Voici Luc (NDLR: nom emprunté) :

arnaques sur internetEt voici sa voiture :

Une Lamborghini Murcielago de 2008. Plus de 600cv, un V12 aussi agréable à entendre qu’à admirer sous le capot. Mais cette époustouflante fiche technique est à la hauteur de son prix : plus de 200 000 euros.

Héritage ? Non. Celle d’un ami ? Non plus. Luc n’a même pas tiré les 5 bons numéros au loto, non, il a simplement profité de la crédulité de dizaines de milliers d’internautes.

Voici comment.

Une arnaque sur internet improbable : le téléchargement de vidéo Youtube

L’idée était très maligne. Luc commençait par proposer l’installation d’un petit outil innocent permettant de télécharger des vidéos depuis le fameux site Youtube.

L’outil fonctionne de façon très simple et rapide : il ajoute un bouton « Télécharger » sous chaque vidéo que l’internaute visionne. Cet « outil » permet soit de télécharger une vidéo en un clic, soit de la convertir au format mp3. Un service pratique en somme, dont beaucoup d’internautes sont friands et qui existe toujours aujourd’hui.

Exemple de bouton « Télécharger » sous une vidéo Youtube.

Une petite fonctionnalité cachée…

Pour faire apparaître ce bouton et télécharger les vidéos de son choix, l’internaute devait au préalable télécharger une extension de navigateur. Ce n’est pas exactement un programme exécutable classique, mais un script qui s’exécute directement dans le navigateur pour étendre ses fonctionnalités. Techniquement parlant, le script détecte que le site Youtube est visité, il lit le code source de la page et y ajoute un bouton de téléchargement au bon endroit. Ce même bouton pointe vers un site permettant d’automatiser le téléchargement de la vidéo choisie.

Cette fonctionnalité d’apparence anodine demande cependant que l’internaute installe et active l’extension dans son navigateur. Une action tout aussi anodine que ferait de plein gré n’importe quel internaute. Surtout que « l’antivirus ne détecte rien » … puisque ce n’est pas un programme .exe classique dont les méthodes antivirales sont plus avancées.

Pratique, utile, facile à installer…mais…

Si c’est gratuit, vous êtes le produit ?

Mais voilà le problème : l’extension était activée en permanence (comme les autres) et faisait bien plus que d’ajouter un bouton de téléchargement sur Youtube (là par contre, il y a des soucis à se faire).

Elle lisait également chaque page visitée par l’internaute et effectuait des ajouts et changements bien plus sournois en totale discrétion sans jamais alerter ou demander une quelconque autorisation.

Une Lamborghini contre des données personnelles ?

L’extension était entièrement paramétrable à distance pour laisser libre cours à l’imagination de son propriétaire.

Voici quelques exemples de fonctionnalités malveillantes qui pouvaient être utilisées :

Ajouts/Modification de publicités à la volée

L’extension pouvait changer toutes les publicités trouvées sur une page donnée pour y vendre tout et n’importe quoi à la place, mais surtout pour rapporter de l’argent à son propriétaire par le biais de paiements en fonction du nombre de clics ou de vues associés à ses publicités.

Modification d’images et de liens originaux

L’internaute qui se rendait par exemple sur le site officiel d’Apple n’avait absolument aucun doute à avoir quant à la crédibilité du site et de son contenu. Mais quand l’extension sournoise était installée, aucune piste ne pouvait laisser penser que les pages étaient modifiées à la volée même sur des sites officiels.

Il ne s’agit pas de piratage, le vrai site d’Apple était bien chargé mais une fois dans le navigateur de la victime, le contenu était modifié automatiquement et très rapidement de façon à passer inaperçu.

Ainsi un clic sur un lien donné pouvait amener sur des faux concours pour gagner un iPhone. Vous savez, les fameux concours dont les internautes donnent librement leur e-mail ou numéros de téléphone pour tenter leur chance. Après tout, « qui ne risque rien n’a rien ? » dirait-on. Et en plus « c’est le site officiel d’Apple qui lance le concours, alors pourquoi douter ? ».

Crédits image : Fixyourbrowser

Récolte de données personnelles à tout va

C’est sans compter que l’extension pouvait parfaitement lire les e-mails, les conversations privées (Facebook entre autres), les informations sur les comptes bancaires…etc. Des données de forte valeur, à utiliser et/ou à revendre sans que les personnes concernées ne le sachent ni même ne puissent s’y opposer. RGPD ou non, vous aurez toujours des personnes à l’autre bout du monde qui s’en moqueront totalement et qui viseront le point le plus faible : VOUS. C’est sans noter qu’à ce moment, il n’y avait pas de RGPD ni même de régulations spécifiques autour des données personnelles.

Imaginez maintenant tout cela multiplié pour 1000 ou 10000 ? Le nombre de téléchargements de l’extension dépassait largement ces deux nombres cumulés.

Le prix de l’extension ? Facilement 20000€

Non seulement notre cher Luc s’est fait de l’argent sur le dos des internautes innocents, mais cela ne lui a pas suffit. Il a ensuite commencé à vendre son système à d’autres futurs arnaqueurs prêts à faire encore plus de victimes, encore plus vite.

Le prix de l’extension ? Facilement 20000€, « ça sera remboursé dans la semaine » promettait son créateur, captures d’écran à l’appui et Lamborghini dans le garage pour prouver que son système clé-en-main fonctionnait et rapportait gros.

Alors non je ne suis pas en train de dire que tous les propriétaires de Lamborghinis sont des arnaqueurs, mais pour le coup, on peut légitimement affirmer que l’argent ne venait pas d’un travail éthique ni honnête.

Même les acheteurs de son produit étaient arnaqués malgré eux car la fin des extensions malveillantes était proche et sonnait la fin de ces arnaques. Mais tout comme les internautes ne savaient pas que leur navigation était surveillée, les acheteurs de l’extension ne savait pas qu’ils achetaient dans le vide. Mais au final, pourquoi vendre quelque chose qui fonctionnerait si bien ? La faille était à nouveau les acheteurs eux-mêmes.

Mozilla et Google ont en effet durci leur politique de vérification d’extensions depuis quelques années, rendant impossible le fait de pouvoir faire installer de telles extensions. Les utilisateurs quant à eux n’étaient même pas au courant du changement dans les politiques de vérifications des extensions et encore moins de ce qu’on a pu faire de leurs données… depuis des années également…

Et lorsqu’on se rend compte que l’antivirus n’y voyait que du feu, que n’importe quel système était touché (Mac et Linux y compris) et surtout que l’internaute croyait bien faire, on se retrouve désemparés.

Voici également pourquoi certains d’entre vous se posent des questions suite à l’apparition de spam ou de publicités « sans avoir rien touché ni envoyé ». Vos données ont peut-être été récupérées à un moment ou à un autre, même des années auparavant, et malheureusement Internet a bonne mémoire. Plus d’informations.

C’est exactement pour cela que je veux faire comprendre l’utilité d’apprendre le hacking éthique. On ne peut rien faire pour l’antivirus ou le système, mais on peut améliorer notre comportement et nos connaissances. En l’occurrence le fait de comprendre comment les arnaques fonctionnent, on comprend aussi comment s’en défendre et les éviter. Et cette histoire malheureusement vraie en est un bon exemple.

Nul ne sait combien de temps cela avait duré ni combien d’extensions étaient créées et installées au total. Une chose est sûre : cela a fait la richesse de Luc.

Plus d’informations sur les extensions (malveillantes) de navigateurs :

La Fin des Barres d’outils et extensions malveillantes (?)

Ce que vous pouvez faire pour ces arnaques sur Internet

Comme je l’ai écrit à plusieurs reprises, la faille est l’être humain. Installer un antivirus est certes vivement recommandé, mais inefficace dans plusieurs cas, dont celui-ci.

La solution radicale consisterait à ne pas utiliser Internet ou son ordinateur. Tout comme ne pas conduire reviendrait à éviter les bouchons et les accidents. La solution n’est cependant pas très viable dans la majorité des cas.

Il reste donc à prendre la route avec sa ceinture, sa vigilance et sa connaissance des règles sur la route. Vous comprendrez l’analogie avec l’apprentissage de la sécurité informatique, des techniques malveillantes employées contre nous et de la méfiance.

Le cours vidéo complet pour se protéger contre les arnaques sur Internet

On ne s’en remet pas souvent d’une escroquerie… apprenez à les repérer et surtout à ne plus tomber dans les pièges qui vous visent tous les jours !

Voir le cours Comprendre et déjouer les arnaques sur internet

Ce cours est spécialement adapté aux débutants et liste des contre-mesures concernant 25 arnaques sur Internet très vicieuses qui vous visent tous les jours.

Lecture additionnelle :

Comment savoir si j’ai été piraté(e) ?

10 Commentaires. En écrire un nouveau

  • Excellent article. Plus j’en apprend sur la sécurité informatique plus je suis impressionné par la créativité des hackers.

    Répondre
  • comme d’habitude ,trés bon article, mais j’ai remarqué ces derniers semaines que vous ne publier plus d’articles comme vous le faisait ,c’est pour ça que je vous encourage de faire plus d’efforts ,car vous etes le seul qui donne des bon lessons comme ça .

    Répondre
  • bonjour je viens de lire l’article, tu vas rire mais j’ai vu ce genre d’article sur You tube, et bien sur on clique sur la vidéo pour voir la voiture, bon c’est pas grave je nettoie régulièrement mes navigateurs et j’en utilise plusieurs, et surtout je suis tes conseils, (enfin je fais au mieux!) bon ceci dit j’ai une demande à formuler, pourrais tu rédiger ou nous parler du Dropshipping, et ah oui un autre truc (désolé) les blockchain, voilà c’est tout ! merci, à bientôt;

    Répondre
  • tres bon article merci bien

    Répondre
  • salut Michel,

    Est-ce que les navigateurs de nos jours bloquent l’execution de ce type de script, tout comme XSS avec chrome ??

    Merci 😉

    Répondre
  • Merci Michel pour tout ces conseils.
    J’avoue que tu me fais un peu froid dans le dos… Je suis tombé par hasard sur ton site suite à une série de @Mails me réclamant de l’argent après m’avoir soit-disant filmé regardant des vidéo « compromettantes » en petite tenue. Bien entendu on me menace de diffuser ces vidéo auprès de tous mes contacts de mon carnet d’adresse que le salopard me dis avoir récupéré au passage.
    Je ne m’explique toujours pas comment la personne en question à récupéré l’une de mes adresse @Mail car son mail m’est adressé avec MON ADRESSE !!
    Tous les conseils & tuyaux sont les bienvenus, merci d’avance.
    Cordialement,
    Serge.

    Répondre
    • Bonjour Serge,
      Le mail est une arnaque (chantage) dont le net est rempli de « victimes » dans le même cas. L’adresse e-mail est certainement usurpée, il faudrait lire l’en-tête du mail pour en avoir le cœur net. Lire l’en-tête dépend du fournisseur mail en question, habituellement une rapide recherche du type « en-tête (ou header) Orange mail/Gmail/etc » suffit à trouver la démarche.
      Cordialement, Michel.

      Répondre

Laisser un commentaire

Menu
More in Failles Humaines, Arnaques en ligne, Détection de Piratages, Hacking Éthique, Sécurité Informatique
securite windows
8 étapes pour sécuriser Windows après une fraîche installation

Dans cet article, nous allons parler de la sécurité à mettre en place sur votre PC dès lors qu'il a soit été acheté, soit reformaté....

Close