« J'ai piraté votre webcam, envoyez du BTC » : comment j'ai désarmé l'e-mail qui m'a coûté 3 nuits blanches
Résultats Clés
Le Défi
Un comptable de 34 ans à New York a ouvert sa boîte de réception un matin pour trouver un e-mail de menace avec son propre mot de passe en tête. Le message était direct : « 1 500 $ en BTC sous 48 heures ou vos contacts reçoivent les images que j'ai enregistrées via votre caméra. » Le mot de passe familier l'a glacé. Il a passé 3 nuits blanches à chercher comment acheter du BTC. Il était à 2 clics d'envoyer le paiement.
Notre Solution
Altahonos a retracé le mot de passe jusqu'à la fuite Collection #1 de 2019 lors d'une consultation gratuite de 30 minutes. L'e-mail a été confirmé comme un envoi de masse par bot adressé à des millions de personnes. Aucun appareil n'avait été compromis, aucune image n'existait. L'authentification à deux facteurs a été activée sur tous les comptes critiques et une surveillance des fuites de 7 jours a été mise en place.
Ce qui s'est passé ?
Un matin ordinaire. La boîte de réception ouverte. Et là, dans la première ligne de l'e-mail : un ancien mot de passe. Son mot de passe. Un qu'il avait utilisé il y a des années et dont il se souvenait à peine.
L'e-mail continuait : « J'ai accès à tous vos appareils. J'ai enregistré des images via votre webcam. Envoyez 1 500 $ en BTC sous 48 heures ou vos contacts recevront les images. »
Comptable de 34 ans à New York, il s'est figé. Le mot de passe était réel. Il l'avait utilisé pendant des années. Le reste était-il aussi réel ?
3 jours, 0 sommeil
Son premier instinct a été de supprimer et de passer à autre chose. Mais quelque chose l'a arrêté : ce mot de passe. Il n'était pas aléatoire. C'était vraiment le sien. Et s'ils avaient vraiment accès ?
Il a pensé à aller à la police. Mais et si la vidéo était réelle ? Ses collègues. Sa famille. Ses clients. Dans cet état de panique, penser clairement était presque impossible. Son esprit revenait sans cesse à la même question : « Que se passe-t-il s'ils l'envoient ? »
Il ne pouvait pas dormir la nuit. Dans la journée, il vérifiait son téléphone au milieu des réunions clients. Il perdait le fil des conversations. Pendant trois jours, il a vécu dans cette boucle.
Il s'est renseigné sur comment acheter du Bitcoin. Ouvert un compte sur une plateforme crypto. Vérification d'identité achevée. Arrivé à l'écran de transfert. Saisi le montant. Il était à 2 clics d'envoyer.
Il s'est arrêté. Et a appelé Altahonos.
Comment cette attaque fonctionne réellement
Ces e-mails sont connus sous le nom de sextortion bot-blasts. Voici leur fonctionnement : les attaquants achètent sur le dark web des listes de millions d'adresses e-mail accompagnées d'anciens mots de passe. Ces listes proviennent de fuites de données massives survenues il y a des années. LinkedIn, Adobe, MySpace, des centaines de sites plus petits. Des milliards d'identifiants circulent encore aujourd'hui.
L'attaquant envoie le même e-mail à chaque personne de la liste. La seule différence est que chaque e-mail inclut le vrai mot de passe de la personne. Ce simple détail rend le message personnel et crédible. Il crée l'impression que quelqu'un vous connaît vraiment.
En réalité, aucun appareil n'est compromis. Aucune vidéo n'est prise. L'attaquant exécute une liste, un modèle et un système d'envoi automatisé. Le même e-mail atteint des milliers de personnes simultanément dans tous les pays.
La plupart des destinataires le suppriment. Un petit pourcentage paie. Pour l'attaquant, ce pourcentage suffit largement. Le coût est presque nul, le paiement est instantané et ne laisse aucune trace.
Besoin d'une aide d'expert ?
Notre équipe a résolu des milliers de cas. Obtenez un soutien confidentiel maintenant.
30 minutes ont tout changé
Dans les 10 premières minutes de la consultation, nous avons retracé le mot de passe jusqu'à sa source : la fuite Collection #1 de 2019. C'était l'une des plus grandes fuites d'identifiants jamais enregistrées, avec 773 millions d'adresses e-mail et des milliards de mots de passe exposés en un seul événement. Son mot de passe se trouvait sur une liste du dark web depuis des années.
L'attaquant n'avait jamais touché à ses appareils. Il avait simplement pris une adresse e-mail et le mot de passe correspondant de cette liste et envoyé le même message à des millions de personnes. L'e-mail était un bluff. Total. Aucun appareil n'avait été compromis. Aucune vidéo n'avait été prise. Aucune vidéo n'avait jamais existé.
Nous avons ensuite activé la 2FA sur tous ses comptes critiques. Une période de surveillance des fuites de 7 jours a été activée. Si un nouveau signal de menace apparaissait lié à son adresse e-mail, il serait notifié immédiatement.
Quand c'était terminé
Il n'a rien payé. Aucune vidéo n'est partie où que ce soit, car aucune n'existait. Il a fermé l'écran de transfert et retiré l'argent de la plateforme.
Neuf mois plus tard, une vérification a confirmé que tout était en ordre. Comptes sécurisés, aucune nouvelle menace, 2FA actif.
Si vous avez reçu le même e-mail
Cet e-mail atteint des dizaines de milliers de personnes chaque jour. Aux États-Unis, en Europe et dans tous les coins du monde. Voir un vrai mot de passe dans l'objet est conçu pour vous figer. Mais ce mot de passe est la preuve d'une fuite de données, pas d'un piratage de caméra. Ce sont deux choses très différentes.
Ce que vous ne devriez pas faire : ne payez pas. Les personnes qui paient une fois reçoivent typiquement une deuxième demande. Vous venez de signaler que cela fonctionne sur vous. Ne laissez pas le délai de 48 heures vous mettre la pression. C'est une tactique psychologique, pas un vrai compte à rebours.
Ce que vous devriez faire : ne supprimez pas l'e-mail, prenez une capture d'écran. Allez sur haveibeenpwned.com, saisissez votre adresse e-mail et voyez dans quelles fuites vous apparaissez en quelques secondes. Changez votre mot de passe sur chaque compte où vous l'avez utilisé. Activez la 2FA.
Si vous n'êtes toujours pas sûr, prenez 5 minutes avant de payer un centime. Réel ou bluff, nous vous le dirons immédiatement. Vous avez reçu le même e-mail ? Vérification gratuite de 5 minutes avant de payer un centime : +1 (855) 853-2415
"J'étais à 2 clics d'envoyer l'argent. Altahonos m'a montré en 30 minutes que tout cela n'était qu'un bluff. J'ai dormi cette nuit-là pour la première fois depuis des jours."— Anonyme
Questions fréquemment posées
Non. Les anciens mots de passe sont obtenus à partir de fuites de données, pas en piratant votre appareil. Ces e-mails envoyés en masse incluent un vrai mot de passe pour rendre la menace personnelle et crédible. C'est la preuve d'une fuite, pas d'un piratage de caméra.
Rendez-vous sur haveibeenpwned.com et saisissez votre adresse e-mail. Vous verrez en quelques secondes chaque fuite dans laquelle vos identifiants apparaissent. C'est gratuit et sans risque.
Non. Très probablement, aucune vidéo n'existe. Payer signale que la tactique a fonctionné sur vous, ce qui déclenche typiquement une deuxième demande d'un montant plus élevé.
Ne le supprimez pas, faites une capture d'écran. Changez le mot de passe sur chaque compte où vous l'avez utilisé. Activez la 2FA. Ne payez pas. Si vous avez un doute, appelez-nous avant toute chose. Vérification gratuite de 5 minutes : +1 (855) 853-2415
À propos de l'auteur
Altahonos Team
L'équipe Altahonos est composée de spécialistes en cybersécurité et en gestion de la réputation en ligne disposant d'une vaste expérience dans la prévention des menaces numériques et les stratégies de retrait de contenu, aidant les particuliers et les entreprises à protéger leur présence numérique.