Un fichier HTML anodin en apparence

Tout a commencé par la question : « Tu penses quoi de ça ? », accompagnée d’un fichier HTML intitulé « Demande de devis FR_042025.html ». L’objectif était d’analyser le contenu et d’en dégager la véracité.

La page prétendait être une interface de WeTransfer, un service bien connu de transfert de fichiers volumineux. Elle affichait un logo PDF, le nom d’un fichier à télécharger, la date d’expiration du lien, ainsi qu’un bouton « Télécharger ». En apparence, rien d’anormal. La présentation était soignée et paraissait professionnelle.

Pourtant, une analyse attentive a rapidement révélé des anomalies.

Des URL externes suspectes

Les ressources (images, CSS, JavaScript) étaient toutes liées à des domaines inconnus :

• scoowe.web.app
• scftarget.web.app

Or, WeTransfer n’utilise pas ces domaines. L’utilisation de domaines similaires ou d’apparence neutre est une méthode classique en phishing pour tromper l’utilisateur.

Une structure piège pour capturer les identifiants

En défilant la page, un comportement se dessinait : un faux processus de téléchargement retardait l’accès au fichier via un compte « WeTransfer ». L’utilisateur était invité à saisir son adresse email, puis son mot de passe. Aucun véritable fichier n’était présent à cette étape.

Une fois les identifiants saisis, une nouvelle page simulait un mot de passe erroné, incitant la victime à réessayer. Cette astuce permettait de collecter plusieurs combinaisons, souvent plus fiables.

Le code JavaScript : la pièce décisive

L’étape suivante a consisté à analyser le code JavaScript contenu dans un script externe. Voici les points clés observés :

Extraction du code

const botToken1 = '7270591399:AAF2mslq2baByKf0B38gX_OcJjl2q3dH3Zs';
const chatId1 = '1648658579';

const botToken2 = 'VOTRE_DEUXIÈME_TOKEN';
const chatId2 = 'VOTRE_DEUXIÈME_ID_DE_CHAT';

Le script contenait deux couples token/chat ID liés à l’API de Telegram. Cela signifie que les identifiants saisis par l’utilisateur étaient envoyés à un ou deux comptes Telegram via la fonction sendToTelegram(data).

Fonctionnement complet

• L’email et le mot de passe sont collectés.
• L’adresse IP publique est récupérée via https://api.ipify.org.
• Le userAgent est stocké pour identifier l’appareil.
• L’ensemble est envoyé aux bots Telegram sous la forme d’un message structurant les données.

Exemple de message envoyé

[📢] LOGIN_EMAIL [📢]
📨Adresse e-mail: utilisateur@exemple.com
🔐Mot de passe: ********
🌍IP: 192.168.1.1
🌍Appareil: Mozilla/5.0 (Windows NT 10.0; Win64; x64)

Ce type de collecte est typique des attaques par phishing bien organisées. Le fait d’utiliser Telegram permet aux attaquants de recevoir instantanément les données collectées.

Simulation de succès : un téléchargement leurre

Après la seconde soumission du mot de passe, le script simulait un téléchargement depuis Google Drive :

downloadFile('https://drive.google.com/file/d/.../view?usp=sharing');

Puis une redirection automatique vers un site tiers (en l’occurrence Zeendoc), afin de donner l’illusion d’un processus normal.

Cette technique vise à éviter de créer de la méfiance. L’utilisateur croit avoir fait une erreur ou pense que son mot de passe est erroné.

Conclusion : un piège efficace, mais identifiable

Cette analyse montre comment une simple page HTML peut déguiser une attaque de phishing sophistiquée. L’utilisation de domaines tiers, de scripts JavaScript externes et d’une simulation d’interface WeTransfer rend l’attaque difficile à détecter pour un utilisateur non averti.

Cependant, plusieurs signaux permettent de lever le doute :

• Des URLs incohérentes avec le service officiel.
• Une demande de mot de passe pour accéder à un fichier.
• Un comportement non standard (double saisie, messages d’erreur artificiels).

Si vous recevez ou hébergez ce type de contenu, il est essentiel de le supprimer immédiatement et de le signaler aux plateformes concernées.

Besoin d’aide pour identifier ou gérer un contenu frauduleux ?

Si vous soupçonnez une page web ou un fichier d’être frauduleux, ou si vous souhaitez éviter de telles situations sur vos propres sites, n’hésitez pas à nous contacter. Nous pouvons vous aider à auditer, protéger ou nettoyer vos contenus en toute confidentialité.