Vendredi matin, vers 8 heures. Lucas* jette un coup d'oeil à sa boîte mail en attendant le bus. Comme souvent, plusieurs messages ont atterri dans les spams. Normalement, le jeune homme les efface sans les lire, mais, ce jour-là, il y en a un qui attire son attention. Il décide donc de cliquer, ce qu'il regrettera quelques instants plus tard.
Le message, en anglais, lui annonce qu'il a été hacké. Pire: il semble avoir été envoyé par l'adresse mail de Lucas. Ce que l'expéditeur s'empresse de confirmer dès les premières lignes du courriel:
«Quand j'ai lu cette phrase, mon cœur s'est arrêté», raconte le Vaudois. «Je me suis dit, c'est bon, ils m'ont eu». Au fur et à mesure qu'il lit le message, sa panique grandit. Le pirate lui annonce avoir installé un logiciel espion dans son ordinateur, il y a quelques mois. La suite est logique. «J'ai enregistré de nombreuses vidéos de toi en train de te branler sur des vidéos роrnos», ajoute l'auteur du message.
Le pirate menace d'envoyer ces contenus à tous ses contacts, si Lucas ne lui envoie pas 1600 dollars (environ 1400 francs) en cryptomonnaies. «Quand tu ouvriras mon mail, je recevrai une notification. Tu auras alors exactement 48 heures pour envoyer l'argent», ajoute-t-il. «Là, je me suis dit que j'étais dans la merde», dit Lucas.
«J'ai vraiment cru que le message était véridique, au début», poursuit le jeune homme. «J'ai eu très peur. Pourtant, rationnellement, je savais que ces mails existent, et que c'est souvent des arnaques. Mais se retrouver dans cette position change tout. J'ai commencé à me faire des films et, à partir de ce moment, c'était fini.»
Le message est volontairement vague, mais le scénario évoqué est «tout à fait probable». «Le fait que le mail semblait avoir été envoyé par mon adresse, ainsi que le ton du texte, tout était assez convaincant», justifie Lucas.
«Cela s'appelle de l'ingénierie sociale», réagit Paul Such, CEO de Swiss Post Cybersecurity. «Il s'agit de stratagèmes que le pirate utilise pour abuser de la confiance de la victime».
«Il faut savoir que falsifier l'expéditeur d'un email est extrêmement facile», explique le spécialiste en cybersécurité. Toutefois, tout ce qui est décrit dans le message que Lucas a reçu est «techniquement possible», ajoute-t-il. «Si l'ordinateur de la victime est vraiment compromis, le pirate a un accès complet. Il a accès à la caméra, mais également au disque dur, à la liste des contacts, aux applications».
«Pourtant, il faut bien réaliser que pour en arriver à cette étape, l'ordinateur doit avoir été infecté par un cheval de Troie», complète Paul Such. Ce qui peut arriver, mais ce n'est pas très fréquent: «Il s'agit d'une attaque qui demande une certaine préparation». Autrement dit, «les possibilités que cela soit vrai sont infimes».
Le phénomène est connu des autorités et s'appelle fake (ou fausse) sextorsion. Contrairement aux vrais cas de sextorsion, dans lesquels les malfaiteurs disposent effectivement d'images compromettantes de la victime, prises par exemple lors d'appels vidéos, il s'agit ici d'une intimidation pure et simple. C'est pour cette raison que la police fribourgeoise parle de «menaces creuses» sur son site internet.
«Nous connaissons ces courriels de fake sextorsion. Cette méthode est malheureusement très répandue», déclare le porte-parole de la police cantonale valaisanne, Stève Léger. Lequel ajoute: «Nous soulignons que ces courriels sont envoyés par hasard».
«Les faux mails de sextorsion sont une méthode d’escroquerie très répandue actuellement», lui fait écho Manuela Sonderegger, de l'Office fédéral de la cybersécurité (OFCS).
Selon Manuela Sonderegger, «l'affirmation selon laquelle l'agresseur a accès à l'ordinateur est un bluff». Tous les responsables que nous avons interrogés s'accordent sur ce point: «Les ordinateurs des personnes concernées ne sont pas infectés et les auteurs ne sont pas en possession de matériel compromettant», assure Jessica Friedli, porte-parole de la police bernoise.
L’OFCS invite donc à «ignorer ces courriels et à ne pas se laisser intimider».
Au moment de lire le mail, Lucas ne dispose pourtant pas de toutes ces informations. «J'ai fait quelques recherches, mais je n'ai pas pensé à aller voir sur les sites des autorités suisses», raconte-t-il. «Dans des forums en ligne, j'ai vu que beaucoup d'autres personnes avaient reçu des messages similaires». Cela le rassure, mais jusqu'à un certain point:
«Dans tous les cas, le doute s'était installé dans ma tête», reconnaît le Vaudois. «Je ne pouvais pas m'empêcher de me demander, et si c'était vrai? J'imaginais alors le moment où tous mes contacts allaient recevoir le fameux message. Qui prévenir en priorité? Ma copine? Mes amis? Mes parents? Mon chef? Quelle allait être leur réaction? C'était insupportable».
Pourtant, malgré la panique, Lucas n'a jamais envisagé de payer. «Je n'y ai pas pensé une seule seconde», assure-t-il.
«Cliquer sur le lien est toujours une mauvaise idée», indique Paul Such. «Le risque de se faire directement pirater existe, mais il est faible. Pourtant, cela permet aux pirates d'obtenir plus d'informations sur la victime, comme l'endroit d'où elle se connecte, ou le type de machine qu'elle utilise».
Selon la porte-parole de la police bernoise, «les victimes doivent porter plainte et ne pas répondre aux demandes». «Pour pouvoir remonter à l'expéditeur, il faut le piéger. Ce n'est pas facile à faire, d'autant plus que, la plupart du temps, les expéditeurs sont dans d'autres pays», explique Paul Such.
«D'un point de vue légal, c'est donc assez improbable que les personnes qui effectuent ce genre de chantage soient condamnées», ajoute-t-il. Avant de nuancer: «S'adresser aux autorités est toujours utile et il faut le faire, car ça permet d'avoir un suivi et de l'assistance.»
Les données des polices montrent toutefois que peu de personnes passent à l'acte. «Les cas de fake sextorsion sont peu rapportés à la police cantonale valaisanne», déclare Stève Léger, qui fait état de trois signalements en 2024 et d'un seul en 2023. «Nous recensons un seul cas sur le canton de Vaud en 2024 avec ce mode opératoire spécifique», complète son homologue vaudois, David Guisolan. «Il est plus fréquent d’observer des cas d’intimidation et chantage envoyés par de prétendues autorités».
Les choses en vont autrement pour les vrais cas de sextorsion. La police valaisanne a enregistré 11 cas en 2024 et 14 l'année d'avant, selon Stève Léger. La police fribourgeoise note que «le phénomène global est en augmentation».
La vigilance reste de mise. D'autant plus que l’OFCS a documenté de nouvelles variantes, explique Manuela Sonderegger. Des mails de fake sextorsion qui comprennent des informations personnelles, telles qu'un mot de passe utilisé par le destinataire, ou une partie de son numéro de téléphone. «Ces indications proviennent de plusieurs fuites de données», souligne la porte-parole.
«Généralement, ces informations ont fuité via un site qui s'est fait hacker», complète Paul Such. «Il peut s'agir de n'importe quel site que la victime a consulté, pas forcément un site pornographique». C'est ainsi que les escrocs récupèrent des informations qu'ils ne sont pas censés avoir.
Cela permet aux malfaiteurs de donner plus de poids à leurs revendications financières, indique l’OFCS. Si le destinataire utilise le mot de passe mentionné, «il est impératif de le modifier de toute urgence». Autrement, le comportement à adopter reste le même:
C'est ce que Lucas a fini par faire, même si cela n'a pas été facile. «Jusqu'à la date butoir indiquée dans le mail, et même un peu après, je vérifiais régulièrement mes conversations Whatsapp», raconte-t-il. «Au bout d'un moment, je me suis dit que ce n'était peut-être pas vrai. Mais cela ne m'a pas empêché de passer un sale week-end».
*Lucas est un prénom d'emprunt