Thomas Biet pour France Bleu Breizh Izel relate une réunion de prévention des actes de malveillance.

• « Dans le cadre d'une contravention par exemple, votre n° d'immatriculation et la marque du véhicule doivent apparaître systématiquement. »

En effet. Problème: ces infos peuvent déjà être dans la nature. Mais… comment ?

Et bien les faits datent de fin février 2022, souvenez-vous des vagues de SMS pour des arnaques CPF qui déferlaient sur les mobiles de France. L'une de ces campagnes utilisait le service Typeforme avec des formulaires pré-remplis et surtout avec les données personnelles des destinataires des SMS. ( exemple: [ https://www.signal-arnaques.com/scam/view/467175 ] )

La longueur des SMS étant limitée, les opérateurs de cette campagne ont utilisés des noms de domaines courts et leur propre mécanisme de raccourcisseur de liens. Alors plusieurs requêtes plus tard, une cartographie plus fine s'est dessinée. L'échantillon collecté était de 200000 redirections, assez suffisant pour dégager des schémas concernant la création de ces formulaires. Voici un exemple de ces redirections avec des données fictives (clin d’œil à Nico, les dinosaures de la sécu comprendront…)

https://contact788081.typeform.com/to/A5kntLNc?utm_source=eco020322-38k&nom=Chirac&prenom=Jacques&civilite=Mr&email=mangezdespommes@bernadette.fr&phone=33642928100&zipcode=75&marque=CITROEN&type=CX&plaque=19-FLX-75

Le formulaire habillé avec les données personnelles avait belle allure, dans un français sans faute, c'était plutôt convaincant. La cible ayant reçu le SMS devait songer être en confiance à la vue de ses données. Alors, comment connaissaient t'ils ces infos ? Et bien figurez-vous que le nom de domaine acheté chez GANDI appartenait a une société installée à l'étranger et dirigée par des français qui se sont spécialisés dans le commerce de « contacts qualifiés ». Un employé, appelons le « Dan », s'était chargé du déploiement des infrastructures mais aussi du code en charge d'aller faire le moissonnage, c'est à dire de l'extraction des données de sites web. Enfin, il a effectué des croisements de données afin d'obtenir un bon ciblage.

Aujourd'hui, ces redirections telles que S56w2l5O, r9kvBxyQ, Uj1oixV7, rAbgDpth, q22SW9qH,…) redirigent vers un site (désormais hors-ligne) en lien avec des ? Des formations CPF : quel hasard. Quant à A5kntLNc la redirection avec les plaques automobiles redirige sur une entreprise créée le 9 mars 2020 qui n'est autre qu'une entité liée à la société de prospection. Chut, chut pas de noms. Et le RGPD dans tout ça ? Allez donc savoir, 3615 CNIL. La leçon à retenir ici c'est que nous ignorons tous quelles données personnelles sont déjà en possession alors ne vous fiez pas à ce critère d'évaluation.

// EOF ¯\_(ツ)_/¯