TRANSITION NUMÉRIQUE - INNOVATION - COMPÉTITIVITÉ

27Fév 2019

Cyber-escroquerie : le chantage au surf porno !

Par Clémence Adista, Sécurité

Ces derniers mois, nous constatons de plus en plus de signalements de « chantage au surf porno » parmi nos clients, nos collègues, nos amis et nos proches. De quoi s’agit-il ? Un phénomène qui a pris de l’ampleur en 2018, et qui se base sur des fuites de données de connexion, souvent réelles, mais parfois anciennes.

Le ‘chantage au surf prono’, c’est quoi ?
L’utilisateur reçoit un mail inquiétant, demandant le paiement d’une rançon pour ne pas voir publier devant la planète entière des informations compromettantes. Le pirate prétend avoir déclenché la webcam de l’utilisateur, à son insu, pendant qu’il naviguait sur des sites peu avouables. Souvent, il fait mention d’un mot de passe réel pour donner du crédit à son message et demande à ce que la rançon soit payée dans les plus brefs délais… bien entendu. Ce phénomène semble s’être accéléré ces derniers mois, certainement en raison de la plus grande disponibilité des informations issues de fuites de données parfois médiatiques. Par exemple, on se souvient du cas des services Yahoo, qui avait établi un précédent en nombre d’individus concernés.

Comment réagir ?
La bonne nouvelle, c’est que ce scénario d’attaque est basé sur du bluff. La bonne conduite est de ne pas répondre, et de ne pas payer. L’autre bonne nouvelle est que les bonnes pratiques générales de sécurité sont tout à fait adaptées pour contrer ce genre d’attaque :

  • L’utilisation de mots de passe différents pour chaque application permet d’éviter la compromission généralisée de tous les services d’une même personne.
  • Le renouvellement, par exemple annuellement, de ces mots de passe permet d’éviter qu’une compromission ancienne ne créé un risque différé.
  • Le choix de mots de passe raisonnablement forts permet d’éviter les attaques de « force brute », mais également de déchiffrement.
  • Le message non attendu, d’une source inconnue, est déjà en soi un critère de méfiance remarquable.
  • Quand le service le permet, on pourra utiliser une authentification plus moderne que le seul mot de passe : double facteur, « U2F », « authentification forte »…

La mauvaise nouvelle ? Euh, il n’y en a pas vraiment. Du moins pour ceux qui ont appliqué les bonnes pratiques a priori, le risque est assez faible. Et pour les autres, il n’est jamais trop tard pour bien faire !

Notre compatriote et journaliste Zataz nous alertait déjà l’été dernier : https://m.zataz.com/escroquerie-mail-porno-chantage/

Et comment bien choisir ses mots de passe ?
Nous vous invitons à vous référer à notre dossier publié sur le sujet :
https://mag.adista.fr/2017/08/17/mot-de-passe-nous-protege-t-il-vraiment-episode-1/
https://mag.adista.fr/2017/08/23/mot-de-passe-peut-on-sen-passer-episode-2/