Ce mail du PMU est-il un mail de phishing ?

Date de la question: 28 janvier 2009

J'ai voulu m'inscrire sur une publicité online recu par "soit disant" www.pmu.fr qui serait censé être sérieux et honnête. On me propose un formulaire d'inscription apparemment parfait en en rajoutant sur la securité SSL, les lois, la CNIL et compagnie. Pas une faute d'orthographe contrairement a tous les sites qui sentent l'arnaque. Seulement voila .. le formulaire qui demande les coordonnees de la carte bancaire ne fait pas apparaitre de petit cadenas dans la barre d'état, ni ailleurs. J'ai donc un tres gros doute.

Qu'en pensez vous ?

Voici l'URL :

http://www.pmu.fr/pmu/html/fr/ouverture-compte/choix_paiement.html

et je suis rentré par :

http://www.pmu.fr/pmu/html/fr/ouverture-compte/ouvrir-compte-prix-d-amerique.html

Merci pour votre aide

Notre réponse

Il n'est pas aisé pour l'internaute amateur de distinguer les différents problèmes de sécurité auxquels il peut être confronté.

Dans votre cas, il ne s'agit pas d'un problème de phishing.

Le mail semble bien émaner du Pmu, puisque le site sur lequel vous vous êtes connecté est www.pmu.fr qui est bien celui du PMU.

Pour vous en assurer, rendez-vous sur notre page d'accueil et utilisez le formulaire de vérification de l'identité du propriétaire d'un site

Le propriétaire est bien le PMU.

Mais, vous avez mis le doigt sur un réel problème: la page par laquelle vous rentrez votre numéro de carte bleue n'est pas sécurisée, ce qui est tout à fait anormal.

Techniquement, cela signifie qu'il est possible que quelqu'un intercepte votre numero de carte bleu entre le moment où il partira de votre ordinateur et le moment où il arrivera sur le site du PMU.

Cela ne signifie pas qu'il sera obligatoirement intercepté: de la même façon que lorsque vous partez de chez vous en ayant oublié de fermer à clé votre maison, il est peu probable que vous vous fassiez cambrioler (sauf si vous criez sur les toits que votre maison est ouverte), il est peu probable que votre numéro de carte bleue soit interceptée. Mais, c'est netttement plus facile pour d'éventuels pirate de le faire, parce que les données sont envoyées non cryptées sur le site du PMU.

A qui appartient réellement ce site douteux ?

Rentrer le nom de domaine suspect sans les "www"

Recherche de propriétaire

Exemple: raphaelrichard.net