Voici Luc (NDLR: nom emprunté) :

arnaques sur internetEt voici sa voiture :

Une Lamborghini Murcielago de 2008. Plus de 600cv, un V12 aussi agréable à entendre qu’à admirer sous le capot. Mais cette époustouflante fiche technique est à la hauteur de son prix : plus de 200 000 euros.

Ces faits sont réels. Seul le nom est emprunté.

Héritage ? Non. Celle d’un ami ? Non plus. Luc n’a même pas tiré les 5 bons numéros au loto, non, il a simplement profité de la crédulité de dizaines de milliers d’internautes.

Voici comment.

luc riche grace aux arnaques sur internetUne arnaque sur internet improbable : le téléchargement de vidéo Youtube

L’idée était très maligne. Luc commençait par proposer l’installation d’un petit outil innocent permettant de télécharger des vidéos depuis le fameux site Youtube.

L’outil fonctionne de façon très simple et rapide : il ajoute un bouton « Télécharger » sous chaque vidéo que l’internaute visionne. Cet « outil » permet soit de télécharger une vidéo en un clic, soit de la convertir au format mp3. Un service pratique en somme, dont beaucoup d’internautes sont friands et qui existe toujours aujourd’hui.

Exemple de bouton « Télécharger » sous une vidéo Youtube.

Une petite fonctionnalité cachée…

Pour faire apparaître ce bouton et télécharger les vidéos de son choix, l’internaute devait au préalable télécharger une extension de navigateur. Ce n’est pas exactement un programme exécutable classique, mais un script qui s’exécute directement dans le navigateur pour étendre ses fonctionnalités. Techniquement parlant, le script détecte que le site Youtube est visité, il lit le code source de la page et y ajoute un bouton de téléchargement au bon endroit. Ce même bouton pointe vers un site permettant d’automatiser le téléchargement de la vidéo choisie.

Cette fonctionnalité d’apparence anodine demande cependant que l’internaute installe et active l’extension dans son navigateur. Une action tout aussi anodine que ferait de plein gré n’importe quel internaute. Surtout que « l’antivirus ne détecte rien » … puisque ce n’est pas un programme .exe classique dont les méthodes antivirales sont plus avancées.

Pratique, utile, facile à installer…mais…

Si c’est gratuit, vous êtes le produit ?

Mais voilà le problème : l’extension était activée en permanence (comme les autres) et faisait bien plus que d’ajouter un bouton de téléchargement sur Youtube (là par contre, il y a des soucis à se faire).

Elle lisait également chaque page visitée par l’internaute et effectuait des ajouts et changements bien plus sournois en totale discrétion sans jamais alerter ou demander une quelconque autorisation.

Une Lamborghini contre des données personnelles ?

L’extension était entièrement paramétrable à distance pour laisser libre cours à l’imagination de son propriétaire.

Voici quelques exemples de fonctionnalités malveillantes qui pouvaient être utilisées :

Ajouts/Modification de publicités à la volée

L’extension pouvait changer toutes les publicités trouvées sur une page donnée pour y vendre tout et n’importe quoi à la place, mais surtout pour rapporter de l’argent à son propriétaire par le biais de paiements en fonction du nombre de clics ou de vues associés à ses publicités.

Modification d’images et de liens originaux

L’internaute qui se rendait par exemple sur le site officiel d’Apple n’avait absolument aucun doute à avoir quant à la crédibilité du site et de son contenu. Mais quand l’extension sournoise était installée, aucune piste ne pouvait laisser penser que les pages étaient modifiées à la volée même sur des sites officiels.

Il ne s’agit pas de piratage, le vrai site d’Apple était bien chargé mais une fois dans le navigateur de la victime, le contenu était modifié automatiquement et très rapidement de façon à passer inaperçu.

Ainsi un clic sur un lien donné pouvait amener sur des faux concours pour gagner un iPhone. Vous savez, les fameux concours dont les internautes donnent librement leur e-mail ou numéros de téléphone pour tenter leur chance. Après tout, « qui ne risque rien n’a rien ? » dirait-on. Et en plus « c’est le site officiel d’Apple qui lance le concours, alors pourquoi douter ? ».

Crédits image : Fixyourbrowser

Récolte de données personnelles à tout va

C’est sans compter que l’extension pouvait parfaitement lire les e-mails, les conversations privées (Facebook entre autres), les informations sur les comptes bancaires…etc. Des données de forte valeur, à utiliser et/ou à revendre sans que les personnes concernées ne le sachent ni même ne puissent s’y opposer. RGPD ou non, vous aurez toujours des personnes à l’autre bout du monde qui s’en moqueront totalement et qui viseront le point le plus faible : VOUS. C’est sans noter qu’à ce moment, il n’y avait pas de RGPD ni même de régulations spécifiques autour des données personnelles.

Imaginez maintenant tout cela multiplié pour 1000 ou 10000 ? Le nombre de téléchargements de l’extension dépassait largement ces deux nombres cumulés.

Le prix de l’extension ? Facilement 20000€

Non seulement notre cher Luc s’est fait de l’argent sur le dos des internautes innocents, mais cela ne lui a pas suffit. Il a ensuite commencé à vendre son système à d’autres futurs arnaqueurs prêts à faire encore plus de victimes, encore plus vite.

Le prix de l’extension ? Facilement 20000€, « ça sera remboursé dans la semaine » promettait son créateur, captures d’écran à l’appui et Lamborghini dans le garage pour prouver que son système clé-en-main fonctionnait et rapportait gros.

Alors non je ne suis pas en train de dire que tous les propriétaires de Lamborghinis sont des arnaqueurs, mais pour le coup, on peut légitimement affirmer que l’argent ne venait pas d’un travail éthique ni honnête.

Même les acheteurs de son produit étaient arnaqués malgré eux, car la fin des extensions malveillantes était proche et sonnait la fin de ces arnaques. Mais tout comme les internautes ne savaient pas que leur navigation était surveillée, les acheteurs de l’extension ne savait pas qu’ils achetaient dans le vide. Mais au final, pourquoi vendre quelque chose qui fonctionnerait si bien ? La faille était à nouveau les acheteurs eux-mêmes.

Mozilla et Google ont en effet durci leur politique de vérification d’extensions depuis quelques années, rendant impossible le fait de pouvoir faire installer de telles extensions. Les utilisateurs quant à eux n’étaient même pas au courant du changement dans les politiques de vérifications des extensions et encore moins de ce qu’on a pu faire de leurs données… depuis des années également…

Et lorsqu’on se rend compte que l’antivirus n’y voyait que du feu, que n’importe quel système était touché (Mac et Linux y compris) et surtout que l’internaute croyait bien faire, on se retrouve désemparés.

Voici également pourquoi certains d’entre vous se posent des questions suite à l’apparition de spam ou de publicités « sans avoir rien touché ni envoyé ». Vos données ont peut-être été récupérées à un moment ou à un autre, même des années auparavant, et malheureusement Internet a bonne mémoire. Plus d’informations.

C’est exactement pour cela que je veux faire comprendre l’utilité d’apprendre le hacking éthique. On ne peut rien faire pour l’antivirus ou le système, mais on peut améliorer notre comportement et nos connaissances. En l’occurrence le fait de comprendre comment les arnaques fonctionnent, on comprend aussi comment s’en défendre et les éviter. Et cette histoire malheureusement vraie en est un bon exemple.

Nul ne sait combien de temps cela avait duré ni combien d’extensions étaient créées et installées au total. Une chose est sûre : cela a fait la richesse de Luc.

Plus d’informations sur les extensions (malveillantes) de navigateurs :

La Fin des Barres d’outils et extensions malveillantes (?)

Ce que vous pouvez faire pour ces arnaques sur Internet

Comme je l’ai écrit à plusieurs reprises, la faille est l’être humain. Installer un antivirus est certes vivement recommandé, mais inefficace dans plusieurs cas, dont celui-ci.

La solution radicale consisterait à ne pas utiliser Internet ou son ordinateur. Tout comme ne pas conduire reviendrait à éviter les bouchons et les accidents. La solution n’est cependant pas très viable dans la majorité des cas.

Il reste donc à prendre la route avec sa ceinture, sa vigilance et sa connaissance des règles sur la route. Vous comprendrez l’analogie avec l’apprentissage de la sécurité informatique, des techniques malveillantes employées contre nous et de la méfiance.

Le cours vidéo complet pour se protéger contre les arnaques sur Internet

On ne s’en remet pas souvent d’une escroquerie… apprenez à les repérer et surtout à ne plus tomber dans les pièges qui vous visent tous les jours !

Voir le cours Comprendre et déjouer les arnaques sur internet

Ce cours est spécialement adapté aux débutants et liste des contre-mesures concernant 25 arnaques sur Internet très vicieuses qui vous visent tous les jours.

Lecture additionnelle :

Comment savoir si j’ai été piraté(e) ?

Articles similaires

Menu