[EN PARTENARIAT AVEC ESET]
Le chantage basé sur l'exploitation d'images intimes est en plein boom. Comment se protéger contre cette forme de cybercriminalité appelé "sextorsion" ?
Apparaître contre son gré dans un film pornographique... Vous ne rêvez pas, cela arrive. Grâce à l’intelligence artificielle, des cyberescrocs créent de fausses vidéos qu'ils menacent ensuite de diffuser. Une autre forme de « sextorsion » consiste à dérober des images intimes via des piratages puis à réclamer des rançons aux personnes concernées. Benoit Grünemwald, expert cybersécurité chez Eset, détaille les contours de cette nouvelle menace.
Monde Numérique : C'est le rendez vous mensuel consacré à la cybersécurité en partenariat avec ESET. On va parler cette semaine d'un phénomène visiblement en augmentation la sextorsion, autrement dit l'extorsion de données à caractère sexuel ou simplement intime. Bonjour Benoit Grünemwald.
Benoit Grünemwald : Bonjour Jérôme.
Monde Numérique : Expert cybersécurité chez ESET. Récemment, le FBI a mis en garde contre une pratique qui semble se développer. Ce sont des pirates qui mettent la main sur des photos liées à des chirurgies esthétiques. Et le but du jeu, et bien c'est de dévoiler des photos intimes. C'est donc un phénomène à part entière.
Benoit Grünemwald : Effectivement, sous la catégorie Sextorsion, on va retrouver plusieurs types de menaces et les fuites de données et ou les attaques sur des hôpitaux et en particulier sur des cabinets de radiologie ou sur des des cabinets de chirurgie esthétique permettent d'obtenir un très, très très grand nombre d'informations très sensibles et intimes à la fois les coordonnées des patients, mais également dans un très grand nombre de cas, également des des photos personnelles intimes qui vont permettre au praticien de travailler. Mais malheureusement, quand elles sont dans la nature, elles vont permettre à des cybercriminels de venir nous faire chanter.
Monde Numérique : Et alors il y a différents cas de figure. Benoit C'est ça qu'il faut préciser.
Benoit Grünemwald : Cas de figure qui sont complètement inventés par les cybercriminels et des cas de figure qui sont malheureusement réels. Alors, dans les cas réels, on peut bien entendu citer celui du vol d'informations et de photos, notamment intimes, dans des établissements de santé. On peut également citer malheureusement, l'utilisation de nos photos tout à fait non intimes, par exemple des photos de profil sur les réseaux sociaux qui vont être utilisées pour créer soit des photos à caractère sexuel, soit directement avec l'intelligence artificielle. Modifier une vidéo pornographique pour intégrer le visage de la personne et faire croire qu'elle est dans cette Dans cette vidéo. Et c'est encore une fois un moyen de faire de faire chanter les différentes victimes.
Monde Numérique : Alors comme d'habitude, c'est une histoire à plusieurs niveaux. Il y a d'abord la récupération de ces données là, quelques fois par part, par hameçonnage.
Benoit Grünemwald : L'hameçonnage fait partie d'un moyen très courant alors L'hameçonnage d'ailleurs, fait partie tellement et tellement le moyen le plus courant d'obtenir des informations qu'il est un peu considéré comme comme la mère de toutes les attaques. On va dire qu'une attaque sur deux est partie ou peu ou prou d'hameçonnage et. Et ça me fait penser à cette attaque qui a été nommée Warunki qui a été opérée. Alors c'est le procès est en cours à Paris, donc ils sont considérés suspects, présumé innocent pour l'instant et ce sont deux français qui auraient mené des campagnes d'hameçonnage de sextorsion sur des ressortissants français ici. Alors à la fois depuis le territoire français. Mais à un moment, ils se sont également exilés en Ukraine et. Et ces deux ressortissants sont en ce moment jugés pour cette affaire. Alors dans leur mode opératoire, ils avaient notamment donc cet email D'hameçonnage et de Sextorsion qui soi disant annonçait qu'ils nous avaient capturé en vidéo ou en photo depuis notre ordinateur en train de consulter des sites pornographiques. Et donc au début, ils avaient pour objectif de créer un logiciel qui allait effectivement faire ces photos ou vidéos. Et puis ils se sont aperçus que le développement du logiciel était plus ou moins compliqué et puis que finalement, malheureusement, les gens mordait à l'hameçon sans même avoir ses preuves. Parce que quand on. Quand on est victime de sextorsion, malheureusement, généralement on est pris de panique, même si on n'a rien à se reprocher. Ça c'est vraiment, c'est vraiment un effet très très, comment dire. Malheureusement très efficace de la part des sites.
Monde Numérique : C'est classique.
Benoit Grünemwald : C'est vraiment un réflexe. Même si on n'a rien fait, et bien on on est tenté, on se pose.
Monde Numérique : Des questions.
Benoit Grünemwald : Et puis comme le mail, le message et bien va nous mettre le doute. Et bien malheureusement, ils ont réussi à dérober un certain volume d'argent assez conséquent. Le procès dira combien exactement?
Monde Numérique : Alors on l’a dit parfois des vraies images, parfois des fausses, parfois pas d'images du tout aussi. Ça arrive également dans le.
Benoit Grünemwald : Cas présent de Warunki, il n'y avait pas d'image, c'était vraiment de la pression mise sur les victimes. Et puis quand on sait que les sites pornographiques sont parmi les plus visités, de toute façon, ils avaient quand même assez de chance de tomber sur des consommateurs.
Monde Numérique : C'est assez effrayant. Donc ça veut dire que, notamment avec la fabrication de fausses images, on peut se retrouver demain, on va dire dans un film pornographique acteur, alors que c'est totalement faux.
Benoit Grünemwald : Et ça, c'est la puissance de l'intelligence artificielle, encore une fois à double tranchant utiliser pour des choses magnifiques et qui font avancer le progrès et nos sociétés. Et puis également détourner pour des usages tout à fait illégaux et illégitimes. Dans cette utilisation, encore une fois, on s'aperçoit que la victime est assez prompte à payer parce qu'elle a peur et que, une fois que le mal est fait, si les informations sont diffusées, si les photos et les vidéos sont diffusées, que ça soit vrai ou pas, au final, ça va être très compliqué de démontrer à son entourage. Voire même, on n'a pas envie de démontrer à son entourage, à son entourage que ce n'est pas nous qui sommes dans ces dans ces vidéos ou ces photos pornographiques.
Monde Numérique : C'est un phénomène vraiment d'une ampleur significative, ça Benoit.
Benoit Grünemwald : On le voit. Alors, il y a plusieurs raisons à cela. Nous, on l'a vu de manière tout à fait formelle, on a des. On a des chiffres sur les différents spams et ou types de messages que reçoivent à la fois nos clients, mais également ceux que l'on peut arrêter plus globalement. Et on a vu que, au premier trimestre 2023, comparé au dernier trimestre 2022, il y a eu une augmentation de 200 % de cette catégorie de menaces que l'on va, que l'on va appeler cette extorsion, basée principalement sur des emails d'hameçonnage contenant ou pas d'ailleurs, des vrais, des vraies photos. Mais d'une manière générale, cette cette menace là est en très grande, très grande augmentation. Et puis c'est malheureusement aussi lié aux fuites de données qui elles sont aussi en constante augmentation. Et donc, on l'a vu, si le FBI met en garde les utilisateurs contre des fuites de données dans des notamment dans des cabinets de radiologie, et bien c'est qu'il y a un réel danger et que celui ci est concret.
Monde Numérique : Et malheureusement, Benoit il n'y a pas, on voit pas beaucoup de manière de se prémunir contre ça. À titre individuel, qu'est ce qu'on peut faire? Pas grand chose.
Benoit Grünemwald : Alors il y a deux cas de figure. Encore une fois, le premier cas de figure, c'est si ce n'est pas le cas et où, même si c'est le cas, en cas de chantage, ne pas céder, porter plainte et et à partir de là, la police, la justice va faire son travail.
Monde Numérique : Et aller sur la plateforme Pharos.
Benoit Grünemwald : Ou Cybermalveillance parce qu’il y a plusieurs points d'entrée on va dire pour toucher les autorités. Et c'est vrai que Cybermalveillance a ce côté fédérateur et en fonction du problème que vous allez décrire, vous serez renvoyés par la suite sur la bonne, sur la bonne plateforme. Mais Pharos en est une. Je pense à Point de contact aussi, qui est une association qui permet d'aller signaler du contenu illégal ou illégitime. Donc ça c'est le premier cas de figure à partir du moment où on a un chantage, notamment quand il arrivent par email porter plainte et puis ne pas céder à la panique, même si c'est une situation qui est bien souvent très stressante. Et puis ensuite, il y a le deuxième cas où il y a véritablement le mal qui a été fait, notamment si vous voyez une vidéo de vous qui circule avec avec votre votre visage sur un film ou une photo pornographique par exemple, là le premier réflexe est le même aller porter plainte, ne pas céder à la panique. Et puis aussi, avertir, c'est avertir parfois ses proches pour éviter qu'eux mêmes ne tombent sur ce type de contenus problématiques.
Monde Numérique : Oui, ça peut faire tout drôle
Benoit Grünemwald :, Ça peut être très très très dérangeant. Et Et prendre les devants, c'est aussi couper l'herbe sous le pied aux cyber criminels en disant voilà, vous pouvez faire ce que vous voulez. De toute façon, j'ai prévenu mes proches, ce n'est pas moi sur cette vidéo, c'est un trucage, c'est un montage, donc je ne paierai pas et j'ai porté plainte. Donc Donc voilà, on coupe, on essaye de leur couper l'herbe sous le pied, c'est pas facile. Et quant au vol d'informations qui sont les nôtres chez des tiers, encore une fois, je repense aux cabinets de radiologie dont le FBI faisait référence. Et là c'est vraiment très compliqué parce qu'on ne va pas à chaque fois qu'on va faire une radio ou que l'on va chez un photographe pour prendre des photos d'identité et bien lui demander s'il est bien sécurisé et soi même s'assurer qu'il est bien sécurisé. Donc là on est plus dans une.
Monde Numérique : Mais on y viendra peut être. Il y a un.
Benoit Grünemwald : Certain nombre de réglementations.
Monde Numérique : Qui.
Benoit Grünemwald : Sont en réflexion, on y viendra peut être. Après, moi je dirais qu'on. Devrait déjà y être. Quand on achète des objets connectés. C'est à dire que quand vous achetez un objet connecté, notamment s'il contient toute votre votre vie smartphones, montres connectées ou même capteurs avec des informations de type de données de santé. Mais je pense qu'il faut se poser la question du sérieux de l'entreprise à laquelle on achète cet objet connecté et ça doit à mon avis rentrer dans la dans la grille et dans la balance. Il faut savoir que la cybersécurité n'est pas infaillible et deux coups coute cher. En fait, si vous comparez deux objets, à partir du moment où vous rajoutez de la cyber sécurité, forcément l'objet qui en contient a demandé plus d'attention, plus de personnes, des moyens de recherche et développement certainement plus conséquents que celui qui qui n'y prête pas attention. C'est pas un gage de 100 %. Mais voilà, en tant que consommateur, je pense qu'aujourd'hui on doit réfléchir à la question cyber de nos données dans le numérique.
Monde Numérique : Bien sûr, la sécurité des objets connectés, ça c'est un autre sujet. On aura l'occasion d'en reparler. Merci beaucoup. Benoit Grunemwald, expert cybersécurité chez ESET.
À écouter
