Les criminels utilisent de plus en plus les techniques d'extorsions qui passent par le numérique et notamment les emails. Ces mails, indésirables, sont appelés spam. Cette menace, déjà grande, continue de se développer en jouant sur différentes émotions comme l'empathie ou la peur. Ici, c'est le deuxième cas qui va nous intéresser. Ces mails sont rédigés sur un ton qui fait peur, et c'est volontaire. Il est donc important de faire attention à l'ensemble des spams que l'on est amené à recevoir et à bien juger de la pertinence des emails.

D'ailleurs, cela fait plusieurs fois que je reçois et que mes proches/clients reçoivent des mails qui possèdent tous à peu près la même forme :

Ce mail vous indique que vous avez été piraté par une personne qui se cache sous un pseudo. En l’occurrence, il s'agit d'un membre d'un groupe international de hacker. Cette personne vous indique qu'il a piraté votre messagerie grâce à votre mot de passe, qui semble être le bon en plus ! Enfin, votre nouvel ami vous demande de payer une rançon par le protocole Bitcoin sinon il révélera l'ensemble de vos méfaits à votre communauté. Aïe...

Plusieurs questions se posent alors.

Comment ont-ils eu mon adresse email ainsi que mon mot de passe ?

L'obtention des adresses emails et des mots de passe associés

Les sites Internet, dans leur ensemble, font régulièrement l'objet d'attaques informatiques qui peuvent parfois réussir. Parmi les objectifs les plus recherchés par les attaquants, il y a l'accessibilité à la base de données des inscrits* ainsi que leurs mots de passe. C'est ce que l'on appelle les fuites de données ou data breaches en anglais. Une fois que les attaquants ont réussi, soit ils publient les informations sur une plateforme publique et anonyme comme Pastebin, soit ils vendent les informations sur le Darknet. Ce sont ces données qui sont réutilisées par les attaquants qui vous envoient des mails d'arnaque. Ils ont très rarement (pour ne pas dire jamais) pirater directement votre messagerie.

En résumé, les attaquants attaquent les services tiers (Dropbox, LinkedIn ou tout autre site Internet) et si les mêmes mots de passe sont réutilisés, notamment pour la messagerie, alors les attaquants peuvent vous faire peur par ce type de mail.

Certains éditeurs référencent les 10 plus grosses fuites de données sur l'année 2018  voire sur le 21e siècle (enfin celles qui sont connues ? ). Êtes-vous parmi les victimes ?

Mais comment savoir si je suis concerné ?

Plusieurs sites permettent de déterminer si vous êtes concernés par ces failles. Un des plus importants est Have I Been Pawned. Souvent, les mots de passe qui fuitent sont des empreintes de vos mots de passe (des hash). Certains sites vous permettent de savoir si votre mot de passe, en supposant qu'il soit faible (exemple jacquesdu44), a été découvert. Vous avez Dehashed et Ghost Project.

A noter que certains sites vous demanderont de payer pour avoir accès à la totalité des informations qu'ils possèdent sur vous. Business is Business.

En résumé, certains sites vous permettent de savoir si vos identifiants ont fait l'objet d'une fuite de donnée, il peut également être utile de surveiller régulièrement. HaveIBeenPwned permet d'être notifié si votre adresse mail est repérée.

Qui se cache derrière cette adresse Bitcoin ?

Une méthode complémentaire pour savoir si l'on a bien affaire à une arnaque (si ce n'était pas déjà le cas), c'est de rechercher les informations relatives au compte Bitcoin lié à l'adresse que l'on nous donne dans le mail. Pour cela, un site peut se révéler assez utile : BitcoinWhoswho.

Ce site vous permettra de trouver des informations sur le compte Bitcoin (mais pas l'identité de celui-ci) ainsi que d'éventuelles remarques de la communauté, comme les signalements.

Dans le cas d'un client, voici les informations que l'on trouve sur l'adresse Bitcoin qui était contenue dans le corps du mail.

On remarque que l'adresse du wallet Bitcoin a fait l'objet de nombreux signalements comme étant une arnaque. En regardant l'historique des transactions, on peut remarquer qu'il a récupéré environ 16,5 BTC sur l'ensemble de l'arnaque, soit 52 500 EUR à l'heure où ces lignes sont écrites.

Une fois que l'on sait que l'adresse mail qui a reçu le mail qui fait peur est du à une fuite de données et que l'adresse Bitcoin est considérée comme étant une arnaque, il n'y a plus de doute. Vous pouvez classer ce mail sans suite, voire mieux : le signaler à SignalSpam.

Les recommandations à adopter pour éviter que ça n'arrive de nouveau

  1. Changer votre mot de passe de messagerie.
  2. Ne réutilisez pas le même mot de passe sur l'ensemble de vos services et encore moins de la messagerie. Vous pouvez utiliser un gestionnaire de mots de passe qui vous aidera dans cette pratique.
  3. Vérifier régulièrement les fuites de données. Vous pouvez même vous abonner à une notification de la part du service HaveIBeenPawned.com.
  4. Faites attention aux mails bizarres que vous recevez et ne vous précipitez pas.

J'espère que ce billet vous aura donné des éclaircissements sur les pratiques frauduleuses des attaquants pour extorquer de l'argent à de simples utilisateurs.