Rechercher

Doctolib et vaccins anti-COVID-19 : nos conseils pour éviter les phishings

Doctolib, Maiia, Keldoc… apprenez à identifier les messages frauduleux liés aux prises de rendez-vous dans un centre de vaccination anti-COVID-19.

Vaccins anti-COVID-19 : des risques cyber liés à la prise des rendez-vous sur Doctolib ?

Doctolib, la plateforme permettant la prise de rendez-vous médicaux en ligne, a annoncé le 11 janvier 2021 avoir été choisie par l’Etat français – avec Maiia et Keldoc – pour aider les internautes à trouver et réserver des créneaux au sein des centres de vaccination contre le COVID-19.  

Comme l’écrit clubic.com le 12 janvier : « Si la plateforme franco-allemande n’est pas la seule à avoir été sélectionnée, elle est celle qui, forte de ses 42 millions d’utilisateurs, pourrait constituer le principal catalyseur aux yeux des Français ». 

Des millions d’utilisateurs et donc autant de cibles potentielles ? Pour l’heure, rien ne l’indique. Pourtant, le risque zéro n’existe pas. 

Phishing ciblant les membres de Doctolib : du déjà-vu ?

L’an dernier, certains hackers se sont déjà intéressés à Doctolib. Dans une note publiée sur son site Internet le 21 juillet 2020, la plateforme explique que son équipe de sécurité « a détecté et stoppé un acte malveillant contre Doctolib, qui a permis d’accéder illégalement aux informations administratives de 6 128 rendez-vous ». 

Doctolib poursuit ainsi : « Les informations administratives concernées sont les suivantes : le nom, le prénom, le sexe, le numéro de téléphone et l’adresse e-mail du patient, ainsi que la date de rendez-vous, le nom et la spécialité du professionnel de santé concerné ».  

Il nous semble aussi important de spécifier que « cet accès illégal ne concerne pas les rendez-vous pris sur www.doctolib.fr ou sur le logiciel de gestion de cabinet de Doctolib, mais des rendez-vous pris sur certains logiciels tiers connectés à Doctolib ». 

Les données médicales très attractives pour les hackers

Le cas présenté ici est loin d’être isolé. Nous y avions consacré une étude fin 2020, les données médicales représentent un intérêt certain pour les cybercriminels car elles ont l’avantage de ne pas expirer dans le temps (contrairement aux couples « login/mot de passe » d’un compte par exemple). 

Fin 2020, le prix moyen de revente des données de santé était de 26,63$ l’unité. C’est environ dix fois plus que le prix des données de cartes de crédit volées.  

L’une des utilisations possibles des données dérobées est la création de phishings plus ciblés et donc plus convaincants. Pour rappel, contrairement à un malware où la donnée est dérobée sur un ordinateur, un phishing n’est qu’un formulaire ou un message (e-mail, SMS) incitant la victime à fournir elle-même les informations d’intérêt. 

Dans la plupart des cas, les phishings ont pour objectif de mettre le destinataire dans une position de surprise, parfois de peur, afin de l’inciter à aller vite et ne pas trop réfléchir.
Les hackers profitent alors de cette moindre attention pour faire remplir et valider des demandes factices. 

Doctolib : quelques exemples de phishings possibles

Comme pour tous types d’arnaques, les phishings peuvent être classés en de nombreuses catégories. Nous avons choisi d’illustrer notre propos à travers deux grandes typologies. 

Typologie #1 : la menace évidente ou le phishing « grossier » 

La plupart des internautes ont l’habitude du genre de message présenté ci-dessus, composé d’une présentation plus ou moins éloignée de ce que la société réelle produirait (à noter que cet exemple est tout de même mieux réalisé que les phishings francophones usuels).

Dans ce type de phishing, le design est parfois absent ou s’affiche mal, les accents manquent et des fautes de sens ou d’orthographe sont parfois repérables et doivent immédiatement inciter à la prudence.

Les phishings assez grossiers, comportant des erreurs cumulées sont souvent créés par des pirates peu expérimentés techniquement ou manquant de compétences en social engineering (manipulation), bien que cette affirmation ne soit pas véridique dans 100% des cas. En effet, certains hackers plus entraînés réalisent parfois volontairement des créations comportant des erreurs : elles leur permettent de sélectionner des victimes peu aguerries à la cybersécurité, moins méfiantes, qui seront donc des cibles faciles et profitables. En plus de récolter davantage de données, les pirates pourront ainsi étendre l’arnaque dans le temps. C’est pour cela qu’il est primordial de sensibiliser ses proches.

Typologie #2 : La menace dissimulée ou le phishing « bien réalisé »

Voici un autre exemple de phishing :

Le design du phishing ci-dessus est crédible. Il ressemble à ce que la plateforme produit et pour peu que quelqu’un ait pris rendez-vous, il pourrait même se faire prendre. Ce genre d’attaques vise une récolte massive de données en provenance d’un maximum d’internautes.

La durée de vie de ce type de phishing n’est que de quelques heures car l’interface web frauduleuse, qui imite la page du service ciblé en demandant des informations précises (login, mot de passe, date de naissance, numéros de carte bancaire, etc.) est la plupart du temps rapidement fermée ; soit par les hackers eux-mêmes, soit par une autorité l’ayant repérée.

A titre d’illustration, ci-dessous, un exemple de page de phishing. Il s’agit ici, comme très souvent, d’un simple formulaire à l’apparence du service usurpé.

Les données confidentielles renseignées par la victime sont la plupart du temps simplement envoyées par e-mail, directement aux hackers, à la validation du formulaire, comme le montre la capture d’écran ci-dessous.

Une fois les données reçues par les pirates, il est souvent difficile pour la victime de colmater la brèche. Les hackers peuvent rapidement utiliser les données, eux-mêmes ou grâce à des automates (scripts) pour effectuer des actes malveillants.

De plus – et cela est malheureusement très fréquent – un même mot de passe peut être utilisé pour se connecter à plusieurs sites, notamment la messagerie. Cette situation donne alors aux hackers un passe-droit idéal. Ils pourront accéder rapidement aux e-mails, lire les échanges, exporter les contacts, utiliser le compte et se connecter à d’autres services web via leur fonction « mot de passe oublié ».

C’est notamment pour se prémunir de ce risque qu’il est recommandé d’utiliser un mot de passe différent pour chaque service, mais aussi la double identification via le mobile lorsque c’est possible.
Ainsi, un hacker qui aura réussi à avoir connaissance d’un mot de passe sera limité dans ses méfaits car la victime pourra garder un certain contrôle, même en cas de vol du mot de passe.

Phishing et vaccins anti-COVID 19 : comment s’en prémunir ?

1. Posséder un antivirus actif et à jour

C’est un réflexe pertinent. Attention cependant à ne pas se reposer uniquement sur un antivirus car il ne peut détecter tous les phishings à leurs parutions (surtout ceux écrits en français).

2. Bien lire et interpréter le lien Internet (URL)

Avant d’être tenté de cliquer sur le lien d’un e-mail, il est possible de le visualiser en survolant le lien avec sa souris, comme le montre l’exemple ci-dessous :

Comme nous pouvons le voir, le texte affiché dans un e-mail et le lien véritable peuvent différer. C’est une possibilité offerte par le code, qui, habituellement n’est pas malveillante. Elle est utilisée pour créer les très répandus liens de type « Cliquez ici pour accéder à ».

A noter que sur un mobile ou en cas d’utilisation d’URL raccourcies, les liens frauduleux sont moins évidents à repérer. En cas de doute, il est déconseillé de cliquer sur le moindre lien.

3. Vérifier le lien, même après avoir cliqué dessus

Parfois, les internautes cliquent sur des liens malveillants. Dans ce cas, il est conseillé d’analyser l’URL dans le détail. L’exemple ci-dessous montre un réel domaine, acheté par un tiers, qui à ce jour, n’a pas été référencé pour malveillance :

Comme nous pouvons le constater ci-dessus, il est écrit « doctoilb.fr » et non « doctolib.fr ». Le « l » et le « i » ont été inversés. Dans le cas d’un domaine malveillant, ces inversions de lettres sont parfois utilisées.

Ce n’est donc pas le site de Doctolib mais c’est assez subtil pour que cela ne se remarque pas immédiatement à l’œil nu. Ne pas se rendre compte de ce genre d’inversions est tout à fait normal. Le cerveau n’a pas besoin de lire les lettres dans le bon sens pour comprendre un mot. Une compétence à l’avantage des auteurs de phishings : il est donc possible d’être berné en vérifiant le nom du site trop rapidement. Il est donc impératif de prendre son temps.

4. Se méfier des URL longues

Certains pirates écrivent des URL très longues où figure le nom du service souhaité. En voici un exemple (inventé) :

https://www.nomdedomaine.com/aybabtu/HHBBGDGDBAStart/42/doctolib.fr/index_Nom_De_Domaine_314159265358979323846264.html

A droite, est écrit « doctolib.fr ». Pourtant ce n’est pas le nom du domaine. Celui-ci se trouve en début d’URL, après « HTTP » ou « HTTPS ».

Dans la pratique, cela se présente ainsi :

5. Bien interpréter la présence d’un cadenas

Beaucoup ont acquis le réflexe de regarder à gauche du lien Internet pour repérer la présence (ou l’absence) d’un petit cadenas, sensé démontrer que la connexion est sécurisée. Une URL précédée d’un cadenas est-elle forcément légitime ? Malheureusement non.

Un cadenas indique simplement que les échanges avec le site Internet sont chiffrés. Cela veut dire qu’en cas de phishing, une victime donnera ses données au cybercriminel « en toute confidentialité ».

Il est en effet très facile pour n’importe quel pirate, même débutant, d’obtenir un certificat pour afficher ce cadenas sur sa page de phishing. Les recherches de nos confrères de PhishStats le montrent : depuis 2020, il y a plus de phishings avec cadenas que sans, et la tendance semble se confirmer en 2021 (cf. capture ci-dessous).

6. Se faire aider

Deux sites Internet permettent de signaler des cas de phishing potentiels :

Dans un contexte professionnel, il faut se rapprocher immédiatement de son service sécurité. Il est très important pour les experts d’avoir une remontée rapide car les conséquences d’un phishing pour une entreprise peuvent être très graves.

7. Quelques conseils complémentaires

  • Ne cliquez pas sur les liens des e-mails ou SMS douteux et/ou que vous n’attendiez pas.
  • Connectez-vous directement sur le site officiel du service. N’utilisez pas l’URL de l’e-mail ou du SMS.
  • Sur votre compte officiel, si rien n’apparaît, cela vous révèlera que vous avez vu juste et qu’il s’agissait probablement d’un phishing.
  • Questionnez-vous : ne pourriez-vous pas attendre quelques jours ? Les phishings disparaissent rapidement. En quelques jours, la partie malveillante aura probablement été signalée publiquement sur Internet et supprimée. Aussi, si la demande était aussi urgente qu’indiqué, le service en question, si légitime, ne manquera probablement pas de vous recontacter via ses canaux officiels.

Vaccination anti-COVID-19 : j’ai reçu un e-mail de Doctolib, que dois-je faire ?

En cas de réception d’un e-mail de Doctolib concernant la vaccination anti-COVID-19 (ou tout autre motif) :

  • Prenez un instant pour vérifier qu’il s’agit bien de la plateforme de prise de rendez-vous.
  • Ne cliquez sur aucun lien.
  • Connectez-vous à votre compte directement depuis le site officiel de Doctolib.

Voici à quoi doit ressembler le haut de votre navigateur :

Ce site est légitime car :

  • le nom du site est correct ;
  • l’URL est correcte ;
  • le certificat est valide et donne les bonnes informations relatives à la vraie entreprise (cette formule ne me semble pas forcément adaptée… relatives à l’entreprise recherchée)

Merci au Laboratoire d’Epidémiologie pour son analyse et ses conseils. Pour découvrir leurs dernières publications, cliquez ici.

Orange Cyberdefense a fermé plus de 46 000 sites de phishing en 2020. Pour en savoir plus, c’est .