Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Les données personnelles d'une personne étaient en moyenne revendues 19 euros sur le marché noir du Web.
©Reuters

Au cœur des profondeurs obscures de la toile

Vol d'identité : voilà comment fonctionne la vente de vos données personnelles sur le marché noir du Web et voilà combien elles valent

Au terme de plusieurs mois d'espionnage et d'investigation, les experts informatiques ont conclu que les données personnelles d'une personne étaient en moyenne revendues 19 euros sur le marché noir du Web. Un phénomène très difficile à endiguer.

Le 9 juillet dernier, le gouvernement américain annonçait que des hackers avaient piraté les entrailles des pouvoirs publics et que les données personnelles de 19 millions d'Américains avaient été dérobées. Plus tard, le site de rencontres extraconjugales Ashley Madison était piraté et 37 millions d'identités menacées d'être révélées. Aujourd'hui, l'expansion de la cybercrimininalité n'a d'égale que la sophistication de sa méthodologie. Ainsi, s'il est désormais possible d'acheter des armes, de la drogue ou de faire appel à un tueur à gage en toute impunité sur le Dark web, il est également possible de vendre des données personnelles volées, soit des identités. Des spécialistes de la sécurité informatique ont parcouru les abîmes d'Internet, là où Google et Yahoo n'ont pas leur place, là où une économie souterraine s'est formée et ont étudié les tendances de ces marchés frauduleux. 

Quand votre identité ne vaut rien : devenez un autre pour 19 euros 

Au terme de plusieurs mois d'espionnage et d'investigations, les experts ont conclu que les données personnelles d'une personne étaient en moyenne revendues 19 euros dans les recoins obscurs du web. En effet, sur ce marché noir, le lot de plusieurs données personnelles (adresse, mail, numéro de téléphone, de sécurité sociale ou de carte bancaire …) est appelé un fullz. Ces fullz sont selon les chercheurs, classés par prix, allant de 1 dollar à 450 dollars, soit 410 euros. Convertis à partir des bitcoins, la monnaie virtuelle utilisée par le Dark web, ces jeux de données sont revendus en moyenne 21,35 dollars, soit 19 euros. Jérôme Granger, chargé de la communication de ce groupe d’experts a expliqué que "les vendeurs accordent beaucoup d’importance à leur réputation et [qu']ils vont de ce fait, proposer des prix défiant toute concurrence pour un produit de qualité".

Les tarifs des fullz sont établis en fonction de leur rentabilité et de leur qualité. Ils seront pas exemple plus élevés si les coordonnées d'une carte bancaire sont inclues et que le plafond de celle-ci permet encore d'effectuer des achats frauduleux. Les spécialistes à l'origine de cette enquête ont révélé dans Quartz que le fullz le plus cher qu'ils avaient trouvé valait 454,05 dollars. Parfait pour souscrire un crédit de voiture précise le vendeur. Un autre fullz à 248,22 dollars promet les coordonnées d'une carte bancaire American Express plafonnée à 10 000 dollars. Le vendeur se veut rassurant et indique que nom, prénom, date de naissance, adresse et toutes les informations liées à la carte font partie du package. Nous voilà rassurés.

Carte bancaire volée, faux compte Paypal, fausse pièce d'identité ou cocaïne ?

Les adresses mails sont également très convoitées sur le Dark web. Car si de nombreuses entreprises se ruinent pour acheter des bases de données leur permettant d'envoyer de la publicité et ainsi, démarcher de nouveaux clients potentiels, le marché noir propose des prix défiant toute concurrence. En moyenne, comptez 75 dollars pour un million d'adresses mails valides et 20 dollars pour un lot de 40 000 adresses mails avec identifiants. Une carte bancaire seule ou un compte Paypal sont accessibles moyennant environ 50 dollars. Le parfait kit de l'escroc est donc en vente libre sur le Dark web pour une poignée d'euros et quelques clics. Le site O1Net explique qu'une "fausse pièce d'identité d’un pays européen se négocie aux alentours de 1000 euros" et qu’il faut "verser 4000 euros pour un passeport". "Au rayon drogues, un gramme de cocaïne de qualité (provenant d'Amérique du Sud) se vend à partir de 75 euros alors qu’un gramme d’ecstasy avec un taux de pureté de 84% vaut 19 euros".

Qui s'intéressent aux fullz ?

Impossible cependant de déterminer au moment d'un l'achat sur le Dark web, si un fullz est réel et de qualité, ou lui-même frauduleux. De la même manière qu'il est impossible de savoir si les informations personnelles revendues appartiennent à des gens en vie ou défunts. A ce sujet et comme le rapporte le site Silicon.fr, le spécialiste américain de la sécurité des données BitGlass a mené une enquête surprenante afin de comprendre l'acheminement et la légitimé d'un fullz. Ainsi, l'institution a créé une fausse base de données Excel de ses employés et répertorié "1 568 faux noms", numéros de sécurité sociale, coordonnées bancaires, adresses et numéros de téléphone, qu'elle a placé sur 7 sites du Dark web. En l'espace de quelques jours, le fichier avait été vu 200 fois. En 12 jours, des citoyens des 5 continents et de 22 pays s'y étaient intéressés, de même que 2 réseaux terroristes basés au Nigeria et en Russie. Au total, les données ont été consultées 1081 fois et téléchargées 47 fois.

Comment lutter contre le vol de vos données personnelles ?

Mais la lutte contre cette cybercrimininalité s'avère périlleuse pour les autorités. Dans un premier temps parce que les cybercriminels utilisent des systèmes qui leur garantissent de garder l'anonymat et sont à ce titre, difficilement identifiables. Puis parce que les forces de police manquent d'expérience et de formation pour contrer ses as du cyber-espace qui changent de serveurs en quelques heures à peine. Certains prédateurs ont recours à des stratégies aiguisées pour capter frauduleusement des données personnelles, allant jusqu'à manipuler leurs cibles. Kevin Mitnick, ancien hacker repenti, a publié un livre en 2005 dans lequel il tente de démocratiser la connaissance de l'arnaque en proposant tous les scénarios possible d'escroqueries. De son point de vue, aucun pare-feu ou logiciel ne serait jamais assez puissant pour empêcher des données personnelles d'être volées et exploitées, voire revendues. La seule façon de limiter la casse, reste la prévention. 

 

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !