/portemonnaie
Navigation

Vous avez reçu des centaines de courriels louches en quelques minutes? Vous avez été victime d'«email bombing»

1111_DVP

Coup d'oeil sur cet article

Avez-vous déjà reçu une centaine de courriels en l’espace de quelques minutes? Si c’est le cas, vous avez sûrement été victime d’une cyberattaque qui se nomme email bombing, ou bombardement de messagerie en français, et qui peut servir à camoufler une tentative d'hameçonnage.

C’est arrivé à Catherine (nom fictif), une femme de 26 ans qui préfère garder l'anonymat. Elle a reçu, en pleine nuit, pas loin de 150 courriels lui demandant notamment de confirmer son inscription à plusieurs infolettres auxquelles elle ne s'était jamais inscrite. 

Les courriels reçus par Catherine.
Capture d'écran
Les courriels reçus par Catherine.

À travers ces courriels écrits en plusieurs langues se trouvaient six courriels authentiques provenant de Spotify. Elle a alors remarqué que son compte avait été piraté.  

Son compte Spotify personnel a été transformé en compte familial, des utilisateurs inconnus y ont été ajoutés et ses informations personnelles, comme son adresse, ont été modifiées. Elle a aussitôt changé son mot de passe, s'est débarrassée des intrus et est revenue à un compte personnel. Ensuite, elle n'a pris aucun risque et a annulé sa carte de crédit auprès de son institution bancaire. Le pire a été évité.   

Marie-Michèle Gagnon a elle aussi vécu une histoire de bombardement de messagerie. C’est toutefois son compte Netflix qui a été visé par les pirates. À travers des centaines de courriels reçus se trouvait un courriel dans lequel on lui facturait un montant beaucoup plus élevé que son tarif mensuel habituel. 

Mais c’est quoi, au juste, un email bombing?   

Il s'agit d'une attaque informatique visant à bombarder une adresse de messagerie. Les pirates trouvent une faille dans un service d’abonnement, comme Netflix ou Spotify. Cette faille leur permet de procéder à des milliers d'inscriptions avec la même adresse courriel. Puis, des centaines, voire des milliers de messages s’apparentant à des courriels de confirmation d’abonnement ou à une infolettre sont envoyés à l’adresse piratée.  

Pour certains pirates, ce type d’attaque peut être vu comme une «école», explique Steve Waterhouse, professionnel de la sécurité de l'information chez AFI Expertise. Ils les utilisent pour prouver qu’ils sont capables de mener une attaque à terme sans se faire pincer. D’autres pirates le font simplement pour importuner quelqu’un.  

De telles attaques peuvent survenir lorsqu’une personne s’est inscrite à un site ayant lui-même été piraté, selon Steve Waterhouse. Il regrette d’ailleurs l’absence de mécanisme pour inciter les hébergeurs web à prendre leurs responsabilités et à veiller à ce que leurs systèmes soient étanches et protègent les internautes contre les attaques malveillantes.   

Doit-on s’en inquiéter?   

Est-ce qu’on doit s’inquiéter lorsqu’on est victime d’un bombardement de messagerie? Pas si on ne fait que recevoir des courriels. Mais attention, l’attaque pourrait cacher une autre arnaque potentiellement plus sérieuse.    

En répondant à l’un des nombreux courriels reçus, on pourrait transmettre des informations personnelles additionnelles au pirate, l’incitant à nous renvoyer des courriels pour obtenir plus d’infos personnelles.

Dans le cas de Catherine, tout indique que la technique de l'email bombing a été utilisée dans le but de camoufler les courriels de Spotify au sujet des récentes modifications apportées à son compte. Le flot de pourriels peut ainsi agir comme un écran de fumée servant à détourner l’attention de la personne visée par l’attaque.   

Si ça nous arrive, on fait quoi?   

Si vous êtes victime d'une telle attaque, il faut déplacer les courriels non sollicités dans vos «indésirables» et contacter le Centre antifraude du Canada, soutient Steve Waterhouse. C’est ce qu’a fait Catherine, en plus de contacter son institution bancaire pour faire annuler sa carte de crédit.  

Le centre antifraude du Canada pourra ainsi compiler les incidents de ce type afin de mieux cibler les fournisseurs piratés, comme Netflix et Spotify.  

En 2020, le Centre antifraude du Canada a reçu 10 490 rapports concernant des fraudes par courriel. Parmi ces fraudes, 4480 ont fait des victimes et provoqué des pertes de 27,1 millions de dollars.  


ATTENTION 

Si vous recevez un courriel d’une grande compagnie (Costco, par exemple) et que la terminaison est @gmail.com, ce n’est pas bon signe. N’y répondez pas.

Suivez-nous sur
les réseaux sociaux