clsid

Et dire que même après 20 ans dans les ordis, j’ai failli tomber dans le panneau…Pour ma défense, c’était aujourd’hui mon anniversaire. On m’a appelé de Grèce, du Canada, de France (of course) et je n’étais disposé à ne recevoir aujourd’hui que de la gentillesse au téléphone.

Un procédé bien huilé

Je vous rapporte mon expérience pour éviter que vous ne la viviez à votre tour
J’ai reçu ce matin un appel téléphonique en anglais d’une femme (avec un très fort accent indien), m’appelant de la part de Microsoft England, et m’indiquant que mon ordinateur leur envoyait beaucoup de messages d’erreurs et d’attaques virales (en écrivant cela, je me trouve objectivement ridicule d’être tombé dans le panneau, mais la barrière -relative- de la langue a sans doute joué).
La personne en question était assez convaincante, calme et m’a indiqué plusieurs fois que je pouvais raccrocher à tout moment (au prix de perdre tout le contenu de mon ordinateur à cause des virus).

Cette personne m’a demandé tout d’abord de rentrer dans la console de mon PC (dans Démarrer> Exécuter> cmd (commande) dans la boîte de dialogue Exécuter. J’ai été invité à taper « ASSOC » qui affiche une longue liste d’information (La commande assoc affiche l’association de fichier pour chacune des différentes extensions de fichiers sur l’ordinateur)

Cette liste contient vers le bas un numéro de série dit  « CLSID » qui selon leurs dires est un numéro personnel confidentiel relatif à chaque ordinateur….mais qui pour la petite histoire est le même sur chaque système d’exploitation Windows (je l’ai découvert par la suite)

Ce numéro est le suivant 888DCA60-FC0A-11CF-8F0F-00C04FD7D062.
Je ne connaissais pas ce numéro de série commun, et j’avoue que l’entendre énoncé m’a vraiment troublé dans un premier temps.

Une tentative de fishing

Cette personne m’a alors indiqué un lien sur lequel je devais aller pour télécharger un programme sur le site Microsoft pour me guider dans la résolution de mon souci viral. Je ne donnerai pas le lien de ce site qui est une copie du site original. remarquez tout de même l’erreur dans le pied de page et le copyright qui date de l’année dernière.
Erreur dans le site

Vous rencontrez un site contrefait ? signaler le

Sur Firefox, aller dans le menu (révélez le au besoin en appuyant sur la touche alt), puis ? > Signaler un site contrefait.

Suite a ma grande suspicion, j’ai alors changé d’interlocuteur : cette personne m’a dit qu’elle me passait son supérieur, lequel m’a demandé d’installer ShowMyPC pour partager mon écran avec eux → Hors de question me suis-je dit

En parlant anglais d’un coté et en Googleant d’une autre main tout ce que ce monsieur très convaincant me demandait, j’ai commencé à douter de plus en plus, malgré les différents interlocuteurs prétendument de plus en plus haut dans la hiérarchie de leur support.


Bullshit meterCette personne m’a finalement raccroché au nez lorsque je lui ai dit que le numéro CLSID était commun a plusieurs ordinateurs…et que par conséquent tout leur propos basé sur ce postulat de départ était une grosse connerie (enormous bullshit si vous cherchez le terme)…A tel point que mon BullShitMeter intégré à mon ordinateur à clignoté dans le rouge :p


J’ai été recontacté par deux fois ensuite quelques heures après.
– La première j’ai épuisé mon stock d’insulte en anglais (j’ai ensuite raccroché)
– La deuxième, j’ai répondu avec la voix d’une vieille dame gâteuse qui ne parlait que Français (ils ont raccroché)
Je crois que je vais utiliser le truc de la vieille dame auprès de tous les démarcheurs téléphoniques à l’avenir.

En dépit du fait que je ne tombe jamais dans le panneau, je suis appelé régulièrement par ces personnes là…à tel point que j’ai failli douter. Sachez cependant que ni Microsoft, ni Windows ni aucune autre entreprise ne vous demandera d’intervenir ainsi sur votre ordinateur.

Cette démarche est malheureusement une arnaque connue sous le terme de « CLSID scam » (scam signifie arnaque).

Les règles d’or et conseils de bon sens que vous devez appliquer dans ces cas là

A faire et ne pas faire

  • Ne jamais faire confiance au téléphone à quelqu’un qui se recommande de tel organisme
  • Ne jamais délivrer d’information personnelle mais les solliciter auprès de votre interlocuteur (j’ai par exemple demandé plusieurs fois quel était mon IP auprès de ces gens qui n’ont pas su me répondre…bien entendu)
  • Ne jamais installer des programmes auxquels vous ne faites pas confiance
  • Toujours comparer le site de la maison mère avec le site que l’on vous indique par email ou au téléphone. Une copie de site est si vite faite aujourd’hui
  • Retrouvez quelques infos complémentaires sur ce lien

Un autre exemple de fishing identifié sur Facebook

Un de mes contacts proposait une bonne affaire sous la forme d’une opération d’un grand manufacturier Français qui proposerait des réductions importantes. J’ai flouté la marque concernée car il est nul besoin de faire de la mauvaise pub. Visite guidée..

contrefacon Phishing

Suite à un nombre croissant de spams et commentaires litigieux (l’arnaque et les vautours attirant sans doute d’autres vautours), la file de commentaire est malheureusement fermée. Merci de votre compréhension

18 réponses
  1. Benno
    Benno dit :

    Je viens d’avoir les indiens au télephone et je les ai demandé de me donner un numéro pour pouvoir les rappeller, sur quoi ils disaient qu’il peuvent bien me le donner mais qu’ensuite ils ne pourrons réparer mon PC – alors j’ai dis que Microsoft doit revoir ces processus interne car cela doit être possible et j’ai raccroché …

  2. AndréRené
    AndréRené dit :

    Merci pour votre synthèse, j’ai observé exactement ce contexte d’intrusion sur un de mes PC le 10.12.2015, ce que j’ajoute à propos de TeamViewer, lorsqu’on perd l’image d’écran là c’est vraiment mauvais: faut pas hésiter à débrancher le câble réseau internet (ou débrancher router WiFi) sans donner d’explication. Quant au courriel qui a suivi l’intrusion il s’affichait de provenance Microsoft Service ustechdepartment@hotmail.com, il était référencé « Invoice is arriving for your online registration » et signé james smith (et pourquoi pas John Doe…) il ressemblait comme 2 gouttes d’eau au corporate Microsoft, j’ai soigneusement évité tous les liens qu’il contenait et sensés rediriger vers Microsoft Service Agrement ou Privacy Statement. Les intrus ne connaissaient pas l’account.microsoft.com\devices sur lequel le PC est enregistré. Pour les curieux, il faut retenir que celui de mes PC ayant subi l’intrusion n’a jamais été utilisé pour des transactions commerciales, j’ai appliqué ma procédure complète en cas d’alerte virale – la remise en conformité a duré 24 heures. Ensuite j’ai rempli le formulaire du site Microsoft avec la conclusion « The scam you just reported has been successfully submitted, thank you ». Je me demandais si parfois les cibles sont glanées dans la Communauté Microsoft ou parmi les commentaires Windows10. Peu après je regardais CNN où Mr. Quest décrivait le social hacking qui sévit aux US et du style « Bonjour votre patron me demande de vérifier son PC pour y rectifier un bug pendant qu’il ne l’utilise pas, pouvez-vous vérifier qu’il est bien allumé » et suit un plan drague d’enfer.

  3. Thierry
    Thierry dit :

    24/10/2015 : Exactement point par point la procédure.
    Je me doutait à 95% de l’arnaque mais j’ai continué pour le fun.
    Je n’ai pas exécuter le teamviewer (peut être vérollé)
    J’ai coupé la communication après avoir copier le CLSID sur google et trouvé ce site qui explique l’arnaque.

  4. Laure
    Laure dit :

    Pareil ! Un tout grand merci pour cet article, je n’y connais absolument rien en informatique. Catastrophe évitée de justesse.

  5. Plesk Viktim Di Lanak
    Plesk Viktim Di Lanak dit :

    Bonjour, par plus tard qu’il y a 30min. j’ai reçu cet appel de Monsieur Remond (« Microsoft Managmnet »: et oui , mal orthographié sur teamviewer !) à l’accès indien concernant une faille de sécurité et intrusion sur mon PC… 10min de baratinage pro, parce que c’était presque crédible jusqu’avant leur intervention.

    Méfifiant et curieux (comme tout informaticien qui se respecte) je lui ai toute même laissé prendre la main sur mon « pc de test », installé Teamviewer, ShowMyPC, après m’avoir démontré les « failles » de mon système… à l’aide des outils (M$) et commandes suivantes : eventvwr (observateur événement), cmd + ASSOC pour révélé le fameux « CLSID » et enfin NETSTATS en pointant des connexion distantes du « Nigeria » etc…
    → il lance ce qu’il appelle un « scan » à l’aide de la commande TREE (commande qui permet en réalité que de lister les fichiers du poste) sans doute à la recherche de document administratif, nominatif, bancaire….
    Je lui demande alors en quoi lister les fichiers va-t-il résoudre la failles de sécurité? c’est alors qu’il ouvre Google Translator (note: ouvrir l’outil d’un concurrent au lieu de Bing translator pour qqn du support de M$…LOL) et me propose se souscrire pour 5€ (au lieu de 399€…) à une protection intégrale et à vie contre toute « menace possible et imaginable » cça parait ridicule, mais c’était l’idée…
    Je lui faire par de mon hésitation ^^ et c’est là que je vois qu’il lance la commande SYSKEY pour bloquer l’accès au démarrage de mon système par un mot de passe… et il me dit « si vous ne souscrivez pas votre ordinateur sera bloquer car votre système comporte une faille… » je ne panique pas mais devoir réinstaller mon PC de test à cause d’un escroc me contrarierai surtout un jour de repos (fête nationale, vive la France!)
    Donc, je me déconnecte le poste du réseau pour l’empêcher de réaliser d’autre manipulation du ce genre… et je lance la restauration à une date antérieur ;) et oui au lieu de m’amuser à défaire et désinstaller les programmes de contrôle à distance… un simple exécuter + RSTRUI permet de revenir à une date antérieur SI le poste n’a pas été redémarré.

    Bilan :
    Tout le scénario semblait crédible jusqu’à la prise en main sur le poste.

    Ce qui devrait vous alerter :
    – installation de Teamviewer (en tant qu’informaticien je l’utilisais déjà. Mais ne jamais autoriser l’accès à un inconnu)
    – installation de ShowMyComputer : très utilisé par les escroc et pirates informatiques….
    – la commande TREE: lister le nom des fichiers de l’ordinateur ne corrige en rien les failles du PC, mais permet de voir si vous avez des documents factures nominatives, relevé bancaire, copie de Carte identité etc.
    – enfin comme toute arnaque: l’offre de protection 5 en 1 plus qu’alléchante à 5 euros au lieu 399euros… par crédible du tout. Combien de particulier paierait 399€ en temps normale pour une protection informatique pour un usage domestique.

    Peut mieux faire : scénario à revoir ^^

  6. Louis Horvath
    Louis Horvath dit :

    Ce qui est le plus étonnant c’est le peu d’intérêt démontré par l’état pour régler le problème à sa source… Tout au moins en bloquant les numéros de téléphone fautifs!
    Ici au Canada de nombreux amis et clients ont porté plainte et se sont fait servir un message standardisé comme quoi leur plainte allait recevoir un suivi, que c’est un problème reconnu, etc. Mais des années plus tard (ce genre de fishing à commencé ici il y a 5 ans je pense)… RIEN!
    Si le processus vous semble bien huilé c’est que, par laxisme, on les laisse faire sans jamais les emmerder!

  7. Clovis
    Clovis dit :

    Ce midi même, nous, ma femme d’abord qui me passe l’appel ensuite parce qu’elle ne parle pas anglais, avons été « attaqués » par ces malfaiteurs.
    Dans ces moments-là, c’est le réflex qui nous sauvent. Car effectivement nous avons affaire à des professionnels qui savent mettre la pression. Et le reflex c’est de ne JAMAIS donner suite à une sollicitation écrite ou verbale (téléphonique ou autre) dont nous ne pouvons vérifier l’authenticité. Et plus l’interlocuteur se fait pressant, moins il faut faire confiance. Quand je dis qu’il faut pouvoir vérifier l’authenticité, il faut pouvoir le faire quand nous avons la tête froide; c’est à dire dans un deuxième temps et quand NOUS l’avons décidé et non l’interlocuteur. Si nous ne pouvons pas nous accorder ce droit de vérifier, il FAUT raccrocher.
    C’est la règle à lire et à intégrer quand nous ne sommes pas dans la situation. C’est le réflex à acquérir AVANT d’être en situation. C’est le réflex que j’ai eu aujourd’hui et la raison pour laquelle je témoigne. Je n’ai pu obtenir ce droit et la personne (dame parlant anglais à fort accent indien avec bruit de fond de centrale téléphonique) tentait de m’emmener dans son argumentation avant de devenir menaçante (police et blocage d’ordinateur, etc). Là j’ai coupé. Et j’ai ensuite vérifié que c’était bien une arnaque. Comme pour toutes les autres!
    Je résume:
    1) Si je ne peux pas vérifier à froid l’authenticité de mon interlocuteur (courriel, téléphone, passant dans la rue), JE n’entre pas en matière.
    2) Et ensuite je vérifie sur internet que c’est bien une arnaque. Et ce sera bien une arnaque.
    3) J’informe si possible la communauté.

  8. Mahéo
    Mahéo dit :

    Bonjour

    Juste un petit mot pour signaler que j’ai eu droit au même scénario samedi 9 Mai 2015
    – appel d’un ingénieur en anglais avec accent indien de l’assistance technique de Microsoft de LA, mon PC générait des codes erreurs sur un serveur,
    – passage au superviseur
    – demande d’appuyer sur touche windows+ indéfinissable
    – envoi d’un jpg d’une fausse carte d’identifiant Microsoft pour rendre la chose crédible et d’un mail signalant le problème signé de MICROSOFT ASSISTANCE
    – demande d’nstallation de teamviewer car j’ai commencé à douter, j’ai refusé et eu droit à des menaces de blocage de mon PC

    L’arnaque est bien rodée avec le bruit de fond d’un plateau, le passage au superviseur; cela devient de plus en plus pro notamment avec la fausse carte et le risque croissant est d’avoir de nombreuses victimes y compris dans les petites entreprises car bien que sensibilisé à la sécurité informatique, je n’ai commencé à douter qu’au moment de la tentative de prise de contrôle du micro. J’ai signalé la tentative d’escroquerie et le scénario sur le site du ministère de l’intérieur. Bon dimanche et merci d’avoir diffusé plus largement cette information; ça serait bien que les FAI et les banques diffusent des alertes régulièrement sur à leurs clients sur ce type d’arnaque. :-).

  9. eazy eazy
    eazy eazy dit :

    Moi je me serais demandé comment la personne sait que mon ordinateur à un problème et qu’elle sache faire le lien avec mon numéro de tél et je lui aurait demandé comment elle a obtenu mon numéro.

    • Fabrice Court
      Fabrice Court dit :

      Tout comme la caméra caché, l’arnaque repose également sur un contexte et un emballage émotionnel dont il est dur de s’exfiltrer lorsqu’on y est pas préparé.

  10. renaud
    renaud dit :

    Meme tentative d’arnaque avec le CLSID à l’instant par téléphone. Vous devez me faire confiance, je connais votre CLSID (présenté comme mon unique computer licence security id). Ils voulaient ensuite que j’aille sur teamviewer pour qu’ils aient accès à mon ordinateur pour soit disant sécuriser celui-ci.

    Je leur ai expliqué que je ne les croyais pas, ce que signifiais CLSID ; mais le mec ne s’est pas démonté. J’ai essayé de comprendre ce qu’il voulait réellement si c’était un travail de salarié car apparemment il y avait du bruit dans la pièce et plusieurs appels en même temps. Il ne m’a pas répondu et m’a affirmé ensuite que mon ordinateur était utilisé par des terroristes et que je devais sécuriser mon ordinateur sinon la police viendrait me chercher. Bref, des pros du pipo.

    Bref j’ai tout eu mais infine j’ai eu le droit a une leçon d’anglais gratuite par téléphone pendant 30 minutes en essayant d’en savoir plus (est-ce que ca ne serait pas finalement un meilleur business pour eux ?!)

  11. Olivier Rondeau
    Olivier Rondeau dit :

    Je viens juste de les avoir en ligne :) j’ai l’impression de lire ce qui vient de m’arriver, sauf que j’ai coupé court un peu plus rapidement. C’est l’idée qu’un support in English puisse m’appeler pour une perturbation du réseau due à mon micro qui m’a fait douter très viiite. En tout cas attention effectivement avec la langue cela à tendance à rendre la chose crédible… Mais non en fait, c’est un truc de dingue car ils vont faire forcément des victimes. Grrrrr

  12. Catherine C
    Catherine C dit :

    Bonjour,

    Ce petit mail pour vous dire que j’ai été bien contente de trouver votre témoignage « arnaque à l’indienne » sur Internet… J’ai eu droit aux mêmes appels hier, et je viens de signaler la tentative d’escroquerie sur le portail internet-signalement du Ministère de l’Intérieur.
    Bref, votre commentaire m’a été bien utile.

    Merci !!!

    Bon dimanche,

  13. wilfried18
    wilfried18 dit :

    Merci de la mise en garde, personne est à l’abri
    par contre cette arnaque a explosé en France en avril 2014 sur un article de 01.net on a même une conversation enregistré.

    • Fabrice Court
      Fabrice Court dit :

      Merci de votre message Wilfried
      J’ai consulté l’article sur 01.net, mais je déplore que les journalistes se soient gaussé de cette arnaque….Il est toujours si aisé d’analyser les choses à froid sans considérer l’aspect traumatique sur le moment. Les correspondants de Microsoft semblaient également moins doués que ceux que j’ai rencontré :)

Les commentaires sont désactivés.