un traceroute curieux

Bonjour à toutes et à tous.

Je vous soumets un traceroute curieux, et je sollicite vos commentaires :

traceroute to information.caissedesdepotsretraites.fr (213.41.75.116), 30 hops max, 60 byte packets
 1  ip-10-0-0-14.ec2.internal (10.0.0.14)  1.173 ms  1.198 ms  1.168 ms
 2  216.182.229.176 (216.182.229.176)  10.893 ms 216.182.226.32 (216.182.226.32)  4.733 ms 216.182.238.141 (216.182.238.141)  5.573 ms
 3  100.66.37.40 (100.66.37.40)  4.457 ms 100.65.82.128 (100.65.82.128)  42.916 ms 100.66.36.60 (100.66.36.60)  31.833 ms
 4  100.66.39.160 (100.66.39.160)  21.188 ms 100.66.39.222 (100.66.39.222)  112.947 ms 100.66.40.158 (100.66.40.158)  4.472 ms
 5  244.0.4.217 (244.0.4.217)  1.655 ms 244.0.4.211 (244.0.4.211)  1.733 ms 244.0.4.213 (244.0.4.213)  1.850 ms
 6  240.0.40.30 (240.0.40.30)  1.800 ms 240.0.40.25 (240.0.40.25)  1.204 ms 240.0.40.21 (240.0.40.21)  1.249 ms
 7  240.0.40.20 (240.0.40.20)  1.289 ms 242.0.171.17 (242.0.171.17)  1.264 ms  1.209 ms
 8  52.93.28.183 (52.93.28.183)  2.253 ms 242.0.171.1 (242.0.171.1)  1.107 ms 52.93.28.167 (52.93.28.167)  1.758 ms
 9  100.100.2.64 (100.100.2.64)  1.715 ms 100.100.28.78 (100.100.28.78)  13.774 ms 100.100.28.24 (100.100.28.24)  3.346 ms
10  100.95.7.80 (100.95.7.80)  2.779 ms 99.82.177.63 (99.82.177.63)  1.636 ms 100.100.28.58 (100.100.28.58)  2.528 ms
11  100.100.2.74 (100.100.2.74)  1.981 ms 100.100.2.72 (100.100.2.72)  3.830 ms 212.74.80.229 (212.74.80.229)  78.996 ms
12  100.100.2.70 (100.100.2.70)  1.786 ms 212.74.67.148 (212.74.67.148)  78.187 ms 99.82.177.63 (99.82.177.63)  1.809 ms
13  xe11-3-0-sar9.PAR.router.colt.net (212.74.68.39)  78.609 ms 62.23.80.178 (62.23.80.178)  78.480 ms xe11-3-0-sar9.PAR.router.colt.net (212.74.68.39)  78.737 ms
14  * 212.74.68.9 (212.74.68.9)  78.697 ms *
15  212.74.67.148 (212.74.67.148)  77.899 ms 62.23.80.178 (62.23.80.178)  78.687 ms *
16  * * *

Au début, tout va bien, on va chercher un DNS. Puis, ça se gâte avec des adresses incorrectes. A la ligne 9 "52.93.28.183", on est chez Amazon Technologies Inc, puis on a de nouveau des adresses fantaisistes, et enfin "212.74.68.39" qui semble légitime, chez Colt.

Au final, depuis "213.41.75.116", il me semble qu’on devrait aller quelque part cher Colt France, et qu’on finit par y arriver, mais comment ? Je sais bien que rien n’oblige à répondre correctement à une requête ICMP, mais je ne vois pas trop à quoi servent toutes ces adresses bidon..

Maintenant, voila d’où cela vient :

Je viens de recevoir un mail curieux, qui m’indique où trouver une attestation fiscale concernant une retraite, au cas où j’en aurait besoin. Ce qui m’a alerté, c’est l’émetteur du mail : "CDC_Retraites", ce qui évoque la Caisse des Dépots et Consignations, qui ne s’occupe pas des retraites.
Il y a un beau bouton bleu "J’accède à mes informations fiscales", qui envoie sur l’adresse : "https://information.caissedesdepotsretraites.fr/Go/index.cfm?WL=16989&WS=4858514_3091618&WA=23097".

Les deux autres zones cliquables pointent sur la même adresse.
Je n’ai pas tenté de suivre cette adresse, je suppose qu’il s’agit d’un formulaire destiné à récupérer des données personnelles.

Ce sont certainement des adresses privées au seins d’Amazon rien d’alarmant. Par-contre le non de domaine de ce site web est effectivement très curieux et je pense aussi que c’est du phishing.

Ce nom de domaine est assez étonnant car information.caissedesdepotsretraites.fr pointe bien vers quelque chose mais caissedesdepotsretraites.fr et www.caissedesdepotsretraites.fr ne pointent vers rien.

Néanmoins, il m’a l’air légitime d’après deux choses :

1. le service DNS Whois de l’Afnic (l’organisme qui gère les noms de domaine .fr) nous indique que le titulaire du nom de domaine est « CAISSE DES DEPOTS ET CONSIGNATIONS » (les serveurs DNS et les données de contact correspondent aussi) ;
2. une recherche Google site:caissedesdepotsretraites.fr nous donne plusieurs résultats vers information.caissedesdepotsretraites.fr qui à redirige vers www.cnracl.retraites.fr, www.legifrance.gouv.fr ou d’autres sites web de confiance.

J’en conclus que information.caissedesdepotsretraites.fr est probablement un nom de domaine qu’ils utilisent pour avoir des informations sur l’utilisation des liens inclus dans leurs courriels (pour répondre à des questions du type « Combien de personnes ont cliqué dessus ? »).

Sinon, il me semble qu’un traceroute affiche chaque adresse en faisant une requête avec une expiration plus longue à chaque fois, et donc que potentiellement tu peux avoir des chemins qui changent en plein milieu. Enfin c’est pas fiable quoi.

La CDC s’occupe bien des retraites il me semble, parce qu’ils gèrent le fonds d’investissement retraite (initié par Juppé pendant son poste de premier ministre, pour essayer de contrebalancer le papy boom).

Il semble effectivement que la CDC s’occupe des retraites d’une partie des retraités.

Mais le NDD est mal utilisé clairement.

Ce nom de domaine est assez étonnant car information.caissedesdepotsretraites.fr pointe bien vers quelque chose mais caissedesdepotsretraites.fr et www.caissedesdepotsretraites.fr ne pointent vers rien.

Néanmoins, il m’a l’air légitime d’après deux choses :

1. le service DNS Whois de l’Afnic (l’organisme qui gère les noms de domaine .fr) nous indique que le titulaire du nom de domaine est « CAISSE DES DEPOTS ET CONSIGNATIONS » (les serveurs DNS et les données de contact correspondent aussi) ;

Ce n’est pas ce que je vois :

%%
%% This is the AFNIC Whois server.
%%
%% complete date format : YYYY-MM-DDThh:mm:ssZ
%% short date format : DD/MM
%% version : FRNIC-2.5
%%
%% Rights restricted by copyright.
%% See https://www.afnic.fr/en/products-and-services/services/whois/whois-special-notice/
%%
%% Use '-h' option to obtain more information about this service.
%%
%% [81.88.58.247 REQUEST] >> -V Md5.2 information.caissedesdepotsretraites.fr
%%
%% RL Net [##########] - RL IP [#########.]
%%

%% No entries found in the AFNIC Database.

2. une recherche Google site:caissedesdepotsretraites.fr nous donne plusieurs résultats vers information.caissedesdepotsretraites.fr qui à redirige vers www.cnracl.retraites.fr, www.legifrance.gouv.fr ou d’autres sites web de confiance.

Googlr fait une recherche sur ce que tu tapes, il trouve quelque chose d’approchant, mais ça ne dit rien sur le propriétaire de l’adresse "information.caissedesdepotsretraites.fr". Encore heureux que Google donne en réponse des sites de confiance ! Pour autant, cela ne prouve pas qu’on puisse faire confiance à l’adresse que j’ai cité.

Ce n’est pas ce que je vois :

%%
%% This is the AFNIC Whois server.
%%
%% complete date format : YYYY-MM-DDThh:mm:ssZ
%% short date format : DD/MM
%% version : FRNIC-2.5
%%
%% Rights restricted by copyright.
%% See https://www.afnic.fr/en/products-and-services/services/whois/whois-special-notice/
%%
%% Use '-h' option to obtain more information about this service.
%%
%% [81.88.58.247 REQUEST] >> -V Md5.2 information.caissedesdepotsretraites.fr
%%
%% RL Net [##########] - RL IP [#########.]
%%

%% No entries found in the AFNIC Database.

Voici ce que je vois :

Googlr fait une recherche sur ce que tu tapes, il trouve quelque chose d’approchant, mais ça ne dit rien sur le propriétaire de l’adresse "information.caissedesdepotsretraites.fr"

Le mot-clé site: de la requête site:caissedesdepotsretraites.fr demande à Google de restreindre les résultats de la recherche à ceux provenant du domaine caissedesdepotsretraites.fr, ce n’est pas ce que je qualifierais de « quelque chose d’approchant ». Effectivement ça ne nous dit rien sur le propriétaire de l’adresse, mais je vois mal quel intérêt des personnes malveillantes auraient en effectuant des redirections vers les sites web que j’ai cité.

Enfin, libre à toi de ne pas aller sur ce domaine si tu n’as pas confiance !

Encore heureux que Google donne en réponse des sites de confiance ! Pour autant, cela ne prouve pas qu’on puisse faire confiance à l’adresse que j’ai cité.

Justement, ce n’est pas Google qui donne en réponse des sites de confiance mais bien des URLs de information.caissedesdepotsretraites.fr qui redirigent vers ces sites web là ! Par exemple l’adresse que tu donnes dans ton premier message (https://information.caissedesdepotsretraites.fr/Go/index.cfm?WL=16989&WS=4858514_3091618&WA=23097%22) renvoie vers une page de connexion (https://sl2.cdc.retraites.fr/sl2EIhm/web/connexion;jsessionid=7701BC99EDABA0A8E6C22F6130E007F3.xsl2eihmb2) qui est bien un site web de la Caisse des Dépôts (d’après le nom de domaine et le certificat TLS).

Tu n’as pas fait ta recherche sur "information.caissedesdepotsretraites.fr", mais sur "caissedesdepotsretraites.fr".

Tu as raison, le lien contenu dans le courriel mène bien vers le site web de la Caisse des Dépôts et Consignations.
Mais ce qui est curieux, c’est que le whois ne donne pas de résultat clair.

Tu n’as pas fait ta recherche sur "information.caissedesdepotsretraites.fr", mais sur "caissedesdepotsretraites.fr".

Je viens d’essayer et les résultats sont les mêmes (j’ai bien l’impression que information est le seul sous-domaine utilisé pour du web pour ce nom de domaine).

Par-contre, information.caissedesdepotsretraites.fr est un sous-domaine de caissedesdepotsretraites.fr donc il appartient à caissedesdepotsretraites.fr.

Tu ne peux pas obtenir un sous-domaine sans l’accord du domaine de base.

Tu as raison, plus précisement : https://retraitesolidarite.caissedesdepots.fr/sites/default/files/Cartographie-fonds.pdf

Bonjour,

magie d’internet, c’est moi-même qui ai envoyé cette campagne emailing de la Caisse des Dépôts, qui gère effectivement pas mal de fonds de retraite.

Je confirme donc que les liens sont cliquables sans aucun danger

Merci @CharlesA ! Et du coup, pourquoi ce Nom de domaine ? information.caissedesdepotsretraites.fr

bon, on avance.
Reste que le traceroute avec des adresses invalides est inexpliqué, ainsi que la réponse vide au whois.

Elles ne sont pas invalides, ce sont des IP "privées" CGN.

Pour le WHOIS, tu ne peux pas faire un WHOIS sur information.caissedesdepotsretraites.fr car c’est un sous-domaine géré par le DNS de caissedesdepotsretraites.fr. Pas par celui de .fr.

heu, non les adresses privées, je sais les reconnaître.
mais c’est une bonne piste,
Add 100.64.0.0/10 prefixes to IPv4 Locally-Served DNS Zones Registry.
Quant aux 224, ce sont des adresses multicast.
Je pense que leur presence dans un traceroute n’est pas normale.

La trace que j’ai donnée montre que "je peux faire un whois", et qu’il donne une réponse vide.

car il nous a toujours été conseillé de séparer le domaine du site web du domaine utilisé par la plateforme d’envoi des campagnes emailings (pour éviter tout risque d’effet collatéral au cas où une de nos campagne soit déclarée comme du spam et que ça entache le domaine d’envoi).

Bonne journée.