«Paie-moi en bitcoins ou je publie des vidéos de toi en train de te faire plaisir devant du porno!» Vous avez peut-être déjà reçu un e-mail du genre. Peut-être avez-vous alors lu son contenu et rapidement décelé qu’il s’agissait d’une arnaque, de «phishing», avec raison.
Mais les escrocs sont toujours plus audacieux. Dans l’une des dernières versions qui circulent, le titre de l’objet de l’e-mail contient un mot de passe de la personne visée, ce qui rend l’attaque bien plus crédible.
«J’ai pensé qu’on avait piraté mon ordinateur»
C’est ce qui est arrivé à Dora*, 25 ans. «Je me suis dit que si le maître chanteur connaissait mon mot de passe, c’est qu’il avait réussi à pirater mon ordinateur!», raconte l’étudiante. Comme elle, d’innombrables personnes ont reçu ce genre de menaces au cours des derniers mois. Les membres de la rédaction de Blick ont aussi reçu plusieurs e-mails de ce type. Les destinataires sont toutes des femmes, ce qui pourrait toutefois être une coïncidence.
La méthode? L’expéditeur prétend avoir piraté l’ordinateur de la victime et de l’avoir filmée en train de se masturber devant un film à caractère pornographique. Si le montant exigé n’est pas versé, la vidéo sera envoyée aux proches des personnes concernées et publiée en ligne, menace l’e-mail.
Les escrocs donnent même une marche à suivre pour payer «Si tu ne sais pas comment transférer des bitcoins, google 'how to buy bitcoin'». Comme preuve présumée de la compromission de l’ordinateur, ils indiquent un mot de passe que la destinataire a utilisé une fois ou utilise encore.
«Fake-Sextortion»
Il s’agit toutefois d’un coup de bluff. Les mots de passe proviennent en effet du Dark web. Les mots de passe des utilisateurs y atterrissent après des fuites de données de certaines plateformes et sont disponibles à l’achat. Les escrocs n’ont jamais eu accès à la caméra. Il est certes possible d’infiltrer un ordinateur avec un logiciel malveillant. Mais dans le cas des e-mails de phishing, qui sont envoyés à des centaines, voire milliers, de destinataires, cela reste très improbable, souligne Carola Hug. L’experte en cybersécurité explique: «Pourquoi se donneraient-ils cette peine? La menace a déjà suffisamment efficace sans cela.»
Le taux de réussite est très faible, mais cela suffit. Selon certaines estimations, plus de 22 millions de dollars sont obtenus chaque année dans le monde au travers de ce que l’on appelle la «Fake-Sextortion», du chantage sur objet à caractère sexuel qui n’existe pas.
Rien qu’en Suisse, selon le Centre national de cybersécurité, des maîtres chanteurs ont obtenu des centaines de milliers de francs. «Les escrocs spéculent sur le fait que la plupart d’entre nous ont déjà visité un site pornographique et préfèrent payer par peur d’être embarrassés», explique Carola Hug.
Des enquêtes difficiles
Le procédé est connu de plusieurs services de police cantonaux, certains ont reçu des dénonciations. En 2018, l’Office fédéral de la police recueillait déjà des retours à ce sujet. Les criminels n’ont pas cessé d’affiner leurs méthodes, comme le montrent les radars de phishing et les messages sur la plateforme Bitcoin Abuse. Parfois, un rappel à l’ordre est envoyé un jour après le premier courriel.
Les enquêtes se sont avérées difficiles jusqu’ici, explique Urs Wigger de la police cantonale lucernoise: «Les comptes des malfaiteurs mènent généralement à des cybercafés publics quelque part dans le monde, où les contrôles sont laxistes, voire inexistants.» Selon Marc Besson de la police cantonale zurichoise, il est important de ne pas donner suite à la demande. Il faut au contraire porter plainte.
«Ne demandez pas non plus de renseignements», avertit Carola Hug. «Si vous répondez à un spam, les escrocs pourraient essayer de faire encore davantage pression», explique-t-elle. Il ne faut donc pas se laisser intimider par ces menaces qui sont sans fondement. Il est toutefois conseillé de changer les mots de passe compromis dans la précipitation.
*Nom connu de la rédaction
(Adaptation par Jessica Chautems)