Encore un spam d'extorsion

Ne vous inquiétez pas, quoi que vous fassiez de votre vie privée, ces emails sont des arnaques.

Ces emails commencent souvent par :

« J’ai hacké votre ordinateur car, regardez, je vous écris avec votre propre email ! »

Ou des variantes.

Effectivement, vous pouvez constater que c’est votre propre adresse email qui est l’expéditeur. Mais ça ne signifie pas que votre compte a été hacké.

Un peu d’histoire

L’email a été inventé en 1965, bien avant Internet. Il servait de moyen de communication entre ordinateurs et était loin de sa forme actuelle. Il n’y avait pas, au tout début, d’arobase. Les adresses email ont donc été inventées après le système lui-même. La première adresse était « omlinson@bbn-tenexa » sans terminaison de type « .com » ou « .org » car le système des noms de domaines n’était pas encore inventé.

Cet outil a donc été pensé avec les problématiques de son époque. C’était encore un système peu utilisé et les utilisateurs respectaient des chartes de bonne conduite qu’elles proviennent de leurs universités, de centres de recherches ou des entreprises.

L’usurpation d’identité n’avait pas été prise en compte, pas plus que le chiffrement des emails. Tout le monde pouvait envoyer un email en indiquant comme adresse de départ l’adresse email de n’importe qui. Et c’est toujours le cas.

Des normes

Bien sûr, comme pour le chiffrement des emails (rappelez-vous de « PGP » de Booba), de nouvelles normes ont tenté d’y remédier.

C’est le cas de la spécification DMARC qui implémente deux normes (DKIM et SPF). Cette spécification a pour but d’authentifier l’expéditeur de l’email. Elle donne alors au destinataire les règles à appliquer si l’authentification échoue.

Sauf que cette spécification n’est pas implémentée partout et que les règles à appliquer peuvent ne pas classer comme frauduleux l’email qui l’est, ou le classer comme spam, ce qui n’empêche donc pas l’email d’arriver dans la boîte de la victime et de produire son effet.

Donc, le fait que l’adresse de l’expéditeur soit votre adresse n’indique rien sur une éventuelle faille de votre système. Le spammer a simplement fait un programme avec la même adresse email pour l’expéditeur et le destinataire et a utilisé ce programme avec des millions d’adresses emails dont la vôtre.

Alors, comment s’assurer que ce qu’il avance est faux ?

Lisez l’email et vous noterez quelque chose. Entre les menaces, l’adresse Bitcoin pour payer et l’ultimatum, vous ne voyez apparaître absolument aucune information personnelle vous concernant ainsi qu’aucun moyen de contacter le prétendu pirate. C’est simplement parce qu’il n’a aucune information personnelle sur vous vu qu’il n’a rien piraté du tout.

Donc, direction les spams.

Il est à noter que nous avons reçu de multiples variantes de cet email. Nous avons la version classique, en anglais, la version plus rare en français, celle en allemand et celle pour les professionnels menaçant d’attaque DDOS contre notre infrastructure. Au passage, pour les attaques DDOS, en général les vrais pirates font une petite démonstration effective avant de menacer.

Comment devinent-ils la langue ou le fait que nous soyons professionnels ?

C’est parce qu’ils récupèrent les adresses emails dans des listes provenant de sites qui, eux, ont été vraiment compromis. Si les sites sont en français, alors les adresses emails ont un message en français, si les sites sont des sites de professionnels (comme par exemple Docker qui s’est, récemment, fait piraté sa base utilisateurs) alors les adresses email ont droit au message pour les professionnels.