"Bonjour, voici le message que j'ai trouvé hier sur ma messagerie principale. Il y a effectivement un de mes mots de passe que j'utilise souvent. Y a t-il des risques de piratage de mon compte ? Comme je suis une vraie quiche en internet et en informatique, je n'ai pas dormi de la nuit". Sur le forum de CNET.fr, Petrus 33 s’inquiète. Il a reçu un email qui a première vue ressemble à du spam, mais qui comporte l’un de ses mots de passe, et qui essaie de le faire chanter.

Concrètement, voici le message en question : "Je sais que XXX est votre mot de passe. Vous ne me connaissez pas et vous vous demandez probablement pourquoi vous recevez cet email, n'est-ce pas ? En fait, j'ai placé un malware sur un site web (pornographique) de vidéos pour adultes et vous savez quoi, je sais que vous avez visité ce site web pour vous amuser (vous voyez ce que je veux dire).Pendant que vous regardiez ces vidéos, votre navigateur internet a commencé à fonctionner comme un RDP (PC distant) doté d'un keylogger qui m'a permis d'accéder à votre écran et à votre webcam. Ensuite, mon logiciel a obtenu tous vos contacts depuis votre Facebook Messenger, ainsi que les emails associés. Qu'est-ce que j'ai fait exactement ? J'ai réalisé une vidéo en double-écran. La première affiche la vidéo que vous avez visionnée (vous avez bon goût), et la deuxième affiche l'enregistrement issu de votre webcam. Que devez-vous faire ? Eh bien, je crois que 2900 $ est un prix raisonnable pour notre petit secret". L’auteur de l’email fournit ensuite une adresse Bitcoin, permettant de recevoir des paiements. Et indique à son destinataire qu’il n’est pas utile de lui répondre.

Piratage bidon mais baratin inquiétant

On se croirait presque dans l’épisode cauchemardesque "Shut Up and Dance !" de Black Mirror, qui montre (attention, spoilers), entre autres, un hacker faisant chanter un jeune britannique de 20 ans qu’il a filmé (en piratant sa webcam) en train de se masturber devant du porno. Comme le notait Motherboard à l’époque, en 2017, des hackers s’étaient déjà inspirés de cette série pour pratiquer de la “sextorsion”. En Angleterre, selon la National Crime Agency, des hackers auraient ainsi fait chanter des internautes en menaçant de divulguer des vidéos d’eux… pas piratées, mais obtenues en se faisant passer auprès d’eux pour une femme, sur un site de rencontre cochon. Quelque chose d'assez basique, en somme, n’ayant rien à voir avec du piratage.

Mais dans le cas qui nous intéresse, cette fois, des internautes qui pourraient être vous et moi ont reçu un message leur parlant de webcam piratée - ce que l’on sait tous être une vraie hantise pour beaucoup, tant il est facile en effet de hacker une caméra intégrée dans un ordinateur, voire dans un smartphone. Mais rassurez-vous donc : toute cette histoire est entièrement bidon. Il s’agit en effet d’une escroquerie par phishing (hameçonnage), qui consiste à utiliser les mots de passe réels des gens pour les faire chanter, en espérant qu’ils ont effectivement regardé du porno, et in fine, qu’ils croiront leur baratin.Les faits racontés par Petrus 33 sur notre forum ne sont pas du tout isolés : depuis début juillet, des centaines d’internautes, américains, anglais et français (dont une amie de l’auteur de ces lignes), ont ainsi reçu le même email (traduit en français, ou en anglais), que l’on jetterait immédiatement à la corbeille… s’il ne contenait pas un vrai mot de passe.

Mots de passe et fuites de données

Sextorsion : comment vous prémunir d’un chantage à la webcam (faussement) piratée

Comment ces mots de passe se sont-ils donc retrouvés entre les mains de ces arnaqueurs - apparemment basés en Russie (nouvel eldorado des cybercriminels), si l’on en croit les recoupements du blog “My Online Security” ? Selon le spécialiste en sécurité informatique Brian Krebs, il s’agit bien souvent de mots de passe anciens (parfois, vieux de 10 ans), liés à des comptes oubliés (quoi que dans le cas de Petrus 33, il s’agissait d’un “mot de passe souvent utilisé”). A priori, peu de risques, donc, de voir tous ses comptes piratés par effet domino… sauf si l’utilisateur utilise ce même mot de passe pour d’autres comptes, à l’instar du journaliste américain Mat Honan, dont tous les comptes ont été hackés pour cette raison.

La raison la plus probable, ce n’est pas que les destinataires de ces emails de “sextorsion” ont été piratés… mais que leurs mots de passe se trouvent dans des bases de données, partagées sur Internet entre hackers du dimanche (notamment sur le fameux “dark web” dont tout le monde parle avec terreur), suite à des fuites massives de données. Il est ainsi fort possible que ces mots de passe proviennent des 4,6 millions d’identifiants du service de messagerie Snapchat, des 453 427 comptes utilisateurs de Yahoo!, ou encore des 167 millions de mots de passe d’utilisateurs de LinkedIn, qui se sont retrouvés dans la nature ces dernières années, suite aux piratages de ces sites (un hacking à l’aveugle, donc, et ne visant pas quelqu’un en particulier), bien souvent mal sécurisés.“Les sites web ne sont pas censés stocker les mots de passe en clair, mais malheureusement, certains le font encore et il y a dix ans, c’était encore plus commun. Même lorsque les sites stockent vos mots de passe de manière sécurisée, les cybercriminels disposant d’une liste de mots de passe hachés peuvent lancer une attaque par dictionnaire sur la liste volée, essayant des millions de mots de passe les plus probables, et ce pour chaque utilisateur”, écrit ainsi Sophos France, sur son site.

Les failles, les fuites de données, les comptes compromis sont légion, et c’est pourquoi un site tel que “Have I Been pwned” (“pwned”, qui signifie “s’être fait avoir” en anglais), possède une base de données constituée d’un grand nombre de ces millions d’adresses mails interceptées depuis 2012. Pour vérifier si votre adresse mail et vos mots de passe ne fait pas partie de ceux interceptés par le passé, il suffit de la saisir dans le formulaire, et de consulter aussi la liste des sites compromis.Evidemment, il est aussi possible que les personnes ayant reçu ces mails aient réellement été piratées personnellement - et dans ce cas là, la raison la plus évidente est qu’elles utilisaient un mot de passe trop simple, par exemple sans chiffres, sans majuscules, ou facile à deviner. Gardez notamment à l’esprit que 123456 est le mot de passe le plus utilisé au monde, aux côtés de qwerty/azerty et de abc123…

Blindez (impérativement) vos mots de passe

Les courriels de sextorsion basés principalement sur l’espoir que les personnes contactées n’auront jamais vu Black Mirror ou sont un peu trop naïves, sont finalement, très probablement, envoyés en mode automatique, ou semi-automatique, via un script facile à utiliser par des “script kiddies”, autrement dit, des pirates informatiques débutants, qui utilisent des “kits” et des programmes mis au point par d’autres.Maintenant, comment vous protéger de ce genre d’arnaque ? Et que faire, si vous recevez un tel email ?

D’abord, évidemment, ne pas paniquer, ne pas répondre au message reçu, ne pas payer la rançon, et ne pas ouvrir les pièces jointes potentielles attachées. Ensuite, comme le conseille la CNIL sursa page “réagir en cas de chantage à la webcam”, effectuer des captures d’écran du message en question, et signaler l'escroquerie sur internet-signalement.gouv.fr.Il vous restera ensuite à changer vos mots de passe. Tous vos mots de passe (à partir d’un ordinateur autre que le votre, dans le cas où il serait infecté). Car deux précautions valent mieux qu’une.

Attention : il vous faut évidemment choisir des mots de passe difficiles à percer pour des hackers. Pour cela, voici ci-dessous quelques petits conseils intemporels pour les sécuriser.Tout d’abord, privilégiez le passage par l’authentification à deux facteurs (confirmation d’un mot de passe par un autre mot de passe reçu par SMS, par exemple), afin de blinder les choses. Ensuite, créez un mot de passe différent par compte, dans la mesure du possible. Ces mots de passe doivent être longs (12 caractères en moyenne), avec des caractères spéciaux, des majuscules, des minuscules et des chiffres. Si vous séchez, Secure Passwords générera pour vous des mots de passe uniques et complexes. D'autres logiciels vous permettent de générer automatiquement des mots de passe, comme Random Password Generator.

Vous pouvez aussi utiliser des “phrases de passe”, plus difficiles encore à “craquer”, et plus faciles à retenir. Il suffit en fait de sélectionner quatre mots, sans rapport, qui forment ensemble une phrase n’ayant aucun sens - par exemple, “chevaux, batterie, trombone, ventilateur”, qui seront plus difficiles à déchiffrer qu’un mot de passe compliqué comme “xzv?75#b”. Vous prendrez évidemment soin de les entourer de chiffres et de symboles, ce qui donne dans notre exemple, "--13/chevaux/BATTERIE/trombone/VENTILATEUR/37--".

Si vous avez peur d’oublier un mot de passe (car en choisir un par compte peut s’avérer fatiguant pour votre mémoire), passez par un coffre-fort de mots de passe, comme Keepass ou Dashlane, qui permettent en outre de générer des codes compliqués et uniques, et de les conserver. La seule condition sine qua none pour utiliser un tel service sera évidemment de ne pas oublier le mot de passe “maître” qui permet d’accéder à tous les autres. Si vous avez un doute, vous pouvez encore faire un tour sur How secure is my password, qui permet de tester la solidité de votre mot de passe.

Enfin, derniers conseils, de bon sens : mettez à jour, régulièrement, votre système d’exploitation ; utilisez un logiciel antivirus (ainsi qu’un pare-feu, comme Comodo Firewall) sur votre ordinateur ; et… couvrez autant que possible votre webcam, quand vous ne l’utilisez pas. Car celle-ci demeure bel et bien piratable. Et, un jour ou l’autre, les menaces bidons dont nous parlons plus haut pourraient bien devenir réelles.Vous pouvez toujours désactiver votre webcam, en faisant un tour dans le panneau de configuration, rubrique "périphériques et imprimantes" ; mais le plus efficace reste en fait le système D, qui consiste à recouvrir "l'oeil" de la caméra avec un autocollant. Ainsi, même le pirate informatique le plus fort du monde ou l’escroc le plus baratineur jamais vu peuvent courir pour vous avoir.

Scotcher la caméra de sa webcam : une fausse bonne idée ?

Articles Liés

  • DIRECT. Assassinat de Razia Askari à Besançon : "Pas de culpabilité, ni de remords, manque d'empathie", le profil de Rashid Askari, accusé de l'assassinat de sa femme, disséqué

    DIRECT. Assassinat de Razia Askari à Besançon : "Pas de culpabilité, ni de remords, manque d'empathie", le profil de Rashid Askari, accusé de l'assassinat de sa femme, disséqué

  • [Vidéo] The Amazing Spider-Man 2 : la bande-annonce ultime

    [Vidéo] The Amazing Spider-Man 2 : la bande-annonce ultime

  • Test du Samsung AU9000 | TechRadar

    Test du Samsung AU9000 | TechRadar

  • Nantes. Il avait agressé un chauffeur de tram : condamné à 6 mois, il évite la prison

    Nantes. Il avait agressé un chauffeur de tram : condamné à 6 mois, il évite la prison