Depuis l’été dernier sévit une arnaque toute bête mais a priori assez efficace. Vous recevez un message d’un correspondant inconnu, vous l’ouvrez et « malheur ! c’est un hackeur » !

Il prétend avoir « piraté vos appareils il y a quelques mois », « intercepté vos mots de passe », installé un traqueur dans le courrier, pris des photos de vous grâce à votre webcam et sait que « vous avez visité des sites porno ». Pour ne rien divulguer, il exige de vous une rançon de 500 €. Pire, à la fin du mail, il sait que vous avez tout lu !

Fait étrange, ce courrier n’a pas été intercepté par votre antivirus, et vous vous demandez « peut-être que c’est une infection puissante qui l’a désactivé ».

Cependant, pas de panique : il ne vous est rien arrivé de mal, il ne vous arrivera rien de mal. Vous êtes seulement la cible (parmi tant d’autres) de spécialistes en social engineering, des techniques de manipulation pour vous soutirer des informations et/ou de l’argent.

Décryptons ce mail

Dans un premier temps, si vous avez un antivirus et un système à jour, il est fort improbable que des virus (keyloggers, vers, spywares) aient été placés à votre insu sur votre PC. De plus, si votre antivirus dit que ce mail est propre, c’est qu’il l’est (pas de pièce jointe, pas de code malicieux).

Ensuite, « les photos par webcam ». Sauf que si vous n’avez pas de webcam, c’est compliqué. Si vous en avez une, débranchez-la ou scotchez son objectif quand elle ne vous sert pas : c’est effectivement une source d’ennuis en matière de sécurité (et même Mark Zuckerberg le fait).

« Vous avez visité des sites porno » ? Et alors ? C’est pas la fin du monde …

« Je sais que vous m’avez bien lu et que vous êtes arrivé à la fin de ce mail ». Logique : la phrase est … à la fin du mail ! C’est du génie !

Bref, que de la logique pure, qui joue sur les peurs et la naïveté des gens. C’est moins dangereux que les virus, ça demande moins d’effort (il suffit de récupérer une liste d’adresses piratées) et ça rapporte davantage.

Alors, que faire ?

Dans un premier temps, NE PAYEZ RIEN.

Dans un second temps, signalez le mail et le « hash » bitcoin sur internet-signalement.gouv.fr, ça prend 2-3 minutes.

Troisièmement, supprimez le mail.

Enfin, modifiez et renforcez vos mots de passe. Si vous coincez, vous trouverez des méthodes sur Le Figaro Tech.

Rassuré.e ?