Avez-vous déjà subi un piratage de boite mail ? Peut-être pas. Mais on a tous reçu au moins une fois par mail l’arnaque suivante: « J’ai 10 millions d’euros bloqué sur un compte, il me faut 5 000 euros pour le récupérer. Si vous m’apportez cette somme on partage? ». On l’appelle le « scam nigérian » ou « l’arnaque à la nigériane ». On peut lire sur Wikipedia : « En 2002, les Secret service, services secrets des États-Unis, estiment que ce type d’escroquerie rapporte plusieurs centaines de millions de dollars US par an à ses auteurs et cela en constante augmentation. Des affaires jugées en 2010 ont montré une moyenne de 20 000 $ US extorqués par victime. » .
Exemple de piratage de boite mail
Ces chiffres impressionnent quand on connait le peu de sophistication de ce type de message. C’est souvent grossier, difficilement crédible, bourré de fautes… Il est donc inquiétant de voir que les pirates ont bien sophistiqué leur démarche. On m’a rapporté très récemment une version beaucoup plus évoluée (donc dangereuse) du « scam nigérian ». Voici les faits :
1/ Le pirate a pris le contrôle de la boite mail d’une victime
Il a envoyé le message suivant à l’ensemble des contacts de la victime :
Objet : TRÈS URGENT CONTACT MOI AU PLUS VITE
je suis embarrassée, je ne sais pas si je pourrais compter sur ton aide, en effet je traverse une situation très alarmante avec Antoine je veux-t-en parler uniquement par mail vu que c’est le seul moyen, je compte sur ton entière discrétion pour garder le secret tu comprendras pourquoi je te le demande, écris-moi dès réception de ce message s’est très urgent.
Analyse :
- Le mail cite le vrai nom du conjoint. Ce qui apporte beaucoup de crédibilité, et prouve que le pirate a fait un peu d’ingénierie sociale) avant de lancer l’opération.
- Le mail ne réclame pas d’argent, et relève de la technique du « pied dans la porte »
- Enfin, le pirate demande discrétion, et à être joint uniquement par mail et non par téléphone, pour ne pas risquer d’être démasqué. Il est à noter que tous les contacts de la victime ont reçu le mail sauf ceux portant le nom de famille du conjoint.
2/ Suite de l’arnaque
Ceux qui se manifestaient par mail recevaient ce second message :
notre situation est très catastrophique et pour dire je n’y crois plus trop même si l’espoir est permis je ne sais pas si tu pourrais ou accepterais de nous venir en aide, voilà je t’explique merci de m’avoir répondu je suis rassurée, je suis venue avec Antoine a Abidjan pour quelques jours, voilà que lors d’un de nos déplacements dans la ville nous avons été victime d’une grave agression dans laquelle le chauffeur et notre guide sont morts sur le champ moi et Antoine avons été grièvement blessés j’ai été abusée sexuellement par ces hommes quelle honte, Antoine se retrouve dans le coma entre la vie et la mort, mes blessures sont atroces je souffres le martyr;
la clinique qui nous as accueillis refusent de nous soignés sans argent parce que nous avons tous perdus dans cette agression (téléphone,argent,carte de crédit…) je suis joignable que par mon mail, j’ai réussies a contactée l’ambassade mais elle ne peut nous venir en aide avant des jours a cause des procédures administratives, Antoine avant de sombré dans le coma m’a fait promettre de ne pas l’abandonné, j’ai tellement peur de mourir ici les gens sont antipathiques ils refusent de nous soignés sans argent si rien n’a été fait le pire risque d’arrivé. je n’ai même pas pu contacter les différentes famille de nos guides qui ont perdus la vie, s’est atroce.
je te supplie de me faire un prêt dans l’immédiat en me faisant un mandat de 2545euros pour payer les frais de soins au plus vite, après m’être renseignée faudrait que tu m’envoie cet argent par western union agence de mandat instantané que tu trouveras pour la plupart dans les bureaux de poste,
voici mes coordonnées pour faire le mandat, Nom: Marie Dupont*, Somme: 2545euros, Adresse: Clinique les Lauriers, 01 B. P. 1395 Abidjan 01-Côte d’Ivoire. stp ne m’abandonnes pas et sache que je te rembourserais une fois rétablies et rentrée, envoies moi les références du mandat une fois que tu l’auras effectué. je te remercie d’avance.
Analyse :
- Le message est bien ficelé car la situation décrite est très alarmante, et encore une fois le pirate souligne l’impossibilité d’être joint par téléphone.
- Encore une fois les noms cités sont les bons, que ce soit celui du conjoint, ou bien sûr de la victime (* quant à ce billet, les noms sont bien sûr masqués).
3/ La récupération du compte mail n’a pour l’instant pas été possible.
Explication :
- Le pirate a changé le mot passe.
- Un lien sur Hotmail permet néanmoins de signaler un piratage, et permet de générer un nouveau mot de passe. Ce que la victime a fait.
- Le problème est que le pirate semble avoir appris à contourner cette parade. Dès que la victime a généré un nouveau mot de passe, après quelques manipulations sur son compte, elle a eu la surprise de voir à nouveau son compte se bloquer. Le pirate avait (alors qu’elle était sur son compte) repris la main, et à nouveau changé le mot de passe.
4/ La reprise en main du compte par la victime se heurte à d’autres difficultés
- Le pirate a changé l’interface en langue coréenne.
- La liste des contacts a été détruite. Durant le court laps de temps où la victime a repris en main son compte, elle l’a donc pas pu envoyer un mail de démenti pour avertir de l’arnaque en cours.
Une demande a été faite à Hotmail pour comprendre ce piratage de boite mail, chasser le pirate, et récupérer l’ensemble des contacts. De cette histoire on peut retenir les bonnes pratiques suivantes :
- Avoir un mot de passe complexe.
- En changer régulièrement.
- Ne pas utiliser ce même mot de passe pour d’autres services en ligne.
- Sauvegarder ses contacts en local. Ou avoir une seconde boite mails.
- Et pour finir, venir régulièrement aux conférences du Club IES qui présentent les risques numériques et les parades.
Pour en savoir plus sur le piratage de boite mail, vous pourrez vous reporter aux nombreux articles du blog qui traitent de sécurité informationnelle :
- Note de lecture : La cybersécurité, de Nicolas Arpagian.
- Compte rendu : Panorama des menaces en cybersécurité.
- Compte rendu : Intelligence Economique et sécurité informationnelle.
- Vidéo: Cybersécurité – panorama des attaques et des cybercriminels.
- Compte rendu : Les défis de la sécurité informatique en 2012.
- Exemple d’arnaque en ligne.
Jérôme Bondu
Source image : Wikipédia, scam envoyé par courrier en 1995 ! Cela ne date pas d’hier …