ivg.net, « Pour vous apporter un soutien dans le cadre d’un projet d’IVG ». Ou pas?

ivg.net, « Pour vous apporter un soutien dans le cadre d’un projet d’IVG ». Ou pas?

Un très bon référencement dans Google

Lorsque l’on tape « ivg » dans le moteur de recherche, le site ivg.net apparaît en troisième position.

Spontanément, et compte tenu de ce résultat, on pourrait penser que ce site est un site officiel qui va fournir les réponses objectives et factuelles aux questionnements liés à l’interruption volontaire de grossesse. Mais en réalité, ce site est ce site est très orientés « pro-life » et comporte notamment une section « Vidéos », qui relaie des témoignages provenant de deux comptes Youtube : « ivg.net » et « sos ivg ». Dans la section « A suivre » de la vidéo « témoignages de vécu de l’ivg » (https://www.youtube.com/watch?v=wKqL2BKxsts), on retrouve en médaillon une vidéo de « Boulevard Voltaire », exactement avec la même jeune femme (https://www.youtube.com/watch?v=cjHosWvylRQ) :

Sur la chaîne de Boulevard Voltaire, la description de la vidéo mentionne que le reportage est réalisé par Charlotte d’Ornellas, journaliste travaillant entre autres pour Valeurs Actuelles (https://www.valeursactuelles.com/historique/charlotte-dornellas) et Radio Courtoisie (https://www.radiocourtoisie.fr/patrons-emissions/auteur162/). On retrouve par ailleurs Charlotte d’Ornella et des séquences de cette même vidéo de Boulevard Voltaire sur la chaîne de    « sos ivg » :

Un numéro vert très bien implanté

Tout le monde n’ayant pas obligatoirement un accès facilité à Internet, le site ivg.net a mis en place un numéro vert, que l’on retrouve à de multiples endroits d’Internet, et souvent à côté d’institutions comme le Planning Familial ou le site officiel du gouvernement. Par exemple, sur un site d’aide à l’accueil juridique des populations roms :

De manière un peu plus insolite, on retrouve même ce numéro vert (ainsi que l’adresse du site) dans le livre « Vivre le deuil Pour les Nuls » :

Le présent article n’a pas vocation à apporter une contradiction aux propos et à la ligne directrice de ivg.net. Ceci a déjà été effectué efficacement par de nombreux articles ! Nous invitons le lecteur à se référer à la revue de presse suivante non exhaustive :

De multiples noms de domaine …

Sur whoisology.com, le contact administratif de ivg.net est :

Cette forme d’email est habituellement utilisée pour anonymiser l’organisation ou la personne qui a déposé un nom de domaine considéré, ce qui entraîne souvent l’investigateur OSINT dans une impasse.whoisology.com permet cependant de pivoter sur cette adresse email anonymisée !

Via le moteur de recherche de leaks intelx.io, on trouve par ailleurs une liste supplémentaire de noms de domaine éventuellement pertinents :

mais une seule association ?

Quand on renseigne ces sites dans Maltego, on constate que la plupart d’entre eux ont « SOS Détresse » comme organisation :

Sur avortement.net, les mentions légales précisent la domiciliation du siège social de l’association en question :

Exactement à la même adresse, on trouve les locaux de l’Ecole de Tarcisius, une « Ecole primaire indépendante en Essonne – Spiritualité catholique » (https://ecoledetarcisius.wixsite.com/monsite) :

Par contre, manifestement, les dons ne sont pas à adresser à la même adresse :

Pas obligatoirement !

Lorsqu’on parcourt les pages de sos-ivg.com, sur archive.org, on trouve un numéro de téléphone :

Ce même numéro est disponible dans l’annuaire du guide des activités sportives sociales et culturelles de la ville de Rambouillet :

Sur net1901.org on s’aperçoit que l’AFEDER est domiciliée … à la même adresse que pour les dons à adresse à SOS Détresse!

«Nous ne recevons pas de subventions, affirme M.P. Il s’agit exclusivement de dons privés, on ne donne pas les noms.» (https://www.liberation.fr/france/2017/02/17/ivgnet-une-famille-en-croisade_1549261)

En creusant encore plus loin, un front commun peut être retrouvé via archive.org :

Un site à l’allure officielle, mais pas de noms. Enfin, ça dépend...

Dans la revue de presse listée en début d’article, on retrouve de multiples noms, et certaines entreprises, dont celui d’un PDG. Quand on initie le process de réinitialisation du compte Twitter de ivg.net on contacte un étrange sentiment de familiarité :

Lorsque l’on regarde l’histoire WHOIS de ivg.net, on retrouve de nouveau ce même nom :

A l’adresse de domiciliation de l’AFEDER ainsi que d’envoi des chèques de dons à SOS Détresse, on retrouve toujours la même personne :

Sur avortement.net, on relève le nom d’un auteur dans les articles du site :

Avec le même nom de famille et un prénom commençant par la même lettre, on trouve un conseiller communautaire à la ville de Rambouillet :

Ce même conseiller communautaire comporte une fiche Wikipedia, qui nous permet d’établir un lien avec qui se trouve derrière le compte Twitter de ivg. (et anciennement derrière ivg.net) :

On retrouve par ailleurs ce conseiller communautaire sur une vidéo du Centre Billings, derrière lequel se trouvent les mêmes personnes gérant ivg.net (voir le paragraphe « De multiples noms de domaine » :

Pour conclure … quelques leviers d’action

On le voit, il s’agit là d’un système très bien organisé permettant de figurer en bonne place dans le ranking de Google:

  • achat de noms de domaine ciblés
  • achat probable (bien que non démontré) de mots-clefs

Ce classement, le fait que ce site soit également cité sur celui d’organismes sociaux, est largement susceptible de brouiller le message des autorités sanitaires sur le sujet, surtout auprès de populations fragiles ou peu outillées pour analyser le positionnement de ce site internet.

Parmi les noms de domaine découverts dans le cadre de cette enquête, l’un d’entre-eux est disponible à la vente :

Le lien suivant explique comment paramétrer une redirection :

https://docs.ovh.com/fr/domains/redirection-nom-de-domaine/

(Via la même recherche, on constate que ivg-lyon.com et ivg-medicamenteuse.com sont également disponibles à la vente.)

Selon ses appétences, le lecteur ayant acheté le nom de domaine pourra paramétrer une redirection vers l’un de ces sites :

https://www.planning-familial.org/fr

https://ivg.gouv.fr/

Concernant les autres sites non encore disponibles, rien n’empêche de surveiller les dates d’expiration des noms de domaine associés :

avortement.net :        Registry Expiry Date: 2021-04-26

  • avortement.pro : Registry Expiry Date: 2022-02-14
  • ivg-infos.biz : Registry Expiry Date: 2021-02-06
  • ivg-infos.com :        Registry Expiry Date: 2021-02-07
  • ivg-infos.info : Registry Expiry Date: 2021-02-07
  • ivg-infos.net :        Registry Expiry Date: 2021-02-07
  • ivg-infos.org :        Registry Expiry Date: 2021-02-07
  • ivg.net :        Registry Expiry Date: 2022-08-27
La Corée du Nord a la fibre slave

La Corée du Nord a la fibre slave

Le Dimanche 1er Octobre 2017, un article du Washington Post rapporte la fin d’attaques informatiques menées par l’United States Cyber Command contre la Corée du Nord, dont l’accès Internet repose jusqu’alors sur l’opérateur China Unicom.

Entre le 1er et le 2 Octobre, deux chercheurs observent des variations dans le routage du trafic provenant de la Corée du Nord, avec l’apparition d’un nouvel opérateur : Transtelecom (TTK), une filiale de Russian Railways, dont l’activité repose entre autres sur l’installation de fibre le long des voies de chemin de fer.

Le pont de l’amitié

Sur le plan du tracé de son réseau, Transtelecom a semble-t’il une branche atteignant la frontière de la Corée du Nord :

Cette portion de plan peut éventuellement faire penser au Pont de l’Amitié Corée du Nord – Russie, un pont ferroviaire sur la frontière entre la Corée du Nord et la Russie. Franchissant le Tumen, il relie la ville de Khassan dans le kraï du Primorié en Russie et la ville de Tumangang située dans la zone économique spéciale de Rason en Corée du Nord.

On retrouve une trace du projet en 2006 lors de la signature d’un projet pilote pour rétablir le trafic sur la section ferrovière de 40 km Khassan-Radjin entre Vladimir Yakunin, président des chemins de fer russes et son homologue nord-coréen Kim Young Sam. Adossé au projet, le président de TransTelecom, filiale des chemins de fer russes, Sergey Lipatov, signe alors avec le Ministère des Communications un accord de coopération pour la construction et l’exploitation conjointe d’une ligne de transmission à fibre optique sur la section reconstruite du chemin de fer transcoréen. Avec les sanctions de l’ONU et les retards de chantier, il faudra plusieurs années à la société projet – RasonConTrans pour mettre en œuvre ce projet. La connexion de la Corée du Nord aux communications internet aurait eu lieu en 2007, inscrivant le pays dans une vaste infrastructure eurasienne.

Inauguration de la ligne en 2011

Un peu de vocabulaire : Autonomous System (AS)

Un Autonomous System (abrégé AS), est un ensemble de réseaux informatiques intégrés à Internet . Un AS est généralement sous le contrôle d’une entité ou organisation unique, typiquement un fournisseur d’accès à Internet. Chaque AS est identifié par un numéro de 16 bits (ou 32 depuis 2007, selon la RFC 48931) , appelé « Autonomous System Number » (ASN). Il est affecté par les organisations qui allouent les adresses IP, les Registres Internet régionaux (RIR). Les numéros d’AS (les ASN) sont utilisés par le protocole de routage Border Gateway Protocol (BGP) entre les systèmes autonomes (les AS).

Le principal AS de la Corée du Nord est AS131279, correspondant aux plages d’adresses IP suivantes :

  • 175.45.176.0/24
  • 175.45.177.0/24
  • 175.45.178.0/24
  • 175.45.179.0/24

(Pour une explication de la notion de /24, voir )

Chemins des données transitant vers et depuis AS131279

Pour transiter d’un machine locale à une machine connectée au réseau, les paquets IP sont acheminés vers la destination en passant d’un routeur à un autre. Via la commande système traceroute, il est possible de reconstituer l’intégralité de ce chemin, qui va également nous fournir les adresses IPs des équipements par lesquels le paquet de données va passer.

Cette commande peut également être lancée online, via des outils comme : https://hackertarget.com/online-traceroute/. En choisissant arbitrairement des adresses IP sur chacune des plages listées au paragraphe précédent, on constate que les paquets venant/allant de/vers 175.45.176.0/24, 175.45.178.0/24 et 175.45.179.0/24 semblent transiter via China Unicom.

Par contre, ceux venant/allant de/vers 175.45.177.0/24 semblent transiter via TransTelecom :

On pourra éventuellement postuler que dans le sous-domaine Korea-Posts-gw.transtelecom.net, le « gw » signifie gateway (en français : passerelle).

Quelques recherches sur virustracker

Le site virustracker.net est une base de données qui permet de procéder à des recherches d’infections par des botnets, en renseignant une adresse IP ou une plage d’adresses IP. Ainsi, sur 175.45.177.0/24, on trouve 1000 « Infection Records » :

Le site permet de télécharger l’intégralité des enregistrements trouvés dans un fichier au format .csv, lesquels sont horodatés. En les regardant plus en détail, on constate qu’ils commencent au 2 Juin 2015, s’interrompent au 19 Mars 2016 et reprennent le 13 Octobre 2017 pour courir jusqu’au 6 Mars 2020. Les observations faites par Dyn autour de TransTelecom sont datées au début d’Octobre 2017.


Les informations récupérées dans le cadre de cet article ne permettent pas forcément de tirer des conclusions fortes quant aux liens entre la Corée du Nord et TransTelecom. Cependant, rien n’empêche non plus de trouver interpellante la concomitance de dates entre les logs VirusTracker et l’apparition de TransTelecom comme fournisseur d’accès de la Corée du Nord. Dans un futur proche, il pourra être tout à fait pertinent de surveiller de plus belle le trafic provenant de Corée du Nord et transitant via la Russie.

Pour aller plus loin

Syrian Telecom : portail gouvernemental et attaques informatiques…

Syrian Telecom : portail gouvernemental et attaques informatiques…

Dans l’article OpenFacto du 25 mars 2020 sur le télétravail, nous présentions le principe global de fonctionnement de l’outil Shodan, qui est de nouveau au cœur du présent article. Ici, toujours sur Shodan, et grâce à la combinaison de quelques filtres de recherche, nous avons découvert que le même fournisseur d’accès Syrien héberge à la fois le portail officiel du gouvernement et des services susceptibles d’être dédiés à des attaques informatiques…
Voici comment.

Shodan : filtres de recherche et résultats

En utilisant la syntaxe suivante, Shodan nous permet de filtrer les résultats de recherche par pays :

country:codepays

Pour chaque pays, on va utiliser un code de deux lettres, dont la liste est disponible ici. Ainsi, pour la Syrie, on obtient les résultats suivants :

Shodan permet également la combinaison de filtres pour préciser un peu cette recherche par port

country:SY port:22

Le port 22 est traditionnellement utilisé par le protocole SSH, un outil qui facilite les connexions sécurisées entre deux systèmes, en autorisant la prise en main à distance. Vous comprenez donc que la requête ci-dessus permet de lister les services SSH découverts en Syrie, qui sont en nombre beaucoup moins conséquent :

En regardant de plus près les résultats de recherche ci-dessus, on constate que deux d’entre eux sont étiquetés comme « scanner » (à gauche) :

Lorsqu’une adresse IP trouvée par Shodan comporte une telle étiquette, elle est accompagnée de la mention : « This IP has been observed scanning the Internet. » Cela signifie que les services hébergés par cette adresse IP parcourent l’intégralité du web à la recherche de machines vulnérables, et ce dans le but possible de procéder à des attaques informatiques.

Exploration du sous-réseau

Les deux adresses IP trouvées ci-dessus font partie du même réseau /24, à savoir :

  • a.b.c.x
  • a.b.c.y

Dans shodan, un autre filtre de recherche permet de lister toutes les adresses IP trouvées sur un même sous-réseau :

net:a.b.c.0/24

Parmi les résultats de recherche, on trouve la machine suivante, hébergée par Syrian Telecom comme toutes les autres machines du même sous réseau /24 :

Exploration sécurisée d’URLs

Dans la capture d’écran précédente, l’icône suivante permet d’accéder directement à l’URL trouvée par Shodan, non plus via https://www.monadresse.com mais http://monadresseIP:monport :

En faisant un clic droit sur l’icône, on va sélectionner « Copier l’adresse du lien » et la renseigner dans le moteur de recherches du site urlscan.io.

urlscan.io est un scanner d’URL qui permet d’obtenir des informations sur des sites web potentiellement frauduleux, et qui fournit en sortie une capture d’écran des pages capturées. Plus précisément, dans le cas qui nous concerne, cet outil permet de parcourir des sites web à notre place, sans laisser de trace(s) d’accès ni risquer une éventuelle infection.

On constate alors que le site web trouvé par Shodan est le portail officiel du gouvernement Syrien :

Corroboration des résultats trouvés

Lorsque les administrateurs système d’équipements informatiques constatent des requêtes suspectes venant d’adresses IP, ils ont à leur disposition des moteurs de listes noires. Sur ces outils, ils peuvent à la fois renseigner le détail des requêtes suspectes reçues, et rechercher si les adresses IPs en question n’ont pas déjà été la source d’autres requêtes frauduleuses.

Ainsi, sur abuseipdb.com, on remarque que huit adresses IP sur ce range sont signalées :

Parmi celles-ci, une des deux adresses a déjà été mentionnée plus de 600 fois depuis le début de l’année 2020, et est toujours en activité :

Même chose pour la seconde adresse IP, mentionnée plus de 400 fois depuis Décembre 2019, et elle aussi, toujours en activité :

Pour l’anecdote, on notera que durant la rédaction de cet article, le compteur de ces signalements d’abus a continué à tourner!….

Pour aller plus loin

Le dernier rapport d’activité de Syrian Telecom accessible en ligne date de… 2011, conflit oblige.
Mais cet opérateur de télécommunication, très lié au régime syrien (Le chef de l’Etat en est le président…) mène depuis longtemps des activités « agressives » sur et depuis son réseau :

  • sur son territoire pour la surveillance des communications du pays (il est intimement lié à l’affaire Qosmos, par exemple entre 2009 et 2011. Lire à ce sujet les articles de Mediapart et de reflets.info)
  • A l’international, avec au moins deux détournements de trafic (BGP Hijack) identifiés en 2014 et en 2015 par exemple…

Pour autant, il convient d’être particulièrement prudent quant à l’interprétation des résultats des observations ci-dessus et de préciser que l’attribution formelle à l’opérateur des scans opérés par la machine syrienne est impossible à faire sur la base de ces quelques éléments.

En effet, la machine observée ci-dessus, par exemple, fait tourner un certain nombre de services (serveur ftp, web, etc…) qui s’ils apparaissent assez légitimes, n’en sont pas moins obsolètes dans leurs versions déployées et particulièrement sensibles aux vulnérabilités (CVE).
L’hypothèse d’une compromission de ce serveur par un ou plusieurs autres attaquants, nationaux ou internationaux, dans le but de masquer leur(s) réelle(s) origine(s), est ainsi tout à fait envisageable.

Outils

Pour réaliser ces recherches, nous utilisons les services de Shodan. L’accès à l’application est gratuite pour quelques recherches élémentaires mais payante pour des recherches plus approfondies. Les tarifs peuvent être un peu prohibitifs pour les particuliers mais sachez qu’en général, il y a toujours quelques promotions pour le Black Friday par exemple.

Il est également possible d’utiliser Censys.io ou encore l’application française Onyphe

Ajout du 5 avril 2020 : @Mbahal nous recommande également le site internet greynoise.io


Le virus du télétravail

Le virus du télétravail

Dans le décret n° 2020-260 du 16 mars 2020 portant réglementation des déplacements dans le cadre de la lutte contre la propagation du virus covid-19, il est écrit :

« Afin de prévenir la propagation du virus covid-19, est interdit jusqu’au 31 mars 2020 le déplacement de toute personne hors de son domicile à l’exception des déplacements pour les motifs suivants, dans le respect des mesures générales de prévention de la propagation du virus et en évitant tout regroupement de personnes :

1° Trajets entre le domicile et le ou les lieux d’exercice de l’activité professionnelle et déplacements professionnels insusceptibles d’être différés ; »

Dans le cas contraire d’un déplacement pouvant être différé, et ce dans l’optique de protéger la santé de toutes et tous, le télétravail est très fortement recommandé, d’autant plus quand il peut rapidement être mis en oeuvre sur le plan technique.

A travers quelques résultats de recherche issus du moteur de recherche Shodan, nous allons constater qu’en plus des préconisations sanitaires simples diffusées à la population, la mise en œuvre de gestes barrières informatiques ne représente pas un luxe.

En ces temps de crise et de vulnérabilité(s) humaine(s) et organisationnelle(s), nous avons d’autant plus besoin d’assurer la bonne marche de nos équipements informatiques.

Shodan et le balayage de ports

Le balayage de ports est une technique servant à rechercher les ports ouverts sur un serveur de réseau.

Cette technique est utilisée par les administrateurs des systèmes informatiques pour contrôler la sécurité des serveurs de leurs réseaux. La même technique est aussi utilisée par les pirates informatiques pour tenter de trouver des failles dans des systèmes informatiques. Un balayage de ports effectué sur un système tiers est généralement considéré comme une tentative d’intrusion, car un balayage de ports sert souvent à préparer une intrusion.

On peut détecter le système d’exploitation et sa version par la prise d’empreinte de la pile TCP/IP. Certains logiciels permettent également de détecter le nom du logiciel écoutant sur un port, voire sa version.

A grande échelle, Shodan réalise cette opération de balayage de ports sur tout Internet, et indexe les résultats de recherche, mis à disposition des utilisateurs. Shodan interpole également les versions de logiciels trouvées avec les bases de vulnérabilités logicielles usuelles et mondialement utilisées en sécurité informatique. Utilisé de manière orientée, Shodan est un moteur de recherche de serveurs et d’équipements informatiques vulnérables.

BlueKeep

BlueKeep (CVE-2019-0708) est une vulnérabilité de sécurité découverte dans l’implémentation du protocole Remote Desktop de Microsoft. Elle permet d’exécuter du code à distance. Son score CVSS (évaluation standardisée de la criticité des vulnérabilités selon des critères objectifs et mesurables) est maximal : 10.

Par exemple, la vidéo suivante montre ainsi comment, via une attaque en déni de service exploitant BlueKeep, il est possible d’engendrer facilement le crash d’un poste Windows 7 :

Shodan et BlueKeep

Actuellement en France, au moins 4395 postes sont toujours à priori vulnérables à BlueKeep :

Pour pouvoir procéder à des recherches dans Shodan, il est nécessaire de créer un compte utilisateur. Cependant, via le modèle de lien suivant, il est possible d’avoir tout de même accès aux données du moteur de recherche :

https://www.shodan.io/host/aaa.bbb.ccc.ddd

(aaa.bbb.ccc.ddd étant l’adresse IP d’une machine qui a été scannée par Shodan et pour laquelle les résultats de recherche ont été indexés)

Pour une machine supposément vulnérable à BlueKeep (un scan de port ne dit pas tout !), l’élément suivant va s’afficher dans la fenêtre de présentation de résultat :

Lorsque cela est possible techniquement, Shodan présente également une capture d’écran associée au port scanné :

Vraisemblablement, sur cette machine, un utilisateur s’est connecté à distance depuis une machine Dell non personnalisée (voir aussi ici ).

Recherche d’informations sur la machine vulnérable

Via une recherche inversée sur l’adresse IP trouvée par Shodan, on arrive à retrouver le nom de la société qui utilise la machine concernée :

Sur societe.com, on retrouve l’entreprise en question, ainsi que la même adresse que celle mentionnée dans le résultat de viewdns.com :

Entre les mains de personnes malveillantes, on imagine aisément les dégâts qui peuvent être provoqués par la possession de telles informations, et d’autant plus en ce moment.

Geste barrière préconisé

METTEZ A JOUR VOTRE MACHINE !

Combattonslecoronavirus.fr, vraiment ?

Combattonslecoronavirus.fr, vraiment ?

Article écrit par H

L’ avènement du coronavirus a donné lieu à un nombre croissant d’arnaques en ligne et de cyber malveillance. Dans sa page d’actualité consacrée au coronavirus, le site cybermalveillance.gouv.fr écrit :

« Vérifier la fiabilité et la réputation des sites que vous visitez, que ce soit pour vous informer ou réaliser un achat. Avant de fournir des informations personnelles ou bancaires, assurez-vous du sérieux du site sur lequel vous comptez vous inscrire ou commander en consultant les avis et en recherchant sur votre moteur de recherche d’éventuelles malversations connues.

Au moindre doute, abstenez-vous !

Avec la crise du CORONAVIRUS – COVID19 on voit fleurir de faux sites de ventes de masque chirurgical (FFP2), de gel hydroalcoolique, de téléconsultation médiale, de médicaments miracles ou de vaccins expérimentaux qui n’existent évidemment pas et qui n’ont d’autres objectifs que de vous escroquer. Les cybercriminels pourraient même vous livrer des produits périmés ou contrefaits qui mettraient en danger votre santé ou celle de vos proches. »

Par le biais d’un cas pratique, nous vous proposons de décrire un cheminement de recherches permettant de « vérifier la fiabilité et la réputation » d’une plateforme de vente en ligne. L’objectif d’un tel guide est de se doter d’un faisceau d’informations permettant de ne pas se faire escroquer, en supplément de tout ce qui peut être fourni par les réseaux sociaux et les forums de consommateurs.

Repérage

Sur un navigateur sans le moindre bloqueur de publicité activé, quel est le premier résultat proposé si l’on se met en quête de gel hydroalcoolique ?

Observer le site

La première étape consiste à bien observer le site internet pour voir son rendu général: est-ce un site bien fait? Y-a-t-il des éléments choquants?

Ici une faute d’orthographe qui ne fait vraiment pas sérieux…..On peut donc se demander s’il n’ y a pas anguille sous roche….

Généralités sur les noms de domaine

Pour commencer, il est nécessaire de rappeler les bases sur les noms de domaine. Pour trouver un site internet, tout comme trouver la maison de quelqu’un, il faut une adresse. Dans notre cas une adresse internet qui est composée de trois parties: le préfixe « www » (world wide web), un nom de domaine, lui-même composé d’une chaîne de caractères, et une extension (TLD – Top Level Domain). Dans l’exemple ci-dessous, l’extension utilisée est relative à la France : le .fr. La gestion des noms de domaine sous l’extension .fr est effectuée par l’AFNIC, l’office d’enregistrement désigné par l’État pour la gestion des extensions française: .fr, .re (Ile de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques françaises), .wf (Wallis et Futuna), .yt (Mayotte).

L’ensemble des démarches liées a un site internet (création, renouvellement, transfert, changement de titulaire ou suppression des noms de domaine) sont prises en charge par un prestataire de services (fournisseur d’accès à Internet, hébergeur, agence web, etc.) qui joue le rôle d’intermédiaire entre l’individu qui met en place un site internet et l’AFNIC.

Ces bureaux d’enregistrement permettent d’enregistrer un nom de domaine de manière anonymisée ou en mentionnant parfois une ou plusieurs des informations suivantes :

  • Nom
  • Prénom
  • Adresse email
  • Téléphone
  • Adresse Postale

Lorsqu’on déclare un nom de domaine, on vérifie d’abord si ce dernier n’a pas déjà été enregistré par une autre personne. De facto, via des moteurs de recherche spécifiques, on a alors accès aux informations sus-citées.

Des moteurs de recherche particuliers

La galaxie des moteurs de recherche de noms de domaine est touffue et hétérogène. Tous ne fournissent pas les mêmes informations, lesquelles sont souvent présentées de manières multiples. Via le méta-moteur suivant, il est possible d’avoir accès à 27 moteurs de recherche différents :

https://intelx.io/tools?tab=domain

(Attention : un onglet par moteur de recherche sera ouvert sur votre navigateur)

Extraction de la donnée intéressante

Sur Domain Dossier, il est fait mention d’une adresse email qui a été utilisée pour déclarer le nom de domaine ma-petite-pharmacie.fr :

Exploitation de l’adresse email

Pour pivoter sur l’adresse email, on peut faire une simple requête google qui donne des résultats éloquents immédiatement :

Sur Website Informer, on retrouve l’email, ma-petite-pharmacie.fr, d’autres sites web et … un nom de société !

On peut ensuite faire une recherche classique sur la société afin de trouver qui en a le controle. Via Manageo, la société en question nous renvoie sur le nom de son propriétaire :

Pivot sur le numéro de téléphone

On peut aussi chercher le numéro de téléphone qui apparaît sur le site internet pour voir s’il donne d’autres informations. On remarque vite qu’il est utilise par d’autres sites commerciaux en ligne….

Il s’agit en fait d’un numéro IP Callr destiné à faire croire que c’est un numéro terrestre marseillais

Recoupements

Le site de l’Association de Défense des Consommateurs de France a manifestement déjà procédé à quelques recherches :

Twitter n’est pas en reste non plus, et a permis de fournir un titre à cet article :

A ce stade des investigations, le faisceau d’informations récoltées est amplement suffisant pour se faire un avis quant à ma-petite-pharmacie.fr.

Pour conclure

Ce n’est pas parce qu’un site de vente en ligne apparait en tout premier dans les résultats de Google qu’il est forcément fiable.

Vous ne serez jamais le tout premier visiteur d’un nouveau site de vente en ligne, c’est mathématique. Si vous avez des doutes sur lui, il y a de fortes chances que quelqu’un en ait eu avant vous, et les ait exprimés sur les réseaux sociaux ou sur les sites d’entraide entre consommateurs.

En cas de doutes, il est simple et rapide de se faire une idée sur un site internet et de diminuer les chances d’arnaques. La peur est un des leviers de base de la manipulation. Elle ne fait pas de vous quelqu’un de faible, mais de juste humain.

Plus rapide que l’ éclair

On vous conseille aussi ce thread de @fs0c131y toujours bon pour débusquer ce type d’arnaque en ligne et qui a été mis en ligne plus vite que notre post 🙂