Un courriel alarmant prétend installer « Pegasus » sur vos appareils : pas de panique ! Cet article détaille pourquoi il s’agit d’une escroquerie de sextorsion, comment réagir pas à pas et quelles mesures adopter pour empêcher qu’une nouvelle tentative n’aboutisse.
Vue d’ensemble de la campagne de sextorsion « Pegasus »
Depuis plusieurs années, des vagues massives d’e‑mails destinées aux utilisateurs d’Outlook/Hotmail, Gmail ou d’autres services annoncent l’intrusion d’un espion nommé « Pegasus ». Le message évoque :
- une prétendue installation de malware sur tous vos appareils ;
- la capture vidéo depuis votre webcam lors de visites supposées embarrassantes ;
- une diffusion publique si vous n’envoyez pas l’équivalent de plusieurs centaines d’euros en Litecoin dans les 48 heures ;
- l’interdiction de contacter la police ou un organisme de cybersécurité.
La pression psychologique repose surtout sur deux artifices : le champ « From » (« Expéditeur ») affiche votre propre adresse, et le texte laisse entendre que celui qui vous écrit a déjà piraté votre boîte.
Pourquoi le courriel semble venir de votre adresse ?
Le spoofing SMTP, une faille historique
Le protocole SMTP, inventé en 1982, n’impose aucune validation du champ « From: ». Comme il suffisait, à l’origine, d’acheminer des messages entre chercheurs en confiance, la vérification d’identité n’a pas été prévue. Aujourd’hui, sans protections supplémentaires, n’importe qui peut insérer votre_adresse@outlook.com comme expéditeur d’un e‑mail et l’envoyer depuis n’importe quel serveur.
Comment éviter l’usurpation ?
Les administrateurs système déploient trois mécanismes complémentaires :
- SPF (Sender Policy Framework) : liste les adresses IP autorisées à envoyer du courrier au nom d’un domaine ;
- DKIM (DomainKeys Identified Mail) : ajoute une signature cryptographique qui garantit l’intégrité du message et le lie au domaine authentique ;
- DMARC (Domain‑based Message Authentication, Reporting & Conformance) : définit la politique à appliquer (quarantaine, rejet) si SPF ou DKIM échoue.
Cependant, beaucoup de domaines personnels ou mal configurés ne possèdent pas ces trois protections, ce qui ouvre la porte au spoofing.
Pegasus, un nom qui fait vendre la peur
Pegasus existe : c’est un logiciel espion développé par la société israélienne NSO Group. Il coûte plusieurs millions d’euros, n’est vendu qu’à des gouvernements (officiellement), s’installe via des failles 0‑day et vise des cibles très restreintes. Les spammeurs recyclent ce nom ultra‑médiatisé pour paraître crédibles. Dans 99,9 % des cas, aucun Pegasus n’est réellement présent sur votre machine.
Réponse rapide : les cinq étapes indispensables
| Étape | Action conseillée | Pourquoi ? |
|---|---|---|
| 1 | Ne pas paniquer, ne pas répondre, ne rien payer. | L’e‑mail est envoyé à des centaines de milliers de victimes ; aucune « preuve » n’existe. |
| 2 | Supprimer le message et le signaler comme spam/abuse (fonction « Courrier indésirable » ou abuse@outlook.com). | Les retours d’utilisateur entraînent le blocage des adresses IP et l’amélioration des filtres. |
| 3 | Sécuriser le compte Microsoft : changer le mot de passe, activer la 2FA, vérifier les connexions actives. | Votre e‑mail figure probablement dans une fuite de données ; profitez‑en pour renforcer la sécurité. |
| 4 | Analyser vos appareils avec un antivirus à jour, installer toutes les mises à jour système, vérifier les extensions de navigateur. | Élimine la très faible possibilité d’une véritable infection. |
| 5 | Sensibiliser l’entourage (collègues, proches) aux techniques de phishing : reconnaître les menaces, comprendre le spoofing, ignorer les demandes de crypto‑monnaie. | La prévention réduit l’impact des prochaines campagnes. |
Analyse détaillée d’un e‑mail de sextorsion
- Ligne d’objet alarmiste : « Votre webcam a tout filmé ! » ou « Nous devons parler… » ;
- Adresse d’expéditeur trompeuse : votre adresse ou
admin@outlook.com; - Texte semi‑personnalisé grâce à l’insertion d’un ancien mot de passe (issu d’une fuite LinkedIn, Adobe, etc.) ;
- Délai court (48 h) pour éviter que la victime demande conseil ;
- Menace crédible (publication sur réseaux sociaux, envoi à tous vos contacts) ;
- Adresse de portefeuille Litecoin ou Bitcoin, souvent réutilisée dans des milliers de courriels.
Pourquoi Litecoin ?
Litecoin offre des frais de transaction plus bas que Bitcoin et reste suffisamment liquide pour un blanchiment rapide. Les escrocs créent un nouveau portefeuille en quelques secondes, attendent quelques jours, puis transfèrent les fonds vers un service de mixage pour brouiller les pistes.
Comment le spam a‑t‑il obtenu votre adresse ?
La chaîne d’approvisionnement de la sextorsion ressemble à celle du phishing classique :
- Fuites massives de données : dès qu’un site est piraté, les adresses et mots de passe en clair ou hachés circulent sur des forums pirates ;
- Achat de bases « combo » : pour quelques euros, on obtient 100 000 + e‑mails avec parfois le dernier mot de passe connu ;
- Scripts d’envoi automatisé : l’attaquant loue un botnet ou un VPS, injecte le texte du chantage et configure l’adresse d’expéditeur ;
- Brouillage de piste : serveurs relais ouverts, services SMTP compromis, proxys Tor.
Vérifier la présence réelle d’un logiciel espion
Si le doute subsiste :
- Lancez une analyse hors‑ligne via Windows Defender ou un antivirus de confiance ;
- Scannez l’intégralité du disque et la mémoire vive ;
- Vérifiez les journaux Windows (Observateur d’événements ► Applications & Services Logs ► Microsoft ► Windows ► Windows Defender/Operational) pour détecter des quarantaines ;
- Contrôlez les appareils mobiles (iOS / Android) avec la solution de sécurité recommandée par le constructeur.
Aucun antivirus grand public n’a jamais détecté la version authentique de Pegasus – elle est trop ciblée – mais ils repèrent sans problème les malwares ordinaires que les cybercriminels pourraient joindre en pièce jointe.
Mesures de prévention à long terme
Mots de passe et gestionnaire
Utilisez des passphrases de 12 – 16 mots uniques et stockez‑les dans un gestionnaire (Libre ou SaaS). Activez la surveillance des violations : si une de vos identités apparaît sur Have I Been Pwned ?, changez immédiatement le mot de passe partout où il est réutilisé.
Authentification multifacteur (2FA)
La connexion via un code ponctuel ou une clé FIDO2 déjoue 99 % des attaques automatisées. Sur Microsoft 365, activez Microsoft Authenticator : vous approuvez la connexion depuis votre smartphone au lieu d’un simple SMS.
Hygiène de webcam et micro
- Posez un cache physique (ou scotch opaque) sur la webcam intégrée ;
- Désactivez le micro dans les paramètres UEFI/BIOS lorsqu’il est inutile ;
- Sur Windows 11, Paramètres ► Confidentialité ► Caméra : coupez‑la pour les applis non indispensables.
Sauvegardes hors ligne
Une copie chiffrée sur un disque USB déconnecté protège contre la double peine (chantage + perte de données). Programmez wbadmin ou utilisez Historique des fichiers.
Formation continue
Organisez des ateliers de 15 minutes au bureau : déroulez un e‑mail réel de sextorsion, demandez aux participants de repérer les indices, montrez la différence entre un e‑mail signé DKIM et un message spoofé.
FAQ (Foire aux questions)
Le FBI ou Europol peut‑il m’aider ? Oui : même si les montants sont faibles, signalez l’extorsion. Les services analysent les adresses crypto pour relier différentes campagnes. J’ai déjà payé, que faire ? Changez tous vos mots de passe, conservez la preuve de transaction et portez plainte. Rien ne garantit que l’attaquant supprimera les « vidéos » (probablement inexistantes), mais vous limitez le risque de harcèlement supplémentaire. Puis‑je empêcher complètement le spoofing de mon adresse ? Publiez un enregistrement DMARC avec politique p=reject. Ainsi, la majorité des services refuseront les e‑mails usurpant votre domaine.
Modèle d’e‑mail de réponse
Objet : Signalement d’une tentative de sextorsion – Adresse usurpée
Bonjour,
Je vous informe avoir reçu ce jour un message prétendant provenir de mon compte et exigeant un paiement en cryptomonnaie sous la menace de diffuser des images compromettantes. Après vérifications, il s’agit d’une usurpation d’adresse (spoofing). Vous trouverez en pièce jointe le courriel original complet (en‑têtes inclus) afin d’améliorer vos filtres anti‑spam.
Cordialement,
Nom Prénom
Conclusion
Les campagnes de sextorsion se nourrissent de la honte et de l’urgence. En comprenant les mécanismes techniques (spoofing, fuites de données, crypto‑paiements) et en appliquant des bonnes pratiques simples (2FA, sauvegardes, vigilance), vous neutralisez l’impact de ces menaces. Partagez cet article avec vos collègues et vos proches : l’information reste la meilleure armure contre les cyber‐escrocs.