Publié le 11/04/2020

Sextorsion : demande d'une rançon en bitcoins et menace de divulgation de vidéo

Avocado logo
Depuis plusieurs mois, un nouveau cas de ransomware a vu le jour : le chantage à la webcam où le hacker prétend détenir des vidéos ou des images compromettantes.
La plupart du temps, le rançonneur n'a strictement rien

La stratégie est simple : l’envoi de mails répétés qui jouent sur la peur et la paranoïa.

On vous fait croire qu’en consultant un site pornographique, vous vous êtes fait pirater votre ordinateur et que votre webcam a été infiltrée pour sauvegarder les images de vous dans une position personnelle délicate.

On vous réclame de la monnaie sonnante et trébuchante (la plupart du temps en bitcoins) pour empêcher la divulgation de ces images à vos contacts personnels.

Ce type de campagne malveillante est désormais bien connue des médias, à tel point même qu’un néologisme a été inventé pour en parler : la « sextorsion ».

Si des actions peuvent être menées (2.), il faut cependant relativiser la gravité de ces sollicitations (1.).

  1. La relativité des menaces de sextorsion

Il existe un article intéressant qui donne en détail le fonctionnement de ce type de chantage :

https://www.cnetfrance.fr/news/sextorsion-comment-vous-premunir-d-un-chantage-a-la-webcam-faussement-piratee-39871971.htm

Je cite un extrait très explicite :

« La raison la plus probable, ce n’est pas que les destinataires de ces emails de “sextorsion” ont été piratés… mais que leurs mots de passe se trouvent dans des bases de données, partagées sur Internet entre hackers du dimanche (notamment sur le fameux “dark web” dont tout le monde parle avec terreur), suite à des fuites massives de données. Il est ainsi fort possible que ces mots de passe proviennent des 4,6 millions d’identifiants du service de messagerie Snapchat, des 453 427 comptes utilisateurs de Yahoo!, ou encore des 167 millions de mots de passe d’utilisateurs de LinkedIn, qui se sont retrouvés dans la nature ces dernières années, suite aux piratages de ces sites (un hacking à l’aveugle, donc, et ne visant pas quelqu’un en particulier), bien souvent mal sécurisés. »

En résumé, à la lecture de cet article, il ressort surtout que des mots de passe ont été piratés par emploi de « phishing » et se retrouvent dans des bases de données sur le dark-web pour la mise en place d’un système d’arnaque à grande ampleur.

Le point a également fait un article (plus court et moins détaillé) qui vise aussi à rassurer les destinataires de messages de sextorsion :

https://www.lepoint.fr/faits-divers/escroquerie-sextorsion-la-nouvelle-menace-sur-internet-11-08-2018-2242960_2627.php

Il existe aussi une vidéo d’un professionnel qui explique également les bons réflexes à avoir :

https://www.youtube.com/watch?v=5HsK0vuMaIM

S’il n’existe quasiment aucun risque qu’une vidéo soit un jour dévoilée, il est cependant indispensable de faire preuve d’une très grande vigilance dans la lecture des courriels malveillants.

En effet, les arnaqueurs qui prétendent avoir une vidéo de masturbation invitent souvent le destinataire du courriel à accéder au lien pour constater qu’ils disposent bien d’une vidéo compromettante.

En réalité, à la place d’une vidéo, le destinataire reçoit un fichier ZIP qui contient un ensemble de fichiers viciés.

En cas de téléchargement, les fichiers infectés vont télécharger et installer immédiatement un logiciel de ransomware.

Dans ce cas, il est nécessaire d’aller consulter un professionnel en informatique afin de tenter de nettoyer l’ordinateur de ces infections.

  1. Les actions envisageables

Il existe différents moyens juridiques pour tenter de circonscrire ces menaces ou de poursuivre leurs auteurs.

2.1. Les qualifications avant exécution des menaces

Avant que les éventuelles captations d’images soient publiées, il existe des infractions pouvant justifier des poursuites.

2.1.1. Le cyber-harcèlement

D’abord, l’envoi à plusieurs reprises de courriels pourrait renfermer l’infraction délictuelle de harcèlement.

L’article 222-33-2 du Code pénal dispose :

« Le fait de harceler autrui par des propos ou comportements répétés ayant pour objet ou pour effet une dégradation des conditions de travail susceptible de porter atteinte à ses droits et à sa dignité, d'altérer sa santé physique ou mentale ou de compromettre son avenir professionnel, est puni de deux ans d'emprisonnement et de 30 000 € d'amende. »

2.1.2. La tentative d’extorsion et la tentative de chantage

L’article 312-1 du Code pénal dispose :

« L’extorsion est le fait d’obtenir par violence, menace de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque.

L’extorsion est punie de sept ans d’emprisonnement et de 100.000 € d’amende.

L’article 312-10 du Code pénal dispose :

« Le chantage est le fait d’obtenir, en menaçant de révéler ou d’imputer des faits de nature à porter atteinte à l’honneur ou à la considération, soit une signature, un engagement ou une renonciation, soit la révélation d’un secret, soit la remise de fonds, de valeurs ou d’un bien quelconque.

Le chantage est puni de cinq ans d’emprisonnement et de 75.000 € d’amende. »

L’article 312-12 du Code pénal prévoit pour les deux infractions précitées (extorsion et chantage) que la tentative (c’est-à-dire le stade où aucune remise de fonds n’est intervenue) est punissable au même titre que l’infraction consommée.

2.1.3. L’escroquerie

Dans le cadre de la pratique du « phishing », la jurisprudence retient également la possibilité d’invoquer le délit d’escroquerie prévu à l’article 313-1 du Code pénal :

« L’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge.

L’escroquerie est punie de cinq ans d’emprisonnement et de 375.000 € d’amende. »

A ce stade, il est donc parfaitement envisageable de déposer une plainte au commissariat de Police compétent sur les fondements précités.

2.2. Les qualifications après exécution des menaces

Dans l’hypothèse extraordinaire où les menaces seraient mises à exécution, et si une vidéo était diffusée sur internet ou sur une mailing liste, une telle diffusion pourrait parfaitement justifier le dépôt d’une plainte sur le fondement de la captation d’images.

L’article 226-1 du Code pénal dispose :

« Est puni d'un an d'emprisonnement et de 45 000 euros d'amende le fait, au moyen d'un procédé quelconque, volontairement de porter atteinte à l'intimité de la vie privée d'autrui :

1° En captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel ;

2° En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé.

Lorsque les actes mentionnés au présent article ont été accomplis au vu et au su des intéressés sans qu'ils s'y soient opposés, alors qu'ils étaient en mesure de le faire, le consentement de ceux-ci est présumé. »

L’article 226-2-1 du Code pénal précise :

« Lorsque les délits prévus aux articles 226-1 et 226-2 portent sur des paroles ou des images présentant un caractère sexuel prises dans un lieu public ou privé, les peines sont portées à deux ans d'emprisonnement et à 60 000 € d'amende.

Est puni des mêmes peines le fait, en l'absence d'accord de la personne pour la diffusion, de porter à la connaissance du public ou d'un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même, à l'aide de l'un des actes prévus à l'article 226-1. »

Enfin, l’article 226-3 du Code pénal ajoute :

« Est puni de cinq ans d'emprisonnement et de 300 000 € d'amende :

1° La fabrication, l'importation, la détention, l'exposition, l'offre, la location ou la vente d'appareils ou de dispositifs techniques de nature à permettre la réalisation d'opérations pouvant constituer l'infraction prévue par le second alinéa de l'article 226-15 ou qui, conçus pour la détection à distance des conversations, permettent de réaliser l'infraction prévue par l'article 226-1 ou ayant pour objet la captation de données informatiques prévue aux articles 706-102-1 et 706-102-2 du code de procédure pénale et L. 853-2 du code de la sécurité intérieure et figurant sur une liste dressée dans des conditions fixées par décret en Conseil d'Etat, lorsque ces faits sont commis, y compris par négligence, en l'absence d'autorisation ministérielle dont les conditions d'octroi sont fixées par ce même décret ou sans respecter les conditions fixées par cette autorisation ; »

En cas de diffusion de la vidéo, il serait donc possible de porter plainte sur les fondements précédemment évoqués.

Surtout, il sera parfaitement possible d’engager toute action en référé d’heure à heure pour contraindre les hébergeurs et les plateformes concernées à supprimer les liens vers la vidéo litigieuse.

2.3. Les remèdes extra-judiciaires

Compte tenu de la forte probabilité que les « hackers » auteurs de ces messages soient domiciliés à l’étranger et qu’ils jouissent d’une grande technicité, il est cependant très improbable qu’ils puissent un jour être inquiétés par les autorités françaises.

2.3.1. Il est donc recommandé de configurer des alertes avec vos noms et prénoms pour tenter de repérer un contenu publié sur le Web vous identifiant.

Pour ce faire, il est possible de créer des alertes sur Google Alerts ou TalkWalker avec votre nom et votre prénom. Ainsi, si vous deviez être identifié sur le Web, vous recevriez un courriel qui vous donnerait plus de détails et vous montrerait dans quelles circonstances vos informations personnelles ont été utilisées.

2.3.2. Si vous constatez qu’un contenu vous concerne et vous présente dans une posture délicate, il faut alors le signaler.

Une plateforme est mise en place par les autorités françaises :

www.internet-signalement.gouv.fr

Vous pouvez aussi faire un signalement directement sur les plateformes concernées.

Un tel signalement est différent d’une plate-forme à l’autre.

Si la plateforme en question ne donne aucune réponse sous deux mois, il faudra alors remplir un formulaire sur le site de la CNIL.

2.3.3. Enfin, il est aussi possible de faire comme Mark : un morceau de ruban adhésif sur la webcam et le micro... simple, basique.

Mathieu MASSE

Avocat

m.masse@montesquieu-avocats.com