« Bonjour ! Je suis un pirate qui a accès à ton système d’exploitation. […] Je te regarde depuis quelques mois maintenant. […] J’ai fait une vidéo qui te montre en train de te satisfaire dans la moitié gauche de l’écran, et qui montre (le site pornographique) que tu regardes dans la moitié droite. En un clic de souris, je peux envoyer cette vidéo à tous tes courriels et à tous tes contacts sur les réseaux sociaux. […] Si tu veux prévenir cela, transfère le montant de 500$ à mon adresse bitcoin. »
Cette menace semble familière ? C’est possible. Tous les mois, des millions de courriels similaires sont envoyés par des fraudeurs à la recherche de poissons qui mordront à l’hameçon. La plupart sont bloqués par les filtres antipourriels, mais certains se glissent parfois dans les boîtes de réception.
« Ce qu’il faut comprendre avant tout, c’est que ce n’est pas vrai », explique la montréalaise Masarah Paquet-Clouston, coauteure de l’étude Spam meet Cryptocurrencies : Sextortion in the Bitcoin Ecosystem, qui sera présentée en octobre à la conférence Advances in Financial Technologies, en Suisse.
Même si certains courriels sont plus convaincants, en affichant par exemple un mot de passe utilisé par la victime, aucun pirate n’a infiltré son ordinateur. « Ce n’est pas très évolué. Ceux qui envoient les pourriels emploient simplement les informations obtenues lors de fuites de bases de données », précise la chercheuse en sécurité informatique chez la firme GoSecure. Contrairement à ce que le message laisse entendre, il ne s’agit pas d’une attaque ciblée contre quelqu’un, mais plutôt d’un envoi de masse.
En analysant plus de 4,3 millions de pourriels du genre, la chercheuse et ses collaborateurs de l’Austrian Institute of Technology et de la firme de sécurité Excello ont été capables de brosser un portrait éclairant sur cette campagne, qui semble être orchestrée par une seule entité (probablement un groupe d’individus).
En surveillant l’activité sur les adresses bitcoin inscrites dans les messages, l’équipe estime que les victimes auraient versé plus de 1,3 million de dollars américains entre juin 2018 et avril 2019, soit plus de 120 000 dollars américains par mois. Et ce n’est peut-être là qu’une petite portion d’une campagne encore plus grande.
« Ce qui est intéressant pour les spammers [NDLR : polluposteurs], c’est que leurs coûts ne sont pas très élevés », note Masarah Paquet-Clouston. Alors que les pourriels pour la vente de Viagra nécessitent par exemple le maintien d’un inventaire et l’expédition de comprimés par la poste, le prix de l’acheminement du courriel est ici la seule dépense importante. L’envoi de ces pourriels par un réseau d’ordinateurs infectés coûte environ 10 000 $ américains par mois pour la diffusion de 100 millions de messages. Cette dépense est rapidement récupérée, comme l’ont démontré les chercheurs.
Autre point découvert, les montants demandés dans les pourriels varient selon la langue utilisée. Les courriels en espagnol et en tchèque exigent ainsi moins d’argent que ceux en anglais et en coréen, par exemple. Étonnamment, les courriels où un mot de passe de la victime est indiqué ne revendiquent quant à eux pas plus d’argent, ce qui aurait été une opportunité facile à exploiter. « J’ai été surprise que ce ne soit pas plus cher », reconnait la chercheuse de GoSecure.
Les cryptomonnaies au service des polluposteurs
La campagne de sextorsion qui sévit dans le monde depuis l’année dernière peut exister en partie grâce à l’éclosion des cryptomonnaies. « Avant, il aurait fallu demander d’envoyer de l’argent à une adresse Paypal, par exemple. Les victimes auraient facilement pu aller voir la police », explique Masarah Paquet-Clouston. Le bitcoin est plus sécuritaire pour les fraudeurs.
L’utilisation de bitcoin n’est toutefois pas parfaite pour autant. Les polluposteurs n’ont notamment aucun moyen de savoir qui les a payés ou non (une information qui aurait pu être pratique pour cibler à nouveau des victimes), et il existe des cryptomonnaies garantissant un meilleur anonymat. « C’est une monnaie facile à acheter pour monsieur et madame Tout-le-Monde. On en parle beaucoup et il y a même des guichets automatiques qui en offrent. Je serais surprise qu’ils adoptent une autre cryptomonnaie », remarque toutefois la chercheuse montréalaise.
Celle-ci s’attend en revanche à ce que les polluposteurs adaptent désormais leurs stratégies. « J’ai l’impression que ça va s’essouffler, prédit Masarah Paquet-Clouston. Plus on en parle, plus les gens vont savoir que ce n’est pas vrai. Déjà, on observe qu’au lieu de menacer de diffuser des vidéos inexistantes, certains courriels proposent plutôt de vendre de la pornographie. Ce sera intéressant de voir quelle sera la prochaine évolution ».
