Enquête : comment Dofus a tenté de remonter une filière de phishing

Ce jeu en ligne massivement multi-joueurs, édité par la société française Ankama, fait l’objet de tentatives régulières de hameçonnage.

[Les événements relatés ici ont eu lieu, il y a une quinzaine de jours. Ce délai a permis aux sociétés concernées d’effectuer sans encombre les démarches nécessaires, ndlr].

Tout a commencé par un mail suspect avec la mention « Votre compte banni !!! » reçu par l’auteur de cet article un dimanche soir en provenance de dofus@dofus.com : « Salutations ! Il a été porté à notre attention que vous malheureux qui ont participé à des activités commerciales en ligne. Dofus Entertainment prend ces violations très sérieux », pouvait-on lire.

« Dans un effort visant à protéger l’intégrité du jeu, nous sommes contraints de mener une enquête sur la question […] Conséquences pour compte: Compte suspendu définitivement […] Pour empêcher cette action d’avoir lieu, nous avons besoin que vous vous connectez « en cliquant ici » ou bien dans 20 jours votre compte sera banni merci pour empêcher cela connectez vous en cliquant ici », est-il indiqué. Alerte crédible ou arnaque ?

Bien évidemment, il s’agissait d’une tentative de phishing envoyée aux fans de Dofus, un des jeux en ligne massivement multijoueurs les plus populaires exploité par la société française Ankama : 15 millions d’inscrits dans le monde (dont 65% sur le territoire national), 1,5 million d’abonnés payants (dont 600 000 joueurs actifs, 450 000 sont français).

En cliquant sur le lien proposé, on arrivait effectivement à une page qui ressemblait en tout point au site officiel de Dofus et qui invitait à se connecter à son compte, en indiquant son nom de compte et son mot de passe.

Même graphisme, même avertissement en haut à droite : « Pour la sécurité de votre compte, ne partagez pas ces informations ! » Sauf que l’adresse stipulée dans la barre du navigateur était celle d’un site Internet hébergé en Autriche :http://royalxm.bplaced.net/df/f/k/.

Du phishing d’amateur, cela arrive une fois par semaine

« Des opérations de phishing, organisées, comme celle-ci, par des amateurs, il y en a au moins une, une fois par semaine, reconnaît Thomas Bahon, directeur des produits d’Ankama installée à Tourcoing. « Mais, heureusement, des opérations de phishing de grande envergure, nous n’en avons pas connu depuis deux ans. »

Le profil type du pirate amateur qui se livre au phishing sur Dofus ? « Un gamin de douze ans, qui veut accéder aux comptes de ses amis, pour récupérer les éléments que ces derniers ont gagnés au cours de leurs parties, afin de les transférer sur son propre compte, avant de les revendre éventuellement sur les nombreux marchés gris, gravitant autour de Dofus », poursuit Thomas Bahon.

(lire la fin de l’article page suivante)
Contacté par mail, Miroslav Bozic, un responsable de la structure d’hébergement du site de phishing installé à Vienne, en Autriche, a confirmé que l’auteur de cette tentative de phishing résidait, selon les informations en sa possession, en France. « Le site a été fermé et remplacé par une page d’erreur 404 – site introuvable », affirmait Miroslav Bozic.

Menace persistante

Sauf que le lendemain, l’auteur de cet article a reçu une nouvelle tentative de phishing : « ANKAMA : Problemes Techniques ». Cette fois-ci, le message est apparemment envoyée depuis dofus@ankamagames.fr, mais avec exactement le même texte : « Salutations! Il a été porté à notre attention que vous malheureux qui ont participé à des activités commerciales en ligne… ». Et le lien proposé renvoyait encore sur http://royalxm.bplaced.net/df/f/k/.

A nouveau contacté pour signaler cette nouvelle tentative de phishing sur le même URL, Miroslav Bozic faisait remarquer que le site qu’il hébergeait n’était qu’une cible – toujours fermée – et que le mail provenait de Grande-Bretagne, à partir d’un nom de domaine – ankamagames.fr – ressemblant étrangement à ceux déposés par Ankama (ankama-games.com et ankama.com).

L’information suscita un vif intérêt chez Ankama. « Ce cas est intéressant dans la mesure où les moyens mis en œuvre – achat d’un nom de domaine et utilisation d’un serveur avec la complicité ou à l’insu d’une société britannique – sont bien plus importants que tout ce nous avons connu jusqu’ici », confirmait Thomas Bahon.

Longue bataille pour remonter la filière

Le responsable d’Ankama/Dofus contacta aussitôt la société qui avait enregistré le nom de domaine. Après bien des démarches, le registrar accepta de bloquer cette URL.

Ce cas de cybersquatting, sans intention de nuire (apparemment Ankamagames.fr cherchait juste à attirer les internautes vers ses publicités), ne serait pas fondamentalement illégal. Mais la société française légitime Ankama/Dofus argua du fait que le responsable de ce site Internet n’avait pas pris les mesures minimales pour empêcher son nom d’être exploité à des fins de phishing.

« Et nous allons tenter d’obtenir une injonction afin de découvrir la personne qui l’a enregistré. Malheureusement, il y a de fortes chances que les coordonnées qu’elle a laissées soient fausses », explique Thomas Bahon. « Nous avons encore un espoir auprès du prestataire de paiement de ce registrar, mais pour peu que la carte bancaire utilisée soit volée, nous pourrions rester sans réponse. »

La prévention, meilleur remède

Quinze jours plus tard, ces démarches n’ont pas encore abouti. Seule certitude : les adresses électroniques visées par ces tentatives de phishing auraient été récoltées sur le Web (dans des blogs, par exemple), et non dans des forums de discussion consacrés à Dofus ou sur des sites illicites ou pour adulte. Ceci explique sans doute en partie qu’il n’y ait pas eu de victime.

Thomas Bahon veut plutôt y voir le fruit des actions de sensibilisation qu’Ankama mène auprès des utilisateurs sur les risques de phishing. « Contre ce type d’attaque, la prévention reste encore la meilleure arme », estime-t-il.

Il souhaite cependant encore renforcer sa coopération avec les services de webmail (Yahoo!, Hotmail, Gmail…) pour que ces derniers puissent mieux authentifier auprès de leurs utilisateurs les messages en provenance du « vrai » Ankama.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.