cybercafe in Guinea Bissau

© iStock/Tiago_Fernandez

Tech

Les cyberpirates nigérians ont une opportunité en or pour vous attaquer : le RGPD

Ironiquement, des escrocs en ligne exploitent la nouvelle réglementation de l'Union européenne - destinée à protéger les données personnelles des utilisateurs - pour lancer une nouvelle vague d'arnaques visant à leur extorquer ces données. C’est la conclusion des chercheurs de Redscan, une firme de cybersécurité.

Le RGPD, c'est-à-dire la nouvelle réglementation de l'Union européenne concernant les données personnelles, entrera en vigueur le 25 mai prochain. Des cyberpirates profitent de cette échéance pour envoyer des e-mails émanant prétendument d'entreprises affectées par cette nouvelle réglementation.

Une opportunité unique pour les pirates

Le RGPD a pour but d’encadrer la manière dont les entreprises de l'Internet collectent, conservent et utilisent les données personnelles des internautes. Désormais, ces entreprises devront expliquer à leurs utilisateurs l’usage qu’elles réservent à leurs données personnelles dans un langage simple et dépourvu d'ambiguïtés. Elles devront également obtenir leur autorisation expresse et éclairée pour exploiter ces données personnelles de la manière prévue.

Cela suppose donc qu’elles devront établir une communication pour donner ces informations, et recueillir le consentement des internautes, et c’est cette communication qui fournit une opportunité d’arnaque aux cyberpirates. Il leur est facile de se faire passer pour les entreprises soumises à ces contraintes pour extorquer des données personnelles, et éventuellement bancaires, à leurs victimes.

Dans un cas qui a attiré l'attention, un escroc se faisant passer pour Airbnb demandait à ses victimes d'accepter une nouvelle politique concernant les données personnelles, avant de lui demander de lui communiquer des informations personnelles, y compris leur numéro de carte de crédit.

Confrontés à une vague de courriers similaires, il y a fort à parier que de nombreux internautes baisseront la garde, et exécuteront presque machinalement les instructions qui leur seront données dans ces emails dans un grand nombre de situations. 

Des escroqueries farfelues... à dessein

On pourrait croire qu’avec le développement de l’Internet, les escroqueries en ligne au moyen d'e-mails, provenant souvent du Nigéria, réclamant souvent à leurs récipiendaires de leur adresser une somme modeste pour accéder à un fabuleux pactole, feraient de moins en moins de victimes, mais il n’en est rien.

Il y a quelques années, des chercheurs de Microsoft, qui s’étaient demandé pourquoi ces escrocs employaient des subterfuges aussi peu subtils, étaient parvenus à la conclusion que la faible crédibilité de leurs prétextes était totalement délibérée.

"Les histoires tirées par les cheveux de riches Africains de l’Ouest semblent comiques pour la plupart d’entre nous. Notre analyse suggère que c’est un avantage pour l’attaquant, et non un désavantage. Comme l’attaque ne permettra de toucher qu’une faible densité de victimes, l’arnaqueur nigérian a un besoin impérieux d’éliminer les fausses joies. En envoyant un email qui dissuade tout le monde, hormis les plus crédules, l’arnaqueur obtient les scores les plus prometteurs de sélection, et renverse le ratio de vraie touche contre fausse joie en sa faveur", avaient-ils expliqué.

Les Yahoo Boys

Les emails ont tout de même évolué pour être plus crédibles, et de nos jours, ces arnaques sont plus sophistiquées que jamais. Elles sont aussi devenues de véritables vaches à lait pour ces gangs indique Wired. Les Yahoo Boys, comme on surnomme les jeunes pirates nigérians qui exploitent ces emails, parce qu’ils se sont rendus célèbres en ciblant plus particulièrement les messageries sur Yahoo, se sont mués en une mafia, avec ses codes, ses initiés, son propre langage, et même sa musique.

Désormais, ils imitent les messageries électroniques des entreprises, et les piratent même parfois pour adresser des e-mails aux petites entreprises, qui ont tendance à avoir plus de disponibilités sur leur compte en banque que les particuliers. D’après le FBI, entre octobre 2013 et décembre 2016, plus de 40 000 arnaques au moyen d’emails d’entreprises usurpés auraient permis de dérober 5,3 milliards de dollars (environ 4,4 milliards d’euros).

Un réseau criminel très étendu

Non seulement leurs tentatives sont de plus en plus sophistiquées, mais leurs cibles sont aussi de plus en plus grosses.

Selon la firme de sécurité Crowdstrike, ces gangs sont adossés à un vaste réseau criminel comprenant des ramifications dans les trafics en tous genres, la drogue, la prostitution, le blanchiment d’argent et la crybercriminalité. “On commence seulement à réaliser l’étendue de cette menace criminelle”, indique-t-elle.

Sur le même sujet :