Les vols de données personnelles se multiplient, à un tel point qu'ils frisent la banalité… Tout comme le prix d'une identité personnelle, qui se négocie aux alentours du dollar sur le dark web. Sauf si elle contient des informations contextuelles ou provient d'un compte renseigné, comme Uber ou PayPal, ce qui fait monter la mise !
Il n'est pas une semaine sans qu'une brèche de sécurité ou un vol de données ne soit porté à notre connaissance. Cela fait des années que ces informations font partie de notre quotidien, et tendraient à se banaliser si parfois une cyber-attaque ne se révélait plus dévastatrice qu'une autre, jouant la surenchère dans les volumes d'informations dérobées.
Les pirates ne sont qu'une partie du problème
Le phénomène n'est pourtant que la partie émergée de l'iceberg, le piratage de données ne représenterait qu'un quart des brèches recensées au cours de l'année passée. Les trois quarts restants concernent les attaques internes, les vols et pertes d'équipements, comme les ordinateurs portables, les smartphones ou les clés USB, et le copiage de cartes bancaires à l'aide de moyens physiques, pour ne cciter que les plus répandues.
Nul ne sait combien d'informations personnelles dérobées ou perdues circulent sur la toile, un chiffre qui s'exprime probablement en centaines de millions d'individus. En revanche, ces mêmes données sont aujourd'hui un marché juteux sur le dark web, une denrée qui se négocie et qui est soumise à la loi de l'offre et de la demande. Ce qui concrètement signifie que plus le volume de la commande est important et plus le prix unitaire baisse.
De 1 dollar en moyenne à...
Il y a quelques années, le prix moyen d'une identité – nom, prénom, date de naissance, adresse, numéro de sécurité sociale (information plus importante et exploitable aux Etats-Unis qu'en France où la carte nationale d'identité occupe une place centrale), et autres informations identifiables - était de 4 dollars. Comme le nombre des failles et leur exploitation se sont multipliés, le prix a évolué à la baisse, pour être aujourd'hui d'environ 1 dollar l'identité.
Le prix varie selon le contenu, l'âge et l'origine de l'information. Plus une information se veut complète et/ou ciblée, et plus elle se négocie à un prix élevé. Par exemple :
- 14 dollars pour un compte d'opérateur mobile ;
- 25 dollars pour un dossier de crédit complet ;
- entre 10 et 35 dollars pour la copie d'un document de type facture, permis de conduire ou passeport ;
- 300 dollars pour un compte PayPal ou eBay avec l'historique des transactions ;
- entre 200 et 500 dollars pour un compte bancaire détaillé (le prix varie selon le solde du compte !).
Nouvelles cibles et supermarché des menaces
Dernière cible à la mode, les comptes d'Uber seraient particulièrement recherchés… Et dernière tendance, certains revendeurs cherchent plutôt à placer des lots, probablement issus des méga-cyber-attaques de ces derniers mois, qui leurs fournissent des stocks importants de données à brader.
Mais le pire serait à venir, car il se révèle très facile, avec un minimum de connaissances, pour accéder à ces données sur le dark web et les négocier. Tout comme les kits d'attaques et les réseaux de botnet, soit une démocratisation des cyber-attaques au profit de monsieur tout le monde...
Source : rapport « Understanding Data Breaches » 2015 de Trend Micro
Image d'entête iStock @ manopjk
