Arnaque à la sextorsion: comment les escrocs font pour usurper votre adresse mail et pourquoi elle n'est pas en danger

"Bonjour pervers, j'ai envoyé ce message depuis votre messagerie Microsoft. Je tiens à vous informer d'une très mauvaise situation pour vous". Ce mail, ou un courriel approchant, de nombreuses personnes le reçoivent chaque année Son ecxpéditeur tente de faire peur à la victime en affirmant qu'il l'a surpris en train de se masturber sur des vidéos pornographiques à l'aide du logiciel espion Pegasus, mais surtout qu'il a piraté sa boîte mail.

Et en regardant l'adresse mail à l'origine de l'envoi, la victime s'aperçoit qu'il s'agit bel et bien de la sienne. Cette arnaque à la sextorsion n'est pas nouvelle, elle se diffuse par vague, plus ou moins régulièrement et semble connaître une recrudescence ces derniers temps. Le but est toujours le même: pousser la victime à payer pour éviter que les prétendues vidéos d'elle en train de se masturber ne soient envoyées à ses amis, collègues et famille.

Si certaines personnes pensent vraiment que leur boîte mail a été piratée, il n'y a en réalité aucune menace. Tech&Co vous explique comment les escrocs parviennent à usurper et non pirater l'adresse mail de leur victime.

Une capacité qui n'est pas à la portée de tous mais...

Cette technique, aussi connue sous le nom de spoofing, est utilisée par les cybercriminels depuis des années, surtout pour les courriels de phishing. Ursuper l'adresse mail d'une personne n'est pas à la portée de tous, mais c'est assez simple, selon Benoit Grunemwald, expert en cybersécurité chez ESET. Les arnaqueurs y parviennent en modifiant le champ "De" dans l'en-tête d'un courriel, chose qu'il n'est pas possible de faire en passant par les messageries comme Gmail ou Outlook.

"Ça va être plutôt compliqué parce que la plupart du temps, vous passez sur votre navigateur ou votre téléphone pour envoyer des messages. Et ces outils ne permettent pas aisément de le faire", indique Benoit Grunemwald à Tech&Co.

Lorsqu'un internaute envoie un courriel à un autre sur Outlook ou Gmail, son adresse est en effet automatiquement sélectionnée, de sorte que le champ "De" n'est même pas visible, ou s'il l'est, qu'il ne suffit pas tout simplement d'appuyer dessus pour le modifier à sa guise. Une des méthodes utilisées par les escrocs pour y parvenir est de créer un logiciel malveillant qui va se charger d'envoyer les mails frauduleux.

"C'est ce qu'on voit avec cette arnaque-là. Le pirate n'a pas rentré chaque adresse mail des personnes qu'il a arnaquées (...) il a créé une sorte de programme qui va prendre toutes les adresses mail qu'il a dans sa base de données, mettre à côté le texte et dire 'à chaque fois que tu vas envoyer ce texte-là à cette adresse-là, l'expéditeur sera le même que la personne qui le reçoit", détaille l'expert en cybersécurité.

"C'est un programme qu'il est assez facile de produire, qui permet justement de faire croire qu'on reçoit un mail de sa propre boîte alors que ce n'est pas le cas", souligne-t-il, ajoutant qu'il n'est pas nécessaire d'avoir beaucoup de connaissances techniques pour y arriver.

Car une personne peut faire appel à l'intelligence artificielle pour l'aider au vu de la simplicité d'un tel programme, avance Benoit Grunemwald. Les entreprises comme OpenAI, Microsoft ou Google proposent en effet des outils capables de coder, dont leurs chatbots. Sinon, une personne peut aussi se rendre sur les forums de cybercriminels pour y acheter un logiciel malveillant qui l'aidera dans sa tâche.

Une question d'autorisation

Si les arnaqueurs parviennent à falsifier l'expéditeur d'un mail, c'est à cause du protocole SMTP (Simple Mail Transfer Protocol). Il est au coeur de l'envoi des courriels depuis sa création dans les années 1980. Le problème, c'est qu'"il n'a pas été créé en se posant la question ou en considérant que quelques années plus tard, des petits malins allaient usurper l'identité de quelqu'un", souligne Benoit Grunemwald.

Le protocole n'intègre en effet pas d'authentification par défaut, permettant donc à un cybercriminel de modifier facilement le champ "De" dans l'en-tête d'un mail" pour usurper l'adresse de quelqu'un. Mais ce n'est pas le seul, ou plutôt pas le véritable problème, pointe l'expert en cybersécurité, "parce qu'aujourd'hui, tout le monde est passé au SMTPS, un peu comme HTTPS, et donc on va vous demander de vous authentifier".

Le problème est plutôt "lié à une autorisation globale d'utiliser des noms de domaines", avance-t-il. Il s'agit de noms facilement reconnaissables, que l'on retrouve après www. dans les adresses web ou après le @ dans les adresses mail (google.com, elysee.fr...). Avec ce protocole, un courriel passera par un serveur SMTP (qu'il est possible de configurer soi-même) pour être envoyé. Et pour cela, le serveur en question va communiquer avec un autre.

"Les serveurs SMTP discutent entre eux pour relayer les différents messages. Par exemple, si vous êtes en Malaisie et que vous envoyez un message sur un domaine.fr, ça va passer par un certain nombre de serveurs SMTP 'relais' avant d'arriver à ce nom de domaine", explique Benoit Grunemwald.

Le problème, c'est que ces relais devraient à un moment se dire qu'un mail assure venir de tel nom de domaine et vérifier si la personne derrière est bel et bien autorisée à l'utiliser pour empêcher ceux qui n'en sont pas propriétaire de l'envoyer. Mais ils ne le font pas.

Raison pour laquelle même si depuis la création du protocole SMTP, des mécanismes de protection ont été mis en place du côté des émetteurs, les escrocs parviennent toujours à passer à travers les mailles du filet, d'autant plus que ces mécanismes ne sont pas encore adoptés par tout le monde.

Désormais, pas de panique, vous savez que cette arnaque en est une et que votre compte mail si précieux est en sécurité. Que cela ne vous empêche pas de choisir un mot de passe robuste ou, mieux encore, d'adopter les Passkeys.