Arnaque Vinci : de nombreux moyens pour brouiller les pistes

Les auteurs de l’arnaque dont Vinci a été la cible ce mardi 22 novembre ne manquent décidément pas de ressources pour brouiller les pistes. Pour leur premier e-mail et le faux site Web copiant celui de groupe, ils ont utilisé le domaine vinci.group, enregistré auprès de Gandi le 7 novembre dernier, soi-disant par un néerlandais. Les informations fournies pour cela pourraient bien être fausses ; le numéro de téléphone indiqué correspond à la ligne directe d’un employé de mairie.

Pour leur faux démenti, ils ont construit une adresse e-mail dépendant du domaine vinci-group.com, déposé chez OVH fin mai dernier. Mais cette fois-ci, par une personne bien réelle : Matthias Barbier, également titulaire de vincigroupe.com au milieu de nombreux autres noms de domaine.

A la suite d’une analyse technique réalisée sur la base du faux communiqué de presse et du faux démenti reçus par LeMagIT, les équipes de Trend Micro ont établi la liste de ces domaines et estimé « peu probable » que Matthias Barbier soit « directement l’émetteur des courriels frauduleux ». Jusqu’à se demander s’il n’aurait pas des « moyens d’identification plus précis quant à l’enregistrement de vinci-group.com et vincigroupe.com ».

Mais non. C’est une personne manifestement surprise que nous avons eu au téléphone en appelant Matthias Barbier. Surprise de l’arnaque ayant visé Vinci, qu’il a apparemment découverte avec cet appel, mais également du fait qu’un e-mail ait été prétendument expédié d’une adresse @vinci-group.com. Car, comme il le souligne lui-même, aucun serveur de messagerie n’est déployé pour ce domaine – il n’y a d’ailleurs pas de champ MX associé à lui dans les enregistrements DNS. Ce qui tend à laisser entrevoir une usurpation d’adresse e-mail.

Par ailleurs, les entêtes des trois e-mails émis par les auteurs de l’opérateur – faux communiqué, faux démenti, et revendication – laissent à imaginer soit une équipe géographiquement distribuée, soit l’utilisation de VPN, de relais SMTP, ou d’ordinateurs individuels compromis : les deux premiers sont partis de la connexion d’un abonné Orange dans le Maine-et-Loire, tandis que le dernier apparaît provenir de celle d’un abonné Free dans le Nord-Pas-de-Calais.   

Pour mémoire, le groupe Vinci est notamment titulaire des domaines vinci.fr, vinci.info, vinci.net, vinci.com et vincigroup.com. A noter que, s’il a également déposé le nom de domaine vinci.construction, vinci.immo semble lui avoir échappé à l’automne 2015. Et vincigroup.fr est encore disponible, de même que vincigroup.immo, vincigroup.construction, ou encore vinci-group.fr. Dans un communiqué, Vinci indique avoir décidé de déposer plainte contre X.