Monde Numérique - Actu Technologies: [Interview] Benoit Grünemwald (Eset) : le phénomène de sextorsion en augmentation
Jérôme Colombain 10/25/23 - Episode Page - 11m - PDF Transcript
Au premier trimestre 2023, comparé au dernier trimestre 2022, il y a eu une augmentation
de 200% de cette catégorie de menaces que l'on va appeler s'extorsion, basée principalement
sur des e-mails d'amsonnage, contenant ou pas d'ailleurs des vrais photos.
C'est le rendez-vous mensuel consacré à la cyber sécurité en partenariat avec EZ.
On va parler cette semaine d'un phénomène visiblement en augmentation, la s'extorsion,
autrement dit l'extorsion de données à caractère sexuel ou simplement intime.
Bonjour, Benoît Grenemvalde.
Bonjour, Jérôme.
Expert cyber sécurité chez EZ.
Récemment, le FBI a mis en garde contre une pratique qui semble se développer.
Ce sont des pirates qui mettent la main sur des photos liées à des chirurgies esthétiques
et le but du jeu, c'est de dévoiler des photos intimes.
C'est donc un phénomène à part entière.
Effectivement, sous la catégorie s'extorsion, on va retrouver plusieurs types de menaces
et les fuites de données et où les attaques sur des hôpitaux et en particulier sur des
cabinets de radiologie ou sur des cabinets de chirurgies esthétiques,
permettent d'obtenir un très grand nombre d'informations très sensibles et intimes,
à la fois les coordonnées des patients, mais également dans un très grand nombre de cas,
également des photos personnelles intimes qui vont permettre aux praticiens de travailler,
mais malheureusement, quand elles sont dans la nature, elles vont permettre à des cybercriminels
de venir nous faire chanter.
Et alors, il y a différents cas de figure, Benoît, c'est ça qu'il faut préciser.
Oui, il y a des cas de figure qui sont complètement inventés par les cybercriminels
et des cas de figure qui sont malheureusement réels.
Dans les cas réels, on peut bien entendu citer celui du vol d'information et de photos notamment
intimes dans des établissements de santé. On peut également citer malheureusement l'utilisation
de nos photos tout à fait non intimes, par exemple des photos de profils sur les réseaux sociaux,
qui vont être utilisées pour créer soit des photos à caractère sexuel, soit directement avec
l'intelligence artificielle, modifier une vidéo pornographique pour intégrer le visage de la
personne et faire croire qu'elle est dans cette vidéo. Et c'est encore une fois un moyen de faire
de faire chanter les différentes victimes.
Alors comme d'habitude, c'est une histoire à plusieurs niveaux. Il y a d'abord la récupération
de ces données-là, quelquefois par amsonnage, c'est ça ?
Effectivement, l'amsonnage fait partie d'un moyen très courant. Alors l'amsonnage d'ailleurs fait
partie tellement et tellement le moyen le plus courant d'obtenir des informations qu'il est
un peu considéré comme la mère de toutes les attaques, on va dire qu'une attaque sur deux est
partie peu ou prou d'amsonnage. Et ça me fait penser à cette attaque qui a été nommée Varenki,
qui a été opérée, alors le procès est en cours à Paris, donc ils sont considérés suspects,
présumés innocent pour l'instant, et ce sont deux Français qui auraient mené des campagnes d'amsonnage de
s'extorsion sur des ressortissants français ici, alors à la fois depuis le territoire français,
mais à un moment ils se sont également exilés en Ukraine, et ces deux ressortissants sont en ce
moment jugés pour cette affaire. Dans leur mode opératoire, ils avaient notamment donc cet
email d'amsonnage et de s'extorsion qui soi-disant annonçaient qu'il nous avait capturé en vidéo
ou en photo depuis notre ordinateur en train de consulter des sites pornographiques, et donc
au début ils avaient pour objectif de créer un logiciel qui allait effectivement faire ces photos
ou vidéos, et puis ils se sont aperçus que le développement du logiciel était plus ou moins
compliqué, et puis que finalement malheureusement les gens mordaient à l'amsonnage sans même avoir
ces preuves, parce que quand on est victime de s'extorsion, malheureusement généralement on est
pris de panique, même si on n'a rien à se reprocher, ça c'est vraiment un effet très très
comment dire, malheureusement très efficace de la part des cinématiques, c'est vraiment un réflexe,
même si on n'a rien fait, on est tenté, et puis comme l'email, le message va nous mettre le doute,
et bien malheureusement ils ont réussi à dérober un certain volume d'argent,
assez conséquent le procès dira combien exactement.
Alors on l'a dit donc des vrais images, parfois des fausses, parfois pas d'images du tout aussi,
ça arrive également.
Exactement, dans le cas présent de Varunki, il n'y avait pas d'images, c'était vraiment de la
pression mise sur les victimes, et puis quand on sait que les sites pornographiques sont parmi
les plus visités de toute façon, ils avaient quand même assez de chance de tomber sur les
consommateurs.
C'est assez effrayant, donc ça veut dire que notamment avec la fabrication de fausses images,
on peut se retrouver demain, on va dire dans un film pornographique, acteur, alors que c'est
totalement faux.
Exactement, et ça c'est la puissance de l'intelligence artificielle, encore une fois un double tranchant
utilisée pour des choses magnifiques et qui font avancer le progrès et nos sociétés,
puis également détourner, pas pour des usages tout à fait illégaux et légitimes.
Dans cette utilisation, encore une fois on s'aperçoit que la victime est assez pronte
à payer parce qu'elle a peur, et qu'une fois que le mal est fait, si les informations
sont diffusées, si les photos ou les vidéos sont diffusées, que ça soit vrai ou pas,
au final ça va être très compliqué de démontrer à son entourage, voire même on
n'a pas envie de démontrer à son entourage que ce n'est pas nous qui sommes dans ces
vidéos ou ces photos pornographiques.
C'est un phénomène vraiment d'une ampleur significative, sa benoît.
Oui, on le voit, alors il y a plusieurs raisons à cela.
Nous on l'a vu de manière tout à fait formelle, on a des chiffres sur les différents spam
et ou type de messages que reçoivent à la fois nos clients mais également ceux que
on peut arrêter plus globalement.
Et on a vu qu'au premier trimestre 2023, comparé au dernier trimestre 2022, il y a eu
une augmentation de 200% de cette catégorie de menaces que l'on va appeler sextorsion
basée principalement sur des emails d'amsonnage contenant ou pas d'ailleurs des vrais photos
mais d'une manière générale, cette menace-là est en très grand nombre d'augmentation.
Et puis c'est malheureusement aussi lié au fuite de données qui elles sont aussi en
constante augmentation et donc on l'a vu, si le FBI met en garde les utilisateurs contre
des fuites de données notamment dans des cabinets de radiologie, c'est qu'il y a un
réel danger que celui-ci est concret.
Et malheureusement Benoît, on ne voit pas beaucoup de manière de se prémunir contre
ça à titre individuel, qu'est-ce qu'on peut faire ? Pas grand-chose.
Alors il y a deux cas de figure encore une fois, le premier cas de figure c'est si ce
n'est pas le cas et ou même si c'est le cas, en cas de chantage, ne pas céder, porter
plainte et à partir de là, la police, la justice va faire son travail.
Et aller sur la plateforme Faroze, c'est ça ?
S'il y a plusieurs points d'entrée on va dire pour toucher les autorités et c'est
vrai que Sybère Malveillance à ce côté fédérateur et en fonction du problème que
vous allez décrire, vous serez renvoyé par la suite sur la bonne plateforme et Faroze
en est une je pense à point de contact aussi qui est une association qui permet d'aller
signaler du contenu illégal ou illégitime.
Donc ça c'est le premier cas de figure, à partir du moment où on a un chantage notamment
quand il arrive par email, porter plainte et puis ne pas céder à la panique même
si c'est une situation qui est bien souvent très stressante et puis ensuite il y a le
deuxième cas où il y a véritablement le mal qui a été fait notamment si vous voyez
une vidéo de vous qui circule avec votre visage sur un film ou une photo pornographique
par exemple.
Là le premier réflexe c'est le même, aller porter plainte, ne pas céder à la panique
et puis aussi à avertir parfois ses proches pour éviter que même ne tombe sur ce type
de contenu problématique.
Ça peut être très dérangeant et prendre les devants, c'est aussi couper l'herbe
sous le pied au cybercriminel, vous pouvez faire ce que vous voulez, d'outre façon
j'ai prévenu mes proches, ce n'est pas moi sur cette vidéo, c'est un truc cash, c'est
un montage donc je ne paierai pas et j'ai porté plainte donc on essaye de leur couper
sous le pied.
C'est pas facile et quant aux vols d'information qui sont les nôtres chez des tiers et encore
une fois je repense au cabinet de radiologie dont le FBI faisait référence et là c'est
vraiment très compliqué parce qu'on ne va pas à chaque fois qu'on va faire une radio
ou que l'on va chez un photographe pour prendre des photos d'identité et bien lui demander
s'il est bien sécurisé et soi-même s'assurer qu'il est bien sécurisé.
Donc là on est plus dans une…
Mais on y vient drape-tête ?
Il y a un certain nombre de réglementations qui sont en réflexion, on y vient drape-tête.
Après, moi je dirais qu'on devrait déjà y être quand on achète des objets connectés.
C'est à dire que quand vous achetez un objet connecté, notamment s'il contient toute
votre vie au smartphone, montre connecté ou même capteur avec des informations de
type de données de santé, je pense qu'il faut se poser la question du sérieux de l'entreprise
à laquelle on achète cet objet connecté et ça doit, à mon avis, rentrer dans la grille
et dans la balance.
Il faut savoir que la cyber-sécurité n'est pas infaillible et deux coups de chair, en
fait, si vous comparez deux objets, à partir du moment où vous rajoutez de la cyber-sécurité,
forcément l'objet qui en contient a demandé plus d'attention, plus de personnes, des
moyens de rechercher développement, certainement plus conséquents que celui qui n'y prête
pas attention.
Ce n'est pas un gage de 100%, mais en tant que consommateur, je pense qu'aujourd'hui,
on doit réfléchir à la question cyber de nos données dans le numérique.
Bien sûr.
La sécurité des objets connectés, alors ça, c'est un autre sujet, on aura l'occasion
d'en reparler.
Merci beaucoup, Benoît Grunemval, d'experts cyber-sécurités chez AZ.
Machine-generated transcript that may contain inaccuracies.
[PARTENARIAT] Le chantage basé sur l'exploitation d'images intimes est en plein boom. Comment se protéger contre cette forme de cybercriminalité appelé "sextorsion" ?
Apparaître contre son gré dans un film pornographique... Vous ne rêvez pas, cela arrive. Grâce à l’intelligence artificielle, des cyberescrocs créent de fausses vidéos qu'ils menacent ensuite de diffuser. Une autre forme de « sextorsion » consiste à dérober des images intimes via des piratages puis à réclamer des rançons aux personnes concernées. Benoit Grünemwald, expert cybersécurité chez Eset, détaille les contours de cette nouvelle menace.
Mots-clés : chantage, cybercriminalité, escroquerie, phishing, pornographie, sexe