Depuis quelques années je profite du fait que mon serveur de courrier électronique (celui de Libretic en fait) me permet d’avoir autant de sous-adresses que je souhaite dans mes adresses de courriel pour donner à mes correspondants des adresses uniques que eux seuls sont supposés connaître.

Ainsi, si mon adresse de courrier électronique est monpseudo@mondomaine.fr, lorsque Mme Michu me demande mon adresse, je lui donne, par exemple, monpseudo+mmemichu@mondomaine.fr.

Ma première satisfaction, c’est que ça fait marquer un temps d’arrêt à peu près tout le monde. Si j’avais l’ouie plus fine je suis sûr que j’entendrais les étincelles du court-circuit que provoque, quelque part dans les neurones de mes interlocuteurs, la rapide hésitation entre “mais c’est mon adresse qu’il me donne, il y a mon nom dedans” et “ah mais non c’est pourtant pas celle ci mon adresse”.

La deuxième satisfaction, c’est la grimace qu’ils font juste après, en particulier chez les commerçants, toujours prompts à distribuer des cartes de fidélité et à recueillir des adresses de courriel, quand je leur explique que s’il y a leur nom dans l’adresse que je leur donne c’est parce que cette adresse je ne la donne qu’à eux, et qu’ensuite, si je reçois un courriel de n’importe qui d’autre sur cette adresse, c’est qu’ils auront merdé quelque part à laisser fuiter mon adresse de courriel. Et d’ajouter que comme une adresse de courriel c’est une donnée personnelle, si ça arrive ils se prendront une plainte à la CNIL pour non respect du RGPD.

Et la troisième, c’est justement celle de pouvoir me plaindre, lorsque je constate que quelqu’un a merdé et fait fuiter mes données personnelles, et d’être en mesure d’affirmer d’où provient cette fuite. C’est ce qui vient de m’arriver.

Contexte et informations liées

J’ai reçu il y a quelques jours un courriel semblant provenir d’EDF, intitulé “EDF : Prise en compte de votre courrier”, me disant que mon “mode de paiement avait été modifié”.

Ce courriel est crédible. Il est bien adressé à l’adresse de courriel que je n’ai confiée qu’à EDF, il respecte (à peu près) la présentation des courriels habituels d’EDF, il contient bien mon numéro de client (flouté ici). Cependant, plusieurs éléments sont troublants :

• en premier lieu, je n’ai rien demandé et n’ai fait ni courrier, ni courriel. EDF n’avait donc rien à “prendre en compte” ;
• l’expéditeur visible de ce courrier est “votre-conseiller-edf@info-client-edf.com”. Le domaine habituel des courriels EDF est “@edf.fr” ;
• tous les liens contiennent des informations de pistage (comme flouté en bas de la copie d’écran), ce qui ne colle pas vraiment avec un courriel de notification car ce n’est pas une campagne de communication, et habituellement, ces mêmes liens pointent vers “particulier.edf.fr”, sans pistage ;
• enfin, parmi toutes les urls présentes dans le mail, et bloquées par Thunderbird, une d’elles est différente, vers le domaine “edf-smartpush.fr”. Encore un autre nom de domaine qui n’est pas “edf.fr”.

Au départ j’ai donc l’impression d’être devant une imitation bien faite d’un courriel EDF et par prudence j’ai bien ententu appelé EDF où une interlocutrice - très agréable, merci à elle - m’a confirmé que rien n’avait changé dans mes références de paiement (dommage ? 🤔).

Cependant, pour un courriel d’hameçonnage, certains éléments techniques sont plus ou moins sophistiqués et pas vraiment utiles ou nécessaires pour le bénéficiaire du supposé hameçonnage :

• le domaine de l’expéditeur, “@info-client-edf.com”, a bien signé le courriel avec DKIM, comme vérifié par Thunderbird. Certes, ce n’est pas très compliqué à mettre en oeuvre et cela peut donner de meilleures chances aux courriels d’atteindre correctement les boites des destinataires sans être classés comme indésirable, mais beaucoup de spammeurs ne se donnent pas cette peine.
• les urls avec pistage, “https://mail-smartpush.edf.fr/tracking/securedLink/EDF?data=" utilisent un nom dans la zone DNS edf.fr. Et là ça commence à devenir difficile à faire pour un usurpateur. En effet, pour tirer un bénéfice de ces liens, ce dernier doit :
  • avoir le contrôle de la machine cible, et puisque cette machine est dans la zone DNS edf.fr, elle est en principe sous contrôle d’EDF ;
  • et éventuellement avoir le contrôle de la zone DNS pour y inscrire l’entrée mail-smartpush.edf.fr et faire pointer vers une machine déjà contrôlée, mais là aussi la zone DNS est en principe gérée seulement par EDF.
• en outre, pour le supposé usurpateur, mettre en place des URLs basées sur “mail-smartpush.edf.fr” semble inutilement compliqué, surtout s’il contrôle déjà un autre nom de domaine tel que “info-client-edf.com” ou “edf-smartpush.fr”. Pourquoi se donner autant de peine ?

En résumé, s’il s’agit bien d’un faux, l’expéditeur ne peut en tirer un bénéfice qu’à au moins une des conditions suivantes :

• que je me contente de répondre par mail ; mais alors pourquoi faire si compliqué à côté ?
• qu’il contrôle la machine derrière l’adresse mail-smartpush.edf.fr, et éventuellement qu’il ait pu s’introduire dans la zone DNS edf.fr pour y créer cette entrée ; mais là aussi pourquoi s’embêter alors que n’importe quel autre domaine qui mentionne vaguement edf (comme le domaine de l’expéditeur “info-client-edf.com”) fait aussi bien l’affaire ?

Par curiosité, j’ai fait quelques vérifications (au moment de la rédaction) :

• l’url edf-smartpush.fr ne répond pas :

1
2
3
4
5

$ curl --connect-timeout 10 https://edf-smartpush.fr
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:--  0:00:10 --:--:--     0
curl: (28) Connection timeout after 10001 ms

• le domaine mail-smartpush.edf.fr est lié au domaine worldline-solutions.com, nom de domaine dont j’ai aussi retrouvé le nom dans les logs du serveur SMTP lors de la réception du courriel (worldline.com).

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22

$ dig mail-smartpush.edf.fr

; <<>> DiG 9.18.28-0ubuntu0.22.04.1-Ubuntu <<>> mail-smartpush.edf.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42473
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;mail-smartpush.edf.fr.        IN    A

;; ANSWER SECTION:
mail-smartpush.edf.fr.    3570    IN    CNAME    ssl-edf-smartpush-tracking-api.worldline-solutions.com.
ssl-edf-smartpush-tracking-api.worldline-solutions.com.    3570 IN    CNAME ssl-edf-smartpush-tracking-api.gslb2.as8677.net.
ssl-edf-smartpush-tracking-api.gslb2.as8677.net. 30 IN A 160.92.40.217

;; Query time: 56 msec
;; SERVER: 127.0.0.53#53(127.0.0.53) (UDP)
;; WHEN: Sat Sep 14 12:12:24 CEST 2024
;; MSG SIZE  rcvd: 195

• les domaines worldline.com et worldline-solutions.com semblent être liés, comme le montrent ces deux liens :
  • https://whois.domaintools.com/wordline.com
  • https://whois.domaintools.com/worldline-solutions.com
• en revanche aucune information sur ces deux domaines n’ont à priori quelque chose à voir avec EDF
• Worldline est une entreprise disposant de bureaux sur Paris - la Défense (pas très original) et semble fournir des services autour du paiement par moyen numérique
• le domaine info-client-edf.com présente peu d’informations, malgré la mention “ELECTRICITE DE FRANCE” (https://whois.domaintools.com/info-client-edf.com)
• les liens vers le nom de domaine mail-smartpush.edf.fr sont en https, et le certificat présenté (lien de la vérification : https://www.ssllabs.com/ssltest/analyze.html?d=mail-smartpush.edf.fr) par le serveur est valide pour plusieurs domaines :

1

DNS:mail-smartpush.edf.fr, DNS:sms.enedis.fr, DNS:sms.edf.fr, DNS:mail-smartpush.enedis.fr

Ce certificat est émis par Digicert. Je ne connais pas les processus de cette autorité pour l’émission d’un certificat, mais habituellement ces entreprises sont tenues de procéder à des vérifications avant d’émettre un certificat. À moins d’une négligence de la part de Digicert cela rend moins plausible l’hypothèse d’une intrusion, même si les serveurs DNS des domaines edf.fr et enedis.fr sont les mêmes (et moi qui croyais qu’il s’agissait de deux entreprises distinctes à présent…) :

1
2
3
4
5
6

;; ANSWER SECTION:
edf.fr.            2878    IN    NS    ns1.edf.fr.
edf.fr.            2878    IN    NS    ns2.edf.fr.
;; ANSWER SECTION:
enedis.fr.        2079    IN    NS    ns2.edf.fr.
enedis.fr.        2079    IN    NS    ns1.edf.fr.

Hypothèses

Bref tout ceci est curieux et me laisse imaginer quelques hypothèses qui, toutes, révèlent qu’il y a un problème :

1. le courriel est authentique

Je ne crois pas à cette hypothèse. L’absence de justification à cette notification, les noms de domaine utilisés bizarres, le tracking dans tous les liens… Les différences avec un courriel authentique d’EDF sont suffisamment nombreuses pour ne pas pouvoir décemment à la fois introduire eux-mêmes des éléments de confusion et dire ensuite qu’il faut se méfier des imitations, comme suggéré dans le cartouche de chacun de leurs courriels…

Mais s’il s’agit d’une vraie communication, alors elle révèle la transmission d’informations personnelles de la part d’EDF à un tiers sans mon consentement, ici wordline.com, qui est l’expéditeur du courriel.

2. le courriel est une tentative d’hameçonnage

Alors que je penchais au départ pour cette hypothèse, les vérifications faites m’en font douter car trop compliqué à mettre en oeuvre (ou alors pour la gloire ?).

En tout cas s’il s’agit bien d’un faux, ce courriel révèle aussi plusieurs de problèmes :

• la fuite d’informations personnelles
• la compromission de machines et/ou zone DNS contrôlées par EDF
• la négligence de Digicert

3. le courriel est envoyé (par erreur ?) par un sous-traitant d’EDF, Wordline ou hébergé par Wordline, qui a fait du 💩

C’est l’hypothèse qui me parait la plus vraisemblable. Et là aussi, ce courriel révèle plusieurs problèmes :

• l’absence d’anonymisation et la transmission des données personnelles par EDF à son sous-traitant, qui va en faire je ne sais quoi (et manifestement pas quelque chose de rassurant)
• l’absence de contrôle sur les traitements réalisés qui me vaut de recevoir des notifications alarmantes (et j’imagine que je ne suis pas le seul à en avoir reçu)

Requête RGPD

Les problèmes de données personnelles révélés par tout ceci méritent bien une petite requête RGPD.

Voici donc ci-dessous un modèle de courrier à peine modifié à partir de celui aimablement mis à disposition par Jeey (merci Jeey !) et qui a servi de base à celui que j’ai envoyé à EDF :

À l’attention du délégué aux données personnelles,

Madame, Monsieur,

Je suis l’un de vos clients, je formule la présente requête pour accéder aux données à caractère personnel me concernant afférentes à l’article 15 du Règlement Général sur la Protection des Données (RGPD).

Je pense avec inquiétude que la gestion des informations, telle que pratiquée par votre organisation, pourrait exposer mes données personnelles à des risques certains.

En effet,

[ici un rappel des faits similaire à ce qui précède dans cet article]

Considérant les faits évoqués ci-dessus, je vous prie d’enquêter sur l’état de mes données personnelles et de me tenir au courant du résultat de l’enquête que vous mènerez vis à vis de ma réclamation.

En particulier :

1. Merci de confirmer comment mes données personnelles sont traitées par votre organisation. Dans l’affirmative, merci de me transmettre les catégories de données personnelles que vous détenez sur ma personne, que ce soit dans vos fichiers ou dans vos bases de données.

   • a. Plus particulièrement, merci de me dire ce que vous savez de moi dans vos systèmes d’information, que ces informations soient contenues ou pas dans des bases de données, incluant la messagerie électronique, les documents, les fichiers audio ou tout autre média que vous employez.
   • b. Par ailleurs, merci d’aviser quant aux pays où mes données sont stockées ou à partir desquels elles sont accessibles. Si vous utilisez des services d’informatique en nuage pour stocker ou traiter mes données, merci d’inclure les pays de localisation des serveurs hébergeant mes données (y compris au cours des 12 derniers mois).
   • c. Merci de me fournir une copie exhaustive des, ou un accès aux, données personnelles me concernant que vous détenez ou que vous traitez.
   • d. Merci de me fournir la preuve de mon consentement éclairé à l’usage de ces données personnelles pour chacune des utilisations qui peuvent en être faite,

2. Merci de me fournir une liste détaillée des finalités des traitements, passés, en cours ou prévues, sur mes données personnelles.

3. Merci de me fournir une liste de tous les tiers auprès desquels vous avez partagé ou auriez pu partager mes données personnelles.

   • a. Si vous n’êtes par en mesure d’identifier avec certitude les tierces parties auprès desquelles vous avez dévoilé mes données personnelles, merci de me fournir une liste des tiers auprès desquels vous auriez pu dévoiler ces données.
   • b. En cas de transfert de mes données personnelles à des tiers, merci d’aviser comme dans 1.b quant aux pays où mes données sont stockées ou à partir desquels elles sont accédées. Si les tiers concernés utilisent des services d’informatique en nuage pour stocker ou traiter mes données, merci d’inclure les pays de localisation des serveurs hébergeant mes données (y compris au cours des 12 derniers mois). Merci d’éclairer également les fondements juridiques sur lesquels reposent ces transferts. Là où cela est déjà effectué, ou est en passe de l’être, sur les bases de protections appropriées, merci d’en fournir une copie.
   • c. De plus, je souhaite connaître les mesures de protection mises en place en lien avec les tierces parties identifiées ci-dessus.

4. Merci de préciser les durées de stockage de mes données personnelles et, dans le cas où la durée de rétention est fonction de la catégorie de données personnelles, merci de préciser la durée de rétention par catégorie.

5. Si vous collectez des données personnelles me concernant à partir d’autres sources que moi-même, merci de me fournir toutes les informations afférentes, comme stipulé dans l’article 14 du RGPD.

6. Si vos traitements prennent des décisions automatisées me concernant, incluant le profilage, que ce soit ou pas sur la base de l’article 22 du RGPD, merci de me préciser les fondements logiques de ces décisions automatisées, ainsi que la finalité d’un tel traitement.

7. Je souhaiterais savoir si, oui ou non, mes données personnelles ont été accidentellement divulguées par votre organisation dans le passé, ou suite à un incident de sécurité tel que possiblement lié aux faits relatés dans ma réclamation.

   • a. Dans l’affirmative, merci d’aviser quant aux détails de chaque situation de ce genre et, dans le cas d’incidents de la sorte, merci de me communiquer :
     • i. une description générale de ce qui s’est produit ;
     • ii. la date et l’heure de l’incident (ou l’estimation la plus approchante) ;
     • iii. la date et l’heure de découverte de l’incident ;
     • iv. l’origine de l’incident (que ce soit au sein de votre propre organisation, ou au sein d’une tierce partie auprès de laquelle vous avez transféré mes données personnelles) ;
     • v. les détails des données personnelles impactées par cet incident ;
     • vi. l’évaluation, par votre organisation, des risques impactant ma personne, suite à cet incident ;
     • vii. une description des mesures qui ont été prises ou qui seront prises pour prévenir d’autres accès non autorisés à mes données personnelles ;
     • viii. les informations de contact me permettant d’obtenir de plus amples informations et une assistance en lien avec de tels incidents ;
     • ix. des informations et des conseils sur ce que je dois entreprendre afin de me protéger de telles atteintes, y compris l’usurpation d’identité et la fraude.
   • b. Si vous n’êtes pas en mesure d’affirmer avec certitude si une telle exposition a eu lieu, et au travers de l’utilisation de techniques appropriées, merci d’aviser quant aux mesures de traitement du risque que vous avez prises, comme :
     • i. Le chiffrement de mes données personnelles ;
     • ii. Les stratégies de minimisation des données ;
     • iii. L’anonymisation ou la pseudonymisation ;
     • iv. Tout autre procédé.

8. Je voudrais connaître les politiques et les normes que vous mettez en place pour la protection de mes données personnelles, à l’instar de la norme ISO 27001 pour la sécurité de l’Information, et plus particulièrement, les pratiques suivantes :

   • a. Merci de me préciser si vous avez sauvegardé mes données personnelles sur bande, disque ou tout autre média, l’emplacement de ces sauvegardes et les mesures de sécurisation mises en place, y compris celles prises pour protéger mes données de la perte ou du vol, et si celles-ci emploient du chiffrement.
   • b. Merci d’aviser quant à votre utilisation de technologies vous permettant, avec un degré raisonnable de certitude, de savoir si, oui ou non, mes données personnelles ont été divulguées, incluant, sans être limité à, ce qui suit :
     • i. Systèmes de détection d’intrusion ;
     • ii. Technologies de filtrage des flux ;
     • iii. Technologies de gestion des identités et des accès ; iv. Audit de bases de données et/ou outils de sécurité ;
     • v. Outils d’analyse comportementale, d’analyse de logs, ou d’audits.

9. En rapport à vos collaborateurs et prestataires, merci d’aviser si :

   • a. Vous disposez d’une charte d’utilisation des moyens informatiques et des outils numériques, précisant que les échanges électroniques de vos collaborateurs avec le monde extérieur (messagerie électronique ou instantanée, Webmail, etc.) peuvent être surveillés pour détecter des fuites délibérées ou accidentelles de données à caractère personnel.
   • b. Vous avez connu des situations où des collaborateurs ou prestataires ont été licenciés, et/ou ont été inculpés pour accès non autorisé à mes données personnelles, ou bien si vous n’êtes pas en mesure de le déterminer, pour aucun de vos clients, sur les douze derniers mois.
   • c. Merci d’aviser quant aux formations et mesures de sensibilisation que vous avez entreprises afin de vous assurer que votre personnel et vos prestataires accèdent à, et traitent, mes données personnelles en conformité avec le Règlement Général sur la Protection des Données.

Je tiens à vous signaler que j’attends une réponse à ma requête sous un mois comme exigé dans l’article 12. À défaut, je me verrai contraint de saisir la Commission Nationale de l’Informatique et des Libertés.

Je vous prie d’agréer, Madame, Monsieur, l’expression de mes salutations distinguées.