Actuellement, nous constatons l'apparition de toutes sortes d'e-mails de sextorsion. Cette arnaque est peu coûteuse à mettre en œuvre, facile à automatiser et apparemment suffisamment rentable pour que les cybercriminels continuent de l'utiliser. Certains criminels consacrent davantage d'efforts à la rédaction de leurs messages que d'autres.
Les e-mails de « sextorsion » sont des messages dans lesquels des escrocs prétendent vous avoir filmé via votre webcam alors que vous regardiez du contenu pornographique et exigent désormais une rançon. Ce type d'arnaque existe depuis des années et ne cesse d'évoluer, avec de légères modifications dans la formulation et de faux détails techniques.
Ce qui n’a pas changé, c’est la réalité fondamentale : il n’y a ni logiciel malveillant, ni enregistrement, ni preuve crédible à l’appui de cette menace. Bien que j’aie vu d’innombrables versions de ces e-mails au fil des ans, je n’en ai encore jamais rencontré un seul qui fût étayé par les preuves que l’expéditeur prétendait détenir.
Ci-dessous, nous allons passer en revue cet e-mail ligne par ligne, en interrompant le récit de l'escroc par des commentaires qui expliquent d'où proviennent ses affirmations et pourquoi elles ne tiennent pas la route.
« Salut !
J'ai le regret de vous annoncer une triste nouvelle. Il y a environ un ou deux mois, j'ai réussi à obtenir un accès complet à tous vos appareils utilisés pour naviguer sur Internet. Depuis, j'ai commencé à surveiller vos activités sur Internet de manière continue. »
L'introduction donne le ton. La phrase «Total à tous vos appareils » est un signal d'alerte immédiat, car elle est extrêmement peu crédible et techniquement vague. Les véritables pirates ont tendance à être plus précis quant à ce à quoi ils ont accédé (quel appareil, quel système d'exploitation, quelle application), tandis que les escrocs restent délibérément vagues afin que tout le monde puisse penser que cela s'applique à lui.
“Go ahead and take a look at the sequence of events provided below for your reference: Initially I bought an exclusive access from hackers to a long list of email accounts (in today’s world, that is really a common thing, which can arranged via internet). Evidently, it wasn’t hard for me to proceed with logging in your email account (<REDACTED_EMAIL>). “
Ici, l’escroc prétend avoir acheté l’accès à une « longue liste de comptes de messagerie ». Il s’agit d’une référence déformée aux véritables courtiers en accès initiaux (IAB) et aux marchés d’identifiants, où les criminels échangent des mots de passe ou des jetons de session volés. Dans cet e-mail, cependant, aucun mot de passe, aucune heure de connexion ni aucune adresse IP n’est fourni : seulement une adresse e-mail qu’ils connaissaient déjà. Il n’y a donc aucune preuve concrète de prise de contrôle ou de compromission d’un compte.
« Au cours de cette même semaine, j’ai poursuivi mon opération en installant un cheval de Troie dans les systèmes d’exploitation de tous les appareils que vous utilisez pour vous connecter à votre messagerie. Pour être franc, cela ne m’a posé aucun problème (puisque vous avez eu la gentillesse de cliquer auparavant sur certains liens contenus dans les e-mails de votre boîte de réception). Eh oui, il y a des génies parmi nous. »
L'allégation concernant un « virus de type cheval de Troie » fait écho à ce que nous avons observé dans d'autres campagnes de sextorsion qui citent au hasard des familles de logiciels malveillants ou des failles de sécurité pour paraître crédibles. Là encore, aucun nom de logiciel malveillant, chemin d'accès à un fichier ou faille de sécurité n'est précisé : il s'agit simplement d'un récit générique destiné à effrayer toute personne ayant déjà cliqué sur un lien.
« Grâce à ce cheval de Troie, je peux accéder à l’ensemble des périphériques de contrôle de vos appareils (par exemple, votre caméra vidéo, votre clavier, votre microphone et bien d’autres). J’ai ainsi pu télécharger sans difficulté toutes vos données, y compris vos photos, votre historique de navigation et d’autres types de données, vers mes serveurs. De plus, j’ai accès à tous les comptes de réseaux sociaux que vous utilisez régulièrement, y compris vos e-mails, votre historique de discussion, vos messageries instantanées, votre liste de contacts, etc. Mon virus unique actualise sans cesse ses signatures (grâce à un pilote), ce qui lui permet de passer inaperçu face à n’importe quel type d’antivirus. »
Cette section tente de paraître technique en évoquant des notions telles que « contrôleurs », « pilotes » ou « mise à jour des signatures ». Or, rien de tout cela ne correspond au fonctionnement réel des produits de sécurité ou des logiciels malveillants. Les chevaux de Troie et les logiciels espions modernes peuvent certes utiliser des pilotes, des mécanismes de persistance ou chiffrement, mais des affirmations telles que «tout type d’antivirus »ou « la mise à jour incessante de ses signatures » ne sont que du bluff destiné à des lecteurs non initiés.
« Je suppose donc que vous comprenez désormais pourquoi je suis toujours passé inaperçu jusqu’à cette lettre… »
Cette explication tente de justifier une incohérence majeure. Si l’agresseur avait réellement un contrôle total et surveillait la victime depuis « un mois ou deux », pourquoi la seule preuve disponible est-elle un e-mail ne contenant ni journaux, ni captures d’écran, ni extrait vidéo ? Si quelqu’un dispose réellement d’éléments compromettants, il fournira au moins quelques preuves, car c’est ce qui oblige les victimes à prendre la situation au sérieux.
« En rassemblant toutes les informations te concernant, j’ai également remarqué que tu es un fervent adepte et un utilisateur régulier de sites web proposant du contenu pour adultes très osé. Il s’avère que vous adorez vraiment visiter des sites pornographiques, regarder des vidéos excitantes et vivre des plaisirs inoubliables. En réalité, je n’ai pas pu résister à la tentation et j’ai filmé certaines scènes solo osées dont vous êtes le protagoniste, puis j’ai monté quelques vidéos dévoilant vos scènes de masturbation et d’éjaculation. »
Voici le classique argument de chantage sexuel : « Je t’ai filmé pendant que tu regardais du porno. » On observe des variantes de cette formule depuis au moins 2018, souvent reprises mot pour mot dans d’énormes campagnes de spam. Cette arnaque mise davantage sur la honte et la peur que sur une quelconque crédibilité technique. L’objectif est de pousser les victimes à céder à la panique pour qu’elles paient.
« Si, jusqu’à présent, vous ne me croyez pas, il me suffit d’un ou deux clics de souris pour créer toutes ces vidéos mettant en scène toutes les personnes que vous connaissez, y compris vos amis, vos collègues, vos proches et bien d’autres encore. De plus, je suis capable de mettre tout ce contenu vidéo en ligne pour que tout le monde puisse le voir. »
Une fois encore, notez l’absence de preuve. Il n’y a ni image d’aperçu, ni extrait vidéo, ni mention d’un compte spécifique sur les réseaux sociaux — juste une menace d’envoyer le message à « toutes vos connaissances ». Le message est délibérément vague. Il doit en effet s’adapter à des millions de destinataires dont les cercles sociaux sont totalement différents.
« Je pense sincèrement que vous ne souhaiteriez certainement pas que de tels incidents se produisent, compte tenu du caractère obscène des vidéos que vous regardez régulièrement (vous savez parfaitement ce que j’entends par là) ; cela vous causerait d’énormes ennuis. Il existe toutefois une solution à ce problème, et voici ce que vous devez faire : effectuez un virement de 1 490 dollars américains sur mon compte (ou l’équivalent en bitcoins, calculé en fonction du taux de change en vigueur à la date du virement). Dès réception de ce virement, je supprimerai immédiatement toutes ces vidéos à caractère sexuel, sans délai. Après cela, nous pourrons faire comme si rien ne s’était passé auparavant. De plus, je peux vous garantir que tous les chevaux de Troie seront désactivés et supprimés de tous les appareils que vous utilisez. Vous n’avez aucune raison de vous inquiéter, car je tiens toujours parole. »
Le montant et le mode de paiement — un peu moins de 1 500 dollars, réglés en bitcoins — sont caractéristiques de ce type d'escroquerie. Les cryptomonnaies sont très prisées par les escrocs, car les paiements sont difficiles à annuler et peuvent être transférés rapidement. Malgré sa réputation, le bitcoin n'est pas anonyme, et les forces de l'ordre ont réussi à remonter la piste de nombreuses transactions criminelles.
“That is indeed a beneficial bargain that comes with a relatively reduced price, taking into consideration that your profile and traffic were under close monitoring during a long time frame. If you are still unclear regarding how to buy and perform transactions with bitcoins – everything is available online. Below is my bitcoin wallet for your further reference: <REDACTED_ACCOUNT> All you have is 48 hours and the countdown begins once this email is opened (in other words 2 days).”
Les délais serrés et les formules de type « compte à rebours » sont des tactiques de pression psychologique, et non des réalités techniques. Les escrocs veulent vous faire paniquer, et non vous faire réfléchir, car un lecteur serein a plus de chances de repérer les incohérences dans leur histoire.
« La liste suivante répertorie les choses que vous devez garder à l’esprit et éviter de faire :
> Il est inutile d’essayer de répondre à mon e-mail (puisque cet e-mail et l’adresse d’expéditeur ont été créés depuis votre boîte de réception).
> Il est également inutile d’appeler la police ou tout autre service de sécurité. De plus, ne vous avisez surtout pas de partager ces informations avec vos amis. Si je m’en aperçois (compte tenu de mes compétences, ce sera un jeu d’enfant, car je contrôle tous vos systèmes et les surveille en permanence), votre vidéo compromettante sera immédiatement diffusée au grand public.
> Il est également inutile de chercher à me retrouver : cela ne mènera à rien. Les transactions en cryptomonnaie sont totalement anonymes et intraçables.
> Il ne sert à rien de réinstaller votre système d’exploitation sur vos appareils ni d’essayer de vous en débarrasser. Cela ne résoudra pas le problème, puisque toutes les vidéos dont vous êtes le personnage principal ont déjà été mises en ligne sur des serveurs distants. »
Cette section porte essentiellement sur la gestion des objections. L'escroc anticipe les réactions courantes — en parler à quelqu'un, appeler la police, réinstaller le système — et tente de les contrer. L'affirmation selon laquelle l'adresse e-mail aurait été « créée dans votre boîte de réception » est particulièrement révélatrice. Il s'agit d'une tentative visant à faire passer une adresse d'expéditeur générique pour une preuve de piratage.
« Ce qui pourrait vous inquiéter :
> Que ce virement ne me parvienne pas. Respirez, je peux tout suivre en temps réel ; dès que le virement sera effectué, j'en aurai la certitude, car je surveille en permanence toutes vos activités (mon cheval de Troie contrôle tous les processus à distance, tout comme TeamViewer). »
La mention de TeamViewer, un outil d’accès à distance légitime, est une autre tactique que nous avons observée dans les récents e-mails de sextorsion. Elle permet à l’escroc d’ancrer son histoire à quelque chose dont les utilisateurs ont peut-être entendu parler ou qu’ils ont utilisé au travail. Mais il n’y a toujours aucune preuve d’accès à distance, et l’affirmation selon laquelle le logiciel malveillant « contrôle tous les processus » ignore le fonctionnement réel des systèmes d’exploitation et des contrôles de sécurité.
«> Que vos vidéos seront diffusées, même si vous avez effectué le virement sur mon portefeuille. Croyez-moi, cela ne m’apporte absolument rien de continuer à vous importuner une fois le virement effectué. D’ailleurs, si cela avait jamais fait partie de mon plan, je l’aurais mis à exécution bien plus tôt ! Nous allons aborder et régler cette affaire de manière claire ! Pour conclure, j’aimerais vous donner un dernier conseil… À l’avenir, vous devrez vous assurer de ne plus vous retrouver impliqué dans ce genre d’incidents désagréables ! Mon conseil : veillez à changer régulièrement tous vos mots de passe. »
Terminer par des conseils de sécurité est une manœuvre manipulatrice. En proposant des recommandations utiles, l'escroc tente de se présenter comme une personne crédible et digne de confiance, plutôt que comme un criminel. Cela ne change toutefois rien au fait que l'e-mail ne contient aucune preuve permettant d'étayer la véracité de ces affirmations.
Comment réagir face aux e-mails de chantage sexuel
Cet exemple est particulièrement mal rédigé, mais de nombreux e-mails de sextorsion sont bien plus soignés et convaincants. Quelle que soit leur apparence professionnelle, ils doivent être traités de la même manière : comme des menaces sans fondement destinées à effrayer les victimes pour les pousser à payer.
- Avant toute chose, ne répondez jamais à ce genre d'e-mails. Le fait de répondre confirme que quelqu'un consulte régulièrement les messages envoyés à cette adresse et peut encourager de nouvelles tentatives d'escroquerie.
- Ne vous laissez pas pousser à agir ou à prendre des décisions à la hâte. Les escrocs misent sur le fait que vous ne prendrez pas le temps de bien réfléchir et que vous finirez par commettre des erreurs. Demandez conseil si vous avez des doutes.
- Une pièce jointe ne constitue pas une preuve. La plupart des e-mails de sextorsion ne contiennent aucune preuve, et les cybercriminels utilisent souvent des pièces jointes pour diffuser des logiciels malveillants ou rendre leurs menaces plus convaincantes.
- Si l'e-mail contient un mot de passe que vous avez déjà utilisé, modifiez-le immédiatement partout où il est encore en vigueur. Activez ensuite l'authentification à deux facteurs dès que possible. Si vous avez du mal à gérer vos mots de passe, pensez à utiliser ungestionnaire de mots de passe.
- Supprimez le message, signalez-le comme spam, et passez à autre chose.
Même si ces e-mails de chantage sexuel ne sont presque toujours que des menaces en l'air, si vous craignez que votre webcam soit espionnée, Malwarebytes Monitoring peut vous alerter dès qu'une application tente d'accéder à votre caméra.
