arnaque

Cinquante nuances de sextorsion

Comment les cybercriminels tirent profit de la vie amoureuse de leurs victimes.

Stan Kaminsky
23 Oct 2024

La sextorsion est un terme qui regroupe les mots « sexe » et « extorsion ». À l’origine, il désignait le chantage exercé au moyen de photos ou de vidéos compromettantes obtenues soit par piratage de l’appareil de la victime, soit volontairement auprès de la victime elle-même. Bien que cette forme de criminalité existe toujours, les auteurs de sextorsion d’aujourd’hui sont beaucoup moins susceptibles de détenir du matériel compromettant. Certaines formes de sextorsion réussissent même lorsque la victime sait pertinemment qu’il n’existe pas de matériel compromettant la représentant. Découvrons ensemble les dernières escroqueries à la sextorsion et les moyens de les contrer.

« Votre conjoint vous trompe »

Cette nouvelle tactique de sextorsion s’appuie sur la jalousie plutôt que sur la honte. Une personne reçoit un email d’une « entreprise de surveillance » lui annonçant qu’elle a eu accès (lire : piraté) aux appareils personnels de son conjoint et qu’elle a trouvé des preuves d’infidélité. Pour en savoir plus, et notamment pour télécharger les archives de données, le destinataire est invité à suivre le lien qui lui a été aimablement fourni. Bien entendu, les pirates informatiques ne disposent d’aucune donnée autre que les noms et les adresses email du couple, et le lien est là pour soutirer de l’argent.

« Je vous ai filmé »

Il s’agit d’un scénario classique de sextorsion. La victime reçoit un email prétendant que l’expéditeur a piraté son ordinateur ou son smartphone et l’a enregistré via la webcam alors qu’il consultait des sites pornographiques. Pour éviter que leurs amis et leur famille ne voient la vidéo, les » pirates informatiques » exigent un paiement urgent en cryptomonnaie. Pour être plus convaincants, ils peuvent s’adresser à la victime par son nom et insérer dans l’email un mot de passe réel que le destinataire a utilisé pour certains comptes. En réalité, les auteurs de sextorsion se contentent d’acheter des bases de données d’identifiants volés, dont des milliers sont disponibles sur le Dark Web, puis d’envoyer des emails classiques aux adresses correspondantes en y ajoutant des mots de passe tirés de cette base de données.

« Vous avez une belle maison »

Pour cibler les personnes qui ne sont pas intimidées par une possible divulgation de leur mot de passe, un nouveau stratagème a été inventé. L’auteur mentionne que si la victime ne contacte pas les pirates au sujet de la somme versée, il viendra discuter de l’affaire en personne. Pour donner plus de poids à la menace, l’email inclut une photo du domicile de la victime extraite de Google Maps. Pour que cette ruse fonctionne, les pirates informatiques ont évidemment besoin de bases de données contenant non seulement des emails et des mots de passe, mais aussi des adresses personnelles, qu’ils peuvent obtenir grâce à des fuites de données de boutiques en ligne.

« Je vous ai filmé, regardez la vidéo »

Une autre escroquerie à la sextorsion très populaire n’exige pas de paiement en cryptomonnaie, mais tente d’installer un programme malveillant sur l’ordinateur de la victime. Un email invite le destinataire à regarder une vidéo pour se rendre compte de la gravité de la menace, mais pour ce faire, il doit se rendre sur un site Internet et installer un lecteur spécial, infecté, bien entendu.

« Un deepfake de vous circule sur Internet »

Ce type d’escroquerie, relativement récent, fonctionne assez bien sur les personnes qui sont sûres qu’il n’existe pas de vidéos compromettantes d’elles. Après tout, les vidéos et le porno deepfake présentant des visages de célébrités superposés à des corps d’acteurs pornographiques ont été largement relayés par les médias. Ce genre d’escroquerie se présente sous deux formes : dans la première, les attaquants prétendent simplement avoir créé un « deepfake » ; dans l’autre, ils l’ont réellement fait. Il est facile de les distinguer : dans le second cas, le « deepfake » est immédiatement présenté à la victime, parfois même sous la forme d’une lettre physique livrée à l’adresse de son lieu de travail. Pour réaliser un tel deepfake, il faut bien sûr disposer de photos et de vidéos de bonne qualité de la victime. Vous pouvez réduire vos risques de subir une telle attaque en ne publiant pas d’innombrables selfies et autres photos de votre visage sur les réseaux sociaux.

« Vous allez en prison »

Une autre forme de sextorsion consiste en un email d’escroquerie accusant le destinataire d’être en possession de matériel pédopornographique. L’expéditeur prétend travailler pour les forces de l’ordre et prépare une liste de pédophiles en vue d’une arrestation massive. L’email précise que le destinataire fait partie de ces personnes. Pour que son nom soit rayé de la liste, la victime est invitée à payer une rançon. Les criminels peuvent faire preuve d’une grande créativité dans leurs menaces, et certaines variantes de ce stratagème sont encore plus farfelues : l’expéditeur peut « travailler pour la CIA », » gérer un site de recrutement de tueurs à gages « , ou même » avoir posé une bombe sous votre maison « .

Que faire si vous recevez un email de sextorsion ?

Ne paniquez pas. Presque toutes les escroqueries par sextorsion ne sont que des menaces vaines. Les escrocs envoient des millions d’emails identiques et ne causent aucun tort à ceux qui les ignorent (puisque c’est tout ce qu’ils peuvent faire). La meilleure solution consiste donc à marquer l’email comme spam et à le supprimer. Au passage, les utilisateurs de Kaspersky Plus et de Kaspersky Premium sont protégés contre la grande majorité des spams, ainsi que contre les applications et sites malveillants qui sont distribués sous couvert de ces spams.

La seule exception est lorsque vous connaissez personnellement l’expéditeur ou que des photos et des vidéos compromettantes sont jointes à l’email. Dans ce cas, vous pourriez avoir affaire non seulement à une tentative de sextorsion, mais aussi à des deepfakes diffamatoires, soit deux délits très graves dans de nombreux pays. Ne vous sentez pas gêné et contactez immédiatement la police.

Comment se prémunir contre les fuites de photos intimes ?

Si vous avez déjà pris une photo dénudée, l’avez envoyée à quelqu’un ou l’avez enregistrée sur un appareil, lisez notre guide détaillé sur la manière de stocker en toute sécurité des photos et des vidéos intimes, et sur les mesures à prendre si elles venaient tout de même à fuiter en ligne (spoiler : elles peuvent toujours être supprimées, même sur Internet !).

Lorsque vous recevez un code de connexion pour un compte que vous n’avez pas

Que faire si vous recevez un SMS contenant un code d’authentification à deux facteurs provenant d’un service auquel vous ne vous êtes jamais inscrit ?

Protection des enfants

Cinquante nuances de sextorsion

« Votre conjoint vous trompe »

« Je vous ai filmé »

« Vous avez une belle maison »

« Je vous ai filmé, regardez la vidéo »

« Un deepfake de vous circule sur Internet »

« Vous allez en prison »

Que faire si vous recevez un email de sextorsion ?

Comment se prémunir contre les fuites de photos intimes ?

Quand l’authentification à deux facteurs ne sert à rien

« Bonjour, c’est l’assistance technique »

Lorsque vous recevez un code de connexion pour un compte que vous n’avez pas

Conseils

Lorsque vous recevez un code de connexion pour un compte que vous n’avez pas

L’école et les cybermenaces

La technologie met-elle en péril vos relations ?

Comment se prémunir des attaques par repli sous Windows

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky