Introduction
On en parlait sur LinkedIn, en tant que fournisseur de services de cybersécurité pour les PME, nous luttons au quotidien contre la menace du phishing, cette technique malveillante visant à dérober les identifiants et informations sensibles de nos clients. Malheureusement, un acteur inattendu vient régulièrement compliquer notre tâche : La Poste.
Un catalogue impressionnant de noms de domaine
Nos recherches ont mis en évidence un fait troublant : La Poste possède un impressionnant catalogue de noms de domaine, couvrant de multiples extensions (.com, .net, .info, .org, etc.). Ce tableau recense plus de 200 noms de domaine directement liés à La Poste ou à ses différentes entités (La Banque Postale, Colissimo, etc.).
Voici le tableau récapitulatif des noms de domaine enregistrés par La Poste (Merci à Nicolas Pawlak):
| .com (1) | .com (2) | .net | .info | .org |
|---|---|---|---|---|
| alaposte.com | lapostefinance.com | c-suivi.net | adesio.info | colis.org |
| ardoiz.com | lapostefrancaise.com | carrementfoot.net | alaposte.info | courrier-suivi.org |
| asset-management-lab.com | lapostefrance.com | certipost.net | alliatys.info | edipost.org |
| assetmanagement-lab.com | lapostegroupe.com | certiposte.net | annuairedelaposte.info | ediposte.org |
| assetmanagementlab.com | lapostepro.com | coliposte.net | certinomis.info | esipost.org |
| bagoo.com | lecourriersuivi.com | courrier-suivi.net | Ibpas.info | fondationlaposte.org |
| carrementfoot.com | lettre-suivie.com | courriersuivi.net | la-poste.info | illiclic.org |
| certiposte.com | lettresuivie.com | csuivi.net | labanquepostale.info | Ibpas.org |
| colis-logistique.com | monbureaudeposte.com | cyberposte.net | laposte.info | la-poste.org |
| courrier-suivi.com | optimisinternational.com | e-laposte.net | lapostefinance.info | labanquepostale.org |
| courriersuivi.com | post-address.com | easyposte.net | maileva.info | laposte.org |
| csuivi.com | poste-adresse.com | edipost.net | mediapost.info | lapostefrancaise.org |
| cyberposte.com | poste-adresses.com | ediposte.net | mkg-laposte.info | spl-labanquepostale.org |
| destineolink.com | posteadresse.com | esipost.net | notif-build-laposte.info | stampigo.org |
| digiposte.com | posteadresses.com | esiposte.net | notif-colissimo-laposte.info | |
| docapost.com | postehabitat.com | florilettres.net | notif-laposte.info | |
| docatpost.com | posteweb.com | france-poste.net | notif-lidentitenumerique-laposte.info | |
| e-laposte.com | postie-bi.com | groupelaposte.net | notif-lpfr-laposte.info | |
| elaposte.com | postie-web.com | groupelbpam.net | notif-moncompte-laposte.info | |
| edi-poste.com | presse-postel.com | hexaposte.net | poste-avenir.info | |
| ediposte.com | pret-a-suivre.com | illiclic.net | posteavenir.info | |
| easyposte.com | pretarecommander.com | immosphere.net | postentreprise.info | |
| esiposte.com | pretasuivre.com | iot-net.net | realys.info | |
| florilettre.com | spl-labanquepostale.com | la-poste.net | spl-labanquepostale.info | |
| france-poste.com | startinpost.com | labanquepostale-assurances-iard.net | tropheesdelaventeadistance.info | |
| groupelaposte.com | stampigo.com | labanquepostale.net | vehiposte.info | |
| groupelbpam.com | Suivezmoi.com | lecourriersuivi.net | ||
| hexaposte.com | tempost.com | letraindelabanquepostale.net | ||
| hexavia.com | temposte.com | lettre-suivie.net | ||
| Ibpam.com | tropheesdumediacourrier.com | lettresuivie.net | ||
| labanquepostale-assurances-iard.com | vehiposte.com | laposte.net | ||
| labanquepostale.com | veiller-sur-mes-parents.com | lapostefinance.net | ||
| la-poste.com | veillersurmesparents.com | lapostefrancaise.net | ||
| lamaisondestalents.com | viaposte.com | lapostepro.net | ||
| vigik.com | posteweb.net | |||
| webposte.com | pret-a-suivre.net | |||
| pretasuivre.net | ||||
| regliss.net | ||||
| spl-labanquepostale.net | ||||
| stampigol.net | ||||
| suivez-moi.net | ||||
| webposte.net |
Cette profusion de noms de domaine représente un véritable défi pour nous, professionnels de la cybersécurité. En effet, lorsque nous alertons nos clients sur des tentatives de phishing, nous devons sans cesse vérifier si le domaine utilisé par les pirates ne fait pas partie de ceux enregistrés par La Poste elle-même. Cela crée une complexité supplémentaire et ralentit notre processus de détection et de mise en garde.
Une complication majeure pour la sensibilisation
Cette prolifération de domaines génère une multitude de canaux par lesquels les clients peuvent recevoir des communications, rendant ainsi le travail de sensibilisation à la sécurité plus ardu. Toute l’année, nos équipes éduquent les utilisateurs sur les dangers des noms de domaine usurpés, mais lorsque La Poste multiplie les variantes de domaines, nos efforts sont contrecarrés, ajoutant des complications inutiles et potentiellement coûteuses pour nos clients.
Pourquoi cette pratique est-elle problématique ? Chaque nouveau nom de domaine représente une nouvelle opportunité pour les acteurs malveillants de créer des copies ou de simuler des communications officielles de La Poste. Ceci est particulièrement troublant lorsqu’on considère que même les utilisateurs les plus avertis peuvent avoir du mal à distinguer un email légitime d’un email de phishing quand le domaine utilisé semble plausible.
Des solutions DNS et antispam fragilisées
Cette situation complexifie également la mise en place de solutions de protection DNS et antispam au sein des PME. Nos équipes doivent constamment affiner leurs paramètres pour éviter de bloquer des domaines légitimes de La Poste, tout en restant vigilants face aux tentatives de phishing.
Une mise en danger des clients
In fine, c’est la sécurité même de nos clients qui est fragilisée. Avec ce foisonnement de noms de domaine liés à La Poste, les utilisateurs finaux peinent à faire la différence entre un site officiel et une tentative de phishing. Cela les expose à des risques accrus de perdre leurs identifiants ou de subir des dommages financiers.
Nous appelons La Poste à la responsabilité
En tant que fournisseur de services postaux et bancaires, La Poste a une responsabilité morale envers ses clients et les entreprises qui gravitent autour d’elle. Nous l’exhortons à revoir sa politique d’enregistrement de noms de domaine, afin de simplifier la lutte contre le phishing et de mieux protéger l’ensemble de son écosystème.
Des solutions existent
Pour pallier cette problématique, nous proposons trois pistes d’amélioration sur notre site web :
Ensemble, construisons une cybersécurité plus solide et pérenne pour les PME françaises.
