« Je vous redonne votre compte pour 800 € » : les maîtres-chanteurs sévissent sur Instagram

Les hackers s’intéressent de plus en plus aux comptes disposant d’une grande communauté. A la clé : des demandes de rançons difficiles à contrer, et à refuser. Enquête sur ces petites pratiques illégales qui peuvent rapporter gros.

AbonnésCet article est réservé aux abonnés.
 Des cybercriminels manipulent les propriétaires de comptes Instagram populaires pour en prendre le contrôler et négocier une rançon.
Des cybercriminels manipulent les propriétaires de comptes Instagram populaires pour en prendre le contrôler et négocier une rançon. AFP/LOIC VENANCE

Des cybercriminels savent combien valent vos followers sur Instagram. Ils se sont même professionnalisés dans l'art répréhensible de prendre le contrôle d'un compte et d'extorquer une rançon pour le rendre. « J'ai reçu un message privé sur mon compte d'un profil avec un sigle Instagram qui me proposait la certification de ma boutique de décoration », raconte Stéphanie (le prénom a été modifié, NDLR) qui a vécu cette expérience traumatisante juste après Noël.

Ce prétendu employé du réseau social l'invite alors à communiquer ses identifiants - adresse mail et numéro de téléphone utilisés pour le compte - sur un site Internet conçu pour aspirer les données. Une technique d'hameçonnage qui sévit depuis trois ans mais qui a pris une autre tournure.

Quelques instants plus tard, la conversation avec « Jackson du service de vérification d'Instagram » bascule sur WhatsApp. En possession des identifiants, le cybercriminel a fait une demande de changement de mot de passe et a besoin du code à 6 chiffres nécessaire pour passer la double authentification, le dispositif de sécurité censé empêcher les détournements. La jeune entrepreneure n'hésite pas à le donner.

Le hacker prend alors le contrôle du compte aux 30 000 abonnés et le défigure. Puis vient la menace : « Je vous redonnerai votre compte pour 800 euros ».

« Je vous redonne votre compte pour 800 € » : les maîtres-chanteurs sévissent sur Instagram

Scénario similaire pour le compte du Château de Giverny, piraté mi-janvier. Après s'être fait passer pour Instagram et avoir subtilisé les identifiants, le pirate passe à l'attaque. « Il nous a demandé combien nous étions prêts à payer pour récupérer notre compte. Nous avions peur de perdre 5 ans de travail à bâtir une communauté de 23 000 abonnés », souffle l'un des propriétaires de ce site classé Monument historique.

Grâce à l'action du cabinet de Roselyne Bachelot au ministère de la Culture, Facebook finit par reprendre la main sur le compte Instagram et à le restituer à son créateur.

La victime a fini par payer

Pour son compte qui sert de vitrine virtuelle à son commerce, Stéphanie n'a pas eu cette chance. Après avoir négocié 4 jours avec le rançonneur, « avec un sentiment d'otage victime du syndrome de Stockholm », cette dirigeante de PME craque. « Je n'avais pas la force de repartir de zéro et notre réputation était en jeu sur notre capacité à sécuriser l'entreprise en ligne et donc les paiements », se rappelle-t-elle.

Newsletter L'essentiel du matin
Un tour de l'actualité pour commencer la journée
Toutes les newsletters

Elle effectue donc un premier virement de 200 euros sur un compte Western Union domicilié en Turquie. Elle complète le montant uniquement après avoir récupéré le contrôle. « Le problème n'était plus le prix à payer mais la capacité du pirate à montrer sa crédibilité et son intention de débloquer mon compte », explique la victime.

Pour prouver sa bonne foi, le hacker pousse d'ailleurs le vice jusqu'à utiliser l'exemple de la transaction réussie avec Stéphanie auprès d'autres victimes. « Il m'a envoyé des preuves qu'il avait rendu leur compte à d'autres victimes pour établir un lien de confiance et me soutirer 400 euros », témoigne une autre victime mexicaine qui promeut sur son compte des marques de bikinis. Elle a fini par payer le maître-chanteur turc après avoir tenté pendant plusieurs jours de joindre Instagram.

Une attaque à rentabiliser

Les cibles ne sont jamais choisies au hasard. « Ils visent des comptes avec une vraie valeur marchande et au moins 10 000 followers, voire 20 000, car ceux-ci ont des sponsors pour du placement de produit et donc de l'argent », explique Matthieu Dierick, expert en cybersécurité chez F5. « La rançon va varier en fonction de la communauté que le compte regroupe et ce que la victime a à perdre. L'attaquant peut demander beaucoup au début et réajuster en négociant avec la victime. Cela peut facilement dépasser plusieurs milliers d'euros », souligne ce spécialiste.

Avec une ligne comptable pour horizon : « Il doit trouver le montant juste pour rentabiliser son attaque qui lui coûte de l'argent car il paye, par exemple, un service de gateway qui permet d'envoyer des messages en choisissant un numéro américain afin de se faire passer pour un réseau social ».

« Ce sont des victimes parfaites et à la portée de cybercriminels semi-professionnels car ce ne sont pas des entreprises qui savent se protéger, ont une relation privilégiée avec les géants des réseaux sociaux ou peuvent faire appel à un avocat pour lancer une procédure juridique », déplore-t-il.

Si une institution, le château de Cheverny, a tout de suite porté plainte, Stéphanie était elle convaincue que « cela n'allait mener à rien ». « Il faut porter plainte pour que ces délits apparaissent sur les radars de la police, dont les experts sont assez efficaces pour les contrer », insiste François Coupez, avocat à la cour de Paris. « Une telle tentative d'extorsion est sanctionnée jusqu'à 7 ans de prison et la justice est plus lourde car elle comporte une partie traumatisante pour la victime qui va au-delà du simple préjudice commercial », rappelle ce spécialiste en nouvelles technologies.

Instagram se dit « conscient » du problème

Mis au fait de cette campagne de phishing et d'extorsion, Instagram a tenu à rappeler quelques principes de sécurité pour limiter la surface d'attaque des cybercriminels. « Nous encourageons tout le monde à créer un mot de passe complexe et robuste, à utiliser la double authentification par émail et par SMS et à ne pas utiliser des applications tierces pour sécuriser leur compte ».

« Nous avons des mesures en place contre le piratage avec la détection automatique d'une connexion suspecte depuis un endroit inédit. Vous recevrez alors une notification et nous vous demanderons de vérifier votre compte », insiste cette filiale de Facebook. Et surtout, « nous ne vous demanderons pas de partager vos identifiants par email et nous ne vous demanderons jamais de payer pour retrouver l'accès à votre compte ».

Ses équipes françaises nous ont également assuré travailler à un meilleur suivi personnalisé de ces dossiers qui touchent des comptes sur lesquels repose la viabilité de petites entreprises. Un point encore plus sensible en temps d'épidémie et de magasins fermés.