Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Pourquoi les cybercriminels prennent la peine d'envoyer un phishing improbable

Attention, je suis le directeur d'Europol, donnez-moi 400 euros ou je dis à toute votre famille que vous regardez de la pédopornographie : vous pensez que ce scénario de phishing ne fonctionnera jamais ? Et bien les malfrats ne sont pas de votre avis.

On prend les mêmes et on recommence. Le 1er septembre 2021, une lectrice de Numerama a reçu un email intitulé « Courriel Europol », du nom de l'agence européenne spécialisée dans la répression de la criminalité. Immédiatement, cet email nous a rappelé un phishing récurrent qui usurpe l'identité de la Police nationale française et plus précisément celle de la brigade de protection des mineurs. Bingo : le faux email d'Europol reprend exactement les mêmes ficelles pour tenter de faire payer les victimes. Un rapide coup d'œil à l'adresse de l'expéditeur « [email protected] » suffit à déceler le phishing. Un véritable courriel de l'agence se terminerait par @europol.europa.eu, et non par une adresse Gmail générique.

Le message se montre expéditif : « Bonjour, veuillez trouver en annexe l'avis relatif à une affaire vous concernant et y répondre conformément au délai mentionné ». La mention d'un « délai » à ne pas dépasser sert à créer un sentiment d'urgence chez les cibles, pour les pousser à cliquer sur le document PDF en pièce jointe de l'email.

Le fichier en question tente de se faire passer pour une lettre officielle de Catherine De Bolle, du nom de la véritable directrice exécutive d'Europol, et imite même sa signature. Suite à une « saisie informatique de cyber-infiltration », notre lectrice serait poursuivie pour « pédopornographie, pédophilie, exhibitionnisme, et cyber pornographie ». Oui, vous avez bien lu : « cyber pornographie ».

Chantage à la diffusion publique

Le courrier informe de façon confuse -- mais avec une orthographe impeccable -- que notre contact risque des peines aggravées pour avoir commis ces crimes « en recourant à Internet ». Un prétendu « cyber gendarme » aurait récupéré des « photos dénudées » que notre lectrice aurait envoyées à des mineurs.

Puis la lettre lance un ultimatum à sa destinataire, tout en se détachant de toute réalité du fonctionnement de la justice  : « Vous êtes prié de vous faire entendre par mail en nous écrivant vos justifications afin qu'elles soient mises en examen et vérifiées de sorte à évaluer les sanctions, cela dans un délai strict de 72 heures. Passé ce délai, nous nous verrons dans l'obligation de transmettre notre rapport à Mme Myriam Quéméner, procureur adjoint au tribunal de grande instance de Créteil et spécialiste de cybercriminalité pour établir un mandat d'arrêt à votre encontre, le transmettre à la gendarmerie la plus proche de votre lieu de résidence pour votre arrestation et vous ficher comme délinquant sexuel. Votre dossier sera également transmis aux médias pour une diffusion où votre famille et vos proches verront ce que vous faites devant votre ordinateur. » 

C'est l'escalade : la lettre demande de faire un procès par email, puis menace d'emprisonnement et va jusqu'au chantage à la diffusion publique. Le message est même ponctué d'un « maintenant vous êtes prévenu » complètement improbable. Pour pousser les victimes à croire à ce scénario rocambolesque, les malfrats s'appuient sur deux ficelles courantes :

Europol avait communiqué sur la multiplication de ce type de phishing usurpant l'identité de De Bolle en avril 2021L'agence précisait que la directrice ne « contacterait jamais directement des membres du public en requérant une action immédiate » et qu'elle « ne menacerait pas les individus avec l'ouverture d'une enquête criminelle ».

Degré zéro de la cybercriminalité

Ce genre d'arnaque au chantage est le degré zéro de la cybercriminalité. Les personnes derrière le subterfuge n'utilisent ni faille ni malware, et ils ne personnalisent pas le texte de leur phishing. Pire, ils ont très probablement récupéré le texte tel quel, et se contentent de le copier-coller.

Concrètement, les malfrats n'ont eu qu'à récupérer une liste d'adresses email à qui envoyer leur spam. Une tâche extrêmement facile, puisque plusieurs forums facilement accessibles regorgent de fichiers d'adresses email volées à télécharger (gratuitement ou non). Par exemple, l'adresse de notre source fait partie d'une fuite de 174 millions d'emails de clients de l'éditeur de jeux mobiles Zynga, datée de 2019. Les données de ce genre de fuite particulièrement exposées sont ensuite agrégées dans des listes, ce qui diffuse encore plus l'adresse email fuitée.

Finalement, l'amateurisme des malfaiteurs est une bonne nouvelle. Avant de subir des dommages, la cible doit suivre les très nombreuses étapes de l'arnaque, qui sont autant d'occasions de se rendre compte du subterfuge :

Si la cible s'arrête avant d'aller jusqu'au virement, elle ne risque rien. Reste que pour les malfaiteurs, il suffit qu'une seule personne leur fasse un virement pour être rentable, tant l'opération de phishing massif ne leur aura rien coûté. Envoyer quelques centaines d'emails peut se faire gratuitement (mais il faudra payer pour un volume plus important) ; le modèle du phishing peut se trouver sans coût également ; la manipulation ne demande aucune compétence technique ; et il leur suffit de répondre aux quelques personnes qu'ils auront hameçonnées. C'est pour cette raison que ce genre d'arnaque revient à intervalle régulier depuis plus de 10 ans, et qu'il continuera probablement à revenir dans les 10 prochaines années.