Chantage Hacker reçu par email : marche à suivre ?

[Laure-Anh]

Bonjour tout le monde,

J'ai une demande spéciale qui sort du contexte photo.
Sur le PC de la maison s'est affiché dans ma propre boîte e-mail et signé de ma propre adresse e-mail un chantage que je vous poste ci-après.
Quelle est la marche à suivre dans un tel cas ?
Tant pratique (à savoir récupérer un ordi propre et sécurisé) que administrative (action éventuelle contre le hacker) ?

Merci par avance,

[voxpopuli]

Bonjour Laure-Anh,

tout d'abord il faut que tu évalues si le message dit vrai ou pas
PC infecté
débranche ton PC d'internet. Débranche aussi tous les périphériques de stockage
As-tu passé un anti virus/antimalware sur ta machine ?
Télécharge les d'un autre pc et passe par une clé USB formatée avant pour les injecter dans ton pc. Clé que tu formateras ensuite après passage

- Mots de passe compromis
Change tous les mdp à partir d'un autre PC. Si impossible avertit tous tes contacts que tu t'es fait pirater ta machine et crée toi des nouveaux comptes
A changer en priorité tous les comptes liés aux banques ou aux moyens de paiement (amazon ...) et aux messageries

Bon courage

[Nikojorj]

La probabilité que le message dise vrai est très, très basse.... mais compte tenu du potentiel de dommages, ça ne coûte pas des masses de changer tes MdP sensibles (celui de chassimages c'est moins grave non?) depuis un autre PC, pour commencer.

[matopho]

Bonjour,

Reçu le même mais avec un autre émetteur. Le message est le même, sauf le numéro de compte.

Reçu le même genre la semaine dernière sur deux adresses différentes. Aucune action de la part de l'émetteur depuis. Mes PC sont toujours OK. J'ai fait une petite recherche, je n'étais pas le seul. J'en ai quand même profité pour créer des mots de passe plus compliqués.

Juste en passant, je n'ai pas de webcam. Donc ...

Mon analyse, très partielle, des messages :
- aucune preuve de l'affirmation
- utilisation d'un certain "charabia" dans le message
- tout le contenu du message vise à faire peur, en culpabilisant, en répétant plusieurs fois la même chose
- s'il connaissait la méthode pour se faire payer des bitcoins, il l'indiquerait

Le but de l'émetteur est de faire peur, d'angoisser. Il est souvent atteint.

Comment se protéger de ce genre de messages, une fois que votre adresse mail est dans beaucoup de listes ? Je reçois plein de messages incompréhensibles qui vont directement à la poubelle. Mais ce genre est récent, c'est la mode du moment. En fait non, voir si dessous.

Bon courage et ne t'en fais pas trop, comme dit par Nikojorj, la probabilité est très basse pour que tout cela soit vrai et surtout possible.

Edit  si cela peut rassurer
https://news.sophos.com/fr-fr/2018/07/16/une-escroquerie-sur-internet-qui-connait-votre-mot-de-passe-ne-vous-faites-pas-avoir/

[Samoreen]

La probabilité que le message dise vrai est très, très basse....

Je dirais même, encore plus basse que ça  . Ce serait moi, poubelle directement et on n'en parle plus. Si la menace était sérieuse, il y aurait dans le message un élément de preuve. C'est le b-a ba du chantage : montrer que l'on dispose vraiment d'une information sensible.

[egtegt²]

Bonjour Laure Anh.
Déjà une chose : ne pas payer ! ça ne sert à rien. Quelle que soit la véracité de la menace. De toute façon, même en supposant que tout soit vrai, ce qui m'étonnerait plus que grandement, si tu payes, le résultat sera simple : il ne te donnera pas la vidéo ou il te donnera juste une copie et il recommencera. Pourquoi abandonner la poule aux oeufs d'or (devrais-je écrire le pigeon )

Ensuite, il y a de fortes chances que ça soit totalement bidon. S'il avait réellement une vidéo, il l'aurait ajoutée en pièce jointe. Pourquoi s'en priver ? Ca augmenterait les chances que tu payes.

Et puis pourquoi se casser la tête à faire une telle chose compliquée alors qu'il a autant de chances de trouver des pigeons en se contentant d'envoyer le mail sans rien pour l'étayer ?

Donc à mon avis, tu n'as strictement rien à craindre. Si tu veux récupérer un PC propre, c'est assez facile : tu supprimes ce mail et tu vides la corbeille

Personnellement, si j'arrivais à prendre le contrôle du PC de quelqu'un comme il le prétend, je ne m'embarasserais pas à lui faire un chantage à l'issue incertaine, je surveillerais plutôt quand il se connecte sur le site de sa Banque pour me faire moi même le virement

[alafaille]

Bonjour,

Moi j'ai eu la version anglaise, adressée à un compte mail "poubelle". J'ai même eu droit a une cerise sur le gâteau : la mention dans le message d'un mot de passe utilisé avec ce compte pour quelques sites. Il semblerait qu'il y ait une campagne de ce type en ce moment. Dans le cas de la présence du mot de passe, il s'agirait d'association mail/mot de passe provenant de  vieux hacking de site, voir de site ayant fermé boutique depuis. A noter que tout site un peu sérieux utilise aujourd'hui un hashage / cryptage non réversible pour stocker les mots de passe.

Le fait que le message proviennent de ton adresse mail ne veut pas dire que celle çi a été piratée, simplement que le pirate connait l'adresse. On peut mettre n'importe quelle adresse mail comme émetteur d'un message, ce qui est un peu plus compliqué c'est de trouver un serveur de mail acceptant de relayer celà ... mais c'est possible. A ce sujet, l'examen du "source" du message peut être instructif.

Donc, effectivement, peu d'inquiétude à avoir, mais change quand même le mot de passe des sites utilisant ce mail comme adresse de contact. C'est de toute façon une bonne pratique de faire tourner un peu les mots de passe ( .... pratique que j'ignore trop souvent , faites ce que je dis , pas ce que je fais). Il faut aussi, refrain connu, ne pas utiliser le même mot de passe sur plusieurs sites ( je sais , c'est lourd....).

[Samoreen]

ne pas utiliser le même mot de passe sur plusieurs sites ( je sais , c'est lourd....).

Il y a un moyen simple de contourner cette lourdeur. Créer des mots de passe composites en 2 morceaux. Le premier morceau est toujours le même. Le second, relié au premier par un caractère spécial est dépendant du site. Par exemple, si je me connecte sur les sites EDF, SFR et Orange, j'ai un mdp "racine" qui serait disons "williburg71" et les mots de passe complets seraient respectivement williburg71#edf, williburg71#sfr et williburg71#orange. Rien n'empêche d'ajouter systématiquement un nombre ou une suite de caractères après la deuxième partie : williburg71#edf&&, williburg71#sfr&& et williburg71#orange&&. Cela donne un mdp dont la complexité est suffisante mais qui est facile à mémoriser (seulement 1 ou 2 valeurs à retenir). Il faut juste que la première partie ne soit pas simple à deviner.

C'est peut-être un peu moins sûr que des mots de passe radicalement différents pour chaque site mais si on change la racine régulièrement, ça suffit.

[matopho]

Ce genre de messages, campagne de messages, n'est pas nouveau. Il a même reçu le joli nom de «Sextortion» , qui englobe en fait d'autres types d'arnaques.

[Franciscus Corvinus]

La premiere chose a faire c'est de regarder l'en-tete complete du mail. Cela te renseignera si le mail a effectivement été envoyé de ton propre compte ou pas.

Il y a de tres fortes chances que cela ne vienne pas de ton compte: il suffit qu'une personne ou entreprise qui a ton e-mail se soit faite pirater.

Dans le cas tres improbable ou ton compte e-mail soit compromis, comme dit plus haut, change le mot de passer a partir d'une autre machine.

La deuxieme chose a faire, c'est de voir si ton ordinateur est compromis. Utilise un soft genre malwarebyte en rebootant sur une clé USB. Bien évidemment, fais attention a ne pas télécharger n'importe quel soft: les truands ont vite compris l'avantage de mettre a disposition des softs pour détecter les malware contenant leur propre malware. Mais bon, c'est pas compliqué a éviter.

PS: C'est quoi les sites ou tu vas qui sont compromis, que je les évite pendant un temps? 

[Lechauve]

je te dis pas comment je te l'acceuillerais moi ton hacker, et surtout le message que je lui enverrais!......

[Gér@rd]

C'est pas nouveau... ça fait des mois sinon des années que ce truc circule ! Il suffit de chercher sous google le morceau de phrase "Je suis un hacker qui a piraté vos appareils il y a quelques mois" pour trouver un tas de sites qui décrive cette arnaque minable. La lettre en plus c'est un jpeg. Il suffit de retoucher l'adresse du portefeuille Bitcoin et de l'envoyer, pas très compliqué...

Ci-dessous le même jpeg trouvé sur un autre site :

Bref je dirais aussi simplement "direction poubelle" sans s'inquiéter. Ceci dit mettre des mdp différents avec un moyen mnémotechnique pour les retenir est une excellente idée (moi j'utilise généralement les phrases d'une chanson ou poème pas trop connus en ne gardant que le premier caractère de chaque mot et en remplaçant les "a" par un arobas et les "e" ou "é" par un &...").

Un autre quasi identique trouvé sur www.zataz.com

[Gibus3133]

Effectivement comme d'autres le soulignent déjà ce type de mail est surtout une tentative pour "pêcher du Bitcoin" facilement.

Mais c'est vrai que la première fois où l'on reçoit ce truc il y a tout de même suffisamment d'éléments anxiogènes de réunis pour qu'à un moment où un autre on puisse se poser des questions et s'inquiéter : piratage d'un compte / mot de passe vrai ou faux, quelque chose à se reprocher oui ou non, somme importante à sortir pour on ne sait trop quoi, référence au dark Web que le commun des internautes ne connait que pour en avoir entendu parler dans les médias...

En ce qui me concerne, sur un des sites Internet dont je m'occupe et qui a une bonne visibilité, j'ai 2 adresses mail liées à ce site qui reçoivent ce même mail 4 à 5 fois par semaine.

La première fois, ce qui m'a un peu inquiété c'est que l'adresse de l'émetteur était la même que celle du destinataire (une des adresses mails du site donc). Il semble qu'il est assez facile de faire ce genre de chose. Pour ma part, j'avais connaissance de ce type d'arnaque et donc les premières minutes de craintes passées, j'ai relativisé. Je n'ai pas téléchargé Tor (navigateur préconisé), je ne suis pas allé sur le Darkweb et je n'ai pas payé les 700 Euros (équivalent Bitcoin) qui m'étaient alors demandés 
Et tout va bien !!!!

Depuis comme je l'indiquais je reçois régulièrement aussi bien en Français qu'en Anglais ce genre de mails, en provenance de toutes sortes d'adresse mail (plus forcément celle du site) et avec quelques variantes. Celle qui tient la corde en ce moment c'est le cryptage de mon disque dur si je ne lâche pas la somme demandée. Dans tous les cas maintenant quand ce type de mail arrive, s'il a franchi la barrière de l'antispam, c'est supprime direct !!

Donc au final, pas de panique...

[Nicolas Meunier]

Bonjour

En régle général quand c'est pour de vrai la personne vérouille réellement les données de ton ordis en les cryptant et c'est contre le code de devérouillage que tu paies.

Là clairement une réinstalle propre évitera toute suspicion de virus.

Perso j'ai opté pour 1password (qui est payant) pour la gestion centralisé de mes mots de passe et c'est génial pour ca.

[ChatOuille]

Je n'ai pas le temps de te répondre largement, mais de prime abord je ne ferais rien du tout, sauf scanner par l'AV. Même pas changer les mots de passe. Tu as toutes les chances que c'est simplement un mensonge. Et dans le cas (très, très improbable) que c'était vrai, rien ne te garantie qu'en payant ils vont effacer tes données de leurs serveurs. Bien au contraire, ils sauraient que tu es un bon pigeon (une pigeonne dans ton cas) pour te faire chanter à nouveau.

Quand j'aurai le temps je vais t'expliquer plus en détail comment détecter si c'est vrai ou faux. Juste une anecdote : lorsque je n'avais pas d'internet à la maison mais je disposais d'une adresse e-mail, j'ai reçu un mail du soit-disant FBI qui me disait que j'étais rentré dans des sites illégaux, etc.

Pas de panique!!! 

[alafaille]

Il y a un moyen simple de contourner cette lourdeur. Créer des mots de passe composites en 2 morceaux. Le premier morceau est toujours le même. Le second, relié au premier par un caractère spécial est dépendant du site. Par exemple, si je me connecte sur les sites EDF, SFR et Orange, j'ai un mdp "racine" qui serait disons "williburg71" et les mots de passe complets seraient respectivement williburg71#edf, williburg71#sfr et williburg71#orange. Rien n'empêche d'ajouter systématiquement un nombre ou une suite de caractères après la deuxième partie : williburg71#edf&&, williburg71#sfr&& et williburg71#orange&&. Cela donne un mdp dont la complexité est suffisante mais qui est facile à mémoriser (seulement 1 ou 2 valeurs à retenir). Il faut juste que la première partie ne soit pas simple à deviner.

C'est peut-être un peu moins sûr que des mots de passe radicalement différents pour chaque site mais si on change la racine régulièrement, ça suffit.

J'ai quelques combines du même tonneau    (mot de passe en 2 parties , 1 fixe et 1 variable en fonction du site).
Pour construire la "base" du mot de passe, on peut aussi partir d'une phrase en prenant la première lettre de chaque ( ou la 2ème, ou la dernière ). Genre "Je suis un grand lecteur du merveilleux magazine Chasseur d'Images" ... pour générer "JsugldmmCI" comme première partie du mot de passe.

[Gér@rd]

J'ai quelques combines du même tonneau    (mot de passe en 2 parties , 1 fixe et 1 variable en fonction du site).
Pour construire la "base" du mot de passe, on peut aussi partir d'une phrase en prenant la première lettre de chaque ( ou la 2ème, ou la dernière ). Genre "Je suis un grand lecteur du merveilleux magazine Chasseur d'Images" ... pour générer "JsugldmmCI" comme première partie du mot de passe.

Eh non... cela ne marchera pas avec beaucoup de sites, tu sais les sites à la c*ns qui te disent qu'il faut au moins 8 caractères dont au moins une majuscule ET un chiffre ET un caractère spécial... 

EDIT :

Juste pour dire que je viens de recevoir LE mail à l'instant... . Pas de moi-même mais d'une personne inconnue. Et le mail était directement classé SPAM par Orange, ce qui veut dire qu'il y en a eu des palanquées envoyées dans la nature. C'est le principe des arnaques basées sur du Spam, faut lancer son filet tout azimuth et de temps en temps on ramène quelque chose (y a un pigeon qui répond... ).

[Franciscus Corvinus]

Eh non... cela ne marchera pas avec beaucoup de sites, tu sais les sites à la c*ns qui te disent qu'il faut au moins 8 caractères dont au moins une majuscule ET un chiffre ET un caractère spécial... 

Un peu d'imagination quoi!

"un" -> 1 ou !
"Chasseur d'Images" -> Cd'I ou Cd'|

Juste quelques exemples.

Les poésies eet chansons sont bien utiles. Je n'avais jamais cru, enfant, que je chanterais "Hänschen klein geht allein..." aussi souvent dans ma vie d'adulte.

[Verso92]

Coucou Laure-Anh... on est démasqué !

;-P

https://www.chassimages.com/forum/index.php/topic,292768.msg7030089.html#new

[ChatOuille]

J'ai regardé cela plus en détail et tu peux dormir sur tes deux oreilles. Le problème est que ton hébergeur bioiledefrance.fr n'est pas suffisamment protégé. Tout ce qu'ils ont fait est de pomper la base de donnés de ce site (et probablement d'autres peu protégés) et envoyer du spam. Ils n'ont rien d'autre qui te concerne. Ni virus ni keylogger ni les sites que tu as visité. Le texte présente l'ingrédient typique « nous savons que vous avez lu cet e-mail. Vous avez 48 heures pour effectuer le payement ». Comme ça tu n'as pas le temps de réfléchir aux idioties et incohérences qu'ils racontent. Et si tu as peur, tu payes.

Je préviendrais le gestionnaire du serveur en lui disant que son site n'est pas protégé. Et plutôt que changer le MdP, je changerais de serveur. Goggle et Yahoo ont d'autres inconvénients, mais ils sont fortement protégés. La preuve est que pour envoyer un mail depuis l'étranger c'est la croix et la bannière. Ils détectent tout de suite que je ne suis pas chez moi et ils demandent confirmation de mon identité. Ça se passe souvent via le portable. Si on entre en contact via le portable ils savent que c'est bien moi.

[egtegt²]

Il y a un moyen simple de contourner cette lourdeur. Créer des mots de passe composites en 2 morceaux. Le premier morceau est toujours le même. Le second, relié au premier par un caractère spécial est dépendant du site. Par exemple, si je me connecte sur les sites EDF, SFR et Orange, j'ai un mdp "racine" qui serait disons "williburg71" et les mots de passe complets seraient respectivement williburg71#edf, williburg71#sfr et williburg71#orange. Rien n'empêche d'ajouter systématiquement un nombre ou une suite de caractères après la deuxième partie : williburg71#edf&&, williburg71#sfr&& et williburg71#orange&&. Cela donne un mdp dont la complexité est suffisante mais qui est facile à mémoriser (seulement 1 ou 2 valeurs à retenir). Il faut juste que la première partie ne soit pas simple à deviner.

C'est peut-être un peu moins sûr que des mots de passe radicalement différents pour chaque site mais si on change la racine régulièrement, ça suffit.

Résultat si je cherche à utiliser ton compte sur Chasseur d'images, je taperai tranquillement williburg71#ci&& et le tour sera joué

Ton truc n'est pas très efficace. Si tu veux l'appliquer, il faut un peu complexifier, par exemple prendre les caractéres suivants dans l'alphabet, edf devenant feg, ci devenant dj.

Sinon, utiliser un coffre fort pour les mots de passe est une bonne solution. Mais surtout : utiliser des mots de passe peu sécurisés pour les comptes sans importance est acceptable, mais il faut des mots de passe uniques et complexes pour tous les comptes critiques.

[Samoreen]

Résultat si je cherche à utiliser ton compte sur Chasseur d'images, je taperai tranquillement williburg71#ci&& et le tour sera joué

Si je suis assez idiot pour diffuser la partie racine, oui . Il faut bien sûr que cette partie soit en elle-même un mot de passe suffisamment solide. Il faut ensuite que celui qui a découvert mon mot de passe pour un site soit au courant de la méthode utilisée pour définir les mots de passe des autres sites. Si la partie racine est renouvelée régulièrement, la probabilité est très faible même si la méthode est moins sûre qu'un mot de passe différencié pour chaque site.

Cela dit, je pratique les BBS, forums et Internet depuis la fin des années 70 et aucun de mes mots de passe n'a jamais été compromis. Les seuls dommages que j'ai subis ont affecté directement ma carte bancaire dont les infos avaient été piratées sur le serveur d'un de mes fournisseurs. Je suis plus ennuyé par les "services" payants qui me sont facturés automatiquement sans que je les aie validés parce que mon opérateur téléphonique accepte par défaut, sans vérification ou confirmation de ma part, les facturations soumises par les prestataires de ces services. Et aucun mot de passe ne peut rien contre cette complicité passive (jusqu'à ce que l'on ait trouvé l'option bien cachée qui permet de désactiver ce mécanisme pervers).

[egtegt²]

Si je suis assez idiot pour diffuser la partie racine, oui . Il faut bien sûr que cette partie soit en elle-même un mot de passe suffisamment solide. Il faut ensuite que celui qui a découvert mon mot de passe pour un site soit au courant de la méthode utilisée pour définir les mots de passe des autres sites. Si la partie racine est renouvelée régulièrement, la probabilité est très faible même si la méthode est moins sûre qu'un mot de passe différencié pour chaque site.

Cela dit, je pratique les BBS, forums et Internet depuis la fin des années 70 et aucun de mes mots de passe n'a jamais été compromis. Les seuls dommages que j'ai subis ont affecté directement ma carte bancaire dont les infos avaient été piratées sur le serveur d'un de mes fournisseurs. Je suis plus ennuyé par les "services" payants qui me sont facturés automatiquement sans que je les aie validés parce que mon opérateur téléphonique accepte par défaut, sans vérification ou confirmation de ma part, les facturations soumises par les prestataires de ces services. Et aucun mot de passe ne peut rien contre cette complicité passive (jusqu'à ce que l'on ait trouvé l'option bien cachée qui permet de désactiver ce mécanisme pervers).

Le problème, c'est que certains forums utilisent des méthodes pas du tout sécurisées pour stocker les mots de passe. En particulier certains sont capables de t'envoyer le mot de passe que tu as entré, ce qui est normalement impossible avec une méthode sécurisée.

Donc il est tout à fait possible que tu te sois inscrit un jour sur un site mal sécurisé et que quelqu'un ait pu connaître ton mot de passe sur ce site. Et avec ta méthode, une fois qu'on a le mot de passe pour un site, il est assez simple de trouver tous les autres, donc c'est à peine mieux que d'avoir un mot de passe unique. En gros ça te protège contre les programmes automatiques qui vont utiliser le mot de passe craqué sans rien changé, mais dès qu'un humain y jetera un oeil, il trouvera le truc en quelques secondes.

C'est du même niveau que ceux qui changent régulièrement leur mot de passe en modifiant juste une date, genre "password2019-01".  C'est assez simple de prédire le mot de passe qu'ils auront en juillet

[Samoreen]

Et avec ta méthode, une fois qu'on a le mot de passe pour un site, il est assez simple de trouver tous les autres...

Encore une fois, cela suppose que celui qui a craqué mon mot de passe sur ce site particulier sait comment je procède pour les autres. Les forumeurs de CI le savent maintenant, c'est vrai... mais pas tout à fait car j'applique quelques variantes.

[alafaille]

Et avec ta méthode, une fois qu'on a le mot de passe pour un site, il est assez simple de trouver tous les autres, donc c'est à peine mieux que d'avoir un mot de passe unique. En gros ça te protège contre les programmes automatiques qui vont utiliser le mot de passe craqué sans rien changé, mais dès qu'un humain y jetera un oeil, il trouvera le truc en quelques secondes.

Se protéger des robots / programmes c'est déjà pas mal car pas mal de pirates passent par des process automatisés. Ils pratiquent l'arnaque "extensives" : j'envoie des centaines de milliers de mails en automatiques ... même si c'est pour avoir 0,0001% de retours positifs.

Pour l'œil humain, il faut simplement rendre un peu moins simple à comprendre le principe permettant d'élaborer la partie variable en fonction du site.... inversion des lettres 2x2 ou décalage alphabétique, ou "leet". Bref plein de méthodes. Rien d'infaillible, simplement de quoi compliquer suffisamment le boulor d'analyse.

Ce qui n'exclue pas, bien au contraire, de sécuriser plus les mots de passe "sensibles" (banque etc....)

Et il y a aussi les "coffres forts" à mot de passe ( type keepass par exemple).