Martin* a reçu, début septembre, un email intitulé « DIRECTION CENTRALE DE LA POLICE JUDICIAIRE NATIONALE », dont l’expéditeur serait la « DIRECTION CENTRALE DE LA POLICE JUDICIAIRE NATIONALE ». Le jeune homme sait reconnaître les emails de phishings, et pas de doute : celui-ci en est un.
Rien que l’adresse de l’expéditeur, une adresse Outlook, n’appartient pas à la police qui utilise des adresses en « .gouv.fr ».
Dans le corps du message, ses auteurs se montrent expéditifs : « Voir document PDF », écrit en police bleue imposante. En pièce jointe se trouve effectivement un fichier nommé « DIRECTION CENTRALE DE LA POLICE JUDICIAIRE NATIONALE-converti-compressé.pdf ». Aucune trace de malware, le document contient simplement le texte du phishing, qui se trouve habituellement dans le corps de l’email. Ce tour de passe-passe a un intérêt : un service d’email ne peut pas se permettre de classer en spams tous les emails qui contiennent la phrase « voir document PDF », et aura plus de difficultés à filtrer l’arnaque. Pour bloquer automatiquement le phishing, les logiciels anti-spam doivent donc avoir la capacité d’analyser le document PDF.
L’adresse Wanadoo, sur laquelle Martin a reçu le phishing, ne l’avait pas filtré : l’email a atterri directement sur sa boîte email, sans passer par la case spam. Mais si la ruse fonctionne, elle s’accompagne d’un gros inconvénient : il faut que la cible des malfaiteurs clique sur la pièce jointe de l’email suspicieux.
Cyberguerre a cliqué sur la pièce jointe, et a pu dérouler le schéma de l’entourloupe, visiblement mal contrôlée par des « pirates » peu créatifs.
Grammaire hors catégorie, anachronisme et scénario rocambolesque
Le document est une lettre sur 2 pages prétendument envoyée par la « direction de protection des mineures » (sic), datée du 13 septembre 2020. Elle affiche en-tête et en bas de page le logo officiel de la direction centrale de la police judiciaire. « Je suis Mme YVETTE BERTRAND, commissaire divisionnaire, chef de la brigade de protection des mineurs (BPM), je vous contacte peu après une saisie informatique de la Cyber-infiltration », démarre le courrier.
Il nous « informe » que nous faisons l’objet de « plusieurs Poursuites Judiciaires » dont « la pédopornographie », « l’exhibitionniste » (sic), « la Cyber pornographie » ou encore le « trafic sexuelle » (sic). Quand bien même nous serions tombés dans le piège en cliquant sur la pièce jointe, ces nombreuses fautes de grammaire auraient pu éveiller nos soupçons.
Une vieille entourloupe mal exécutée
Il s’avère que Yvette Bertrand a bien fait partie de la brigade de protection des mineurs, mais entre 1995 et 2010, avait d’être nommée cheffe de la brigade criminelle. Autant dire que ce faux courrier, dont on trouve de nombreuses traces sur différents forums, est utilisé par des malfaiteurs depuis plus de dix ans. On pourrait donc supposer que les pirates auxquels nous sommes confrontés ont acheté le modèle de l’arnaque pour quelques euros ou l’ont même trouvé gratuitement et réutilisé tel quel.
Le scénario se déploie dans la suite de la lettre : « vous êtres prié de vous faire entendre par mail à cette adresse email : [email protected] en nous écrivant vos justifications pour qu’elles soient mises en examen et vérifiés afin d’évaluer les sanctions, cela dans un délai stricte de 24 heures » (sic). Le courrier prend des allures de menaces : si nous ne répondons pas, nous serons « fiché comme délinquant sexuel », et la justice transmettra notre dossier à des chaînes de télévision, nos proches et « toutes la France entière verra ce que [nous faisons] devant [notre] ordinateur ». Rien que ça.
Entre le scénario invraisemblable, les fautes de grammaire et les anachronismes, les ficelles de l’arnaque sont trop apparentes. Mais nous décidons tout de même de contacter l’adresse indiquée dans le courrier, bien qu’il ne s’agisse pas d’une adresse en « .gouv.fr », comme devrait l’être toute adresse email de la police.
Comment rater son ingénierie sociale
Le phishing employé requiert que le malfaiteur fasse de l’ingénierie sociale, c’est-à-dire qu’il manipule par message sa cible pour qu’elle communique des informations importantes, ou ici, qu’elle fasse un virement d’argent. Puisqu’il s’agit dans notre cas d’un échange d’email, le malfaiteur doit se montrer patient et réaliste, pour s’assurer que leurs victimes paieront quelque chose.
Nous contactons donc la prétendue Yvette Bertrand sous un alias : nous expliquons que nous n’avons commis aucun des faits reprochés, et que nous pensons qu’il y a erreur. Sa réponse, envoyée 20 minutes plus tard, était toute prête :
« Vous avez bien commis un délit, car sur les sites pornographiques et coquins dont il y a aussi des mineures ce qui est interdit par la loi (…) Ceci étant, nous allons vous soumettre à un article de la justice qui pourrait bien vous permettre de vous expier sans rendre cette affaire publique et sans compromettre votre profession ou votre réputation. »
Le pirate nous met face à un dilemme : choisir la « procédure judiciaire » qui « rendra l’affaire publique ». Ou alors, choisir le « règlement à l’amiable » et payer 8 500 euros « d’amende pénale ».
Nous expliquons que nous n’avons pas les moyens de payer la somme et demandons comment nous pouvons la régler. Le malfaiteur nous envoie son RIB lié à un compte de la néobanque N26 ouvert en août 2020, et nous demande d’envoyer un « scanne du reçu du virement ».
Nous insistons en disant que la somme est trop importante pour nous, et notre interlocuteur finit par nous dire de payer en deux fois, dont 4 500 euros dès maintenant. Nous continuons en lui demandant son identité pour « éviter les arnaques ». Le pirate décide alors de simplement copier-coller une phrase de notre premier email : « madame YVETTE BERTRAND de la police judiciaire de Paris ». Après ce dernier message, il ne nous répondra plus.
Il est très probable que ce pirate n’ait pas réussi à arnaquer ses cibles : il a choisi un schéma d’attaque qui demande des compétences d’adaptation et de conversations, qu’il n’a pas de façon évidente, alors qu’il demande une somme conséquente. Peut-être aurait-il pu se contenter d’un faux formulaire, une méthode utilisée par la plupart des phishings…
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !