La Gendarmerie nationale communique régulièrement sur les réseaux sociaux pour sensibiliser les internautes aux bonnes pratiques et faire la promotion de leurs actions. Ils font, par exemple, la promotion de la « Brigade Numérique de la Gendarmerie », une section composée « d’enquêteurs numériques » et « d’acteurs de la prévention et de la protection numériques ».

Pour inciter les internautes français à contacter ces cyber-gendarmes, la Gendarmerie poste régulièrement sur les réseaux sociaux, comme sur leur compte Twitter[1], des messages faisant la promotion de leur service. Le message est simple : si vous avez besoin d’aide, contactez-nous.

Tweet de la cyber-Gendarmerie (@CyberGend) pour inciter les internautes à les contacter avec un lien pointant vers gendarmerie.interieur.gouv.fr
Tweet d’août 2021 de la cyber-Gendarmerie (@CyberGend) pour inciter les internautes à les contacter

Ce message est généralement accompagné d’un lien pour permettre aux internautes d’accéder au service en un clic. Dans un tweet d’août 2020, par exemple, les internautes étaient invités à se rendre sur le site « gendarmerie.interieur.gouv.fr », c’est-à-dire le site officiel de la Gendarmerie. Jusque-là, tout ce qu’il y a de plus normal.

Quelques mois plus tard, les cyber-gendarmes effectuent une nouvelle opération de promotion. Toujours le même message, mais cette fois-ci, ce n’est plus l’adresse officielle de la Gendarmerie qui est utilisée, mais une autre adresse : « contacterlagendarmerie.fr ».

Tweet de la cyber-Gendarmerie (@CyberGend) pour inciter les internautes à les contacter avec un lien pointant vers contacterlagendarmerie.fr
Tweet de mars 2020 de la cyber-Gendarmerie (@CyberGend) pour inciter les internautes à les contacter

Cette adresse s’avère être l’une des dizaines d’adresses dont use et abuse la Gendarmerie pour des raisons insensées. Ces adresses font malheureusement prendre de sérieux risques aux internautes.

L’importance de l’adresse d’un site

L’adresse d’un site Internet est importante, car elle apporte des informations aux visiteurs pour leur permettre de juger si le site est fiable et s’il appartient à une société connue ou à un organisme officiel. Ce n’est certes pas une science exacte, comme on l’a déjà vu[2], mais ça permet néanmoins de se faire une première idée et ça évite de cliquer sur des liens qui sont manifestement louches. Si Apple faisait, par exemple, un jeu concours pour faire gagner un iPhone, l’adresse « apple.fr/gagner-un-iphone » aurait ainsi plus de légitimité qu’une quelconque adresse comme « gagner-un-iphone.fr ».

La France ne possède pas une extension[3] spécifique pour son Administration, comme c’est le cas des États-Unis qui possèdent les domaines « .gov », diminutif de « government », pour les services du pays, « .mil », diminutif de « military », pour son armée et « .edu », diminutif de « education », pour ses universités. La majorité des français savent cependant que les services de l’État appartiennent au nom de domaine « gouv.fr », parce qu’ils déclarent leurs impôts sur « impots.gouv.fr », consultent peut-être certains textes sur « legifrance.gouv.fr » ou ont vu la promotion d’une des adresses.

It should be easy to identify governments on the internet. .gov is the top-level domain for U.S.-based government organizations.
Site exliquant le fonctionnement de l’extension « .GOV » (home.dotgov.gov)

Ces adresses gouvernementales sont importantes, car elles permettent de savoir facilement que les sites Internet qui y figurent peuvent être visités sans trop de craintes et que les informations affichées sont issues de l’État. Ces adresses bénéficient aussi d’un traitement particulier de l’AFNIC[4], l’organisme en charge de la gestion des adresses françaises, car des mesures spéciales sont prises pour les protéger. Depuis le 15 septembre 2021, il n’est par exemple plus permis d’acquérir des adresses finissant par « -gouv.fr »[5] (avec un tiret), car elles pouvaient être facilement confondues avec les adresses officielles « .gouv.fr » (avec un point).

Ces adresses sont aussi importantes parce qu’elles peuvent être rattachées à des adresses e-mails et être utilisées pour envoyer et recevoir des e-mails. Les e-mails envoyés par l’Administration peuvent donc être facilement identifiés par les internautes, qui savent, de la même manière que les adresses des sites, que les e-mails venant d’une adresse « @gouv.fr », ou d’un de ses services comme « @interieur.gouv.fr », sont bien officiels.

Les 1001 adresses de la Gendarmerie

Tous les services de l’État possèdent une adresse qui finit par « .gouv.fr » et la Gendarmerie ne fait pas exception à la règle. Son site est disponible à l’adresse : « gendarmerie.interieur.gouv.fr ». Lorsque la Gendarmerie communique, elle communique donc cette adresse, mais pas toujours.

En mars 2021, les cyber-gendarmes ont fait la promotion d’une nouvelle adresse : « contacterlagendarmerie.fr ».

Tweet de la cyber-Gendarmerie (@CyberGend) pour inciter les internautes à les contacter avec un lien pointant vers contacterlagendarmerie.fr
Tweet de mars 2021 de la cyber-Gendarmerie (@CyberGend) pour inciter les internautes à les contacter

À première vue, cette adresse a toutes les caractéristiques d’un phishing, c’est-à-dire un site qui se fait passer pour un site officiel pour tromper l’internaute et l’escroquer. J’espère d’ailleurs que vous avez la même réaction en voyant cette adresse, car un internaute averti doit être suspicieux d’une telle adresse.

Après vérification[6], l’adresse « contacterlagendarmerie.fr » appartient cependant bien à la Gendarmerie et l’adresse redirige bien vers le site officiel de la Gendarmerie. Le compte Twitter des gendarmes ne s’est pas fait pirater, ils l’ont bien posté volontairement et utilisent réellement cette adresse.

Quelques mois plus tard, en juillet 2021, les cyber-gendarmes font à nouveau la promotion de leur service d’aide aux internautes, mais avec une petite nouveauté. Vous l’aurez sûrement deviné, une nouvelle adresse fait son apparition : adieu « contacterlagendarmerie.fr », place à « magendarmerie.fr ».

Tweet de la cyber-Gendarmerie (@CyberGend) pour inciter les internautes à les contacter avec un lien pointant vers magendarmerie.fr
Tweet de juillet 2021 de la cyber-Gendarmerie (@CyberGend) pour inciter les internautes à les contacter

Cette nouvelle adresse est d’ailleurs mise en avant sur leur profil :

Profil Twitter de la cyber-Gendarmerie (@CyberGend) avec un lien pointant vers magendarmerie.fr
Profil Twitter de la cyber-Gendarmerie (@CyberGend)

L’adresse « magendarmerie.fr » est tout aussi louche que l’adresse « contacterlagendarmerie.fr », car toutes deux sont similaires à ce que pourraient faire des pirates avec des sites de phishing. Elles appartiennent pourtant toutes les deux à la Gendarmerie et pointent vers le site officiel « gendarmerie.interieur.gouv.fr ».

Ces adresses ne sont d’ailleurs pas les seules que possède la Gendarmerie. Elle a également fait l’acquisition de « gendarmerie.fr », même si aucun site Internet y est actuellement rattaché, ou de « gendarmerienationale.fr », qui ne possède pas non plus de site Internet, sauf (étonnamment) une boutique en ligne à l’adresse « boutique.gendarmerienationale.fr » qui permet d’acheter des goodies floqués, ou encore de l’adresse « gendinfo.fr », site officiel de l’actualité de la Gendarmerie, même si le site ne présente aucune mention légale, pourtant obligatoire, qui permettrait de connaître facilement les auteurs du site.

Pourquoi créer et utiliser toutes ces adresses « contacterlagendarmerie.fr » ou « magendarmerie.fr » quand l’adresse officielle « gendarmerie.interieur.gouv.fr » peut être utilisée ? Le Community-Manager[7] de la Gendarmerie s’est contenté d’indiquer[8] qu’il n’y a pas d’inquiétudes à avoir, et que ces adresses sont uniquement des redirections plus courtes à retenir.

Au contraire, je pense qu’il y a des inquiétudes à avoir, car toutes ces adresses complexifient énormément la situation, aussi bien pour la Gendarmerie que pour les internautes. La Gendarmerie a désormais la tâche d’expliquer aux internautes que certaines adresses sont officielles, mais pas d’autres, et les internautes devront faire preuve de beaucoup de vigilence pour ne pas être victimes de sites frauduleux.

Allez, par exemple, expliquer à un internaute que lorsqu’il saisit « contacterlagendarmerie.fr », son navigateur affiche l’adresse « gendarmerie.interieur.gouv.fr », puisqu’il est redirigé vers l’adresse officielle, et que le contenu de la page fait la promotion du site « magendarmerie.fr », parce que la Gendarmerie a décidé de faire mettre cette adresse alternative en avant.

Site Internet gendarmerie.interieur.gouv.fr qui fait la promotion de magendarmerie.fr
Le site Internet gendarmerie.interieur.gouv.fr fait la promotion du site magendarmerie.fr. © Gendarmerie nationale

Tout cela est bien trop compliqué et ne fait qu’augmenter les risques d’erreur pour les internautes.

Les risques à utiliser plein d’adresses

Il est vrai que les adresses courtes peuvent avoir certains avantages. Elles peuvent, par exemple, être plus facilement mémorisées, à l’instar des numéros de téléphone courts. À une époque, elles permettaient aussi d’être échangées plus facilement sur les réseaux sociaux, surtout lorsque Twitter imposait une limite de 120 caractères et tenait compte de la longueur des adresses.

Pour un service aussi délicat que la Gendarmerie, où les internautes sont susceptibles de divulguer des informations personnelles sur eux-mêmes ou sur leur situation, la priorité devrait être cependant la sécurité et tout devrait être fait pour s’assurer que l’internaute se rend sur le site officiel, et pas un site tiers. Le fait de permettre aux internautes de retenir facilement l’adresse est secondaire. Lorsque les internautes cherchent à contacter la Gendarmerie, il y a fort à parier qu’ils commenceront, de toute manière, par utiliser leur moteur de recherche favori à la recherche du service adapté, plutôt que d’utiliser une adresse qu’ils auraient éventuellement mémorisée et qui change tous les quatre matins.

En utilisant des adresses alternatives, la Gendarmerie fait passer le message aux internautes que les sites Internet autres que ceux finissant par « .gouv.fr » peuvent être aussi officiels, ce qui est un message catastrophique en termes de sécurité. Les internautes ne devraient pas faire confiance aux adresses qui ne finissent pas par « .gouv.fr », car elles auraient très bien pu être acquises par d’autres personnes, françaises ou étrangères, et utilisées malhonnêtement. L’adresse « LAgendarmerie.fr », légèrement différente de celle utilisée par la Gendarmerie « MAgendarmerie.fr », appartient par exemple à une entreprise de République tchèque, et l’adresse « contacterMAgendarmerie.fr », légèrement différente de l’adresse utilisée par la Gendarmerie « contacterLAgendarmerie.fr », pourrait être acquise pour quelques euros par n’importe qui.

En utilisant ces adresses non officielles, la Gendarmerie complique donc beaucoup la tâche aux internautes, qui ne peuvent pas savoir facilement si les liens qui leur sont communiqués appartiennent vraiment aux services de l’État. Les internautes sont donc plus susceptibles d’être victimes de phishing, c’est-à-dire de cliquer sur un lien se faisant passer pour la Gendarmerie et dialoguer avec une personne qui prétend être un gendarme, car si l’adresse « LAgendarmerie.fr » est officielle, l’adresse « MAgendarmerie.fr » pourrait très bien aussi l’être.

Les internautes sont victimes de phishing parce que la technologie est compliquée et qu’il est très difficile de différencier un site officiel d’une contre-façon. Ne leur compliquons pas davantage la tâche. Les organisations publiques devraient avoir l’obligation d’utiliser les adresses officielles et rien d’autre. Cela permettrait d’identifier, en un coup d’œil, si le site est légitime et améliorait la sécurité des internautes.

En souscrivant plein d’adresses, la Gendarmerie se complique aussi la tâche, car toutes ces adresses devront être conservées, payées et maintenues éternellement. Tout cela a non seulement un coût, mais cela fait aussi prendre un risque aux internautes, car si l’une de ces adresses ne serait plus utilisée et serait relâchée[9], une personne tierce, française ou étrangère, pourrait en devenir le propriétaire et pourrait l’utiliser pour nuire.

Imaginez, par exemple, que l’adresse « contacterlagendarmerie.fr » appartienne en 2021 à la Gendarmerie, mais qu’en 2022 la Gendarmerie cesse de l’utiliser, et que l’adresse appartienne à une entreprise étrangère à la place. Les internautes qui auraient mémorisé cette adresse ou l’auraient sauvegardé dans leur navigateur se retrouveraient alors à visiter un site potentiellement pirate, en ayant la certitude de consulter un site officiel. Une catastrophe.

Des risques aussi pour les e-mails

En utilisant des adresses alternatives, la Gendarmerie fait donc passer le message que « contacterlagendarmerie.fr » et « magendarmerie.fr » sont bien des adresses légitimes et qu’elles peuvent être consultées sans crainte.

Ces adresses, comme tous les noms de domaine, pouvant cependant être utilisées aussi bien pour un site Internet que pour envoyer ou recevoir des adresses e-mails, les internautes doivent-ils considérer les e-mails issus de ces adresses comme légitimes ? Pas du tout, selon la porte-parole de la Gendarmerie.

La porte-parole de la Gendarmerie nationale indique que les messages qui ne se terminent pas par gendarmerie.interieur.gouv.fr sont des faux
La porte-parole de la Gendarmerie nationale indique que les e-mails qui ne proviennent pas de l’adresse « gendarmerie.interieur.gouv.fr » sont des faux

La Gendarmerie essaie donc d’expliquer aux internautes que seule l’adresse « gendarmerie.interieur.gouv.fr » est officielle et que seuls les e-mails émanant de cette adresse sont officiels, mais en même temps utilise et fait la promotion d’autres adresses au quotidien. En gros, les sites Internet issus d’autres adresses sont aussi officiels, mais pas les e-mails. Tout cela est, encore une fois, bien trop compliqué et n’a que pour conséquence d’augmenter les risques pour les internautes.

Les professionnels, comme la Gendarmerie, doivent être plus sérieux sur la façon dont ils gèrent leur présence sur Internet et sur la façon dont ils communiquent. Leurs actions au quotidien peuvent avoir des conséquences difficilement réparables dans les esprits des internautes, qui sont, pour la grande majorité, très peu sensibilisés aux problématiques de la cyber-securité. En tant que professionnels, nous avons tous la responsabilité de la sécurité des internautes. Nous devons tous simplifier au maximum nos pratiques pour permettre aux internautes de comprendre facilement ce qui est normal de ce qui ne l’est pas, et ainsi ne pas leur faire prendre des risques inutilement.

La Gendarmarie, pas un cas isolé

La Gendarmerie nationale n’est malheureusement pas la seule entité publique à ne pas utiliser des adresses finissant par « .gouv.fr ».

De nombreuses autres entités font de même, notamment :

  • « service-public.fr », « vie-publique.fr » et « gouvernement.fr », sous l’autorité du Premier ministre ;
  • « police-nationale.fr », qui appartient au Ministère de l’Intérieur ;
  • « sante.fr » et santé.fr », qui appartiennent Ministère de Santé ;
  • « gaspillagealimentaire.fr », qui appartient au Ministère de l’Agriculture ;
  • « cnnumerique.fr », qui appartient au Ministère chargé du Numérique ;
  • « expatries.org », qui appartient au Ministère des Affaires étrangères ;
  • « ameli.fr », « dmp.fr », « caf.fr », « lassuranceretraite.fr » utilisés pour diverses activités de la Sécurité sociale, sous tutelle de différents Ministères ;
  • « cnil.fr », organisme public en charge de l’informatique et des libertés[10].
  • « senat.fr » et « sén.at », utilisés par le Sénat ;
  • « assemblee-nationale.fr », utilisé par l’Assemblée Nationale ;

Il est extrêmement difficile de faire comprendre aux internautes que l’adresse « police-nationale.fr » est officielle, mais pas l’adresse « policenationale.fr » (sans tiret), et il est tout aussi difficile de comprendre pourquoi « gouvernement.fr » est utilisée en complément de « gouv.fr ». Je ne parlerai même pas du Sénat, qui s’amuse avec des adresses autrichiennes (« sén.at »).

Toutes ces adresses font uniquement prendre des risques aux internautes, qui ont la responsabilité de devoir juger, avec des techniques qui restent encore à trouver, si tous ces sites sont légitimes ou non.

En utilisant des adresses finissant uniquement par « gouv.fr », tout cela n’arriverait pas, car les internautes pourraient reconnaître, en un coup d’œil, les sites de l’Administration.

L’Union européenne, un exemple à suivre ?

L’Union européenen semble avoir pris la bonne résolution d’utiliser uniquement des adresses finissant par « europa.eu ». L’Union en fait même la promotion sur son site Internet avec un message simple et clair : « Tous les sites web officiels de l’UE utilisent le domaine europa.eu ».

La bannière du site europa.eu indique : « Tous les sites web officiels de l’UE utilisent le domaine europa.eu »
La bannière du site europa.eu pour sensibiliser les internautes

Un exemple à suivre pour la France ?

MAJ du 21/09/2021 : ajout du fait que l’AFNIC ne permet plus d’acquérir des adresses finissant par « -gouv.fr » depuis le 15/09/2021.
MAJ du 03/11/2021 : ajout du paragraphe sur les adresses non gouvernementales utilisées par les autres entités publiques et ajout de l’exemple du Parlement européen.
MAJ du 30/12/2021 : ajout des exemples : « ameli.fr » et « dmp.fr », « sante.fr », « santé.fr », « caf.fr » et « lassuranceretraite.fr ».
MAJ du 31/12/2021 : ajout de l’exemple « .edu » comme extension possédée par les États-Unis. ajout d’une note sur les noms de domaine des autorités de protection des données européennes. ajout d’une note pour expliquer le terme d’extension. ajout d’une image illustrant l’extention « .gov ».
MAJ du 07/01/2022 : ajout de l’exemple « vie-publique.fr ».

Notes et références

  1. Le compte Twitter de la cyber-Gendarmerie est @CyberGend.
  2. Certains caractères sont difficilement reconnaissables comme le i majuscule et le L minuscule, « I » et « l », le zéro et le o majuscule, « 0 » et « O », ce qui peut induire en erreur les internautes. Voir « Pourquoi le phishing est aussi efficace et comment s’en protéger au mieux ».
  3. Le terme d’« extension » correspond à la dernière partie d’un nom de domaine, « .org » pour l’adresse « ewatchers.org » par exemple. Le terme technique est « domaine de premier niveau », de l’anglais « Top Level Domain »(TLD).
  4. AFNIC : Association Française pour le Nommage Internet en Coopération.
  5. Depuis le 15 septembre 2021, l’enregistrement des noms de domaine se terminant par « -gouv.fr » est interdit. Ceux qui possèdent de tels noms de domaine peuvent cependant les garder et même les renouveler (source : AFNIC).
  6. L’AFNIC, permet, via son site Internet, de trouver des informations sur les sites internet. On peut apprendre, par exemple, que le nom de domaine « contacterlagendarmerie.fr » a été acquis par la Gendarmerie le 18/03/2020.
  7. Le Community Manager, abrégé CM, est le nom de la personne s’occupant des réseaux sociaux d’une entreprise.
  8. Le Community Manager de la Gendarmerie s’est expliqué sur Twitter suite à mes messages ici et .
  9. Les noms de domaine, c’est-à-dire les adresses des sites Internet, ne peuvent pas être achetées, mais uniquement louées. Si une personne ne souhaite plus payer ou utiliser un nom de domaine, celui-ci peut être loué à une autre personne.
  10. La CNIL a le statut d’« Autorité Administrative Indépendante » (AAI), mais ce statut n’est pas nécessairement incompatible avec l’utilisation d’un nom de domaine « gouv.fr ». D’autres pays européens utilisent, par exemple, une adresse gouvernementale pour leur autorité de protection des données : « dsb.gv.at » en Autriche, « dataprotection.gov.cy » à Chypre, « dvi.gov.lv » en Lettonie, « uodo.gov.pl » en Pologne ou « dataprotection.gov.sk » en Slovaquie (source : Commission européenne).