Comme nous recevons régulièrement des questions sur ce sujet de la part de nos clients, il nous semble utile de faire un point sur les tentatives de hameçonnage liées au renouvellement des noms de domaine. Nous venons d'en recevoir une qui pourrait s'avérer dangereuse car elle est bien rédigée et pourrait ainsi déjouer un destinataire trop pressé ou mal informé. Voyons ceci plus en détails.
Le message
Afin de conserver la mise en page (un point toujours important avec les messages de phishing), voici une capture d'écran du message tel qui s'affiche dans notre logiciel d'email.
Première remarque, le texte est écrit dans un français correct, avec même une salutation inclusive. La mise en page est claire et, à première vue, cela semble un message authentique. Il y a quand même une faute d'orthographe ("renouvelement" au lieu de "renouvellement") et une faute "de frappe" ("IMPORANT" au lieu de "IMPORTANT"). Dans un email "automatique", qui sera envoyé de nombreuses fois (seul le nom de domaine change), il est peu probable qu'un prestataire sérieux laisserait passer de telles erreurs.
Enfin, le saut de ligne entre "pourrait" et "être" semble aussi une erreur suspecte. Mais si on lit un peu rapidement le message ...
Voyons donc les autres détails.
Analyse du message
Comme pour tous les messages qui vous annoncent une suspension (imminente ou effective) d'un service, une action urgente à effectuer, ... vérifiez qui est l'expéditeur.
Avec un logiciel d'email (Thunderbird, Mail, Outlook,...), sur un ordinateur, il est très facile de faire cette vérification en consultant les informations au-dessus de la fenêtre contenant le texte de l'email. Dans Thunderbird, cela ressemble à ceci :
L'expéditeur, OVHCloud, est plausible mais son adresse email l'est déjà beaucoup moins ! N'étant pas client chez eux, nous ne recevons pas d'emails de chez OVH mais il est certain qu'ils ne proviendraient pas de chez "Groupe Installux".
Ce point seul suffit à identifier le message comme étant frauduleux. Ne cliquez sur aucun lien et supprimez le message.
Néanmoins, les choses ne sont pas aussi simples si vous lisez vos emails uniquement sur votre téléphone parce que, sur ces appareils, le message ressemble à ceci :
Ici, seul le nom de l'expéditeur est visible. On pourrait donc se laisser surprendre. Pour consulter les informations d'expédition, il faut cliquer sur l'icône avec les 3 petits points (en haut à droite) et sélectionner "Afficher les en-têtes". On obtient alors les données visibles sur l'image suivante, où on peut lire en premier l'adresse email de l'expéditeur. Cette donnée permet de détecter la fraude.
Le fraudeur est démasqué ! Mais le contenu du message est intéressant car il permet de se remettre quelques points importants en mémoire.
Rappels importants
Gestionnaire de l'abonnement
Le message commencent par la phrase : "Votre nom de domaine betterweb.fr est en ce moment enregistré sur OVH."
Dans notre cas, c'est faux ! Il est enregistré chez un autre prestataire mais, vous, savez-vous chez qui est enregistré votre nom de domaine ? En tant que propriétaire, il est essentiel de connaître cette information, même si vous chargez un tiers de gérer le renouvellement de l'abonnement à votre place (ce que nous faisons pour beaucoup de nos clients). En cas de défaillance de votre gestionnaire, vous devrez peut-être, à juste titre cette fois, intervenir rapidement pour ne pas interrompre le service. Encore faut-il savoir à qui s'adresser !
Pour savoir chez qui votre nom de domaine est enregistré, le plus simple est encore de faire une "recherche WHOIS". Tapez cette requête dans votre moteur de recherche préféré, il vous indiquera plusieurs sites sur lesquels vous pourrez effectuer la recherche (ou consultez les ressources dans la barre latérale).
Dans les résultats qui s'affichent, cherchez la ligne "registrar", c'est elle qui indique le nom du prestataire qui a enregistré votre nom de domaine. Ses coordonnées figurent également dans cette page.
Vous pouvez en même temps vous assurer que l'abonnement est bien valide (avec le status : ACTIVE) et connaître la prochaine date d'expiration. Dans certains cas cependant, seule la date de dernière mise à jour figure. En général, les abonnements sont pris pour 1 an mais vous devriez malgré tout vérifier la date d'expiration réelle (dans la console de gestion du nom de domaine).
Continuons à explorer le message.
Notifications et rappels
"Notre système de facturation a détecté l'expiration de ce service non renouvelé malgré les rappels que nous avons envoyés."
Effectivement, un registrar sérieux vous enverra des rappels à l'approche de l'expiration du nom de domaine. Nous ne savons pas s'ils procèdent tous de la même façon mais celui avec lequel nous travaillons depuis de nombreuses années, Gandi, envoie une notification 60, 30, 15, 7, 3 et 1 jours avant l'échéance. Normalement, vous ne devriez pas rater la date ! Dans le cas présent évidemment, aucun rappel n'a été envoyé avant le message "final".
Expiration du nom de domaine
"Votre nom de domaine a été donc suspendu."
De fait, passé la date d'expiration, tous les services associés au nom de domaine sont désactivés. En clair, ça signifie que votre site n'est plus accessible et qu'il n'est plus possible d'envoyer ou recevoir des emails. Le premier point peut être lourd de conséquences si vous dépendez de votre site pour vos affaires (boutique en ligne, services à la clientèle, ...), en termes de manque à gagner et d'image de marque, tandis que le second point peut se révéler problématique si vous avez oublié le mot de passe de connexion à la console de gestion et que l'email de réinitialisation est envoyé sur une boîte aux lettres appartenant au domaine bloqué ! Il est donc prudent d'avoir comme adresse email du contact "Propriétaire" un compte qui se trouve dans un autre domaine que celui dont il est le propriétaire. Mais il doit bien entendu s'agir d'une adresse active, sécurisée correctement et consultée régulièrement.
Renouvellement du nom de domaine
"Pour le réactiver, il vous suffit d'accéder à notre site et d'utiliser la commande de renouvelement :"
A part la faute d'orthographe, ce qui doit ici éveiller les soupçons c'est l'action qui découle de la phrase plus haut : le clic sur le bouton "Renouvelez-le dès maintenant". C'est ici que se trouve le piège.
Dans un logiciel de mail, le fait de survoler (ne cliquez pas !) le bouton fait apparaître la destination du lien. Dans le cas présent, le lien en question est "https :// ovhcom.page.link / FR" (les espaces sont ajoutés pour "désactiver" le lien dans cet article). Il faut être vigilant : au premier abord, on pourrait croire qu'il s'agit bien d'un lien vers la société OVH mais en réalité il s'agit d'une adresse dans un sous-domaine ("ovhcom") du site "page.link" (l'extension .link est une des très nombreuses extensions qui ont été ajoutées ces dernières années aux extensions "historiques" et régionales). On est donc bien sur un site qui n'a rien à voir avec OVH.
Déblocage du nom de domaine
"En cas de non règlement dans un délai de 5 jours, votre domaine pourrait être définitivement supprimé."
Pour les distraits qui auraient raté la date d'échéance, tout n'est pas perdu : en tant que propriétaire du site, vous avez droit à une "période de grâce" pendant laquelle vous êtes prioritaire pour la réactivation de l'abonnement. Attention, cette période peut dépendre de plusieurs facteurs (registrar, type d'extension, ...) mais vous pouvez compter sur environ 30 jours pour "sauver" votre nom de domaine. N'oubliez pas cependant que tant que votre paiement n'a pas été enregistré, le site et les emails ne fonctionneront plus !
Passé cette période, le nom de domaine se retrouve en vente libre et n'importe qui peut le racheter. S'il est racheté, il sera difficile, coûteux voire impossible de le récupérer.
Enfin, notez aussi que le montant de la "restauration" du nom de domaine peut s'avérer (beaucoup) plus élevé que le renouvellement dans les délais. Une raison de plus de ne pas laisser passer la date.
Conclusion
Les fausses demandes de renouvellement de nom de domaine sont une arnaque courante mais en respectant les conseils ci-dessus vous devriez pouvoir les éviter très facilement. Si vous avez d'autres questions sur ce sujet, n'hésitez pas à nous contacter.
Recherche WHOIS : whois.gandi.net/fr
