Le prix dérisoire des informations personnelles sur le dark Web

Quelques dizaines d'euros suffisent pour usurper une identité sur le dark Web. Des analystes de la société américaine Flasphoint, spécialisée dans la sécurité des entreprises, ont passé au crible le fonctionnement du marché noir dans la face cachée d'Internet, le dark Web (ou Internet clandestin selon la définition publiée au Journal officiel), où gravitent les sites accessibles seulement via un navigateur spécifique offrant l'anonymat à leurs visiteurs. 

Malgré la fermeture de Silk Road en 2013 et d'Alpha Bay cette année, les places de marché les plus célèbres de cet Internet parallèle, de nombreux sites et forums continuent d'y prospérer hors des radars des autorités, permettant l'échange de drogues, armes, logiciels et services illégaux en toute impunité. 

Infiltrés depuis plusieurs mois, voire quelques années, dans ces réseaux parallèles, les chercheurs de Flashpoint publient mercredi 15 novembre une étude sur le prix des biens et services vendus sur le dark Web. Ils mettent en lumière le prix dérisoire demandé pour certaines informations personnelles permettant de réaliser diverses activités cybercriminelles.

Moins de 75 dollars pour une identité bancaire prête à l'emploi

Entre 1 et 8 dollars sont suffisants en moyenne pour acquérir un "fullz" de citoyen américain, un paquetage composé de données personnelles prêtes à être utilisées, comme un numéro de sécurité sociale, une date de naissance et un nom complet. Des "fullz" plus fournis, comprenant un code PIN, un numéro de carte de paiement et un code bancaire par exemple, sont proposés à des tarifs plus élevés, entre 20 et 75 dollars. 

Mises bout à bout, ces données permettent aux pirates de réaliser des vols d'identité et des opérations bancaires frauduleuses comme l'ouverture d'un compte bancaire, la contraction d'un prêt ou le paiement de PV. Des réductions sont régulièrement proposées. En juillet 2016, 10.000 "fullz" récoltés auprès d'un organisme de santé ont été mis en vente au prix unitaire de 0,15 dollar à partir de 200 "fullz" achetés.

Ces tarifs reflètent l'offre et la demande. Ces informations personnelles sont peu coûteuses car elles sont abondantes, le plus souvent collectées dans le cadre de cyberattaques et de campagnes de phishing, en profitant du manque de vigilance et de la mauvaise hygiène numérique des internautes. 

"Les méthodes utilisées pour collecter ces informations ne sont ni sophistiquées ni ciblées. Il est possible de s'en prémunir en respectant des principes de sécurité basiques comme utiliser des mots de passe complexes et ne pas cliquer sur des liens douteux", explique Leroy Terrelonge, analyste et directeur des opérations et de l'intelligence de Flashpoint. 

De la même manière, les données collectées en Amérique latine et en Asie se vendent plus chères car elles sont plus rentables pour les pirates. "Les mesures de sécurité ne sont pas aussi développées dans ces pays qu'en Europe ou aux États-Unis", poursuit Leroy Terrelonge.

Moins de 100 dollars pour un passeport électronique

Le marché noir en ligne déroule aussi une large offre de passeports volés ou falsifiés. L'obtention de faux papiers n'est pas très coûteuse. Les passeports numérisés, créés à partir des informations fournies par l'acheteur, sont vendus contre 5 à 65 dollars. Les modèles de passeports, permettant aux acheteurs de créer leurs propres papiers, s'échangent contre 29 à 89 dollars. Les passeports physiques sont plus chers. Leur prix varie entre 2.980 et 5.000 dollars. D'autres faux papiers peuvent être inclus dans la transaction. 

Les chercheurs ne sont pas parvenus à vérifier si les cybercriminels avaient la capacité d'émettre de véritables passeports ou s'il s'agissait de documents contrefaits ou volés. Des études précédentes ont démontré que le prix des passeports varie selon l'influence des nations émettrices. Les passeports frauduleux peuvent être utilisés à de nombreuses fins malveillantes : pour dissimuler son identité, commettre des crimes financiers, accéder à des services de protection sociale ou passer des frontières internationales.

Des outils de hacking à la demande

Le dark Web est aussi le lieu privilégié par les pirates pour se procurer des outils leur permettant de mener des attaques. Les marchés parallèles regorgent de kits d'exploitations de vulnérabilité (Exploit kits), de codes de logiciels malveillants et de réseaux de machines zombies prêtes à l'usage, facilitant le passage à l'action d'individus ne disposant pas forcément des compétences pour cela. Ces différents produits sont vendus comme des services à la demande, sous la forme de forfaits quotidiens, hebdomadaires ou mensuels.

Il est ainsi possible de se procurer des Exploit kits, des boites à outils référençant les vulnérabilités et facilitant leur exploitation contre 80 à 100 dollars par jour, 500 à 700 dollars par semaine et 1.400 à 2.000 dollars par mois. Plus les vulnérabilités référencées sont récentes (et susceptible de ne pas avoir été corrigées par une mise à jour), plus les prix sont importants.

Les réseaux de machines zombies (botnets), qui permettent de lancer des attaques par déni de services (DDoS) sont proposés à la location dans une fourchette de prix démarrant entre 1 et 27 dollars. Leur prix augmente en fonction de la durée et de la puissance de l'attaque. Compter 10 dollars pour une attaque d'une heure contre un site Internet, plus de 25 dollars de l'heure pour une offensive plus poussée contre un site protégé contre ce type d'agressions et jusqu'à 150 dollars de l'heure pour cibler des banques ou des sites gouvernementaux.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info