"Bonjour, pervers": c'est quoi l'arnaque à la sextorsion, en pleine recrudescence depuis ce week-end
Un hacker (illustration prétexte). - IGOR STEVANOVIC / SCIENCE PHOTO / IST / Science Photo Library via AFP
"Votre vie privée est entre mes mains". Lorsqu'une telle phrase, à la fois énigmatique et menaçante, apparaît en objet d'un e-mail, forcément, cela attire l'attention.
Surtout lorsque l'expéditeur n'est autre que... vous-même. C'est le principe de l'arnaque couramment appelée "sextorsion", "Pegasus", ou plus simplement chantage à la webcam et à l'ordinateur piraté.
Apparue pour la première fois à la fin des années 2010, elle a explosé en 2024. Et, depuis ce week-end, une nouvelle vague d'e-mails frauduleux envahit les messageries des internautes. Comment fonctionne cette arnaque? Que faire si l'on est victime? RMC Conso vous explique.
"Des vidéos de vous en train de vous masturber"
L'e-mail débute quasi systématiquement de la même façon: "Bonjour, pervers". Le ton est donné. La suite: "J'ai envoyé ce message depuis votre messagerie Microsoft".
Dans un français impeccable, voire un langage assez soutenu, l'homme raconte avoir installé un logiciel nommé Pegasus sur notre ordinateur, et assure avoir accès à tout: nos messages, appels, e-mails, mais aussi notre webcam.
Il prétend avoir enregistré l'intégralité de notre activité, y compris "des vidéos de vous en train de vous masturber sur des vidéos porno très controversées".
"Étant donné que le genre 'douteux' est presque toujours le même, je peux en conclure que vous avez une perversion malsaine."
Non sans une pointe de mégalomanie ("Je suis un Dieu qui voit tout"), il nous menace ensuite de diffuser ces vidéos à l'ensemble de nos contacts, à moins de lui verser sous 48 heures 1.200 euros sur son portefeuille de cryptomonnaies. Avant de conclure sur un ton ironique: "Et un conseil amical: à partir de maintenant, ne soyez pas si négligent quant à votre sécurité en ligne".
En recrudescence depuis deux jours
Évidemment, tout cela est complètement faux. Cette arnaque, signalée pour la première fois sur le site cybermalveillance.gouv.fr en 2020, a été massivement dénoncée sur les forums d'internautes l'année dernière. Elle semblait avoir quasiment disparu, jusqu'au week-end des 27 et 28 septembre: à la rédaction de RMC Conso, deux journalistes sur trois ont reçu un e-mail identique.
"On observe que cette arnaque a fait une soudaine résurgence il y a un jour ou deux," nous confirme Bruno Grunemwald, expert en cybersécurité chez ESET. Une recrudescence particulièrement inquiétante, dans la mesure où de nombreuses personnes sont susceptibles de tomber dans le panneau.
Car pour être crédibles, les escrocs usent de méthodes toujours plus sophistiquées. Dans la dernière version de l'arnaque, celle que nous avons reçue, le hacker nous fait croire qu'il a envoyé l'e-mail depuis notre propre compte, qu'il prétend avoir piraté. Et lorsque nous regardons qui est l'expéditeur, c'est bien notre véritable adresse e-mail qui s'affiche.
Pourtant, il est improbable qu'il ait véritablement eu accès notre boîte mail. Il utilise en fait une méthode très simple, que Bruno Grunewald connaît bien.
"Cela s'appelle du 'spoofing,' et c'est aussi vieux qu'internet: cela consiste à usurper votre adresse e-mail en la faisant apparaître à la place de l'expéditeur et c'est très simple à faire. Mais en réalité, l'e-mail n'a pas vraiment été envoyé depuis votre boîte mail."
Autrement dit, il s'agit d'un mirage. Mais un mirage si réaliste qu'il pourrait faire douter n'importe qui, même des personnes qui n'ont absolument rien à se reprocher.
Au moins 400 victimes par an
Selon un reportage de France 2 de janvier 2025, au moins 400 personnes sont ainsi piégées chaque année en France. Un problème néanmoins difficile à quantifier avec précision dans la mesure où seulement 15 à 20% des victimes portent plainte, selon le Chef de la division de la proximité numérique de l'unité Cyber de la gendarmerie nationale, interrogé par nos confrères.
La honte d'avoir cédé au chantage l'emporte sur la volonté d'obtenir réparation. D'autant que, même s'il est important de porter plainte, les chances de recouvrer l'argent volé sont quasi nulles.
"Pour savoir qui se cache derrière, il faudrait une investigation de Microsoft pour remonter au compte qui a envoyé l'e-mail en usurpant votre adresse. Ils ne le feront pas, car cela demande trop de travail, d'autant que l'escroc peut avoir utilisé un VPN pour brouiller encore plus les pistes," explique Bruno Grunemwald.
Contacté par RMC Conso, Microsoft nous a adressé une réponse laconique, nous renvoyant vers un article rédigé par l'entreprise expliquant les actions mises en place pour lutter contre ce type de cas.
"Ce sont de nouvelles technologies qui permettent de se protéger du spoofing par e-mail mais qui sont plutôt déployées sur les adresses e-mail professionnelles, pour un fournisseur public c'est plus compliqué," commente l'expert en cybersécurité.
Quant à l'argent versé en cryptomonnaies par les victimes, il y a de grandes chances qu'il s'évapore aussitôt après avoir été reçu. "Il n'existe aucun mécanisme de retour des cryptomonnaies," abonde Bruno Grunemwald.
Ne pas céder au chantage, changer son mot de passe...
Si vous recevez un e-mail de ce type, la première recommandation est de ne surtout pas céder à la panique. "Vous n’avez sans doute rien de réellement compromettant à vous reprocher," note une "fiche réflexe" du site cybermalveillance.gouv.fr.
Dans le corps du mail, il existe par ailleurs une preuve qu'il s'agit d'une arnaque: l'escroc dit avoir installé le logiciel Pegasus.
"Pegasus, c'est un logiciel qui est utilisé au plus haut sommet des États pour espionner des dissidents, des journalistes, des hommes politiques... L'utilisation sur une seule personne coûte un million de dollars... Les risques qu'on vous l'ait installé sont donc, évidemment, quasi nuls," souligne Bruno Grunemwald.
Dans tous les cas, ne répondez pas, ne payez pas, gardez toutes les preuves et portez plainte. Enfin, pensez à vous protéger en ligne:
"Changez votre mot de passe, utilisez un gestionnaire de mots de passe qui génère des mots de passe sécurisés pour vous, qui sont stockés dans un coffre-fort virtuel. Activez l'authentification multifacteurs, qui vous envoie un code à 6 chiffres sur votre téléphone portable après que vous avez renseigné votre mot de passe," conseille l'expert.
Tout cela peut paraître fastidieux. Mais c'est indispensable, étant donné le nombre d'arnaques en ligne.