Parmi les types d’escroqueries qui circulent depuis des années sur la Toile, on trouve celles qui appartiennent à la catégorie de la « sextorsion ». Cela peut se résumer à du chantage numérique, généralement par mail, et souvent uniquement basé sur le bluff : concrètement, l’internaute reçoit un mail dans lequel un escroc lui explique avoir eu accès à son historique de navigation, à ses photos ou encore à des vidéos, et le menace de dévoiler des contenus à caractère sexuel à ses proches. La seule solution pour éviter cela : payer une somme d’argent pour faire taire le maître chanteur.

Si l’internaute ciblé a effectivement quelque chose à se reprocher, il va potentiellement paniquer et payer la somme demandée. Dans le cas contraire, il va passer son chemin, d’autant plus que ces mails manquent généralement d’informations personnelles, et sont donc peu fiables.

Quand Google Maps sert à la « sextorsion »

Mais désormais, les escrocs ont trouvé un nouveau moyen de rendre leur tentative de sextorsion plus convaincante : ils y intègrent l’adresse de leur victime, et l’agrémentent même d’une photo de leur rue, voire de leur maison. Le mail qui accompagne le cliché est menaçant, voire effrayant : « Je vous suggère de lire attentivement ce message. Prenez un moment pour vous détendre, respirer et l’analyser en profondeur », peut-on y lire. « Nous parlons ici de quelque chose de sérieux, et je ne joue pas. Vous ne savez rien de moi, mais j’en sais BEAUCOUP sur vous et en ce moment, vous vous demandez sans doute comment ? »

Le message explique qu’un logiciel malveillant du nom de Pegasus — qui existe bien — est installé sur l’ordinateur de la victime, et que ce dernier a permis au maître chanteur d’espionner son PC. Cela lui a permis de prendre « le contrôle total de la machine ». « Je peux regarder tout ce qui est sur votre écran, allumer votre webcam et votre micro, sans que vous ne vous doutiez de rien. Oh, et j’ai accès à tous vos e-mails, contacts et comptes de médias sociaux aussi. »

L’escroc menace alors de publier les dossiers et comportements compromettants de sa victime, l’accusant de se « disperser dans les endroits les plus sombres du cyberespace ». « En un clic, je peux tout envoyer à chacun de vos contacts », explique le mail. Pour éviter cela, la victime est invitée à payer la somme de 2000 dollars en bitcoin.

Et, histoire d’en rajouter une couche, l’escroc sous-entend qu’il se rendra au domicile de sa victime si celle-ci ne paie pas : « Visiter votre adresse est le moyen le plus efficace de vous contacter si vous ne réagissez pas. Bel emplacement, d’ailleurs. »

Comment fonctionne cette tentative d’extorsion ?

L’expert en sécurité Brian Krebs a été l’un des premiers à s’intéresser à cette campagne de sextorsion, tout comme 404media, qui explique avoir eu accès à de nombreux mails reçus par des internautes.

Si certains ont bien reçu des tentatives d’escroquerie intégrant leur adresse actuelle, d’autres ont reçu des messages avec une ancienne adresse, voire une adresse totalement fausse. Le fait est qu’avec les nombreuses fuites de données qui se déroulent tristement sur Internet chaque année, il est assez aisé de voir la sienne se retrouver dans la nature.

De même, simplement avec un nom et un prénom, il est souvent possible de retrouver une adresse postale. Il suffit aux escrocs d’utiliser un script automatisé pour se rendre à cette adresse sur Street View, réaliser une capture d’écran et l’insérer dans le mail envoyé.

Aussi, pour ces différentes raisons, il est peu probable que les ordinateurs des victimes soient touchés par le malware Pegasus. Pour le moment, cette campagne de sextorsion est essentiellement active dans les pays anglophones, notamment aux États-Unis : là-bas, les experts en sécurité recommandent aux personnes qui reçoivent un mail de ce genre de ne surtout pas payer, mais aussi de faire un signalement auprès du FBI, dans un bureau local ou bien par téléphone. Preuve que l'affaire est prise au sérieux...