Enquête : comment Dofus a tenté de remonter une filière de phishing

Contacté par mail, Miroslav Bozic, un responsable de la structure d’hébergement du site de phishing installé à Vienne, en Autriche, a confirmé que l’auteur de cette tentative de phishing résidait, selon les informations en sa possession, en France. « Le site a été fermé et remplacé par une page d’erreur 404 – site introuvable », affirmait Miroslav Bozic.

Menace persistante

Sauf que le lendemain, l’auteur de cet article a reçu une nouvelle tentative de phishing : « ANKAMA : Problemes Techniques ». Cette fois-ci, le message est apparemment envoyée depuis dofus@ankamagames.fr, mais avec exactement le même texte : « Salutations! Il a été porté à notre attention que vous malheureux qui ont participé à des activités commerciales en ligne… « . Et le lien proposé renvoyait encore sur http://royalxm.bplaced.net/df/f/k/.

A nouveau contacté pour signaler cette nouvelle tentative de phishing sur le même URL, Miroslav Bozic faisait remarquer que le site qu’il hébergeait n’était qu’une cible – toujours fermée – et que le mail provenait de Grande-Bretagne, à partir d’un nom de domaine – ankamagames.fr – ressemblant étrangement à ceux déposés par Ankama (ankama-games.com et ankama.com).

L’information suscita un vif intérêt chez Ankama. « Ce cas est intéressant dans la mesure où les moyens mis en oeuvre – achat d’un nom de domaine et utilisation d’un serveur avec la complicité ou à l’insu d’une société britannique – sont bien plus importants que tout ce nous avons connu jusqu’ici », confirmait Thomas Bahon.

Longue bataille pour remonter la filière

Le responsable d’Ankama/Dofus contacta aussitôt la société qui avait enregistré le nom de domaine. Après bien des démarches, le registrar accepta de bloquer cette URL.

Ce cas de cybersquatting, sans intention de nuire (apparemment Ankamagames.fr cherchait juste à attirer les internautes vers ses publicités), ne serait pas fondamentalement illégal. Mais la société française légitime Ankama/Dofus argua du fait que le responsable de ce site Internet n’avait pas pris les mesures minimales pour empêcher son nom d’être exploité à des fins de phishing.

« Et nous allons tenter d’obtenir une injonction afin de découvrir la personne qui l’a enregistré. Malheureusement, il y a de fortes chances que les coordonnées qu’elle a laissées soient fausses », explique Thomas Bahon. « Nous avons encore un espoir auprès du prestataire de paiement de ce registrar, mais pour peu que la carte bancaire utilisée soit volée, nous pourrions rester sans réponse. »

La prévention, meilleur remède

Quinze jours plus tard, ces démarches n’ont pas encore abouti. Seule certitude : les adresses électroniques visées par ces tentatives de phishing auraient été récoltées sur le Web (dans des blogs, par exemple), et non dans des forums de discussion consacrés à Dofus ou sur des sites illicites ou pour adulte. Ceci explique sans doute en partie qu’il n’y ait pas eu de victime.

Thomas Bahon veut plutôt y voir le fruit des actions de sensibilisation qu’Ankama mène auprès des utilisateurs sur les risques de phishing. « Contre ce type d’attaque, la prévention reste encore la meilleure arme », estime-t-il.

Il souhaite cependant encore renforcer sa coopération avec les services de webmail (Yahoo!, Hotmail, Gmail…) pour que ces derniers puissent mieux authentifier auprès de leurs utilisateurs les messages en provenance du « vrai » Ankama.

Enquête : comment Dofus a tenté de remonter une filière de phishing Menace persistante