Tahiti, le 5 novembre 2024 - Tahiti Infos s’est procuré un échange prouvant qu’avant juin 2023, les adresses en .pf auraient pu être les cibles potentielles d’une attaque majeure si une faille avait été exploitée. Cette faille concernait aussi bien les noms de domaines que les adresses mails.
Une faille informatique sur les noms de domaines et les adresses mails en .pf a été décelée en juin 2023. C’est une société, “dans le cadre d’un audit de sécurité” en son sein, qui a informé Onati par courrier électronique qu’“une vulnérabilité” “semble particulièrement critique sur la plateforme eservices.mana.pf”.
Cette découverte, non issue d’une tentative de piratage donc, mettait alors le doigt sur ce que le courrier nomme comme permettant “le vol de compte et donc le vol d’un nom de domaine en .pf”.
À notre connaissance, au moment de la dénonciation, toutes les personnes ou entreprises ayant un compte client chez Onati étaient alors vulnérables.
Sans rentrer dans les détails techniques permettant d’accéder à ces comptes, une personne mal attentionnée, et avec des connaissances techniques suffisantes en informatique, pouvait alors calquer les adresses mails et les noms de domaines en .pf pour constituer un autre site avec ces mêmes adresses et rediriger, soit les mails, soit les internautes qui souhaitaient se connecter à un site du Fenua. L’audit était alors clair sur le sujet : “Le vol de nom de domaine peut entraîner des conséquences graves. L’acteur malveillant peut perturber l'accès au site web ou le remplacer entièrement, compromettre les communications par e-mails, permettre aux acteurs malveillants de mener des activités frauduleuses, ce qui peut entraîner des pertes financières importantes en raison du trafic perdu et des coûts potentiels associés à la récupération du domaine.”
Un exemple, EDT a son site hébergé en .pf. Sur ce site, un onglet vous redirige sur une plateforme de paiement en ligne pour payer vos factures. Avec la faille dénoncée, les clients EDT auraient très bien pu se retrouver sur une autre page que celle d’EDT, copiée à l’identique, et comportant le même onglet de paiement, et procéder à leur paiement de facture sur un compte offshore sans que qui que ce soit ne le remarque… Jusqu’à ce que le client reçoive une lettre de relance pour le paiement de sa facture par EDT, le vrai site cette fois.
Autre exemple, toute l’administration du Pays, qui possède une adresse mail en .pf, du simple agent jusqu’au président du Pays, aurait pu voir ses adresses mail clonées. Toutes les correspondances étaient alors potentiellement redirigeables sur une autre adresse identique, sans que le propriétaire de l’adresse initiale ne le sache.
Une faille informatique sur les noms de domaines et les adresses mails en .pf a été décelée en juin 2023. C’est une société, “dans le cadre d’un audit de sécurité” en son sein, qui a informé Onati par courrier électronique qu’“une vulnérabilité” “semble particulièrement critique sur la plateforme eservices.mana.pf”.
Cette découverte, non issue d’une tentative de piratage donc, mettait alors le doigt sur ce que le courrier nomme comme permettant “le vol de compte et donc le vol d’un nom de domaine en .pf”.
À notre connaissance, au moment de la dénonciation, toutes les personnes ou entreprises ayant un compte client chez Onati étaient alors vulnérables.
Sans rentrer dans les détails techniques permettant d’accéder à ces comptes, une personne mal attentionnée, et avec des connaissances techniques suffisantes en informatique, pouvait alors calquer les adresses mails et les noms de domaines en .pf pour constituer un autre site avec ces mêmes adresses et rediriger, soit les mails, soit les internautes qui souhaitaient se connecter à un site du Fenua. L’audit était alors clair sur le sujet : “Le vol de nom de domaine peut entraîner des conséquences graves. L’acteur malveillant peut perturber l'accès au site web ou le remplacer entièrement, compromettre les communications par e-mails, permettre aux acteurs malveillants de mener des activités frauduleuses, ce qui peut entraîner des pertes financières importantes en raison du trafic perdu et des coûts potentiels associés à la récupération du domaine.”
Un exemple, EDT a son site hébergé en .pf. Sur ce site, un onglet vous redirige sur une plateforme de paiement en ligne pour payer vos factures. Avec la faille dénoncée, les clients EDT auraient très bien pu se retrouver sur une autre page que celle d’EDT, copiée à l’identique, et comportant le même onglet de paiement, et procéder à leur paiement de facture sur un compte offshore sans que qui que ce soit ne le remarque… Jusqu’à ce que le client reçoive une lettre de relance pour le paiement de sa facture par EDT, le vrai site cette fois.
Autre exemple, toute l’administration du Pays, qui possède une adresse mail en .pf, du simple agent jusqu’au président du Pays, aurait pu voir ses adresses mail clonées. Toutes les correspondances étaient alors potentiellement redirigeables sur une autre adresse identique, sans que le propriétaire de l’adresse initiale ne le sache.
Usurpation, fishing
Le pirate pouvait aussi tout simplement fermer les sites et les mails, les modifier, ou tout simplement les fermer, sans que la victime puisse reprendre la main sur son compte par elle-même, l’obligeant à contacter Onati pour débloquer la situation.
Le lanceur d’alerte prévenait alors Onati dans son courrier. “Pour résumer, ces vulnérabilités permettent de modifier les zones DNS, de faire de l’usurpation d’identité et du phishing, de rediriger tout le trafic e-mail vers un serveur tiers, de rediriger tous les utilisateurs sur un faux site, de récupérer des données confidentielles (adresses mails, dates de naissance, numéro de comptes et de cartes).”
Quelques jours après le signalement de la faille, Onati réunissait ses techniciens en “réunion de crise”. Deux jours plus tard, des modifications étaient apportées pour corriger ces vulnérabilités (des patches en langage informatique), assurant qu’une nouvelle version de l’application chargée de générer les noms de domaines en .pf allait être développée offrant une sécurisation plus étendue, non sans demander au lanceur d’alerte par quel biais il avait été capable de déceler la faille.
Le lanceur d’alerte prévenait alors Onati dans son courrier. “Pour résumer, ces vulnérabilités permettent de modifier les zones DNS, de faire de l’usurpation d’identité et du phishing, de rediriger tout le trafic e-mail vers un serveur tiers, de rediriger tous les utilisateurs sur un faux site, de récupérer des données confidentielles (adresses mails, dates de naissance, numéro de comptes et de cartes).”
Quelques jours après le signalement de la faille, Onati réunissait ses techniciens en “réunion de crise”. Deux jours plus tard, des modifications étaient apportées pour corriger ces vulnérabilités (des patches en langage informatique), assurant qu’une nouvelle version de l’application chargée de générer les noms de domaines en .pf allait être développée offrant une sécurisation plus étendue, non sans demander au lanceur d’alerte par quel biais il avait été capable de déceler la faille.
Des fraudes en hausse
Lors du forum de la cybersécurité qui s’est déroulé en février dernier, le haut-commissaire, Éric Spitz, a rappelé quelques chiffres. Onze événements de sécurité cyber affectant les territoires d’outre-mer sont traités chaque mois par l’Agence nationale de la sécurité des systèmes d'information (Anssi), soit une augmentation de 82% entre 2022 et 2023. En matière de délinquance, en Polynésie française, 407 infractions liées au cyber ont été relevées en 2023 : 60% d’escroqueries, 30% d’atteintes à la dignité des personnes par voie informatique et 10% d’accès frauduleux aux réseaux informatiques. 
