235 millions d’adresses mail reliées à un compte Twitter ont été vendues pour moins de 2 euros sur un forum de hackers ce 4 janvier 2023. Peut-on dire encore que nos informations valent encore quelque chose, lorsque nos identifiants fuitent plusieurs fois par an ? Si la donnée n’avait évidemment pas vocation à être un bien échangeable, le fait qu’elle soit offerte gratuitement sur des forums prouve qu’elle est beaucoup trop facilement accessible. Les réseaux sociaux, les bourses de données pour les publicitaires, la multiplication des comptes sur le web, le laxisme de toutes ces entreprises pour la sécurité ont tout simplement fait perdre toute notion d’intimité à certaines informations. Nous sommes parvenus nous-mêmes à retrouver notre mail ainsi que le mot de passe sur un forum de hackers chez Numerama.
« Un numéro de téléphone, une adresse mail, cette donnée a peu de valeur, d’abord parce que les réseaux sociaux la vendent eux-mêmes pour le ciblage publicitaire. Les géants du marché doivent payer des amendes de plusieurs centaines de millions quasi annuellement pour le manque de protection des infos qu’on leur confie », explique Damien Frey, directeur France de Varonis, une société de logiciel de cybersécurité.
Daily Dark Web, une équipe de spécialistes du dark net présente sur les réseaux, compile régulièrement les fuites pour établir des estimations de prix sur les forums fréquentés par les hackers. Ainsi, une liste fraiche — et non recyclée — de 10 millions d’adresses mail est généralement vendue autour de 100 euros. Une fois vendue, son prix baisse jusqu’à être gratuit après que le fichier en question a été trop échangé entre les malfaiteurs. À partir de là, donner notre numéro de téléphone ou notre adresse mail dans la rue à un étranger n’aura pas plus de conséquences.
Les pirates en quête d’infos sensibles
Le marché s’est donc adapté à cette surabondance de data. « Le mail ou le numéro de téléphone est facilement accessible. Le pirate va ensuite chercher des détails annexes. Il ira voir si vous ou vos collègues ont fait des voyages récemment, ou encore si vous avez des passions. Avec ces infos en main, il pourra donner un contexte et légitimer son message de phishing. On le voit de plus en plus souvent dans les mails frauduleux que reçoivent les employés de nos clients », précise Romain Basset, Directeur des Services Clients de Vade, une entreprise spécialisée dans la détection de menace.
« Les mots de passe restent très intéressants, par exemple. À partir d’une seule fuite, le malfaiteur tentera de se connecter à tous les autres comptes possibles puisque les internautes réutilisent régulièrement la même combinaison » ajoute-t-il. Ainsi, certaines bases de données professionnelles — telles que les identifiants des employés — sont vendues pour plusieurs dizaines de milliers d’euros, car le hacker peut facilement rentabiliser l’attaque en frappant l’entreprise avec un ransomware dans la foulée.
Le prix d’une donnée varie naturellement en fonction de son degré de confidentialité. Les attaques par ransomware, la méthode la plus rentable pour les pirates aujourd’hui, permet d’abord d’exiger une rançon à la victime, mais également de revendre les informations en cas de refus. « Ce n’est plus tant la volumétrie qui inquiète les experts, mais la sensibilité du fichier en ligne. Les nombreuses attaques contre les hôpitaux montrent qu’il y a un intérêt désormais à dérober des infos de santé, en plus de la panique qu’engendre la paralysie d’un établissement de ce type. Les rapports de santé d’un sportif de haut niveau ou d’un politique peuvent intéresser beaucoup de monde », indique Damien Frey.
Les données bancaires sont également un bien recherché. Le numéro d’une carte avec le code CCV à l’arrière est vendu entre 15 euros et 25 euros selon la banque et le pays, estime Daily Dark Web. « Des victimes d’une fuite d’infos bancaire ont remarqué des achats à hauteur de 49,85 euros sur leur compte. Sûrement pour éviter de dépasser un seuil à partir duquel l’établissement doit prévenir l’usager », précise Damien Frey.
Quant aux passeports et cartes d’identité, une simple photo de ces documents peut valoir entre 2 et 5 euros. Généralement, les malfaiteurs peuvent s’en servir pour créer des fausses identités et ouvrir des comptes, parfois chez les banques en ligne. Nous avions discuté avec un hacker qui proposait de vendre 1 500 documents de citoyens français, pour environ 3 000 euros.
À noter aussi que si notre adresse mail et notre numéro de téléphone ne valent pas grand-chose, elles peuvent encore intéresser les spammeurs. « On assiste à des détournements de logiciel de marketing utilisés par les entreprises pour le compte des personnes qui vous noient sous les mails. Concrètement, ces programmes permettent de détecter les personnes et les profils qui ont le plus tendance à ouvrir le message et cliquer sur le lien. Ils peuvent ensuite gagner des revenus à partir du ciblage, de l’interaction et des publicités envoyées », nous explique Romain Basset de Vade. Vous êtes donc condamné à recevoir des offres et des arnaques au quotidien. Évitez juste de cliquer dessus.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !