Les arnaques par sextorsion exploitent la panique des victimes en brandissant un mot de passe authentique comme preuve d’un prétendu contrôle total de leurs appareils. Cette technique repose en réalité sur l’exploitation de bases de données compromises lors de fuites massives, où des millions d’identifiants circulent sur le dark web depuis des années. Les indices techniques comme une adresse d’expéditeur identique au destinataire ou une date aberrante révèlent généralement un simple spoofing d’email plutôt qu’une intrusion réelle. La réaction appropriée combine plusieurs actions immédiates de sécurisation sans jamais céder au chantage financier, tout en vérifiant méthodiquement l’absence de compromission réelle du compte de messagerie concerné.

Comment réagir face à une arnaque par sextorsion utilisant un vrai mot de passe ?

La réception d’un email de chantage contenant un mot de passe effectivement utilisé provoque légitimement une inquiétude intense chez la victime. Cette stratégie psychologique constitue précisément l’objectif des cybercriminels qui misent sur la sidération pour obtenir un paiement rapide. Selon les analyses de Kaspersky et de l’ANSSI, la grande majorité de ces campagnes exploitent des identifiants issus de compromissions antérieures de services tiers, parfois vieilles de plusieurs années, sans qu’aucune intrusion récente n’ait eu lieu sur les appareils de la cible.

L’examen technique du message révèle souvent des anomalies caractéristiques du spoofing : champs « De » et « À » identiques, horodatages impossibles, absence de validation SPF ou DKIM. Ces éléments démontrent que l’escroc n’a pas accédé au compte mais a simplement falsifié les en-têtes du courrier électronique. La présence d’un mot de passe valide ne prouve donc pas un contrôle des équipements, mais uniquement l’accès à une base de données piratée. Les sections suivantes détaillent le protocole de vérification et de sécurisation à appliquer méthodiquement pour neutraliser cette menace et prévenir toute compromission future.

Pourquoi la présence d’un mot de passe réel ne prouve-t-elle pas une intrusion ?

Les fuites de données massives constituent la source principale des mots de passe utilisés dans les campagnes de sextorsion. La compilation Collection #1 révélée en janvier 2019 par le chercheur Troy Hunt contenait à elle seule 773 millions d’adresses email associées à leurs identifiants. Ces bases circulent librement sur les forums spécialisés et permettent aux escrocs d’envoyer des millions de messages personnalisés à très faible coût. Certains observateurs estiment que ces attaques génèrent pourtant des revenus significatifs car un faible pourcentage de destinataires paniqués suffit à rentabiliser l’opération.

L’argument selon lequel un mot de passe connu impliquerait nécessairement l’installation d’un logiciel espion ne résiste pas à l’analyse technique. Un véritable trojan capable d’enregistrer l’écran et d’activer la webcam laisserait des traces détectables par les antivirus modernes et consommerait des ressources système identifiables. Les escrocs comptent sur l’ignorance technique de leurs cibles pour transformer une simple donnée compromise en preuve imaginaire d’un contrôle total.

Quelles actions de sécurisation effectuer immédiatement ?

La première règle absolue consiste à ne jamais payer ni répondre au message reçu. Toute interaction confirme la validité de l’adresse et encourage la poursuite du harcèlement. Le changement immédiat du mot de passe compromis sur tous les services où il était utilisé constitue l’étape prioritaire. Un mot de passe robuste comporte au minimum seize caractères combinant majuscules, minuscules, chiffres et symboles sans lien avec des informations personnelles devinables.

L’activation de l’authentification à deux facteurs sur la messagerie professionnelle réduit drastiquement le risque de compromission future, même en cas de nouvelle fuite d’identifiants. La déconnexion forcée de toutes les sessions actives permet d’exclure tout appareil potentiellement non autorisé. Cette fonctionnalité existe chez la plupart des fournisseurs de messagerie professionnelle et s’accompagne généralement d’un historique des connexions récentes à examiner attentivement.

Comment vérifier l’absence de compromission réelle du compte ?

L’inspection des paramètres de messagerie doit cibler prioritairement les règles de transfert automatique et les filtres personnalisés. Un attaquant ayant réellement accédé au compte pourrait avoir configuré une redirection silencieuse de tous les messages entrants vers une adresse externe. Cette technique permet de maintenir un accès aux informations même après le changement de mot de passe. Le dossier des messages envoyés mérite également un examen minutieux pour détecter toute activité non reconnue.

L’analyse des en-têtes techniques du message de chantage fournit une confirmation définitive de son authenticité ou de sa falsification. Les protocoles SPF, DKIM et DMARC vérifient respectivement l’autorisation du serveur expéditeur, l’intégrité cryptographique du message et la politique de traitement des échecs. Un résultat « FAIL » sur ces trois indicateurs confirme sans ambiguïté le caractère usurpé de l’expéditeur prétendu.

Quelles démarches de signalement entreprendre ?

Le signalement sur la plateforme Signal Spam contribue à l’identification des campagnes en cours et à l’amélioration des filtres antispam nationaux. La plateforme Pharos du ministère de l’Intérieur permet de transmettre le signalement aux services spécialisés en cybercriminalité pour d’éventuelles poursuites judiciaires. Le dispositif 17Cyber propose un diagnostic personnalisé et oriente vers les ressources adaptées à chaque situation particulière.

La conservation du message original avec ses en-têtes complets constitue un élément de preuve utile en cas de plainte ultérieure. Les victimes ayant subi un préjudice financier ou psychologique peuvent déposer plainte auprès de la gendarmerie ou du commissariat, les services disposant désormais de référents formés aux infractions numériques.

---

---

Glossaire

Sextorsion : Forme de chantage numérique où l’escroc prétend détenir des images ou vidéos compromettantes de la victime et exige un paiement pour ne pas les diffuser.

Spoofing : Technique de falsification des en-têtes d’un email permettant d’afficher une adresse d’expéditeur différente de l’adresse réelle d’envoi, créant l’illusion que le message provient d’une source légitime.

Fuite de données : Divulgation non autorisée d’informations confidentielles suite à une cyberattaque ou une négligence, entraînant la circulation d’identifiants sur des réseaux criminels.

Trojan : Programme malveillant dissimulé dans un logiciel apparemment légitime, permettant à un attaquant de prendre le contrôle à distance d’un appareil infecté.

SPF (Sender Policy Framework) : Protocole d’authentification des emails vérifiant que le serveur expéditeur est autorisé à envoyer des messages pour le domaine concerné.

DKIM (DomainKeys Identified Mail) : Mécanisme cryptographique apposant une signature numérique aux emails pour garantir leur intégrité et leur origine.

DMARC (Domain-based Message Authentication) : Politique de sécurité combinant SPF et DKIM pour définir le traitement des messages échouant aux vérifications d’authenticité.

Authentification à deux facteurs : Méthode de sécurisation exigeant deux preuves d’identité distinctes, généralement un mot de passe et un code temporaire généré par une application ou envoyé par SMS.

Dark web : Partie du réseau internet accessible uniquement via des logiciels spécifiques garantissant l’anonymat, souvent utilisée pour des activités illicites dont le commerce de données volées.

Pharos : Plateforme officielle française de signalement des contenus illicites sur internet, gérée par l’Office central de lutte contre la criminalité liée aux technologies de l’information.