⚡ Synthèse exécutive
L'audit externe identifie 4 vulnérabilités exploitables sans intrusion, dont 1 critique permettant l'usurpation totale du domaine bentouch.group à des fins de fraude au président. Volume cible : 800+ collaborateurs, ~80 agences franchisées (source technitoit.com), 4 verticales métiers (rénovation · hôtellerie · restauration · digital interne). Risque financier estimé : de 50 k€ à plusieurs M€ selon scénario.
1 Périmètre identifié
| Entité | Activité | Domaine principal | Surface |
|---|
| Technitoit | Rénovation toiture | technitoit.com | Élevée |
| Ben Touch Group | Holding | bentouch.group | Critique |
| Mister Toiture | Rénovation | À vérifier | Élevée |
| Europe Énergie | Rénovation énergétique | À vérifier | Élevée |
| Ben Touch Digital | Agence digitale interne | À vérifier | Moyenne |
| L'Attilio | Restaurant Paris | À vérifier | Faible |
| Château de Noirieux (Briollay 49) | Hôtellerie 5★ | À cartographier | Moyenne |
| Château du Portereau (Vertou 44) | Hôtellerie luxe 26 chambres | À cartographier | Moyenne |
| SO Cholet | Football (ex-mandat) | — | Hors scope |
| + 60 entités | SCI / SCP / franchises | n.c. | À cartographier |
Sources : Pappers, e-pro.fr, Infonet, presse régionale. Audit limité aux domaines publics les plus visibles. Une cartographie exhaustive des 68 entités révélerait probablement 5 à 10 domaines additionnels avec leurs propres failles.
2 Vulnérabilités identifiées
⚙️ 30 sec de vocabulaire — DMARC, SPF et DKIM sont les 3 protocoles qui empêchent un attaquant d'envoyer un mail en se faisant passer pour vous. Pensez-y comme une signature digitale du domaine : sans elle, n'importe qui peut envoyer "benjamin@bentouch.group" depuis son ordinateur, et le mail arrivera dans la boîte de votre DAF sans déclencher d'alerte. Pour un PDG : c'est l'équivalent d'avoir oublié de fermer la porte d'entrée.
Le domaine du holding bentouch.group ne dispose d'aucun enregistrement DMARC. Couplé à un SPF non strict, cela permet à n'importe quel serveur tiers d'envoyer des emails authentiques en apparence depuis @bentouch.group, sans être bloqué par les filtres mail des destinataires (banques, fournisseurs, franchisés).
$ dig +short TXT _dmarc.bentouch.group
(aucun enregistrement)
$ dig +short bentouch.group MX
10 mx03.cloud.vadesecure.com.
10 mx04.cloud.vadesecure.com.
1 mx02.cloud.vadesecure.com.
1 mx01.cloud.vadesecure.com.
Impact : Un attaquant peut envoyer un email "Benjamin Erisoglu <benjamin@bentouch.group>" à votre directeur financier ou à un franchisé pour ordonner un virement urgent. C'est exactement le scénario du BEC (Business Email Compromise). Référence chiffrée publique : FBI IC3 rapport 2024 — 21 442 incidents BEC déclarés, perte moyenne ~129 000 USD par incident. Cas français médiatisé : Pathé, 19 M€ détournés en 2018 sur ce même type d'attaque.
Sur technitoit.com, un DMARC existe en mode quarantine, mais avec deux faiblesses majeures.
$ dig +short TXT _dmarc.technitoit.com
"v=DMARC1; p=quarantine; sp=none; rua=mailto:dmarc@technitoit.com!10m; pct=100; ri=86400"
- sp=none : les sous-domaines (
commercial.technitoit.com, franchise.technitoit.com, etc.) ne sont pas protégés. Un attaquant peut créer un sous-domaine non répertorié et l'utiliser pour usurper.
- Anomalie syntaxique : le
!10m au milieu du rua= n'est pas du DMARC standard. Cette erreur de configuration peut entraîner le non-envoi des rapports DMARC vers dmarc@technitoit.com = vous ne savez pas qui usurpe votre domaine en ce moment.
Impact : Pas de visibilité sur les tentatives d'usurpation. Un attaquant peut tester pendant des semaines sans être détecté.
L'analyse SPF de technitoit.com révèle 5 vendeurs email différents autorisés à envoyer en votre nom :
$ dig +short TXT technitoit.com | grep spf
"v=spf1 ip4:185.188.168.42
include:spf.cloud.vadesecure.com
include:spf.protection.outlook.com
include:spf.sendinblue.com
include:servers.mcsv.net (= Mailchimp)
mx ~all"
5 vendeurs email = 5 surfaces d'attaque côté chaîne d'approvisionnement. À noter : Vade Secure est un acteur français, partenaire ANSSI — c'est plutôt un point fort. Le risque réel concerne les plateformes d'envoi en masse côté marketing (Sendinblue/Brevo, Mailchimp). Si UN seul accès admin sur ces outils est compromis (credentials leakés sur le dark web, employé hameçonné), l'attaquant peut envoyer des emails "officiels" depuis votre domaine sans être bloqué par SPF.
Impact : Phishing de masse sur les 800+ employés et les franchisés depuis un compte Mailchimp ou Brevo compromis. Précédent secteur : Mailchimp a subi plusieurs incidents de credentials volés en 2022-2024 (épisode 2023 : ~133 comptes clients compromis via social engineering interne — source Mailchimp incident report).
Au-delà du volume normal pour un acteur de la rénovation à 30 000 chantiers/an, plusieurs signaux publics donnent à un social engineer assez de matière pour usurper l'identité de clients mécontents et tester la résistance des équipes service client / juridique.
- Plus de 350 avis publics sur Trustpilot (technitoit.com), dont une part exprime des griefs sur la qualité ou les finitions — mots-clés exploitables (« infiltration », « hydrofuge », « relance commerciale ») pour rédiger un faux mail client crédible.
- Décision défavorable historique : Cour d'appel de Poitiers, 26 juin 2015 (n° 14/00988) — Technitoit a été condamné à un remboursement client. Affaire ancienne mais publique sur Doctrine.fr.
- Article UFC-Que Choisir Nantes 2023 mentionnant un dossier consommateur gagné par un client (façade), toujours indexé par les moteurs de recherche.
- Ben Touch est procédurier et défend sa réputation : Technitoit a obtenu condamnation d'UFC-Que Choisir en diffamation au Tribunal judiciaire de Paris en 2021 (n° 20/07067) puis en appel en mai 2022 (n° 21/05245). C'est un bon signal — mais cela montre qu'il y a déjà eu une bataille publique autour de la marque, et donc un terrain prêt pour un negative SEO ciblé.
Impact : Un attaquant peut se faire passer pour un client mécontent (ton crédible grâce au corpus d'avis publics) et exiger un remboursement urgent par virement, ou viser le service juridique avec une fausse mise en demeure pour récupérer un email de contact direct. Côté SEO, un concurrent peut amplifier des contenus négatifs existants sans rien inventer.
L'analyse externe révèle deux problèmes additionnels graves qui élargissent considérablement la surface d'attaque.
A. Domaines lookalike enregistrés et actifs
Plusieurs variantes de noms de domaine du groupe sont déjà enregistrées et actives sur Internet :
$ whois bentouch-group.com -> status: ACTIVE
$ whois technitoit-france.com -> status: ACTIVE
$ whois technitoit-finance.fr -> status: ACTIVE
$ whois ben-touch.com -> ACTIVE (Gandi, depuis 2011)
$ whois technitoit.fr -> ACTIVE (Gandi, 2004)
Si l'un de ces domaines n'appartient PAS à Ben Touch (à vérifier au RDV via les whois historiques), un attaquant peut déjà envoyer des emails du type comptabilite@bentouch-group.com ou finance@technitoit-finance.fr et passer pour le groupe. Phishing de typosquatting industrialisable immédiatement.
B. Mister Toiture et Europe Énergie également sans DMARC
Le trou DMARC sur bentouch.group n'est pas un cas isolé — il est systémique sur le groupe :
$ dig +short TXT _dmarc.mistertoiture.fr -> (aucun enregistrement)
$ dig +short TXT _dmarc.europeenergie.fr -> (aucun enregistrement)
$ dig +short mistertoiture.fr MX -> spool.mail.gandi.net
$ dig +short europeenergie.fr MX -> spool.mail.gandi.net
Trois entités du groupe (Ben Touch holding, Mister Toiture, Europe Énergie) exposent leurs domaines au même type d'usurpation. Le scénario BEC se multiplie par trois.
À noter aussi : Mister Toiture et Europe Énergie utilisent Gandi Mail (et non Vade Secure comme Technitoit/Ben Touch) — disparité d'infrastructure email entre filiales du même groupe = gouvernance email fragmentée, surface d'attaque élargie, pas de politique unifiée, pas de surveillance centralisée.
Impact : Multiplication par 3 du risque BEC sur les filiales. Risque additionnel de typosquatting si les lookalike domains ne sont pas à vous. Vérification urgente recommandée : à qui appartiennent bentouch-group.com, technitoit-france.com, technitoit-finance.fr ? Si pas à vous, dépôt défensif immédiat (~10 €/an chacun) et politique DMARC strict sur les 3 entités du groupe.
3 Scénarios d'attaque réalistes
SCÉNARIO A · Fraude au président (BEC)
- Attaquant scrape LinkedIn pour identifier le directeur financier de Ben Touch Group et un franchisé Technitoit.
- Il envoie un email depuis
benjamin.erisoglu@bentouch.group (usurpé via DMARC manquant) au DAF, en CC fictif d'un avocat.
- Email type : "Acquisition confidentielle en cours, virement urgent de 350 k€ vers compte d'avocat séquestre, ne contactez personne avant signature."
- Ton imite Benjamin (vous l'avez rencontré, mass — tu sais qu'il est direct, parle franco-turc business, etc. = scrappable sur ses interviews YouTube).
Coût attendu pour Ben Touch : 200 k€ à 800 k€ par tentative réussie · Probabilité : élevée sur 3 ans sans correction.
SCÉNARIO B · Phishing franchisés via sous-domaine
- Attaquant exploite
sp=none de technitoit.com et crée franchise-portal.technitoit.com (DNS qu'on ne contrôle plus).
- Il envoie aux 70 franchisés : "Mise à jour obligatoire du portail franchise · Connectez-vous avec vos identifiants pour conserver l'accès aux contrats".
- Récolte des credentials → accès aux outils internes : ERP, intranet, espace fournisseurs.
- Pivot : déploiement de ransomware sur le réseau d'une franchise → propagation au siège.
Coût attendu : arrêt opérationnel 2 à 6 semaines · Pertes : 1 à 5 M€ selon période (saison haute = pire).
SCÉNARIO C · Compromission via plateforme d'emailing tierce
- Attaquant achète sur le dark web des lots de credentials volés (corpus combo-list, ~quelques centaines d'euros pour des millions d'identifiants).
- Il filtre les credentials qui matchent
@technitoit.com ou @bentouch.group (technique OSINT classique).
- S'il identifie un compte admin sur Mailchimp ou Brevo (Sendinblue) toujours actif → il envoie un emailing "officiel" à la base client avec un lien de phishing.
- Conséquences : notification CNIL obligatoire (RGPD, 72 h), perte de confiance, amende potentielle (jusqu'à 4 % du CA mondial annuel selon la gravité) — en pratique les amendes CNIL en France varient de 50 k€ à plusieurs millions selon l'ampleur.
Probabilité significative si aucune MFA obligatoire n'est en place sur les plateformes d'emailing tierces, et si aucune surveillance des credentials leakés n'est active.
4 Recommandations prioritaires
🛡️ Action immédiate (semaine 1)
- Déployer un DMARC strict sur bentouch.group (
p=reject, sp=reject, agrégat vers SOC ou prestataire externe)
- Corriger la syntaxe DMARC de
technitoit.com et passer en p=reject; sp=reject
- Activer la 2FA obligatoire sur tous les comptes vendor email (Mailchimp, Sendinblue, Vade Secure admin)
- Audit de tous les sous-domaines orphelins (
old-website, preprod, recettes, staging) → désactivation des inutilisés
🔍 Audit complet (semaines 2-4)
- Cartographie exhaustive des 68 entités juridiques → identification de tous les domaines, infogérants, prestataires email
- Recherche de credentials leakés (HaveIBeenPwned, DeHashed, breached.dev) sur tous les emails @ben*group / @technitoit*
- Test de phishing simulé sur un échantillon de 50 collaborateurs (mesure de la maturité humaine)
- Cartographie des accès franchisés et tiers (qui peut envoyer en votre nom ? qui a un accès intranet ?)
- Audit du château hôtel + L'Attilio (Booking access, Wi-Fi guests, caisse, etc.)
📈 Mise sous surveillance continue (mensuel)
- Monitoring des mentions Erisoglu / Ben Touch sur le dark web et les forums underground
- Alertes sur les domaines lookalike (
bentouch-group.com, technitoit-finance.fr = potentiel typosquatting)
- Rapport mensuel des tentatives DMARC + faux positifs
- Veille sur les recoupements OSINT (nouvelles fuites, nouvelles affaires juridiques exploitables)
5 Pourquoi un audit externe indépendant
Ben Touch Digital est votre agence digitale interne, focalisée sur le marketing (acquisition, pub, SEO). C'est un excellent choix pour ces missions, mais ce n'est pas un rôle de sécurité offensive. Ce qu'un audit externe red-team apporte :
- Regard adverse : un consultant qui pense comme un attaquant, pas comme un opérateur marketing
- Indépendance : pas de conflit d'intérêt entre "vendre du service" et "détecter les failles d'un autre service interne"
- Reproduction des techniques réelles : OSINT passif, scraping, ingénierie sociale en boîte blanche, simulation BEC sur volontaires
- Veille permanente : Ben Touch Digital ne surveille pas les leaks dark web, ni les breachs vendor, ni les domaines lookalike — c'est un autre métier
📋 Proposition de mission
Phase 1 — Audit externe complet sur les 68 entités identifiées : OSINT exhaustif, cartographie domaines, test DMARC/SPF/DKIM, recherche de credentials leakés, simulation BEC sur 5 cibles internes (avec autorisation).
Livrable : rapport 30 pages + plan d'action priorisé + restitution orale 2 h.
Délai : 3 semaines.
Tarif : 12 000 € HT.
Phase 2 — Veille continue (option) : monitoring mensuel dark web + DMARC + lookalike domains + reporting trimestriel.
Tarif : 800 €/mois.
Méthodologie et cadre légal. Ce document a été produit selon une approche d'OSINT passif uniquement : aucune connexion non-autorisée, aucun scan intrusif, aucune tentative d'authentification, aucune exploitation. L'ensemble des informations utilisées est publiquement accessible : registres légaux (Pappers, Infonet, Societe.com), DNS publics, presse, jurisprudence publique, plateformes d'avis. Cette démarche est conforme au cadre légal français (Code pénal, articles 323-1 et suivants relatifs aux atteintes aux STAD — aucun accès non autorisé n'a été tenté ni effectué) et aux pratiques professionnelles d'audit de sécurité externe (référentiels ANSSI, OWASP).
Document confidentiel. Préparé exclusivement pour discussion privée avec M. Bunyamin Erisoglu. Ne pas diffuser sans autorisation écrite.