« Non, même si un pirate a votre mot de passe, il n’a pas pour autant hacké votre ordinateur et fait une vidéo de vous visitant un site web pornographique. » C’est la réponse que je donne au moins trois fois par semaine, depuis les cinq derniers mois, à des personnes ayant reçu un email avec leur mot de passe dans le titre.
Dans cet email, le hackeur prétend avoir infecté l’ordinateur de sa victime, lorsque celle-ci de naviguait sur un site pornographique. Il aurait alors installé un RAT (cheval de Troie) et activé la webcam afin de le filmer pendant qu’il savourait le site web. En conclusion du email, le hackeur menace d’envoyer la vidéo à tous les contacts de la victime si une rançon ne lui est pas versée…
Depuis cet été, ces hackeurs multiplient les attaques de sextorsion et autres arnaques par email. Ils utilisent le peu d’information qu’ils ont sur leurs victimes pour leur faire croire le pire et capitalisent sur leur crainte et naïveté pour leur escroquer de l’argent. Les hackeurs essaient de provoquer une réaction émotionnelle, liée à des sentiments de honte, de peur et d’empressement, afin d’encaisser les rançons sans que les victimes réfléchissent ou se posent la question si cette crainte est légitime.
Aujourd’hui, la Cyber-communauté détient approximativement 3 milliards de combinaisons de nom d’utilisateur et mot de passe. Ces derniers ont été récupérés à la suite des fuites ou des piratages, et sont en libre accès, disponibles sur des forums fermés du darkweb ou mis en vente à des criminels.
Lorsqu’une combinaison nom d’utilisateur et mot de passe aboutit dans les mains d’un hackeur, celui-ci va chercher à monétiser cette information. Habituellement, le pirate accédait aux comptes email et réseaux sociaux de la victime pour envoyer des virus à ses contacts ; toutefois, cette démarche était laborieuse et avait un taux de réussite relativement faible.
Ainsi, les hackeurs ont commencé à envoyer des emails mentionnant les informations volées pour rendre leur menace crédible. C’est un effet psychologique très intéressant, car on a tendance à penser que « qui peut le plus, peut le moins » : un hackeur ayant réussi à voler un mot de passe, aurait pu très facilement se connecter à la webcam. Rationnellement, on réalise pourtant que, si le hackeur avait une vidéo de nous, c’est des images de celle-ci et non pas le mot de passe qui nous seraient envoyées par email pour nous persuader du chantage.
Il est intéressant de voir que d’autres variations du texte ont été envoyées. Par exemple, un tueur à gages aurait été engagé pour assassiner le destinataire de l’email, mais celui-ci, ayant changé d’avis, est maintenant disposé à vendre des informations sur les personnes qui l’ont embauché. Le hackeur utilise comme preuve de cette histoire la connaissance de l’adresse physique de la cible (information aussi disponible lors des fuite et vol de données).
Une autre variante d’email d’extorsion propose de vendre aux victimes la preuve de l’infidélité de leur conjoint.
Nous avons même vu un email venant d’une Étude d’avocats, prétendant avoir été engagé par la femme de la cible pour une demande de divorce et souhaitant partager des informations avec lui.
Ces emails sont régulièrement envoyés à des centaines de milliers de personnes. La majorité des, cibles ne se sentira pas concernée par le message, n’ayant pas visité de site pornographique, n’étant pas marié, le mot de passe en question n’étant plus utilisé depuis des années, ou simplement parce l’arnaque a été remarquée. Mais, selon les lois de probabilité, il y aura forcément une personne qui recevra cet email peu de temps après avoir visité un site pornographique ou s’être disputée avec son conjoint et pour laquelle l’email semblera extrêmement menaçant et crédible. Comme preuve, cette campagne de sextortion a rapporté aux hackeurs plus de $146’000 en 60 jours.
À la fin novembre de cette année, la chaine d’hôtel Marriott a annoncé avoir été victime d’une brèche de sécurité entrainant un vol de données personnelles telles que le nom complet, adresse physique, numéro de téléphone, email, année de naissance, sexe, date de séjour et numéro de passeport de plus de 500 millions de clients. Les hackeurs de cette l’attaque sont pour le moment inconnus (avec une suspicion pointant vers le gouvernement chinois) ; s’il s’agit d’un groupe criminel, ce dernier n’aura aucune difficulté à générer automatiquement 500 millions d’emails de sextortion tels que le suivant, avec un taux de réussite proportionnellement minime, mais conséquent en vue du nombre :
« Cher Monsieur Muller, nous avons une vidéo de vous en train de tromper votre femme la nuit de 5 octobre au W Paris Opera. Nous allons envoyer cette vidéo à votre femme au 18 route de Frontenex à Genève, si vous ne payez pas 5’000 CHF dans la journée. N’essayez pas d’appeler la police, car votre téléphone 079 123 45 67 est sous écoute ».
Nous sommes obligés de partager des informations personnelles avec les entités afin de pouvoir interagir avec elles. Suite à un hack ou à une brèche de sécurité, nous sommes tous conscients qu’il faudra changer ses mots de passe ; toutefois, nous ne pouvons pas pour autant changer notre nom, numéro de passeport, date de naissance, etc.. À cause de cela, il est essentiel, lors d’un piratage, d’indiquer exactement aux victimes collatérales quelles informations ont été volées et expliquer comment une personne malveillante pourra les utiliser à son avantage. Ainsi, les personnes avec des données personnelles volées prendront conscience des vrais dangers et ne se laisseront pas piéger par des pirates soi-disant possédant des informations compromettantes additionnelles.
