Des e-mails de sextorsion circulent avec un détail qui change la perception de la menace: certains messages contiennent un vrai mot de passe de la personne visée. Des chercheurs en sécurité informatique ont identifié ce schéma dans des campagnes récentes, où les identifiants semblent provenir de services d’e-mail jetables, utilisés pour créer des comptes rapidement puis abandonnés. Le procédé ne prouve pas un piratage en temps réel de l’ordinateur, mais il renforce la crédibilité du chantage et augmente le taux de paiement.
Le ressort est connu: l’expéditeur affirme avoir compromis la webcam, enregistré des vidéos intimes et menace de les envoyer aux contacts de la victime. La demande de rançon est le plus souvent libellée en cryptomonnaie, avec un délai court. La nouveauté tient au fait que l’escroc insère dans l’objet ou le corps du message un mot de passe authentique, parfois ancien, pour donner l’impression d’un contrôle total du compte.
Les chercheurs indiquent que ces mots de passe ne viennent pas forcément d’une fuite massive récente d’un grand acteur, mais de traces laissées dans des environnements à faible exigence de sécurité: des comptes créés sur des services temporaires, réutilisés ensuite ailleurs, ou associés à des inscriptions rapides. Le mécanisme est classique dans la cybercriminalité: un élément vrai suffit à rendre plausible un récit largement faux.
Des mots de passe authentiques pour rendre crédible une menace souvent inventée
La sextorsion par e-mail repose sur une asymétrie psychologique. L’escroc n’a pas besoin de prouver qu’il détient une vidéo: il doit seulement provoquer un doute suffisant pour déclencher un paiement. L’insertion d’un mot de passe réel sert précisément à cela. Dans de nombreuses variantes, l’expéditeur affirme avoir accès à tout, puis cite un identifiant ou un mot de passe comme preuve. Or, dans la majorité des cas documentés par les équipes de réponse à incident, le scénario de compromission de webcam est une mise en scène.
Ce détail change la lecture du risque: un mot de passe authentique signifie qu’une donnée a été exposée à un moment donné, mais pas que l’attaquant contrôle actuellement la messagerie ou l’ordinateur. Les cybercriminels exploitent des listes d’identifiants collectées au fil du temps, issues de fuites, d’achats sur des places de marché clandestines, ou de collectes opportunistes. Le message est ensuite envoyé en masse, avec une personnalisation minimale, mais suffisante pour faire basculer le destinataire dans la peur.
Les chercheurs citent un point d’origine récurrent: des services d’e-mail jetables. Ces plateformes permettent de générer une adresse pour quelques minutes ou quelques heures, pratique pour éviter le spam lors d’une inscription. Le problème apparaît quand cette adresse sert à ouvrir un compte sur un site tiers avec un mot de passe réutilisé, puis que les traces de l’inscription ou les journaux associés finissent exposés, agrégés, ou revendus. Même sans piratage au sens strict, la donnée peut se retrouver collectée dans des bases circulant entre acteurs malveillants.
La présence d’un mot de passe dans un e-mail de sextorsion doit donc être comprise comme un signal: une combinaison identifiant-mot de passe a déjà été divulguée quelque part. Le chantage, lui, reste fréquemment un bluff. Les spécialistes recommandent de séparer deux sujets: la gestion d’un incident de confidentialité (changer les accès, vérifier les comptes) et la réaction au chantage (ne pas payer, conserver les preuves, signaler).
Pourquoi les services d’e-mail jetables deviennent une source de données pour les escrocs
Les services d’e-mail jetables répondent à un besoin réel: limiter l’exposition de son adresse principale et réduire le volume de courriers indésirables. Mais ils créent aussi un angle mort. Beaucoup d’utilisateurs y associent des mots de passe simples, ou pire, un mot de passe déjà utilisé sur d’autres services. Le compte temporaire devient alors une passerelle: s’il est consultable publiquement, mal isolé, ou simplement archivé dans des systèmes tiers, il peut nourrir des compilations de données.
Les chercheurs expliquent que les mots de passe repérés dans les e-mails de sextorsion semblent provenir de ces environnements jetables. Cela ne signifie pas que le fournisseur d’e-mail temporaire est forcément compromis; l’origine peut se situer dans les sites où l’adresse a été utilisée, dans des bases d’inscription mal protégées, ou dans des logs exposés. La chaîne de collecte est souvent fragmentée: des acteurs récupèrent des identifiants, d’autres les enrichissent, puis des spammeurs les exploitent à grande échelle.
Un autre facteur joue: l’automatisation. Les campagnes de sextorsion sont industrialisées. Les expéditeurs testent des variantes de texte, de montants et d’objets, puis mesurent les retours. Ajouter un mot de passe augmente mécaniquement la crédibilité. Même si le mot de passe est ancien, l’effet psychologique demeure, car il confirme au destinataire qu’une information personnelle circule.
Cette dynamique s’inscrit dans un marché plus large: celui des combolists, des listes d’identifiants et mots de passe collectées lors de fuites et réassemblées. Les services jetables, parce qu’ils sont utilisés pour des inscriptions rapides, peuvent alimenter ces listes par ricochet. Le résultat est paradoxal: un outil pensé pour réduire l’exposition peut, dans certains usages, augmenter le risque si les mots de passe sont réutilisés ou si l’inscription sert de point d’entrée à d’autres services.
Ce que l’e-mail de sextorsion ne prouve pas sur une webcam ou une messagerie piratée
La rhétorique des messages est presque toujours la même: l’escroc prétend avoir installé un logiciel espion, capturé l’écran, la webcam, le micro, puis obtenu la liste des contacts. Or, la présence d’un mot de passe réel ne valide pas cette narration. Elle indique une exposition passée d’un secret, pas une prise de contrôle actuelle. Dans les cas où une compromission existe, elle passe plus souvent par des identifiants réutilisés, un compte de messagerie déjà divulgué, ou des redirections de courrier, que par une prise de contrôle sophistiquée de la webcam.
Le premier réflexe utile consiste à vérifier si l’adresse e-mail et ses mots de passe ont été impliqués dans des fuites connues. Des services de vérification de compromission, comme Have I Been Pwned, permettent de savoir si une adresse figure dans des bases divulguées publiquement ou partagées dans des cercles malveillants. Cette vérification ne couvre pas tout, mais elle donne un indice sur l’ancienneté de l’exposition et sur les services concernés.
Deuxième point: un e-mail reçu ne signifie pas que la boîte est piratée. La plupart des campagnes utilisent l’envoi massif à partir de listes d’adresses. Les expéditeurs falsifient parfois des en-têtes pour faire croire à un envoi depuis la propre adresse de la victime, ce qui impressionne mais relève souvent de l’usurpation. Une analyse des en-têtes complets du message, ou la consultation des journaux de connexion du compte (fonction proposée par plusieurs webmails), permet de vérifier s’il existe des connexions suspectes.
Enfin, la menace de diffusion à tous les contacts est souvent infondée. Pour y parvenir, l’attaquant devrait accéder au carnet d’adresses ou à l’historique des échanges. Cela arrive, mais c’est moins fréquent que le bluff. Les services de messagerie modernes appliquent des protections, et l’accès aux contacts n’est pas automatique. Les escrocs misent sur la honte et l’urgence, pas sur une capacité technique systématique.
Les mesures concrètes recommandées par les équipes de cybersécurité
Face à un e-mail de sextorsion contenant un mot de passe, les recommandations des spécialistes convergent: traiter l’incident comme une alerte de compromission d’identifiants, tout en refusant la logique du chantage. Première action: changer immédiatement le mot de passe des comptes concernés, en commençant par la messagerie principale, puis les services où le même mot de passe a pu être réutilisé. L’objectif est de casser toute tentative d’accès par credential stuffing, ces essais automatisés sur de multiples sites.
Deuxième action: activer l’authentification multifacteur (application de codes, clé physique, ou passkey quand disponible). Même si un mot de passe circule, un second facteur réduit fortement le risque de prise de contrôle. Les équipes de cybersécurité insistent aussi sur la gestion des sessions: déconnecter les appareils inconnus, révoquer les jetons d’accès, vérifier les règles de transfert automatique dans la messagerie, et contrôler les adresses de récupération.
Troisième action: conserver des preuves et signaler. Le message, les en-têtes, l’adresse d’envoi, l’adresse de paiement en bitcoin ou autre cryptomonnaie peuvent être utiles aux plateformes et aux autorités. En France, les signalements peuvent passer par les dispositifs officiels de lutte contre les contenus illicites et les escroqueries en ligne, et par les plateformes de signalement de spam. Les entreprises disposent souvent d’un CERT interne ou d’un prestataire de réponse à incident.
Quatrième action: réduire la surface d’exposition sur les services jetables et les inscriptions. Si une adresse temporaire est utilisée, la prudence consiste à ne jamais y associer un mot de passe réutilisé, et à privilégier des gestionnaires de mots de passe générant des secrets uniques. Pour les usages récurrents, des alias d’e-mail fournis par certains services de messagerie, mieux intégrés et plus contrôlables, peuvent être une alternative aux boîtes temporaires publiques.
Enfin, la règle la plus stable reste économique: ne pas payer. Les forces de l’ordre et les acteurs de la cybersécurité rappellent qu’un paiement ne garantit ni la suppression d’un prétendu contenu, ni l’arrêt du harcèlement. Il peut au contraire identifier la victime comme payeuse et déclencher d’autres sollicitations. L’enjeu est de reprendre le contrôle des comptes, puis de réduire la capacité de nuisance de l’escroc par la sécurisation et le signalement.
Sources: constats rapportés par des chercheurs en sécurité informatique sur des campagnes de sextorsion incluant des mots de passe authentiques et attribuant leur origine à des services d’e-mail jetables; recommandations de bonnes pratiques généralement publiées par les équipes de réponse à incident et organismes de sensibilisation à la cybersécurité (authentification multifacteur, gestionnaire de mots de passe, signalement).
Questions fréquentes
- Un e-mail de sextorsion avec mon vrai mot de passe signifie-t-il que mon ordinateur est piraté ?
- Non. La présence d’un vrai mot de passe indique surtout qu’un identifiant a déjà été divulgué ou collecté. Cela ne prouve pas l’accès à la webcam ni au PC. La priorité consiste à changer les mots de passe réutilisés, sécuriser la messagerie et activer l’authentification multifacteur.
- Que faire immédiatement après réception d’un e-mail de sextorsion ?
- Ne pas payer, conserver le message et ses en-têtes, changer le mot de passe de la messagerie et des comptes associés, activer l’authentification multifacteur, vérifier les connexions et règles de transfert, puis signaler l’escroquerie via les canaux officiels et les outils anti-spam.
- Pourquoi les services d’e-mail jetables sont-ils mentionnés dans ces campagnes ?
- Des chercheurs ont observé que certains mots de passe cités provenaient d’inscriptions liées à des adresses temporaires. Ces usages favorisent parfois des mots de passe faibles ou réutilisés, et les traces d’inscription peuvent être exposées via des fuites sur des sites tiers, puis agrégées dans des listes revendues.
