Depuis quelques jours, plusieurs contacts possédant un site Web m’appellent en panique. Ils ont reçu un message leur demandant de payer une somme de 0,05 Bitcoin (environ 1935€). S’ils ne s’exécutent pas, leur site sera défacé. Il s’agit bien d’une tentative d’extorsion et il ne faut surtout pas payer. Comme vous allez le constater, la menace est bien réelle et le message est pour le moins étonnant. Explications…
Conflit Ukraine / Russie
Tous les jours, on nous parle du conflit entre l’Ukraine et la Russie. Il ne vous a pas échappé que cette guerre se déroule aussi sur Internet. On entend beaucoup de choses sur les cyberattaques. C’est là-dessus que jouent nos escrocs du moment. Voici le message reçu par de nombreux propriétaires de site Web :
Objet : Votre site Web abcde.fr a ete pirate par des hacker ukrainiens
Salut. Nous sommes des hackers ukrainiens et nous avons pirate votre site abcde.fr Que voulons-nous? Nous souhaitons que vous fassiez un don en faveur de l’Ukraine a ce portefeuille Bitcoin (BTC) d’ici le 22 mars d’un montant de 0,05 BTC, il s’agit d’un petit montant : abcdefghijklmopqrstuvwxyz9876543210
Si vous ne faites pas de don, alors une enorme banniere plein ecran apparaitra sur votre site demandant a tous les visiteurs de votre site d’aider l’Ukraine (votre site ne sera pas visible, seulement notre banniere), si vous la supprimez, nous accrocherons recommencez, si vous corrigez la vulnerabilite, nous en trouvons une nouvelle et raccrochons la banniere.
En dernier recours, nous demanderons au bureau d’enregistrement de noms de domaine de bloquer votre domaine de maniere permanente.
Alors bien sûr, il ne faut pas répondre au message et surtout ne payez pas. On retrouve dans ce message tous les ingrédients d’une escroquerie en ligne :
- Le bâton : on joue sur la peur des gens (défaçage du site) ;
- Le compte à rebours : une date relativement proche (3 jours ici) ;
- Le coût/rançon : il faut que ce soit réalisable et plausible;
- Le style du message : nom de domaine répété plusieurs fois (personnalisation), quelques fautes et phrases approximatives…
Les cybercriminels ne sont jamais à court d’idées pour abuser des gens. L’auteur du message joue sur la peur des gens (leur image à travers le site Web) et un soutien à une cause. C’est assez surprenant. Bien sûr, il n’y a aucun moyen de savoir qui récoltera la somme envoyée… certainement pas des Ukrainiens.
WordPress et formulaire contact
Le point commun entre les sites Web ayant reçu ce message, c’est qu’ils fonctionnent sous WordPress et qu’ils disposent d’une page avec un formulaire de contact. Le message n’a pas été envoyé sur leur email pourtant facilement accessible.
À mes contacts, voici la démarche que je leur propose. Tout d’abord, il est important de mettre à jour son site Web (CMS, bibliothèques, extensions) régulièrement. Ensuite, en mesure de prévention, on peut forcer la mise à jour des mots de passe des utilisateurs (en priorité pour ceux avec des droits administrateur). Bien sûr, il faut que le nouveau mot de passe soit fort (au moins 12 caractères avec des minuscules, des majuscules, des chiffres et des caractères spéciaux). Enfin pour terminer, je rappelle l’importance d’avoir plusieurs sauvegardes.
Aucun de mes contacts n’a eu son site défacé. Il s’agit bien de menaces, sans vraie action derrière. L’objectif est uniquement de jouer sur la peur des gens et de faire croire que la rançon (don) ira en faveur de l’Ukraine. On peut imaginer que les personnes malintentionnées utilisent des programmes/scripts pour automatiser la diffusion de leurs messages. Dans le lot, il y a forcément des personnes qui vont céder au chantage… voire qui seront rançonnés plusieurs fois.