Voici Luc (NDLR: nom emprunté) :

arnaques sur internetEt voici sa voiture :

Une Lamborghini Murcielago de 2008. Plus de 600cv, un V12 aussi agréable à entendre qu’à admirer sous le capot. Mais cette époustouflante fiche technique est à la hauteur de son prix : plus de 200 000 euros.

Ces faits sont réels. Seul le nom est emprunté.

Héritage ? Non. Celle d’un ami ? Non plus. Luc n’a même pas tiré les 5 bons numéros au loto, non, il a simplement profité de la crédulité de dizaines de milliers d’internautes.

Voici comment.

luc riche grace aux arnaques sur internetUne arnaque sur internet improbable : le téléchargement de vidéo Youtube

L’idée était très maligne. Luc commençait par proposer l’installation d’un petit outil innocent permettant de télécharger des vidéos depuis le fameux site Youtube.

L’outil fonctionne de façon très simple et rapide : il ajoute un bouton « Télécharger » sous chaque vidéo que l’internaute visionne. Cet « outil » permet soit de télécharger une vidéo en un clic, soit de la convertir au format mp3. Un service pratique en somme, dont beaucoup d’internautes sont friands et qui existe toujours aujourd’hui.

Exemple de bouton « Télécharger » sous une vidéo Youtube.

Une petite fonctionnalité cachée…

Pour faire apparaître ce bouton et télécharger les vidéos de son choix, l’internaute devait au préalable télécharger une extension de navigateur. Ce n’est pas exactement un programme exécutable classique, mais un script qui s’exécute directement dans le navigateur pour étendre ses fonctionnalités. Techniquement parlant, le script détecte que le site Youtube est visité, il lit le code source de la page et y ajoute un bouton de téléchargement au bon endroit. Ce même bouton pointe vers un site permettant d’automatiser le téléchargement de la vidéo choisie.

Cette fonctionnalité d’apparence anodine demande cependant que l’internaute installe et active l’extension dans son navigateur. Une action tout aussi anodine que ferait de plein gré n’importe quel internaute. Surtout que « l’antivirus ne détecte rien » … puisque ce n’est pas un programme .exe classique dont les méthodes antivirales sont plus avancées.

Pratique, utile, facile à installer…mais…

Si c’est gratuit, vous êtes le produit ?

Mais voilà le problème : l’extension était activée en permanence (comme les autres) et faisait bien plus que d’ajouter un bouton de téléchargement sur Youtube (là par contre, il y a des soucis à se faire).

Elle lisait également chaque page visitée par l’internaute et effectuait des ajouts et changements bien plus sournois en totale discrétion sans jamais alerter ou demander une quelconque autorisation.

Une Lamborghini contre des données personnelles ?

L’extension était entièrement paramétrable à distance pour laisser libre cours à l’imagination de son propriétaire.

Voici quelques exemples de fonctionnalités malveillantes qui pouvaient être utilisées :

Ajouts/Modification de publicités à la volée

L’extension pouvait changer toutes les publicités trouvées sur une page donnée pour y vendre tout et n’importe quoi à la place, mais surtout pour rapporter de l’argent à son propriétaire par le biais de paiements en fonction du nombre de clics ou de vues associés à ses publicités.

Modification d’images et de liens originaux

L’internaute qui se rendait par exemple sur le site officiel d’Apple n’avait absolument aucun doute à avoir quant à la crédibilité du site et de son contenu. Mais quand l’extension sournoise était installée, aucune piste ne pouvait laisser penser que les pages étaient modifiées à la volée même sur des sites officiels.

Il ne s’agit pas de piratage, le vrai site d’Apple était bien chargé mais une fois dans le navigateur de la victime, le contenu était modifié automatiquement et très rapidement de façon à passer inaperçu.

Ainsi un clic sur un lien donné pouvait amener sur des faux concours pour gagner un iPhone. Vous savez, les fameux concours dont les internautes donnent librement leur e-mail ou numéros de téléphone pour tenter leur chance. Après tout, « qui ne risque rien n’a rien ? » dirait-on. Et en plus « c’est le site officiel d’Apple qui lance le concours, alors pourquoi douter ? ».

Crédits image : Fixyourbrowser

Récolte de données personnelles à tout va

C’est sans compter que l’extension pouvait parfaitement lire les e-mails, les conversations privées (Facebook entre autres), les informations sur les comptes bancaires…etc. Des données de forte valeur, à utiliser et/ou à revendre sans que les personnes concernées ne le sachent ni même ne puissent s’y opposer. RGPD ou non, vous aurez toujours des personnes à l’autre bout du monde qui s’en moqueront totalement et qui viseront le point le plus faible : VOUS. C’est sans noter qu’à ce moment, il n’y avait pas de RGPD ni même de régulations spécifiques autour des données personnelles.

Imaginez maintenant tout cela multiplié pour 1000 ou 10000 ? Le nombre de téléchargements de l’extension dépassait largement ces deux nombres cumulés.

Le prix de l’extension ? Facilement 20000€

Non seulement notre cher Luc s’est fait de l’argent sur le dos des internautes innocents, mais cela ne lui a pas suffit. Il a ensuite commencé à vendre son système à d’autres futurs arnaqueurs prêts à faire encore plus de victimes, encore plus vite.

Le prix de l’extension ? Facilement 20000€, « ça sera remboursé dans la semaine » promettait son créateur, captures d’écran à l’appui et Lamborghini dans le garage pour prouver que son système clé-en-main fonctionnait et rapportait gros.

Alors non je ne suis pas en train de dire que tous les propriétaires de Lamborghinis sont des arnaqueurs, mais pour le coup, on peut légitimement affirmer que l’argent ne venait pas d’un travail éthique ni honnête.

Même les acheteurs de son produit étaient arnaqués malgré eux, car la fin des extensions malveillantes était proche et sonnait la fin de ces arnaques. Mais tout comme les internautes ne savaient pas que leur navigation était surveillée, les acheteurs de l’extension ne savait pas qu’ils achetaient dans le vide. Mais au final, pourquoi vendre quelque chose qui fonctionnerait si bien ? La faille était à nouveau les acheteurs eux-mêmes.

Mozilla et Google ont en effet durci leur politique de vérification d’extensions depuis quelques années, rendant impossible le fait de pouvoir faire installer de telles extensions. Les utilisateurs quant à eux n’étaient même pas au courant du changement dans les politiques de vérifications des extensions et encore moins de ce qu’on a pu faire de leurs données… depuis des années également…

Et lorsqu’on se rend compte que l’antivirus n’y voyait que du feu, que n’importe quel système était touché (Mac et Linux y compris) et surtout que l’internaute croyait bien faire, on se retrouve désemparés.

Voici également pourquoi certains d’entre vous se posent des questions suite à l’apparition de spam ou de publicités « sans avoir rien touché ni envoyé ». Vos données ont peut-être été récupérées à un moment ou à un autre, même des années auparavant, et malheureusement Internet a bonne mémoire. Plus d’informations.

C’est exactement pour cela que je veux faire comprendre l’utilité d’apprendre le hacking éthique. On ne peut rien faire pour l’antivirus ou le système, mais on peut améliorer notre comportement et nos connaissances. En l’occurrence le fait de comprendre comment les arnaques fonctionnent, on comprend aussi comment s’en défendre et les éviter. Et cette histoire malheureusement vraie en est un bon exemple.

Nul ne sait combien de temps cela avait duré ni combien d’extensions étaient créées et installées au total. Une chose est sûre : cela a fait la richesse de Luc.

Plus d’informations sur les extensions (malveillantes) de navigateurs :

La Fin des Barres d’outils et extensions malveillantes (?)

Ce que vous pouvez faire pour ces arnaques sur Internet

Comme je l’ai écrit à plusieurs reprises, la faille est l’être humain. Installer un antivirus est certes vivement recommandé, mais inefficace dans plusieurs cas, dont celui-ci.

La solution radicale consisterait à ne pas utiliser Internet ou son ordinateur. Tout comme ne pas conduire reviendrait à éviter les bouchons et les accidents. La solution n’est cependant pas très viable dans la majorité des cas.

Il reste donc à prendre la route avec sa ceinture, sa vigilance et sa connaissance des règles sur la route. Vous comprendrez l’analogie avec l’apprentissage de la sécurité informatique, des techniques malveillantes employées contre nous et de la méfiance.

Le cours vidéo complet pour se protéger contre les arnaques sur Internet

On ne s’en remet pas souvent d’une escroquerie… apprenez à les repérer et surtout à ne plus tomber dans les pièges qui vous visent tous les jours !

Voir le cours Comprendre et déjouer les arnaques sur internet

Ce cours est spécialement adapté aux débutants et liste des contre-mesures concernant 25 arnaques sur Internet très vicieuses qui vous visent tous les jours.

Lecture additionnelle :

Comment savoir si j’ai été piraté(e) ?

Articles similaires

16 Commentaires
Cliquez ici pour ajouter un commentaire

  • Excellent article. Plus j’en apprend sur la sécurité informatique plus je suis impressionné par la créativité des hackers.

    Répondre
    • Merci Anael. Et pourtant ce n’est qu’une partie visible de l’iceberg, comme on dit 😉

      Répondre
      • bonjour michel je parle ici du très belle arnaque très peut connu des utilisateurs.
        les application fleeceware très dangereuses et sournoises.

        voici comment elle fonctionne. comme le terme l’indique les fleeceware visent
        directement l’argent de l’utilisateur. qui les télécharge et les installe.

        en fait il s’agit d’applications absolument propres et légitimes.
        et nous ne trouverons jamais une ligne de code dans ces applications qui

        pourrait nous faire penser à un virus.

        le problème de ces applications est simplement le fait que dans un certain sens
        elles trompent l’utilisateur.

        en lui demandant de payer une somme parfois assez élevée pour des fonctions
        absolument banales. qui peuvent être obtenues gratuitement

        par d’autres applications.

        la plupart du temps ces fonctions sont initialement gratuites.
        mais devienne payantes et le paiement est automatique car l’utilisateur

        l’a autorisé lors de l’installation. après une période d’essai plus ou moins longue.
        par exemple une application pour créer des gif animés. qui est gratuite pendant

        les trois premiers jours. et qui fait ensuite grimper à partir du compte de l’utilisateur
        en une seule fois un abonnement mensuel de 214,99 euro.

        ces applications ne sont pas toujours supprimées des magasins apple et google.
        malgré les avertissements. car en théorie il n’y aurait pas de violation

        des politiques des deux magasins. si l’application indique clairement qu’elle
        a une période d’essai et un coût après cette période. elle est en fait légitime.

        c’est une plaie puisque ces applications ne disposent pas de code malveillant
        et passent donc outre les mesures de sécurité des hébergeurs.

        mais l’arnaque va plus loin que cela. car ces fleecewares parviennent toujours
        à prospérer sur l’app store.

        mais le plus beau de tout dans cette arnaque revient à apple ?
        michel. car ces applications qui en plus de générer des revenus importants

        pour leurs auteurs permettent également à apple de collecter une commission
        sur chaque vente. entre 15 et 30% ce qui en fait de facto un bénéficiaire de ces
        arnaques. ?

        Répondre
      • salut michel voilà une autre forme d’arnaque vis-à vis de l’utilisateur.
        le dark pattern . encore un terme anglophone qui ne vous dit rien
        comme le monde du web sait si bien produire. lorsque vous réaliserez

        de quoi il s’agit vous allez bouillir intérieurement ?
        vous y êtes confronté tous les jours .
        vous est-il déjà arrivé de vous désinscrire d’une newsletter et de tout de même

        la recevoir dans votre boîte mail le lendemain ?

        de vous sentir obligé de donner votre avis sur un produit sous peine de ne pas
        parvenir à sortir d’un formulaire ?

        de vouloir consulter une page d’un site web et d’être emmené sur une autre ?

        de vouloir vous désengager d’un service web. et d’engager un parcours
        du combattant pour y parvenir ?

        vous pensez que vous avez raté quelque chose.
        pour en arriver là ?

        rassurez -vous le problème ne vient pas de vous.
        vous êtes victime de dark patterns .

        ici michel je donne pas trop de détail car le sujet peut être assez long .
        je donne juste un où deux petit exemple . je ferait un autre commentaire par la suite
        car sujet très intéressant à savoir .

        type de dark patterns qui font fuir les utilisateurs .

        le bait and switch. c’est lorsque vous entreprenez une action
        sur un site et que cela entraîne une autre action ou contre partie.
        indésirée et non indiquée initialement.

        le confirmshaming est l’art de manier les mots pour faire culpabiliser l’utilisateur
        s’il refuse de faire une action.

        les disguised ads. comme leur nom l’indique sont des publicités déguisées.
        en d’autres types de contenu

        ou de navigation. cette technique de dark pattern est utilisée pour inciter au clic.

        le forced continuity ou perpétuation d’abonnement.
        c’est quand votre essai gratuit prend fin. et que votre carte de crédit commence
        à être facturée sans avertissement .

        voilà pour l’info . et encore j’ai fait très simple ici .
        car cela peut être bien plus vicieux pour l’utilisateur. je te souhaite
        une très bonne fin de soirée michel et au plaisir .

        Répondre
  • comme d’habitude ,trés bon article, mais j’ai remarqué ces derniers semaines que vous ne publier plus d’articles comme vous le faisait ,c’est pour ça que je vous encourage de faire plus d’efforts ,car vous etes le seul qui donne des bon lessons comme ça .

    Répondre
  • bonjour je viens de lire l’article, tu vas rire mais j’ai vu ce genre d’article sur You tube, et bien sur on clique sur la vidéo pour voir la voiture, bon c’est pas grave je nettoie régulièrement mes navigateurs et j’en utilise plusieurs, et surtout je suis tes conseils, (enfin je fais au mieux!) bon ceci dit j’ai une demande à formuler, pourrais tu rédiger ou nous parler du Dropshipping, et ah oui un autre truc (désolé) les blockchain, voilà c’est tout ! merci, à bientôt;

    Répondre
  • tres bon article merci bien

    Répondre
  • salut Michel,

    Est-ce que les navigateurs de nos jours bloquent l’execution de ce type de script, tout comme XSS avec chrome ??

    Merci 😉

    Répondre
  • Merci Michel pour tout ces conseils.
    J’avoue que tu me fais un peu froid dans le dos… Je suis tombé par hasard sur ton site suite à une série de @Mails me réclamant de l’argent après m’avoir soit-disant filmé regardant des vidéo « compromettantes » en petite tenue. Bien entendu on me menace de diffuser ces vidéo auprès de tous mes contacts de mon carnet d’adresse que le salopard me dis avoir récupéré au passage.
    Je ne m’explique toujours pas comment la personne en question à récupéré l’une de mes adresse @Mail car son mail m’est adressé avec MON ADRESSE !!
    Tous les conseils & tuyaux sont les bienvenus, merci d’avance.
    Cordialement,
    Serge.

    Répondre
    • Bonjour Serge,
      Le mail est une arnaque (chantage) dont le net est rempli de « victimes » dans le même cas. L’adresse e-mail est certainement usurpée, il faudrait lire l’en-tête du mail pour en avoir le cœur net. Lire l’en-tête dépend du fournisseur mail en question, habituellement une rapide recherche du type « en-tête (ou header) Orange mail/Gmail/etc » suffit à trouver la démarche.
      Cordialement, Michel.

      Répondre
  • salut anael comme le dit michel ce n’est qu’une partie visible. plusieurs technique sont utilisée pour avoir l’utilisateur ? faut antivirus fausse mise à jours fausse pages faut profil vole d’adresse ip. je te fait un petit cour vite fait sur les virus. à toute fin utile virus du secteur d’amorçage. ces virus s’attaquent au <> d’un disque c’est – à – dire son premier. secteur celui qui lui sert à démarrer. dans le cas du disque dur principal de l’ordinateur. il s’agit du premier secteur lu au démarrage de la machine. un tel virus est ainsi chargé à chaque démarrage. et acquiert alors un controle complet de la machine. ces virus sont parmi les plus difficiles à déceler. ils sont en effet chargés en mémoire bien avant que l’utilisateur ou un logiciel <> ne prenne le controle de l’ordinateur. ces virus remplacent le secteur d’amorce du disque infecté par une copie d’eux- memes. puis déplacent le secteur original vers une autre portion du disque. il n’est pas possible d’interdire l’écriture du secteur d’amorçage d’un ordinateur pour se protéger de ces virus. en effet ce secteur est relatif au système d’exploitation employé et peut donc etre modifié lors de l’installation d’un os. ce type de virus est très peu contagieux aujourd’hui . en effet pour que l’ordinateur soit infecté il doit etre démarré avec un secteur d’amorçage infecté <> il est de nos jours assez rares d’amorçer sa machine avec une disquette exterme cependant s’il infecte une machine . il infectera également tous les disques non protégés insérés sur cette machine <> en se reproduisant sur leurs prope secteur d’amorçage malgré tout ce virus est en voie de disparition depuis bien longtemps.

    Répondre
  • salut michel très bien comme exemple. belle arnaque que cela. juste une petite en plus car cela ne manque pas . tant
    les genre sont différents.

    arnaque à la yescard on la voit fleurir sur différents sociaux avec un certain succès. l’arnaque à la yescard
    consiste à vous promettre une carte de retrait contrefaite qui vous permettra de retirer un petit paquet d’argent.

    la promesse a beau être illégale elle est suffisamment alléchante pour en tenter plus d’un.

    une yes card qu’est -ce que c’est ?

    une yescard est une carte à puce qui vous dit toujours oui quand vous lui demandez de l’argent.
    quel que soit le code secret entré sympathique non ?

    il s’agit en fait d’une carte contrefaite qui présente certaines limites. et mais qui surtout ne fonctionne plus depuis plus de
    10 ans . les banques ayant renforcé des protections bien trop minces à l’époque.

    aux yescard ont succédé les clone cards il s’agissait cette fois-ci de copier de vraies cartes sur des supports
    contrefaits. là encore les possibilités de clonage se sont considérablement réduites avec le temps.

    et les dernières tentatives du genre ont été rapidement interceptées par les force de l’ordre.

    dernier modèle en date les mim cards ou attaque de l’intercepteur.qui sont en fait des clone cards interceptant
    les données d’autres cartes pour en réaliser une contrefaçon.

    quel que soit le modèle ces différents types de carte ne sont jamais revendus sur internet.

    et pour les rares qui peuvent encore fonctionner.

    doivent faire l’objet de procédures très élaborées. pour être utilisés sans être rapidement arrêté.
    toute proposition de yes clone ou mim card est donc toujours une arnaque.

    contre laquelle les victimes ne peuvent rien qui porterait plainte pour s’être fait escroquer en voulant
    acheter quelque chose d’illégal ?

    le principe de l’arnaque

    whatsapp skype et snapchat semblent être les principales voies de communication de cette escroquerie.

    aujourd’hui. mais certains n’hésitent pas à construire des sites web dédiés ou à chasser par e mail ou facebook.
    bref peut importe le moyen. on vous fait finalement entrer en relation avec un vendeur underground.

    de yescard par l’entremise d’un contact récent et / ou peut fiable. on vous propose alors différentes cartes avec
    différents plafonds.

    il vous suffit de verser une petite somme autour de 150 euro et des retraits pour des milliers d’euros s’offrent
    à vous !

    bien sûr vous savez que c’est illégal. vous savez aussi que l’individu avec lequel vous échangez est louche
    mais c’est normal. c’est un professionnel de la contrefaçon. vous êtes également conscient qu’il y a un risque

    mais l’occasion vous paraît trop belle pour ne pas tenter votre chance.
    vous envoyer donc l’argent qui vous est demandé. on vous demandera en général de payer en coupons.

    pcs ou transcash ucash et tous les autres du même genre. moyen qui a le mérite pour l’escroc d’être
    quasiment intraçable. a l’occasion certains pourront proposer des méthodes alternatives comme skrill

    western union ou le bitcoin. ensuite vous ne recevez évidemment rien et votre mystérieux contact vous
    fait suivre tout un tas de bonnes excuses pour vous demander un peu plus d’argent. ou pour vous

    envoyer balader. s’il ne vous bloque pas purement et simplement. certains sont plus subtils ils vous
    envoient une carte à puce . et vous redemandent ensuite de l’argent pour obtenir le code.

    le code fourni si jamais vous payez ne fonctionnera bien entendu jamais.
    voici un champion du genre yescard club. on trouve chez eux toute la panoplie du petit escroc

    à la yescard bidon. des vidéos supposées prouver que leurs yescards fonctionnent
    tout un exposé technico-commercial censé impressionner. des références aux anonymous
    pour faire underground même si ça n’a rien à voir avec la semoule

    sûr internet comme ailleurs quand c’est trop beau c’est du pipeau !

    Répondre
    • Salut et merci beaucoup pour ce complément d’information pertinent comme toujours !

      Répondre
      • salut michel un grand merci pour ta réponse. par contre
        je ne sait toujours pas si non problème d’adresse mail est résolu ?

        pour tant j’ai bien la même. j’ai beau chercher je voit pas d’où vient
        le problème. ! j’ai même suivi les conseil que tu donne histoire

        de voir si elle n’a pas été listé sur certain sites comme étant piraté ?
        aucune piste de ce côté la ! je ne fois pas de solution pour revenir

        à une chose normale comme avant se problème .

        en tu cas super sympas d’avoir prie le temps de ne réponde.
        michel encore merci pour cela. sûr ceux je te souhaite une très bonne
        soirée

        Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu