Dans sa course effrenée au profit et aux dividendes, Orange s’osbstine et se perd parfois dans un domaine a priori séduisant mais a posteriori piégeux : la sous-traitance.
Dans des locaux en perpétuelle mutation, avec une diminution récurrente des mètres carrés, avec la disparition des espaces communs, des espaces conviviaux et des bureaux fixes, il se développe de tout petits espaces individualisés : les casiers.
Et cette occupation temporaire de casier aurait pu être réalisée de manière simple et low-tech : avec de simple serrures à code. C’est probablement suite à un appel d’offre qu’Orange a sélectionné un prestataire pour gérer des casiers connectés sous le nom de “Orange Casiers”.
Si vous trouvez surprenant que des gens qui se trouvent tous sur le même site géographique fassent appel à un service hébergé on-ne-sait-où dans le cloud (le cloud étant juste l’ordinateur de quelqu’un d’autre), pour gérer des casiers situés dans leurs locaux, et bien nous partageons votre étonnement.
C’est pourtant le choix fait par Orange pour la gestion de ses casiers connectés. Et pour pouvoir utiliser ces casiers, il est nécessaire de se créer un compte sur un site web dont l’adresse est orange-casiers.fr.
Suivons un peu les conseils délivrés par l’ANSSI pour prévenir les salariés des attaques par phishing.
Pour commencer, analysons le nom de domaine orange-casiers.fr à l’aide du service whois de l’AFNIC :
Nom de domaine : orange-casiers.fr
Serveurs de noms (DNS) :
Serveur n°1 : ns1.dns-parking.com
Serveur n°2 : ns2.dns-parking.com
Contact technique : Lionel AMMI
Adresse
57 impasse de la ville 57
38300 Chateauvilain
RAA
FR
On apprend que le service semble géré par une société dont le domaine semble être un domaine parking (un domaine acheté et squaté dans l’espoir de le revendre plus cher) par une société qui ne semble rien avoir avec Orange.
Le site web permettant de créer son compte n’est pas sur le même domaine, celui-ci est bien un domaine en orange.com : https://lockernow.orange.com/connexion.php. Ceci dit, lors de la création de compte, les emails de confirmation ne sont pas envoyés au nom d’Orange, mais bien avec le domaine orange-casiers.fr :
De: Portail Casiers Orange <contact4@orange-casiers.fr>
C’est d’ailleurs confirmé dans le corps du mail par un avertissement rajouté par les services mail d’Orange (donc les services mail de Microsoft, car Orange sous-traite également son service email pour ses salariés) :
CAUTION: This email originated outside the company. Do not click on any links or open attachments unless you are expecting them from the sender.
ATTENTION: Cet e-mail provient de l’extérieur de l’entreprise. Ne cliquez pas sur les liens ou n’ouvrez pas les pièces jointes à moins de connaitre l’expéditeur.
En outre, il n’est pas possible de répondre aux emails en cas de question car l’adresse de réponse est une adresse de type no-reply, c’est à dire que personne ne lira votre message, voir la boite mail en question n’existe pas :
Répondre à: no-reply@orange-casiers.fr <no-reply@orange-casiers.fr>
On se retrouve dans le cas présent dans un cas qui correspond en tout point à un cas de phishing : les salariés doivent-ils faire confiance à ce service à moitié sous-traité, à moitié sous la bannière d’Orange ? Toutes les précautions ont-elles été prises pour évier les fuites de données ?
Quand on décide de sous-traiter un service, on remplace des gens qui savent faire le boulot par un contrat. La compétence se déplace donc des gens qui savent faire le boulot vers les gens qui savent rédiger et gérer des contrats (et donc des juristes).
Etant donné la quantité de services qu’Orange se met à sous-traiter ces dernières années, il faut espérer que nous ayons des armées de juristes sur-qualifiés pour rédiger et gérer tous ces contrats de sous-traitance !