Team AAZ - Forum

ZATAZ découvre un courriel imitant le ministère du Travail détourne l’identité visuelle de l’État pour pousser l’internaute à révéler ses identifiants FranceConnect, via un lien logé sur Google Sites.

Un message revendiquant une origine administrative, une promesse de document urgent et un bouton bleu imitant le style de Service-public.fr suffisent à déclencher un réflexe de confiance. L’attaque détectée exploite cette mécanique psychologique simple. Derrière une mise en scène soignée, les cybercriminels redirigent la victime vers une page hébergée sur Google Sites, plate-forme que l’administration française n’utilise jamais. Le piège vise à subtiliser identifiants de messagerie, accès FranceConnect ou données personnelles, avant une éventuelle fraude administrative ou une revente. Ce schéma, répandu depuis 2022, repose sur des kits prêts à l’emploi circulant sur les forums criminels.

Une campagne qui imite l’administration

La manœuvre commence par un courriel prétendant provenir du ministère du Travail et des Solidarités. Le message annonce qu’un document administratif serait disponible dans un espace sécurisé du service public. La formulation évoque les notifications classiques envoyées par les administrations françaises, même si le contenu exact reste volontairement vague. Le faux message inclut un bouton bleu massif, présenté comme l’unique accès vers ce supposé document. L’ensemble reprend le graphisme officiel, notamment le bandeau bleu, blanc, rouge et le logo de la République. Cette imitation suffit à installer un climat de légitimité. Pourtant, l’adresse réelle du lien oriente vers un domaine Google, en contradiction totale avec les pratiques de l’État, qui n’utilise que des sites se terminant en gouv.fr ou relevant de plateformes institutionnelles comme ameli.fr, service-public.fr ou impots.gouv.fr. La présence d’un hébergement Google Sites constitue un marqueur clair d’usurpation.

L’analyse de la redirection montre que le lien n’est qu’une porte d’entrée. Le parcours typique bascule d’abord vers la page Google Sites, puis exploite un mécanisme d’open redirect proposé par Google, avant de finir sur un raccourcisseur d’URL, puis enfin sur le domaine final, généralement une copie frauduleuse de FranceConnect ou d’une interface de messagerie. Ce montage permet de brouiller la piste et d’inspirer confiance, car le premier domaine affiché appartient à un acteur légitime. L’utilisateur pressé se concentre sur le logo officiel et le chemin apparent, sans vérifier la véritable racine du site.

Les vagues de phishing exploitant cette mécanique ne datent pas d’hier. Les premières ont circulé dès 2019, mais leur fréquence a décollé fin 2022 avec la généralisation des outils no-code. Google Sites, Wix ou Notion ont facilité la création de pages crédibles, copiant trait pour trait l’identité graphique des administrations françaises. Les cybercriminels n’ont plus besoin de compétences techniques poussées : des kits prêts à l’emploi circulent sur Telegram ou sur des forums spécialisés, autorisant la reproduction rapide de modèles très convaincants.
Les outils employés par les attaquants

L’examen du contenu, du style visuel et de la chaîne de redirection permet de relier cette campagne à plusieurs familles de kits déjà identifiés. Le plus probable selon le Service de Veille ZATAZ (qui est aussi capable de répérer des phishing et leurs kits associés pour les entreprises) est le ServicePublic ou France-Services Spoof Kit, largement diffusé depuis 2022. Il reproduit fidèlement les couleurs, les polices et le bouton “message sécurisé” utilisés sur le portail officiel. Sa présence est cohérente avec la charte graphique observée dans l’exemple détecté, notamment le bouton bleu plein, très caractéristique de l’interface de Service-public.fr des années 2022-2024. Ce kit vise avant tout l’acquisition d’identifiants de messagerie ou d’accès administratifs. Son efficacité repose sur un faux sentiment de normalité, le message se présentant comme une notification courante liée à une démarche en ligne.

D’autres éléments orientent vers l’usage d’un FranceConnect Capture Kit de seconde ou troisième génération. Ces versions imitent la page de connexion de manière à récupérer non seulement l’identifiant, mais aussi le mot de passe et, parfois, un code d’authentification multifacteur. Ces kits ont circulé massivement depuis 2023 et s’intègrent facilement dans un hébergement Google. La combinaison d’une entrée Google Sites et d’un formulaire final imitant FranceConnect est un schéma devenu banal, car il profite de la confiance accordée aux marques « Google » et « administration française » pour créer une continuité crédible.

Une autre piste, fréquente dans les campagnes francophones, est l’usage du gabarit Google-Site Relay Phishing. Il s’agit d’un modèle prédéfini conçu pour contourner la méfiance en utilisant la réputation de Google comme intermédiaire. L’attaquant place la page piégée sur un site Google, puis s’appuie sur l’open redirect de la firme américaine pour renvoyer vers une passerelle de raccourcissement d’URL avant de mener la victime au véritable piège. Le procédé donne l’illusion d’un environnement contrôlé, alors qu’il permet de masquer plusieurs sauts successifs, chacun pouvant héberger une étape différente du piège.

Certaines variantes ressemblent également au Secure-Message Doc Admin Kit, un modèle générique réutilisé pour de fausses notifications provenant de l’assurance maladie, du fisc, de la CAF ou de l’administration générale. Le texte « un document important vous a été adressé » est typique de ce kit, qui joue sur un réflexe de consultation immédiate. L’attaquant cherche avant tout à instaurer un automatisme, celui qui pousse l’utilisateur à cliquer sans se poser de questions, comme il le ferait pour un véritable message administratif. Ce comportement est précisément ce que ces kits exploitent, car ils visent une population familière des démarches en ligne, attentive mais peu méfiante.

L’intérêt particulier de l’exemple analysé réside dans la combinaison de trois éléments : un bouton bleu identique à celui de Service-public.fr, un message standardisé évoquant une communication ministérielle, et un hébergement Google Sites. Cette triple association est devenue très fréquente depuis fin 2023. Elle offre un seuil de crédibilité suffisant tout en permettant une mise en place rapide. Les cybercriminels n’ont besoin que de quelques minutes pour déployer un nouveau site frauduleux, remplacer un logo, changer un texte et relancer une vague de courriels.

Les URL observées dans cette campagne illustrent le rôle central de la redirection. Un premier lien mène vers une page Google Sites, puis bascule vers un lien Google encapsulé, qui redirige vers u.to, un raccourcisseur fréquemment utilisé dans les campagnes francophones. Le domaine final, non identifié dans cet exemple, est généralement une page conçue pour collecter les identifiants ou effectuer une imitation de FranceConnect. Cette chaîne en plusieurs étapes répond à un objectif simple : étirer la confiance en multipliant les apparences légitimes. Plus les sauts passent par des services reconnus, moins l’utilisateur prête attention à l’adresse réelle du site.

Les mécanismes psychologiques exploités

L’efficacité de cette opération repose moins sur une menace explicite que sur un réflexe de routine. Contrairement aux escroqueries jouant sur la peur ou l’urgence, ce type de phishing se fonde sur la confiance passive. Les personnes habituées aux démarches administratives en ligne reçoivent régulièrement des notifications concernant des documents, des attestations, des messages internes. L’attaquant reproduit ce contexte familier pour déclencher une réaction mécanique. La présentation sobre, le ton neutre et l’absence de pression renforcent cette perception de normalité. L’utilisateur croit recevoir une information banale, ce qui l’amène à cliquer sans analyse approfondie de l’adresse réelle.

Ce principe explique pourquoi ces campagnes touchent souvent des profils prudents mais non méfiants. L’internaute vérifie sommairement le message, identifie des éléments graphiques cohérents avec ceux de l’administration, puis agit par automatisme. Le cerveau privilégie la continuité entre les expériences passées et la situation présente. L’escroc tire profit de ce biais cognitif pour insérer la fraude dans une activité quotidienne, comme la consultation d’une messagerie ou d’un espace personnel administratif. La simplicité du message devient un atout, puisqu’elle imite parfaitement les communications officielles courantes.

L’autre facteur déterminant réside dans l’usage d’un hébergement Google. Une partie des victimes estime qu’un lien commençant par le domaine de cette entreprise inspire une fiabilité minimale. Cette impression découle de la réputation mondiale de la société, vue comme un acteur capable de filtrer les contenus malveillants. La réalité est différente : Google autorise la création de sites publics, et les cybercriminels exploitent cette ouverture pour dissimuler leurs pages frauduleuses. L’open redirect renforce cette tromperie, car l’adresse affichée par le navigateur semble toujours liée au même environnement. L’utilisateur ne soupçonne pas qu’il transite en réalité entre plusieurs sites appartenant à des acteurs distincts.

Risques liés au vol d’identifiants administratifs

Une fois les identifiants collectés, l’attaquant peut engager différentes actions. La première consiste à accéder à la messagerie de la victime afin de sonder les comptes associés et d’observer les échanges. Cette intrusion facilite l’usurpation d’identité, car le pirate peut ensuite demander des codes de réinitialisation, consulter des factures ou récupérer des informations sensibles. Dans les cas où le piège imite FranceConnect, les conséquences sont potentiellement plus lourdes. Cet accès permet de se connecter à plusieurs services publics interconnectés, ce qui ouvre la voie à des démarches frauduleuses.

Certaines opérations visent la récupération de données personnelles, comme l’état civil, l’adresse ou les numéros de dossier. Ces informations peuvent ensuite être revendues sur des forums spécialisés ou utilisées pour créer des comptes fictifs. La fraude administrative constitue un autre risque : un pirate peut tenter de modifier un dossier en ligne, déclarer un changement de situation ou soumettre une demande en utilisant l’identité d’un tiers. L’objectif peut être financier ou logistique, selon la nature des services accessibles. L’attaquant peut également exploiter ces données pour contourner l’authentification d’autres comptes lorsque les mots de passe sont réutilisés.

Les conséquences ne se limitent pas à la victime. Lorsqu’un pirate obtient le contrôle d’une messagerie, il peut l’employer pour diffuser de nouvelles campagnes de phishing. Le compte compromis sert alors de relais, ce qui augmente la crédibilité des messages envoyés à ses contacts. Cette propagation s’appuie sur la confiance existant entre les correspondants. Certains escrocs utilisent aussi les boîtes compromises pour envoyer des pièces jointes malveillantes ou collecter des documents administratifs, qu’ils exploitent ensuite pour renforcer de futures fraudes.

Prévenir l’exploitation et reconnaître les signaux faibles

La détection de ce type d’attaque repose avant tout sur l’examen de l’adresse réelle du lien. Aucun service public français ne diffuse de documents via une page hébergée sur une plate-forme externe, encore moins sur un domaine Google. L’administration utilise exclusivement des adresses vérifiables se terminant en gouv.fr ou appartenant à des portails institutionnels comme ceux de l’assurance maladie, des impôts ou de l’administration numérique. L’apparition d’un domaine qui s’écarte de cette norme constitue un indicateur immédiat d’usurpation. Ce contraste suffit à classer le message comme frauduleux, même si les éléments visuels paraissent parfaitement reproduits.

Une autre méthode de prévention consiste à contourner systématiquement les liens présents dans un courriel. L’utilisateur peut taper lui-même l’adresse du site officiel dans son navigateur, puis consulter son espace personnel pour vérifier la présence d’un éventuel document. Cette démarche empêche toute redirection vers un site piégé. Les acteurs institutionnels encouragent ce comportement, car il élimine le risque d’erreur lié à l’apparence du message. Le principe reste valable pour toutes les démarches administratives en ligne : l’accès direct protège mieux que la vérification tardive.

L’analyse du texte et de la structure du message permet également d’identifier les anomalies. Les formulations vagues, les annonces peu détaillées ou les incitations à cliquer via un bouton unique sont des signes fréquents. Les services officiels n’emploient jamais de raccourcisseurs d’URL et n’utilisent pas des adresses renvoyant vers plusieurs redirections successives. La présence d’un enchaînement comme Google Sites, open redirect et lien raccourci révèle une tentative de dissimulation. Même si la chaîne paraît technique, certains navigateurs et outils de sécurité peuvent la rendre visible avant le chargement final de la page.

Ce type de campagne démontre à quel point les cybercriminels adaptent leurs méthodes aux habitudes des usagers. En imitant les codes de communication de l’administration, ils simplifient leur approche et contournent la vigilance ordinaire. Leur objectif n’est pas de provoquer une réaction émotionnelle forte mais de s’insérer dans la routine numérique quotidienne. L’économie de moyens, la reproduction fidèle des interfaces et l’utilisation de plates-formes tierces comme Google traduisent une évolution continue du phishing. Les attaquants privilégient l’efficacité discrète plutôt que la sophistication technique.

La multiplication de ces kits dans les forums criminels renforce cette tendance. Les modèles prêts à l’emploi éliminent la barrière technique qui limitait autrefois les campagnes d’usurpation administrative. Les fraudeurs profitent désormais d’outils configurables, permettant de changer rapidement un logo, un texte ou un domaine. Le faible coût et la rapidité de déploiement encouragent les attaques en série. La vigilance repose donc davantage sur la vérification individuelle que sur l’analyse des éléments graphiques, car ceux-ci sont désormais facilement reproductibles.

En 2025, le Service de Veille de ZATAZ a pu repérer pas moins de 2 463 nouveaux kits d’hameçonnages, 77 visaient des entreprises françaises.

merci à ZATAZ