ruf, c’est des adresses mail auxquelles les serveurs recevant des mails invalides peuvent envoyer automatiquement leur rapport d’analyse, pour informer la DGFIP des tentatives d’usurpation (rua pour des rapports « statistiques », du genre « tel jour on a reçu tant de mails qui ont échoué aux tests », ruf pour des rapports détaillés, contenant une copie du mail incriminé).
4 « J'aime »
DKIM assures juste que l’email viens d’un serveur légitime pour ce domaine. Tu peux acheter finances-gouv.com pour envoyer des mails signés et berner les imprudents.
Oui, bien sûr. Après c’est une question d’information des gens : à la longue on devrait savoir que finances-gouv.com n’est pas un domaine légitime…
La première étape, c’est de regarder si le domaine de l’adresse d’expédition est légitime. Sur ce point, il n’y a à peu près que l’éducation/information des gens qui peut faire quelque chose.
Ensuite, vérifier si l’utilisation de ce domaine est légitime. Et c’est la que DKIM intervient.
1 « J'aime »
Avec le simple solution de l’éducation, tu ne te mets absolument pas au niveau des personnes qui n’en ont rien à faire de l’informatique …( et qui ne feront jamais la différence entre un gouv.fr et un gouv.com).
comme dit un proverbe anglais:" On peut emmener le cheval à l’abreuvoir, mais on ne peut pas le forcer à boire"
À minima 17% de la population ne comprennent rien, auquel il faut ajouter ceux ( très nombreux) que cela n’intéresse pas du tout, ceux pour lesquels le numérique est juste une contrainte.
C’est bien à l’état qui a voulu et mis en place la numérisation des services de mettre en place des systèmes de protection automatiques et transparents des utilisateurs.
Ca c’est vrai ! La plus grosse faille c’est bien l’humain…et jamais sanctionné !