Skip to main content

Sextorsion : les caméras Google Nest peuvent-elles vous filmer à votre insu ?

Google Nest Cam
(Crédit photo: Google)

Il a beau avoir été révélé auprès du grand public par le magazine Computer Weekly, le chantage perdure maintenant depuis quelques semaines. Même si cette campagne de sextorsion de grande ampleur cible principalement les Etats-Unis - plus de 1700 internautes américains auraient été touchés -, il n’est pas impossible que vous ayez reçu vous aussi un e-mail frauduleux. Courrier qui vous avertirait de l’existence d’images volées de votre intimité, capturées par une caméra de sécurité Google Nest.

Les victimes potentielles reçoivent un ultimatum : elles disposent d’une semaine, pas un jour de plus, pour régler la rançon. Sous peine de voir les photos compromettantes publiées sur les réseaux sociaux et dans des listes de diffusion. Les escrocs réclament une somme fixe de 500 euros, payable en Bitcoins ou en cartes-cadeaux Amazon et iTunes.

Mimecast, société éditrice de systèmes de sécurité pour les messageries professionnelles, a toutefois relevé quelques anomalies dans ce processus d’extorsion. Déjà, le courrier électronique incriminé ne comprend aucun lien de redirection vers une plateforme de paiement. A la place, le destinataire reçoit des identifiants pour se connecter à un compte de messagerie. Epinglé en-tête de ce compte, un autre e-mail vous invite à visiter une page web comprenant de nombreuses captures webcam. Sur les centaines de clichés visibles, pas un n’a été reconnu par les internautes menacés ! Ces derniers seront enfin sommés de verser leur dû vers une troisième boîte aux lettres. « Un moyen sommaire de complexifier la traçabilité des extorqueurs » selon Kiri Addison, data scientist chez Mimecast.

Caméra connectée

(Image credit: Google)

Des menaces en l’air ?

Notre expert émet de sérieux doutes sur la véracité de cette arnaque : « Il est aujourd’hui de notoriété publique que nos objets connectés souffrent régulièrement de failles de sécurité. La campagne de sextorsion exploite ce fait, ainsi que la peur collective de se faire pirater ».

Soulignons d’ailleurs que les images utilisées par les maîtres-chanteurs proviennent bien de caméras Google Nest, et plus précisément du site dédié à l’appareil. Reste que 1/ les photos ne s’avèrent nullement préjudiciables, 2/ jusqu’ici, elles n’ont été rattaché à aucun plaignant.

Le seul mystère, à l’heure actuelle, concerne la façon dont les escrocs ont pu accéder aux adresses e-mail des victimes. Celles-ci ayant en commun… la possession d’une caméra de sécurité Google Nest. Nous avons contacté Google pour obtenir plus d’éléments d’enquête et mettrons cet article à jour dès réception d’une réponse concrète.

Sécurité données caméra

(Image credit: Google)

Comment se protéger contre ce type de rançon ?

Cette affaire « Google Nest Cam » permet de nous rappeler à quel point nos appareils domotiques demeurent vulnérables. Jake Moore, spécialiste cybersécurité chez ESET, se veut prévenant : « Tout support connecté à Internet depuis votre domicile peut potentiellement être repéré, piraté et contrôlé par des cybercriminels, nous devons donc mettre en place autant de couches de protection supplémentaires pour réduire ce risque ».

Le meilleur bouclier pour se prémunir d’une attaque ? L’activation de l’authentification à double facteur afin de mieux verrouiller votre compte Google - dans le cas d’usage d’un produit Google Nest - et vos données personnelles.

Si malgré vos efforts, vous recevez un e-mail suspect. Jetez scrupuleusement un œil sur les moindres détails de ce dernier avant de l’ouvrir :

A quelle heure est-il posté ? Si le service est français, un courrier envoyé après 20h doit vous alerter, cette correspondance nocturne est probablement envoyée à partir d’une adresse IP géolocalisée à l’étranger.

Quelle est l’adresse mail émettrice ? Un expéditeur douteux tentera d’utiliser le nom de domaine d’une entité connue et officielle (exemple : google.fr). Sauf que ce nom est réservé, aussi passera-t-il par une adresse trompe-l’œil (comme googlle.fr).

Moore conclue par une interdiction de bon sens bien que fréquemment oubliée : « Il faut rappeler de ne jamais cliquer sur des liens insérés dans des e-mails non certifiés. En particulier lorsqu'ils vous redirigent vers des formulaires vous réclamant la saisie d’informations confidentielles, pour obtenir des avantages ou un accès premium à certains services ». C’est tentant, mais il y a souvent un loup. Ou un cybercriminel derrière.

Via Computer Weekly