On prend les mêmes et on recommence. Le 1er septembre 2021, une lectrice de Numerama a reçu un email intitulé « Courriel Europol », du nom de l’agence européenne spécialisée dans la répression de la criminalité. Immédiatement, cet email nous a rappelé un phishing récurrent qui usurpe l’identité de la Police nationale française et plus précisément celle de la brigade de protection des mineurs. Bingo : le faux email d’Europol reprend exactement les mêmes ficelles pour tenter de faire payer les victimes. Un rapide coup d’œil à l’adresse de l’expéditeur « [email protected] » suffit à déceler le phishing. Un véritable courriel de l’agence se terminerait par @europol.europa.eu, et non par une adresse Gmail générique.
Le message se montre expéditif : « Bonjour, veuillez trouver en annexe l’avis relatif à une affaire vous concernant et y répondre conformément au délai mentionné ». La mention d’un « délai » à ne pas dépasser sert à créer un sentiment d’urgence chez les cibles, pour les pousser à cliquer sur le document PDF en pièce jointe de l’email.
Les malfrats ne sont pas toujours des hackers experts, loin de là. // Source : Louise Audry pour Numerama
Le fichier en question tente de se faire passer pour une lettre officielle de Catherine De Bolle, du nom de la véritable directrice exécutive d’Europol, et imite même sa signature. Suite à une « saisie informatique de cyber-infiltration », notre lectrice serait poursuivie pour « pédopornographie, pédophilie, exhibitionnisme, et cyber pornographie ». Oui, vous avez bien lu : « cyber pornographie ».
Chantage à la diffusion publique
Le courrier informe de façon confuse — mais avec une orthographe impeccable — que notre contact risque des peines aggravées pour avoir commis ces crimes « en recourant à Internet ». Un prétendu « cyber gendarme » aurait récupéré des « photos dénudées » que notre lectrice aurait envoyées à des mineurs.
Puis la lettre lance un ultimatum à sa destinataire, tout en se détachant de toute réalité du fonctionnement de la justice : « Vous êtes prié de vous faire entendre par mail en nous écrivant vos justifications afin qu’elles soient mises en examen et vérifiées de sorte à évaluer les sanctions, cela dans un délai strict de 72 heures. Passé ce délai, nous nous verrons dans l’obligation de transmettre notre rapport à Mme Myriam Quéméner, procureur adjoint au tribunal de grande instance de Créteil et spécialiste de cybercriminalité pour établir un mandat d’arrêt à votre encontre, le transmettre à la gendarmerie la plus proche de votre lieu de résidence pour votre arrestation et vous ficher comme délinquant sexuel. Votre dossier sera également transmis aux médias pour une diffusion où votre famille et vos proches verront ce que vous faites devant votre ordinateur. »
L’email imite la signature de la directrice d’Europol. // Source : Capture d’écran Numerama
C’est l’escalade : la lettre demande de faire un procès par email, puis menace d’emprisonnement et va jusqu’au chantage à la diffusion publique. Le message est même ponctué d’un « maintenant vous êtes prévenu » complètement improbable. Pour pousser les victimes à croire à ce scénario rocambolesque, les malfrats s’appuient sur deux ficelles courantes :
- Le sentiment d’urgence : en évoquant un prétendu délai de 72 heures après réception de l’email, ils créent un sentiment d’urgence auprès du destinataire. Il devrait se précipiter pour prouver son innocence, par crainte que les menaces deviennent réalité. Dans un mouvement de panique, il est moins susceptible de s’attarder sur les nombreuses incohérences de la situation.
- Des détails précis : en plus du nom de Catherine De Bolle, la lettre cite également la magistrate Myriam Quéméner. Ce niveau de détail avancé vise à crédibiliser le propos. Problème : si Mme Quéméner est effectivement une juriste spécialiste de la cybercriminalité, elle a en revanche quitté ses fonctions au tribunal de grande instance de Créteil… en 2013. Cet anachronisme est le signe que le modèle de la lettre daterait de cette époque, et serait réutilisé sans modification depuis.
Europol avait communiqué sur la multiplication de ce type de phishing usurpant l’identité de De Bolle en avril 2021. L’agence précisait que la directrice ne « contacterait jamais directement des membres du public en requérant une action immédiate » et qu’elle « ne menacerait pas les individus avec l’ouverture d’une enquête criminelle ».
Degré zéro de la cybercriminalité
Ce genre d’arnaque au chantage est le degré zéro de la cybercriminalité. Les personnes derrière le subterfuge n’utilisent ni faille ni malware, et ils ne personnalisent pas le texte de leur phishing. Pire, ils ont très probablement récupéré le texte tel quel, et se contentent de le copier-coller.
Concrètement, les malfrats n’ont eu qu’à récupérer une liste d’adresses email à qui envoyer leur spam. Une tâche extrêmement facile, puisque plusieurs forums facilement accessibles regorgent de fichiers d’adresses email volées à télécharger (gratuitement ou non). Par exemple, l’adresse de notre source fait partie d’une fuite de 174 millions d’emails de clients de l’éditeur de jeux mobiles Zynga, datée de 2019. Les données de ce genre de fuite particulièrement exposées sont ensuite agrégées dans des listes, ce qui diffuse encore plus l’adresse email fuitée.
Finalement, l’amateurisme des malfaiteurs est une bonne nouvelle. Avant de subir des dommages, la cible doit suivre les très nombreuses étapes de l’arnaque, qui sont autant d’occasions de se rendre compte du subterfuge :
- Ouvrir le phishing.
- Cliquer sur le PDF.
- Croire au scénario rocambolesque.
- Envoyer un email à l’adresse mentionnée.
- Obtenir une réponse des malfrats et continuer à croire au scénario.
- Faire un virement de son propre chef sur un compte bancaire ou PayPal sans rapport avec Europol.
Si la cible s’arrête avant d’aller jusqu’au virement, elle ne risque rien. Reste que pour les malfaiteurs, il suffit qu’une seule personne leur fasse un virement pour être rentable, tant l’opération de phishing massif ne leur aura rien coûté. Envoyer quelques centaines d’emails peut se faire gratuitement (mais il faudra payer pour un volume plus important) ; le modèle du phishing peut se trouver sans coût également ; la manipulation ne demande aucune compétence technique ; et il leur suffit de répondre aux quelques personnes qu’ils auront hameçonnées. C’est pour cette raison que ce genre d’arnaque revient à intervalle régulier depuis plus de 10 ans, et qu’il continuera probablement à revenir dans les 10 prochaines années.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
