La valeur des données personnelles sur le dark web varie en fonction de plusieurs facteurs, notamment de la quantité et la qualité des données, ainsi que de la demande du marché. Le principe est exactement le même que dans la vie légale avec le modèle de l’offre et la demande. Sauf qu’ici, dans le dark web, l’autre facette d’Internet réunit une grande partie de ce qui est illégal et criminel. Si bien que des données sensibles piratées sur des comptes privés de n’importe qui, partout dans le monde, font le bonheur des hackers et des malfaiteurs. Des données volées pouvant être vendues en vrac, sous forme de paquets contenant des milliers voire des millions d’informations. Avec des prix différents selon le type de donnée. Informations de carte de crédit, numéros de sécurité sociale, identifiants et mots de passe, données médicales sont des éléments très recherchés. Le spécialiste en cybersécurité Damien Bancal avait d’ailleurs dévoilé que les données de 39 millions de Français (prénoms, noms, adresses postales, téléphones, etc.), étaient en vente sur le dark web en 2021. Mais pour bien comprendre ce qu’il se joue dans cette marchandisation des données piratées, il est utile de rappeler ce qu’est le dark web et ce que représente une donnée.
C’est quoi le dark web ?
On pourrait définir le dark web comme la face sombre d’Internet. Inaccessible par les moteurs de recherche traditionnels comme Google, Bing ou Yahoo et n’utilisant pas non plus un navigateur couramment employé comme Chrome. Contrairement au web visible de tous, le dark web est quant à lui constitué de sites, de forums, de marchés et d’autres services en ligne qui ne sont pas indexés et qui sont cachés derrière des réseaux privés, des systèmes de cryptage et d’autres outils de confidentialité. Le contenu est accessible via des réseaux privés tels que Tor (The Onion Router) ou I2P (Invisible Internet Project), qui permettent l’anonymat de l’utilisateur en cryptant les données de connexion et en masquant l’adresse IP.
C’est pourquoi, il est souvent associé à des activités illégales. Il peut être employé pour acheter et vendre des drogues, des armes, des logiciels malveillants, des informations personnelles et d’autres biens illégaux. Pourtant, à l’origine, le « web caché » (son autre nom) avait été développé pour un tout autre usage. Créé dans les années 1970 par le gouvernement américain, son but était de permettre à ses espions d’échanger en restant anonymes et intraçables. Vingt ans plus tard, les ingénieurs de l’US Army en dévoilant ses contours, ont permis au grand public d’en bénéficier et donc de l’utiliser. Si aujourd’hui, le dark web permet de l’échange d’information par des populations, des journalistes ou des activistes dans des pays où la censure est forte, des dérives ont rapidement été constatées avec une cybercriminalité largement développée. En raison de son caractère anonyme et de l’absence de réglementation, le dark web est considéré comme un endroit dangereux.
Les données, de quoi parle-t-on ?
« Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement. Autrement dit : directement par son nom et son prénom ; indirectement par un numéro de téléphone ou de plaque d’immatriculation, un numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise. » Source : CNIL.
Parmi l’ensemble des data générées dans le monde numérique, il y a les données personnelles. Selon la CNIL, il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement. Autrement dit : directement par son nom et son prénom ; indirectement par un numéro de téléphone ou de plaque d’immatriculation, un numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise ». Ces informations enregistrées et transmises à des organismes, pour des achats sur un site e-commerce ou lors de la création d’un compte se retrouvent donc en ligne ou sur un ordinateur. Et sont alors accessibles à des hacker peu scrupuleux malgré des mots de passe et pare-feu déployés. Les données sont véritablement devenues un élément essentiel de notre vie quotidienne et de notre économie aussi.
Il faut savoir que légalement, les données sont utilisées par des entreprises qui collectent cette data dans une démarche commerciale. Afin d’en limiter les dérives, la CNIL a toutefois mis en place la RGPD (Règlement général sur la protection des données) en 2018 afin que leur traitement soit mieux géré par un cadre juridique unique en Europe. Dès lors, cela renforce les droits des personnes et responsabilise les acteurs traitant les données. Malgré tout, si la protection des données est renforcée, cela n’empêche pas les hackers de s’activer pour les dérober à des fins malveillantes.
Des données toujours plus recherchées
Pour le seul marché du data marketing en France, le poids économique de la donnée a été évalué en 2020 à plus de deux milliards d’euros avec une croissance annuelle d’environ 4 % (étude BVA). Ce qui représente une part significative dans l’économie puisque les données ont une grande valeur pour des entreprises et des organisations. Ces dernières vont les utiliser pour mieux comprendre leurs clients, personnaliser leurs produits et services, cibler leur publicité et pour prendre des décisions commerciales. Les gouvernements, partis politiques, syndicats peuvent également s’en servir pour comprendre les tendances sociales et économiques et pour prendre des décisions à leur tour.
Les hackers aussi intéressés par les données
A cela s’ajoutent les hackers pour qui les données représentent une manne financière conséquente, mais illégale. Ces cybercriminels collectent, vendent ou achètent des données sur le dark web dans le but de mener des attaques ciblées : fraudes, usurpations d’identité,chantage, etc. Ce qui est interdit par la loi. Selon une étude de NordVPN, les hackers peuvent générer jusqu’à 17,3 millions de revenus en revendant des données. Le spécialiste de la protection informatique indique ainsi les données les plus piratées :
- Les données des cartes bancaires (63 %)
- Le paquet complet d’informations personnelles (40 %)
- Les permis de conduire (35 %)
- Les emails personnels (70 %)
- Les cartes d’identité, passeport, numéro de sécurité sociale, etc.
NordVPN montre que les passeports ont une valeur importante selon le pays. En moyenne, les données s’échangent autour de 600 dollars. Cependant, les prix varient considérablement d’un pays à l’autre : un passeport belge se vend parmi les plus chers (1 905 dollars) tandis qu’un passeport français possède une valeur de 147,51 dollars.
Du côté des emails, rares sont ceux vendus à l’unité. Il s’agit plutôt de lots d’adresses électroniques utilisées pour des campagnes d’escroquerie. NordVPN indique que « les Européens ont les adresses personnelles (11,4 dollars en moyenne) et professionnelles (199,99 dollars en moyenne) les plus chères ». A noter que les adresses email des électeurs américains étaient beaucoup plus chères (99 dollars en moyenne) que celles des électeurs d’autres pays.
Des données qui valent de l’or
Privacy Affairs a dévoilé pour la seconde année, les Indices des prix du dark web pratiqués par les cybercriminels en 2022. Ainsi, on peut lire que les détails d’une carte de crédit se monnaient entre 10 et 120 dollars. Une American Express clonée avec code PIN : 25 $, une Visa ou une Mastercard 20 $.
Pour ce qui est des réseaux sociaux, un compte piraté Facebook se vend 45 $, Instagram 40 $, Gmail 65 $. 25 dollars pour un compte Twitter. Un compte Netflix revient à 25 $.
Pour ce qui concerne les documents officiels, le site indique qu’un passeport falsifié s’échange contre 3 800 dollars. Beaucoup plus pour un passeport maltais : 6 500 $, alors que le prix d’une carte d’identité d’un pays européen est de 160 $. Parfois une simple photo d’un passeport ou d’une carte d’identité peut se vendre entre 2 et 5 euros.
On peut aussi constater que le lot de 10 millions d’adresses mail américaines se vend autour de 120 $.
Il est intéressant de comparer avec une autre étude conduite par Trustwave. En 2022, les équipes du spécialiste de la cybersécurité ont réalisé une photographie des tarifs de certaines données personnelles. Pour eux, une carte de crédit clonée s’échange en Europe entre 25 et 70 $. Un accès au compte bancaire entre 100 et 3 000 dollars. Une somme variable en fonction du montant accessible.
Les experts montrent que des informations d’accès VPN se vendent également à des prix importants jusqu’à 5 000 dollars pour l’accès à un réseau d’une entreprise avec un accès administrateur fourni.
Sécuriser ses données
Alors que l’achat ou la vente de données volées est bien entendu interdit et peut entraîner des poursuites pénales, et sans compter que l’usage de données à des fins illégales peut mettre en danger la sécurité des informations personnelles et financières des personnes victimes, il est essentiel de se protéger. La menace cyber est partout et ne concerne pas seulement les entreprises, les hôpitaux ou les collectivités. Pour ce faire et afin de prendre des mesures de sécurité appropriées pour protéger ses données sensibles, il est, entre autres, nécessaire d’utiliser des mots de passe forts, de les modifier régulièrement et d’installer des logiciels antivirus et pare-feu.
01010011 01101001 00100000 01110100 01110101 00100000 01100101 01110011 00100000 01101001 01100011 01101001 00100000 01100011 00100111 01100101 01110011 01110100 00100000 01110001 01110101 01100101 00100000 01110100 01110101 00100000 01100011 01101000 01100101 01110010 01100011 01101000 01100101 01110011 00100000 01110001 01110101 01100101 01101100 01110001 01110101 01100101 00100000 01100011 01101000 01101111 01110011 01100101 00101110 00100000 01010110 01100001 00100000 01110110 01101111 01101001 01110010 00100000 01100100 01100001 01101110 01110011 00100000 01101100 01100101 00100000 01100011 01101111 01100100 01100101 00100000 01110011 01101111 01110101 01110010 01100011 01100101 00101110
Le dark web désigne une autre facette d'Internet. Celle qui est invisible et n'est pas accessible directement depuis des moteurs de recherche ou des navigateurs. Créé dans les années 1970 par les Américains, il s'agissait à l'époque de permettre à leurs espions de se contacter en toute discrétion. Mais la technologie a été rendue public et s'il permet encore aujourd'hui l'échange d'information dans des pays qui appliquent la censure par exemple, le dark web a très vite intéressé les cybercriminels. Ils y achètent et vendent des données, entre autres.
Depuis l'avènement du numérique, les données personnelles se sont multipliées par milliards. Partout dans le monde, chaque personne dispose de données numériques. Si bien que cette data vaut de l'or. Si elle est utilisée légalement, mais encadrée par des entreprises, les hackers ont aussi montré leur intérêt. Mais illégalement cette fois-ci. Sur le dark web, suivant le type de données , leur valeur est plus ou mois importante mais les dégâts importants sur l'intrusion dans la vie personnelle.
Les données d'une carte de crédit ou d'un compte bancaire n'auront pas la même valeur qu'une simple adresse mail ou un passeport. Privacy Affairs a montré dans son index 2022 que les détails d'une carte de crédit Visa se vendaient 20 $. Les accès à un compte Netflix, 25 $, 45 $ pour Facebook. Concernant des documents officiels, le site de Privacy Affairs indique qu’un passeport falsifié s’échange contre 3 800 dollars. Beaucoup plus pour un passeport maltais : 6 500 $. Quant à un lot de 10 millions d’adresses mail américaines, il se vend autour de 120 $.
Le lab
Analyses et démocratisation de la cybersécurité
Le Lab est un espace contributif sur la cybersécurité où Guardia invite des professionnels et des experts du secteur à partager leurs travaux de recherche.
Cybersécurité 2024 : les 11 prédictions...
Qui sont les femmes et les hommes qui feront la... Voir la suite
Les As de la Cybersécurité 2024
Qui sont les femmes et les hommes qui feront la... Voir la suite
Perspectives de la cybersécurité pour 2033
Qu’en sera-t-il donc de la cybersécurité en 2033 ? Quelles... Voir la suite
