Depuis un an, un site appelé Privénotes.com s’est fait passer pour Privénote.com, un service légitime et gratuit qui propose des messages privés cryptés qui s’autodétruisent automatiquement après leur lecture. Jusqu’à récemment, je ne pouvais pas vraiment comprendre ce que Privnotes faisait, mais aujourd’hui, c’est devenu limpide : tous les messages contenant des adresses bitcoin seront automatiquement modifiés pour inclure une adresse bitcoin différente, tant que les adresses Internet de l’expéditeur et du destinataire du message ne sont pas les mêmes.
Plus tôt cette année, BreachTrace a entendu les propriétaires de Privnote.com, qui se sont plaints que quelqu’un avait mis en place un faux clone de leur site qui trompait pas mal d’utilisateurs réguliers du service.
Et il n’est pas difficile de comprendre pourquoi : Privnotes.com ressemble de manière confuse au nom et à l’apparence de la réalité, et arrive en deuxième position dans les résultats de recherche Google pour le terme « privnote ». De plus, toute personne qui tape par erreur « privnotes » dans la recherche Google peut voir en haut des résultats une annonce payante trompeuse pour « Privnote » qui mène en fait à privnotes.com.
Une recherche Google pour le terme « privnotes » fait apparaître une annonce payante trompeuse pour le site de phishing privnotes.com, qui est répertorié au-dessus du site légitime – privnote.com.
Privnote.com (le service légitime) utilise une technologie qui crypte tous les messages afin que même Privnote lui-même impossible de lire le contenu du message. Et il n’envoie ni ne reçoit de messages. La création d’un message génère simplement un lien. Lorsque ce lien est cliqué ou visité, le service avertit que le message disparaîtra pour toujours après sa lecture.
Mais selon les propriétaires de Privnote.com, le site de phishing Privnotes.com n’implémente pas entièrement le cryptage, et peut lire et/ou modifier tous les messages envoyés par les utilisateurs.
« Il est très simple de vérifier que la note dans privnoteS est envoyée non cryptée en texte brut », a expliqué Privnote.com dans un message de février 2020, répondant aux demandes de BreachTrace. « De plus, il n’applique aucun type de clé de déchiffrement lors de l’ouverture d’une note et la clé après # dans l’URL peut être remplacée par des caractères arbitraires et la note s’ouvrira toujours. »
Mais ce n’est pas la moitié. BreachTrace a appris que le site de phishing Privnotes.com utilise une sorte de script automatisé qui parcourt les messages à la recherche d’adresses bitcoin et remplace toutes les adresses bitcoin trouvées par sa propre adresse bitcoin. Le script ne modifie apparemment les messages que si la note est ouverte à partir d’une adresse Internet différente de celle qui a composé l’adresse.
Voici un exemple, en utilisant l’adresse du portefeuille bitcoin de la page Wikipedia de Bitcoin par exemple. Le message suivant a été composé sur Privnotes.com à partir d’un ordinateur avec une adresse Internet à New York, avec le message « veuillez envoyer de l’argent à bc1qar0srrr7xfkvy5l643lydnw9re59gtzzwf5mdq merci »:
Un message test composé sur privnotes.com, qui hameçonne les utilisateurs du service de messagerie cryptée légitime privnote.com. Portez une attention particulière à l’adresse bitcoin dans ce message.
Lorsque j’ai visité le lien Privnotes.com généré en cliquant sur le bouton « créer une note » sur la page ci-dessus à partir d’un autre ordinateur avec une adresse Internet en Californie, voici le résultat. Comme vous pouvez le voir, il répertorie une adresse bitcoin différente, mais avec les mêmes quatre premiers caractères.
Le message altéré. Notez que l’adresse bitcoin a été modifiée et n’est pas la même adresse que celle envoyée dans la note d’origine.
Plusieurs autres tests ont confirmé que le script de modification de bitcoin ne semble pas modifier le contenu du message si les adresses IP de l’expéditeur et du destinataire sont identiques, ou si l’on compose plusieurs notes avec la même adresse bitcoin.
Allison Nixonl’expert en sécurité qui m’a aidé pour ce test, a déclaré que le script ne semble également remplacer la première instance d’une adresse bitcoin que si elle est répétée dans un message, et que le site arrête de remplacer une adresse de portefeuille si elle est envoyée à plusieurs reprises sur plusieurs messages.
« Et à cause de la conception du site, l’expéditeur ne pourra pas voir le message car il s’autodétruit après une ouverture, et le type de personnes utilisant privnote n’est pas le type de personnes qui vont envoyer ce bitcoin portefeuille de toute autre manière à des fins de vérification », a déclaré Nixon, directeur de la recherche chez Unité 221B. « C’est une arnaque assez intelligente. »
Étant donné que Privnotes.com hameçonne les utilisateurs de bitcoins, il y a fort à parier que le faux service siphonne également d’autres données sensibles des personnes qui utilisent leur site.
« Donc, s’il y a des vidages de mots de passe dans le message, ils pourraient également le lire », a déclaré Nixon. « Au début, je pensais que c’était tout leur angle, juste pour siphonner des données. Mais le remplacement du portefeuille bitcoin est probablement beaucoup plus proche de la principale motivation pour gérer le faux site.
Même si vous n’utilisez jamais ou ne prévoyez pas d’utiliser le service de messagerie crypté légitime Privnote.com, cette arnaque est un excellent rappel de la raison pour laquelle il vaut la peine d’être extrêmement prudent lorsque vous utilisez des moteurs de recherche pour trouver des sites auxquels vous prévoyez de confier des données sensibles. Une bien meilleure approche consiste à mettre ces sites en signet et à se fier exclusivement à ceux-ci à la place.