Le marché de la cybercriminalité

Les dommages causés par une usurpation d'identité ou le vol de documents personnels, médicaux ou bancaires peuvent mettre des mois voire des années à être réparés. Mais quelle est la valeur réelle de données volées sur le marché noir du numérique aujourd'hui ?
La mauvaise nouvelle pour les victimes de vol de données est que de plus en plus de pirates ont accès à de plus en plus de données à des prix de moins en moins élevés. La raison de la disponibilité de tant de données est que les hackers n'ont aucune difficulté à s'en emparer. La violation des données d'Equifax survenue en septembre 2017 et ayant touché potentiellement 143 millions d'américains en est le parfait exemple.

Voici quelques exemples de prix de données volées :

Infographie complète sur Comment les hackers gagnent-ils de l'argent

Où sont vendues les données volées ?

Il est important de comprendre où et comment vos données volées sont revendues. Tout se passe sur un espace du World Wide Web appelé le dark web. Accessible uniquement avec un logiciel spécial qui masque l'identité des visiteurs, le dark web est un énorme marché proposant tout ce qui se fait dans le domaine de l'illégalité. En apparence, le dark web ressemble à n'importe quel site de e-commerce. Les vendeurs sont souvent notés par des acheteurs précédents. Vous pouvez même vous procurer des logiciels pour monter votre propre entreprise de piratage. Les paiements se font avec des bitcoins, une devise numérique qui garantit l'anonymat des vendeurs et acheteurs.

Une fois dans ce temple du commerce clandestin et équipé de quelques bitcoins, acquérir des identités volées ou accéder à des comptes bancaires est très simple. Prenons par exemple des cartes bancaires volées. Comme pour tout achat en ligne, l'acheteur spécifie les caractéristiques qu'il souhaite : type de carte (American Express, Visa, etc.), CVV (code à 3 chiffres situé au dos d'une carte), s'il veut des identifiants et mots de passe associés, nom, date d'expiration, évaluation des risques-clients, numéro de sécurité sociale, nom de jeune fille de la mère, limite de crédit, date de naissance, spécificités géographiques, etc. Le coût d'une carte varie en fonction des informations que veut l'acheteur. Il suffit ensuite de cliquer sur "Acheter", télécharger les biens volés et voilà !

Quel est le prix de données volées ?

Combien coûtent ces cartes sur le dark web ? Les prix varient beaucoup et fluctuent en fonction de l'offre de cartes volées. Si un énorme piratage aboutissait à la divulgation de 10 millions de cartes, les prix pourraient s'effondrer si les pirates inondaient le marché. Toutefois, de manière générale (et ces données proviennent de plusieurs sources accessibles au public), le coût d'une carte bancaire volée tourne autour de 8 à 22 $ ou équivalent en bitcoin. Ces prix ont tendance à être plus élevés pour des cartes européennes, canadiennes et australiennes. Les acheteurs paient encore plus pour des cartes avec « fullzinfo » ou « fullz », c'est-à-dire un dossier complet contenant de nombreuses informations sur le propriétaire de la carte. Mais comme l'explique le rapport révolutionnaire de sur le marché des données numériques volées, les cartes de débit et crédit ne sont pas nécessairement les cibles privilégiées des hackers et pirates aujourd'hui. De plus en plus, ce sont les comptes de services de paiement en ligne protégés par mot de passe qui sont visés. Contrairement aux cartes bancaires dont le prix est déterminé par les différents facteurs sélectionnés par l'acheteur, le coût de ces données volées dépend en grande partie du solde de ces comptes en ligne. Comme vous vous en doutez peut-être, le prix d'identifiants de connexion à un compte bancaire est une autre histoire. Ils peuvent être disponibles pour la modique somme de 100 $ pour des comptes dont le solde est de 2000 $ ou moins, ou atteindre 1 000 $ pour des comptes de 15 000 $ ou plus.

Un marché des données médicales volées très actif

Les données de cartes de paiement et d'accès à des comptes bancaires ont une durée de vie limitée, qui se termine brusquement lorsqu'une victime se rend compte qu'elle a été piratée. Mais il existe un autre registre d'identité numérique contenant des informations plus pérennes : les données personnelles médicales et dossiers médicaux numériques. Elles contiennent des informations hautement sensibles sur les antécédents médicaux d'un individu et peuvent être utilisées pour faire chanter des victimes, les humilier publiquement, réaliser des fraudes à l'assurance en faisant de fausses demandes de remboursement et créer de nombreux autres problèmes et dommages aux victimes.

Tout comme d'autres données volées, le coût des dossiers médicaux est soumis aux mêmes dynamiques d'offre et demande que n'importe quel bien. D'après Michael Ash, partenaire associé sur la stratégie de sécurité, le risque et la conformité chez IBM, le prix d'un dossier médical volé peut atteindre 350 $ sur le dark web.

Toutefois, un grand nombre de ces dossiers ayant récemment été volés et mis en vente à tour de bras sur le dark web, les prix ont baissé, d'après les dernières recherches. De plus, les autorités ont intensifié leurs efforts pour trouver et arrêter les vendeurs et acheteurs de ces données personnelles hautement confidentielles, ce qui a freiné de nombreux acheteurs. Récemment, certains dossiers médicaux ont donc été vendus à des pris aussi bas que 100 $ pièce. Mais comme nous l'avons noté précédemment, ce marché est très dynamique et les prix des données numériques volées évoluent beaucoup au fil du temps, de manière frénétique.

Dans tous les cas, la volonté de voler de telles données pour les revendre au plus offrant ne va pas s'essouffler de sitôt. La meilleure défense à la disposition des individus voulant protéger leurs données reste peut-être des mots de passe « blindés » de haute qualité et une bonne hygiène de mots de passe, qui consiste à s'assurer que ceux-ci sont souvent modifiés. À cet égard, il est sage d'envisager d'utiliser un gestionnaire de mots de passe gratuit pour se délivrer de toute approximation dans la gestion de ses mots de passe et stopper net les hackers.

Sources : CNBC, Cybersecurity Intelligence, Cyberscoop, CSID, Detroit Free Press, CSO Online, Crain’s, Vocativ, Dark Reading, Insurance Information Institute.