L’analyse de Norstellar, une plateforme de gestion des menaces présentée par NordVPN, porte sur plus de 90 milliards de cookies qui circulent sur le dark web. Elle est édifiante. Les cookies qui sont aussi anciens que le web sont encore utilisés pour appuyer les attaques de toutes sortes. Les cookies contiennent nom, prénom, sexe, dates de naissance, téléphones, adresses, etc. d’où leur grand intérêt pour les pirates. Le vol des identifiants et autres données personnelles via des infostealers, keyloggers, chevaux de Troie peut être le prélude à des attaques dangereuses.
Le vol d’identifiants permet de contourner l'authentification à deux facteurs si le cookie déclare un équipement comme digne de confiance, ce qui ouvre la porte à la prise en main d'une transaction électronique frauduleuse.
Redline est l'un des malwares les plus utilisés et il est présenté comme un logiciel malveillant en tant que service. Ce malware est responsable de la majorité des cookies volés dans un ensemble de données collectées via Nordstellar, soit près de 42 milliards de cookies. Cependant, seuls 6,2% d'entre eux étaient encore actifs, ce qui signifie que la durée de vie de ces données de petite taille dérobées est relativement courte.
Vidar est un autre outil malicieux qui s’installe comme un service avec des configurations particulières conçues pour cibler des types de données particuliers. Il a collecté environ 10,5 milliards de cookies, mais 7,2% sont encore valides.
LummaC2 est un logiciel infostealer (vol de données personnelles) vendu sur le Darknet comme n’importe quel autre produit commercial légal. Il est plus récent, mais son utilisation connaît une croissance rapide. On lui attribue le vol de plus de 8,8 milliards de cookies, dont 6,5% sont encore potentiellement dangereux
CryptBot est un infostealer ciblant principalement le système d'exploitation Windows qui domine largement le marché mondial des OS. Ce malware représente 1,4 milliard de cookies, 83,4% d'entre eux étatnt toujours actifs. Il s'agit du malware le plus efficace de la liste publiée par NordVPN.
Google, YouTube et Microsoft victimes de leurs succès sont les plus ciblés
Parmi les mots-clés les plus courants associés aux cookies volés, on trouve "ID" (18 milliards), suivi de "session" (1,2 milliard). Un nombre important de cookies volés ont été associés aux mots-clés "auth”"(272,9 millions) et "login" (61,2 millions). Ces balises suggèrent que les cookies sont liés à des comptes d'utilisateurs spécifiques. Ils pourraient donc être réutilisés pour pirater des sessions en cours, mais sans utiliser de mot de passe. Rappelons que sur les 93,7 milliards de cookies volés analysés par NordStellar, 15,6 milliards étaient encore actifs.Les cookies associés aux services Google constituent la plus grande partie de l'ensemble de données, avec plus de 4,5 milliards de cookies liés à Gmail, Google Drive et d'autres services Google. YouTube et Microsoft représentent chacun plus d'un milliard de cookies.
Le Brésil, l'Inde, l'Indonésie et les États-Unis figurent parmi les pays les plus touchés. En Europe, l'Espagne arriverait en tête avec 1,75 milliard de cookies volés, tandis que la France se classait au 18ᵉ rang avec plus d’un milliard de cookies, dont 8,04% étaient encore actifs.
Bien voir aussi que plus de 13,2 milliards de cookies ont été récupérés sur d'autres systèmes d'exploitation ou depuis une source inconnue.
